CTT Report Hub
#ParsedReport #CompletenessMedium 27-06-2025 Case of attack targeting domestic web servers using MeshAgent and SuperShell https://asec.ahnlab.com/ko/88559/ Report completeness: Medium Actors/Campaigns: Unc5174 Threats: Meshagent_tool Supershell Wograt…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние кибератаки были нацелены на веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell, которые использовали уязвимость при загрузке файлов для развертывания веб-оболочки и получения контроля над системами. Методы атаки включали в себя горизонтальное перемещение с использованием таких инструментов, как Fscan и Ladon, для повышения привилегий, в то время как бэкдор WogRAT, связанный с предыдущими инцидентами, указывает на настойчивого хакера.
-----
Были подтверждены недавние кибератаки, целью которых были внутренние веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell. Судя по имеющимся данным, злоумышленники использовали уязвимость при загрузке файлов для развертывания веб-оболочки, что позволило им установить дополнительное вредоносное ПО и установить контроль над скомпрометированными системами. Заметным компонентом, обнаруженным в ходе атак, является WogRAT, вредоносное ПО с бэкдором, созданное на основе Tiny SHell с открытым исходным кодом. Этот вариант был связан с предыдущей атакой, в которой использовался aNotepad, что указывает на вероятную преемственность действий того же хакера.
Методы, использованные при атаках, позволяют выделить несколько ключевых приемов, связанных с перемещением по горизонтали и постоянством. Первоначальное проникновение включало использование веб-оболочек формата ASP и ASPX, специально разработанных для серверов Windows, о чем свидетельствуют журналы, демонстрирующие различные экземпляры веб-оболочек, такие как Chopper, Godzilla и Regeorg. После настройки этих начальных точек доступа злоумышленники использовали такие инструменты, как Fscan для сканирования сети и Ladon для повышения привилегий. Ladon, наряду со своей итерацией PowerLadon для PowerShell, предоставляет разнообразные функции, которые позволяют злоумышленникам проводить сканирование, получать конфиденциальную информацию и выполнять вредоносные действия после заражения.
Особого внимания заслуживает тактика повышения привилегий, при которой злоумышленники использовали командные возможности "SweetPotato" от Ladon для повышения своих прав доступа. Они дополнили эти действия установкой SuperShell и MeshAgent для дальнейшего контроля зараженной инфраструктуры. SuperShell, мультиплатформенная обратная оболочка, разработанная на Go, и MeshAgent, который собирает важные данные для управления системой и поддерживает удаленные действия, имеют решающее значение для успеха операций злоумышленников.
Методы латерального перемещения были подтверждены с помощью WMIExec и кражи учетных данных, при этом злоумышленники получили доступ к NT-хэшу учетных записей администраторов с помощью инструмента дампа сетевых паролей. Это позволило получить дополнительный доступ по всей сети организации, ориентируясь на серверы MS-SQL в рамках своей стратегии. Связь WogRAT с предыдущими действиями в сочетании с использованием уязвимостей в веб-серверах раскрывает сложную схему работы и предполагает целенаправленную цель: потенциальную утечку конфиденциальной информации или внедрение программ-вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавние кибератаки были нацелены на веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell, которые использовали уязвимость при загрузке файлов для развертывания веб-оболочки и получения контроля над системами. Методы атаки включали в себя горизонтальное перемещение с использованием таких инструментов, как Fscan и Ladon, для повышения привилегий, в то время как бэкдор WogRAT, связанный с предыдущими инцидентами, указывает на настойчивого хакера.
-----
Были подтверждены недавние кибератаки, целью которых были внутренние веб-серверы Windows и Linux с использованием вредоносных программ MeshAgent и SuperShell. Судя по имеющимся данным, злоумышленники использовали уязвимость при загрузке файлов для развертывания веб-оболочки, что позволило им установить дополнительное вредоносное ПО и установить контроль над скомпрометированными системами. Заметным компонентом, обнаруженным в ходе атак, является WogRAT, вредоносное ПО с бэкдором, созданное на основе Tiny SHell с открытым исходным кодом. Этот вариант был связан с предыдущей атакой, в которой использовался aNotepad, что указывает на вероятную преемственность действий того же хакера.
Методы, использованные при атаках, позволяют выделить несколько ключевых приемов, связанных с перемещением по горизонтали и постоянством. Первоначальное проникновение включало использование веб-оболочек формата ASP и ASPX, специально разработанных для серверов Windows, о чем свидетельствуют журналы, демонстрирующие различные экземпляры веб-оболочек, такие как Chopper, Godzilla и Regeorg. После настройки этих начальных точек доступа злоумышленники использовали такие инструменты, как Fscan для сканирования сети и Ladon для повышения привилегий. Ladon, наряду со своей итерацией PowerLadon для PowerShell, предоставляет разнообразные функции, которые позволяют злоумышленникам проводить сканирование, получать конфиденциальную информацию и выполнять вредоносные действия после заражения.
Особого внимания заслуживает тактика повышения привилегий, при которой злоумышленники использовали командные возможности "SweetPotato" от Ladon для повышения своих прав доступа. Они дополнили эти действия установкой SuperShell и MeshAgent для дальнейшего контроля зараженной инфраструктуры. SuperShell, мультиплатформенная обратная оболочка, разработанная на Go, и MeshAgent, который собирает важные данные для управления системой и поддерживает удаленные действия, имеют решающее значение для успеха операций злоумышленников.
Методы латерального перемещения были подтверждены с помощью WMIExec и кражи учетных данных, при этом злоумышленники получили доступ к NT-хэшу учетных записей администраторов с помощью инструмента дампа сетевых паролей. Это позволило получить дополнительный доступ по всей сети организации, ориентируясь на серверы MS-SQL в рамках своей стратегии. Связь WogRAT с предыдущими действиями в сочетании с использованием уязвимостей в веб-серверах раскрывает сложную схему работы и предполагает целенаправленную цель: потенциальную утечку конфиденциальной информации или внедрение программ-вымогателей.
#ParsedReport #CompletenessHigh
27-06-2025
OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure
https://www.trellix.com/en-au/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/
Report completeness: High
Actors/Campaigns:
Oneclik
Apt-q-14
Earth_baxia
Winnti
Threats:
Onecliknet
Runnerbeacon
Process_injection_technique
Cobalt_strike_tool
Geacon
Antidebugging_technique
Grimresource_technique
Backdoor.win.generic
Spear-phishing_technique
Victims:
Energy, Oil, Gas
Industry:
Energy, Petroleum
Geo:
Chinese, Apac
TTPs:
Tactics: 4
Technics: 11
IOCs:
File: 21
Domain: 2
Hash: 19
Url: 10
Algorithms:
xor, sha256, base64, exhibit, rc4, aes, aes-128-cbc
Functions:
GetBytes, GetFunctionPointerForDelegate, WriteMemory, GetDelegateForFunctionPointer, GetConsoleWindow, HTTPS
Win API:
EtwEventWrite, CheckRemoteDebuggerPresent, NtQueryInformationProcess, NetGetJoinInformation, NetGetAadJoinInformation, GlobalMemoryStatusEx, GetProcAddress, NtProtectVirtualMemory, CreateProcessW
Languages:
golang, dotnet
Platforms:
x64, amd64
27-06-2025
OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure
https://www.trellix.com/en-au/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/
Report completeness: High
Actors/Campaigns:
Oneclik
Apt-q-14
Earth_baxia
Winnti
Threats:
Onecliknet
Runnerbeacon
Process_injection_technique
Cobalt_strike_tool
Geacon
Antidebugging_technique
Grimresource_technique
Backdoor.win.generic
Spear-phishing_technique
Victims:
Energy, Oil, Gas
Industry:
Energy, Petroleum
Geo:
Chinese, Apac
TTPs:
Tactics: 4
Technics: 11
IOCs:
File: 21
Domain: 2
Hash: 19
Url: 10
Algorithms:
xor, sha256, base64, exhibit, rc4, aes, aes-128-cbc
Functions:
GetBytes, GetFunctionPointerForDelegate, WriteMemory, GetDelegateForFunctionPointer, GetConsoleWindow, HTTPS
Win API:
EtwEventWrite, CheckRemoteDebuggerPresent, NtQueryInformationProcess, NetGetJoinInformation, NetGetAadJoinInformation, GlobalMemoryStatusEx, GetProcAddress, NtProtectVirtualMemory, CreateProcessW
Languages:
golang, dotnet
Platforms:
x64, amd64
Trellix
OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure
The Trellix Advanced Research Center has uncovered a sophisticated APT malware campaign, we’ve dubbed OneClik, specifically targeting the Energy, Oil and Gas sector through phishing attacks and the exploitation of Microsoft ClickOnce.
CTT Report Hub
#ParsedReport #CompletenessHigh 27-06-2025 OneClik: A ClickOnce-Based APT Campaign Targeting Energy, Oil and Gas Infrastructure https://www.trellix.com/en-au/blogs/research/oneclik-a-clickonce-based-apt-campaign-targeting-energy-oil-and-gas-infrastructure/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кампания OneClik APT нацелена на энергетический сектор и использует фишинг и Microsoft ClickOnce для развертывания загрузчика OneClikNet на базе .NET, который запускает RunnerBeacon, сложный бэкдор Golang. Используя законные сервисы AWS для скрытности и используя методы уклонения, он устанавливает зашифрованную связь C2, внедряя вредоносный код в приложения .NET applications.
-----
OneClik - это кампания по распространению вредоносных программ APT, нацеленная на энергетический, нефтяной и газовый секторы. Кампания связана с хакерами, связанными с Китаем, хотя ее авторство остается неподтвержденным. OneClik использует фишинг и технологию Microsoft ClickOnce для распространения. Кампания включает в себя три варианта: v1a, BPI-MDM и v1d, использующие загрузчик .NET под названием OneClikNet. OneClikNet использует бэкдор RunnerBeacon, разработанный в Golang, который взаимодействует через сервисы AWS, такие как CloudFront и API Gateway. ClickOnce используется для скрытого выполнения полезной нагрузки через службу развертывания (dfsvc.exe). Злоумышленники используют фишинговые ссылки, которые приводят жертв на сайт, содержащий манифест ClickOnce, запускающий выполнение вредоносного ПО. Вариант версии 1a начинается с файла с именем "victim_Hardware_Analysis_Tool.application", который запускает скомпрометированный исполняемый файл. OneClikNet использует модульную конструкцию для идентификации жертв и использует методы обхода, такие как перемещение памяти и меры по предотвращению отладки. RunnerBeacon устанавливает зашифрованные каналы C2 с использованием HTTP(ов) и WebSockets и поддерживает выполнение команд, управление файлами и сетевые операции. Инфраструктура C2 маскирует вредоносный трафик в сервисах AWS, что усложняет усилия по обнаружению. Кампания демонстрирует возросшую сложность различных вариантов, особенно в методах обхода. В нефтегазовом секторе Ближнего Востока был обнаружен вариант RunnerBeacon. Тактика включает в себя .Перехват NET AppDomainManager и зашифрованная полезная нагрузка наводят на мысль об общих методологиях с известной китайской тактикой APT.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная кампания OneClik APT нацелена на энергетический сектор и использует фишинг и Microsoft ClickOnce для развертывания загрузчика OneClikNet на базе .NET, который запускает RunnerBeacon, сложный бэкдор Golang. Используя законные сервисы AWS для скрытности и используя методы уклонения, он устанавливает зашифрованную связь C2, внедряя вредоносный код в приложения .NET applications.
-----
OneClik - это кампания по распространению вредоносных программ APT, нацеленная на энергетический, нефтяной и газовый секторы. Кампания связана с хакерами, связанными с Китаем, хотя ее авторство остается неподтвержденным. OneClik использует фишинг и технологию Microsoft ClickOnce для распространения. Кампания включает в себя три варианта: v1a, BPI-MDM и v1d, использующие загрузчик .NET под названием OneClikNet. OneClikNet использует бэкдор RunnerBeacon, разработанный в Golang, который взаимодействует через сервисы AWS, такие как CloudFront и API Gateway. ClickOnce используется для скрытого выполнения полезной нагрузки через службу развертывания (dfsvc.exe). Злоумышленники используют фишинговые ссылки, которые приводят жертв на сайт, содержащий манифест ClickOnce, запускающий выполнение вредоносного ПО. Вариант версии 1a начинается с файла с именем "victim_Hardware_Analysis_Tool.application", который запускает скомпрометированный исполняемый файл. OneClikNet использует модульную конструкцию для идентификации жертв и использует методы обхода, такие как перемещение памяти и меры по предотвращению отладки. RunnerBeacon устанавливает зашифрованные каналы C2 с использованием HTTP(ов) и WebSockets и поддерживает выполнение команд, управление файлами и сетевые операции. Инфраструктура C2 маскирует вредоносный трафик в сервисах AWS, что усложняет усилия по обнаружению. Кампания демонстрирует возросшую сложность различных вариантов, особенно в методах обхода. В нефтегазовом секторе Ближнего Востока был обнаружен вариант RunnerBeacon. Тактика включает в себя .Перехват NET AppDomainManager и зашифрованная полезная нагрузка наводят на мысль об общих методологиях с известной китайской тактикой APT.
#ParsedReport #CompletenessLow
27-06-2025
Behind Scattered Spider: Activity, TTPs, and What to Watch For
https://www.bitsight.com/blog/who-is-scattered-spider-ransomware-group
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Threats:
Blackcat
Smishing_technique
Sim_swapping_technique
Lolbin_technique
Ransomhub
Qilin_ransomware
Dragonforce_ransomware
Aitm_technique
Credential_dumping_technique
Spear-phishing_technique
Victims:
Mgm resorts, Caesars entertainment, Caesars palace, Marks & spencer, Co-op, Harrods
Industry:
Entertainment, Education, Bp_outsourcing, Retail
Geo:
Canada
TTPs:
Tactics: 3
Technics: 45
Soft:
Twitter
27-06-2025
Behind Scattered Spider: Activity, TTPs, and What to Watch For
https://www.bitsight.com/blog/who-is-scattered-spider-ransomware-group
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: financially_motivated, cyber_criminal)
Threats:
Blackcat
Smishing_technique
Sim_swapping_technique
Lolbin_technique
Ransomhub
Qilin_ransomware
Dragonforce_ransomware
Aitm_technique
Credential_dumping_technique
Spear-phishing_technique
Victims:
Mgm resorts, Caesars entertainment, Caesars palace, Marks & spencer, Co-op, Harrods
Industry:
Entertainment, Education, Bp_outsourcing, Retail
Geo:
Canada
TTPs:
Tactics: 3
Technics: 45
Soft:
Bitsight
Scattered Spider Ransomware Group: Activity, TTPs, & More
In 2024, ransomware group-operated leak sites grew by 53%. Learn about one group, Scattered Spider: who they are, what they do, recent attacks, and more.
CTT Report Hub
#ParsedReport #CompletenessLow 27-06-2025 Behind Scattered Spider: Activity, TTPs, and What to Watch For https://www.bitsight.com/blog/who-is-scattered-spider-ransomware-group Report completeness: Low Actors/Campaigns: 0ktapus (motivation: financially_motivated…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей Scattered Spider, действующая с 2022 года, использует агрессивную социальную инженерию, фишинг и подмену SIM-карт для атак на предприятия, часто выступая в качестве посредника для получения первоначального доступа для аффилированных лиц RaaS. Они используют уязвимости облачных платформ и связаны со значительными инцидентами, включая MGM Resorts, что подчеркивает необходимость усиления мер безопасности.
-----
Число атак с использованием программ-вымогателей заметно возросло, и данные свидетельствуют о значительном увеличении числа сайтов с утечками, которыми управляют группы программ-вымогателей, - на 53%. Среди активных хакеров компания Scattered Spider особенно известна тем, что использует агрессивную тактику социальной инженерии для нападения на крупные предприятия. Хотя эта группа не всегда внедряет программы-вымогатели напрямую, она выступает в качестве посредника для получения начального доступа, помогая аффилированным лицам программ-вымогателей осуществлять свои атаки. Их методы работы основаны на фишинге и рассылке SMS-сообщений, которые используются для компрометации учетных данных пользователей и перехвата кодов MFA. Они часто используют атаки с подменой SIM-карт, связанные с их фишинговыми атаками, обходя средства проверки подлинности, чтобы получить несанкционированный доступ к целевым средам.
Компания Scattered Spider, работающая по меньшей мере с 2022 года, была связана с несколькими громкими инцидентами, включая нападения на MGM Resorts и Caesars Entertainment. Группа адаптировалась к различным средам атак, часто используя уязвимости в корпоративных облачных платформах, таких как Azure, AWS и Microsoft 365, для повышения привилегий. Они используют сложные методы социальной инженерии, проводят обширную проверку OSINT, чтобы выдать себя за ИТ-персонал и обманом заставить сотрудников раскрыть учетные данные. Их оперативная тактика включает в себя тщательную разведку, повышение привилегий, использование программы-вымогателя BlackCat (ALPHV) и угрозу раскрытия данных для финансового вымогательства, даже в тех случаях, когда программа-вымогатель не была применена.
Недавние события показывают, что Spider разветвляется на экосистему программ-вымогателей как услуг (RaaS), сотрудничая с известными операторами RaaS. Их целевые сектора включают аутсорсинг бизнес-процессов (BPO), службы поддержки и профессиональные услуги. Например, во время атаки на розничные сети Великобритании, такие как Marks & Spencer и Co-op, в конце апреля 2025 года, Spider Spider использовали платформу для вымогательства DragonForce и провели первоначальную атаку с помощью кампаний социальной инженерии. Это подчеркивает постоянную угрозу, которую они представляют для сектора розничной торговли.
Инцидент с участием MGM Resorts продемонстрировал способность группы использовать человеческий фактор в обеспечении сетевой безопасности, что привело к значительным сбоям в работе и финансовому ущербу, оцениваемому в 100 миллионов долларов. Их тактика продемонстрировала опасную способность обходить современные средства контроля безопасности с помощью сложной социальной инженерии и использования облачных сервисов, что еще больше подчеркнуло необходимость более жестких защитных мер. Организациям необходимо внедрять надежные планы реагирования на инциденты, изолировать скомпрометированные системы, постоянно отслеживать индикаторы компрометации (IOCs), повышать осведомленность пользователей о фишинге и внедрять передовые системы безопасности, такие как архитектура с нулевым уровнем доверия, для эффективного устранения таких угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей Scattered Spider, действующая с 2022 года, использует агрессивную социальную инженерию, фишинг и подмену SIM-карт для атак на предприятия, часто выступая в качестве посредника для получения первоначального доступа для аффилированных лиц RaaS. Они используют уязвимости облачных платформ и связаны со значительными инцидентами, включая MGM Resorts, что подчеркивает необходимость усиления мер безопасности.
-----
Число атак с использованием программ-вымогателей заметно возросло, и данные свидетельствуют о значительном увеличении числа сайтов с утечками, которыми управляют группы программ-вымогателей, - на 53%. Среди активных хакеров компания Scattered Spider особенно известна тем, что использует агрессивную тактику социальной инженерии для нападения на крупные предприятия. Хотя эта группа не всегда внедряет программы-вымогатели напрямую, она выступает в качестве посредника для получения начального доступа, помогая аффилированным лицам программ-вымогателей осуществлять свои атаки. Их методы работы основаны на фишинге и рассылке SMS-сообщений, которые используются для компрометации учетных данных пользователей и перехвата кодов MFA. Они часто используют атаки с подменой SIM-карт, связанные с их фишинговыми атаками, обходя средства проверки подлинности, чтобы получить несанкционированный доступ к целевым средам.
Компания Scattered Spider, работающая по меньшей мере с 2022 года, была связана с несколькими громкими инцидентами, включая нападения на MGM Resorts и Caesars Entertainment. Группа адаптировалась к различным средам атак, часто используя уязвимости в корпоративных облачных платформах, таких как Azure, AWS и Microsoft 365, для повышения привилегий. Они используют сложные методы социальной инженерии, проводят обширную проверку OSINT, чтобы выдать себя за ИТ-персонал и обманом заставить сотрудников раскрыть учетные данные. Их оперативная тактика включает в себя тщательную разведку, повышение привилегий, использование программы-вымогателя BlackCat (ALPHV) и угрозу раскрытия данных для финансового вымогательства, даже в тех случаях, когда программа-вымогатель не была применена.
Недавние события показывают, что Spider разветвляется на экосистему программ-вымогателей как услуг (RaaS), сотрудничая с известными операторами RaaS. Их целевые сектора включают аутсорсинг бизнес-процессов (BPO), службы поддержки и профессиональные услуги. Например, во время атаки на розничные сети Великобритании, такие как Marks & Spencer и Co-op, в конце апреля 2025 года, Spider Spider использовали платформу для вымогательства DragonForce и провели первоначальную атаку с помощью кампаний социальной инженерии. Это подчеркивает постоянную угрозу, которую они представляют для сектора розничной торговли.
Инцидент с участием MGM Resorts продемонстрировал способность группы использовать человеческий фактор в обеспечении сетевой безопасности, что привело к значительным сбоям в работе и финансовому ущербу, оцениваемому в 100 миллионов долларов. Их тактика продемонстрировала опасную способность обходить современные средства контроля безопасности с помощью сложной социальной инженерии и использования облачных сервисов, что еще больше подчеркнуло необходимость более жестких защитных мер. Организациям необходимо внедрять надежные планы реагирования на инциденты, изолировать скомпрометированные системы, постоянно отслеживать индикаторы компрометации (IOCs), повышать осведомленность пользователей о фишинге и внедрять передовые системы безопасности, такие как архитектура с нулевым уровнем доверия, для эффективного устранения таких угроз.
#ParsedReport #CompletenessHigh
27-06-2025
GIFTEDCROOKs Strategic Pivot: From Browser Stealer to Data Exfiltration Platform During Critical Ukraine Negotiations
https://arcticwolf.com/resources/blog-uk/giftedcrooks-strategic-pivot-from-browser-stealer-to-data-exfiltration-platform-during-critical-ukraine-negotiations/
Report completeness: High
Actors/Campaigns:
Uac-0226 (motivation: cyber_espionage)
Threats:
Giftedcrook
Spear-phishing_technique
Netsupportmanager_rat
Victims:
Ukrainian governmental institutions, Ukrainian military institutions, Authorities in bakhmut, Undisclosed-recipients
Industry:
Military
Geo:
Turkey, Russia, Russian, Ukraine, Ukrainian, Donetsk
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1055, T1059.007, T1070.004, T1071.001, T1105, T1114, T1119, T1204.002, have more...
IOCs:
Domain: 1
Hash: 13
File: 7
Path: 3
Url: 1
Soft:
Telegram, LibreOffice, Chrome, Firefox, Google Chrome
Algorithms:
sha256, zip, base64, xor
Languages:
javascript, python
Platforms:
x64
YARA: Found
27-06-2025
GIFTEDCROOKs Strategic Pivot: From Browser Stealer to Data Exfiltration Platform During Critical Ukraine Negotiations
https://arcticwolf.com/resources/blog-uk/giftedcrooks-strategic-pivot-from-browser-stealer-to-data-exfiltration-platform-during-critical-ukraine-negotiations/
Report completeness: High
Actors/Campaigns:
Uac-0226 (motivation: cyber_espionage)
Threats:
Giftedcrook
Spear-phishing_technique
Netsupportmanager_rat
Victims:
Ukrainian governmental institutions, Ukrainian military institutions, Authorities in bakhmut, Undisclosed-recipients
Industry:
Military
Geo:
Turkey, Russia, Russian, Ukraine, Ukrainian, Donetsk
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1055, T1059.007, T1070.004, T1071.001, T1105, T1114, T1119, T1204.002, have more...
IOCs:
Domain: 1
Hash: 13
File: 7
Path: 3
Url: 1
Soft:
Telegram, LibreOffice, Chrome, Firefox, Google Chrome
Algorithms:
sha256, zip, base64, xor
Languages:
javascript, python
Platforms:
x64
YARA: Found
Arctic Wolf
GIFTEDCROOK's Strategic Pivot: From Browser Stealer to Data Exfiltration Platform During Critical Ukraine Negotiations - Arctic…
The Arctic Wolf Labs team has discovered that the cyber-espionage group UAC-0226, known for utilizing the infostealer GIFTEDCROOK, has recently upgraded the malware from a basic browser data stealer into a robust intelligence-gathering tool.
CTT Report Hub
#ParsedReport #CompletenessHigh 27-06-2025 GIFTEDCROOKs Strategic Pivot: From Browser Stealer to Data Exfiltration Platform During Critical Ukraine Negotiations https://arcticwolf.com/resources/blog-uk/giftedcrooks-strategic-pivot-from-browser-stealer-to…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа UAC-0226 превратила свою вредоносную программу GIFTEDCROOK из простого средства для кражи информации в многофункциональное средство сбора разведданных, предназначенное для украинских военных и правительственных структур с помощью фишинговых электронных писем с вложениями в формате PDF, похожими на оружие. Версии 1.2 и 1.3 улучшают методы кражи документов, шифрования данных и эксфильтрации с помощью Telegram, что указывает на стратегический кибершпионаж, связанный с геополитическими событиями.
-----
Группа кибершпионажа UAC-0226 значительно расширила свои возможности, превратив свою вредоносную программу GIFTEDCROOK из элементарного средства для кражи информации в более сложный инструмент для сбора разведданных. Впервые GIFTEDCROOK был запущен в 2025 году как обычный браузер для кражи данных (версия 1), который с тех пор претерпел два крупных обновления — версии 1.2 и 1.3, что позволило осуществлять широкомасштабную фильтрацию конфиденциальных документов с целевых устройств. Вредоносная программа использовалась в основном против украинских правительственных и военных структур, причем конкретные кампании совпадали с критическими геополитическими событиями, что указывает на стратегическую направленность на сбор разведданных.
Основным источником заражения GIFTEDCROOK остаются электронные письма с фишинговой рассылкой, которые часто оформлены так, чтобы напоминать о срочных военных делах, касающихся Украины. Электронные письма, как правило, содержат PDF-вложения военной тематики, которые оформлены как обычные объекты. После того, как жертва нажимает на эти объекты, они выполняют действия, которые могут привести к установке вредоносного ПО, включая отключение инструментов удаленного доступа, таких как NetSupport RAT, которые обеспечивают постоянный доступ и утечку данных, избегая при этом обнаружения.
Три версии GIFTEDCROOK демонстрируют широкий спектр возможностей. Версия 1 в основном похищала данные браузера, версия 1.2 была расширена за счет кражи документов и введения строкового шифрования файлов, в то время как версия 1.3 сочетает в себе функции предыдущих версий и расширяет возможности поиска данных, ориентируясь на файлы, измененные в течение последних 45 дней, и используя Telegram для эксфильтрации. Каждая версия обладает специфическими функциями, такими как сжатие файлов, шифрование и систематическая организация, что позволяет злоумышленникам безопасно архивировать и передавать данные с сохраненными метаданными.
Новые технологии, используемые UAC-0226, предполагают методичный и стратегический подход к их работе. Взаимосвязь между развертыванием вредоносного ПО и дипломатическими переговорами с высокими ставками демонстрирует, как кибер-инструменты используются для сбора разведданных, которые могут повлиять на военные и политические результаты. Учитывая характер целенаправленных атак, общую инфраструктуру нескольких хакерских группировок и сосредоточение внимания на украинских военных и правительственных учреждениях, возникает широкий спектр угроз, что подчеркивает необходимость усовершенствованных механизмов обнаружения и защиты от этих сложных киберопераций. Организациям рекомендуется усилить свою защиту с помощью обучения сотрудников, защищенных шлюзов электронной почты и решений для обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с методами скрытого фишинга, используемыми участниками GIFTEDCROOK.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа UAC-0226 превратила свою вредоносную программу GIFTEDCROOK из простого средства для кражи информации в многофункциональное средство сбора разведданных, предназначенное для украинских военных и правительственных структур с помощью фишинговых электронных писем с вложениями в формате PDF, похожими на оружие. Версии 1.2 и 1.3 улучшают методы кражи документов, шифрования данных и эксфильтрации с помощью Telegram, что указывает на стратегический кибершпионаж, связанный с геополитическими событиями.
-----
Группа кибершпионажа UAC-0226 значительно расширила свои возможности, превратив свою вредоносную программу GIFTEDCROOK из элементарного средства для кражи информации в более сложный инструмент для сбора разведданных. Впервые GIFTEDCROOK был запущен в 2025 году как обычный браузер для кражи данных (версия 1), который с тех пор претерпел два крупных обновления — версии 1.2 и 1.3, что позволило осуществлять широкомасштабную фильтрацию конфиденциальных документов с целевых устройств. Вредоносная программа использовалась в основном против украинских правительственных и военных структур, причем конкретные кампании совпадали с критическими геополитическими событиями, что указывает на стратегическую направленность на сбор разведданных.
Основным источником заражения GIFTEDCROOK остаются электронные письма с фишинговой рассылкой, которые часто оформлены так, чтобы напоминать о срочных военных делах, касающихся Украины. Электронные письма, как правило, содержат PDF-вложения военной тематики, которые оформлены как обычные объекты. После того, как жертва нажимает на эти объекты, они выполняют действия, которые могут привести к установке вредоносного ПО, включая отключение инструментов удаленного доступа, таких как NetSupport RAT, которые обеспечивают постоянный доступ и утечку данных, избегая при этом обнаружения.
Три версии GIFTEDCROOK демонстрируют широкий спектр возможностей. Версия 1 в основном похищала данные браузера, версия 1.2 была расширена за счет кражи документов и введения строкового шифрования файлов, в то время как версия 1.3 сочетает в себе функции предыдущих версий и расширяет возможности поиска данных, ориентируясь на файлы, измененные в течение последних 45 дней, и используя Telegram для эксфильтрации. Каждая версия обладает специфическими функциями, такими как сжатие файлов, шифрование и систематическая организация, что позволяет злоумышленникам безопасно архивировать и передавать данные с сохраненными метаданными.
Новые технологии, используемые UAC-0226, предполагают методичный и стратегический подход к их работе. Взаимосвязь между развертыванием вредоносного ПО и дипломатическими переговорами с высокими ставками демонстрирует, как кибер-инструменты используются для сбора разведданных, которые могут повлиять на военные и политические результаты. Учитывая характер целенаправленных атак, общую инфраструктуру нескольких хакерских группировок и сосредоточение внимания на украинских военных и правительственных учреждениях, возникает широкий спектр угроз, что подчеркивает необходимость усовершенствованных механизмов обнаружения и защиты от этих сложных киберопераций. Организациям рекомендуется усилить свою защиту с помощью обучения сотрудников, защищенных шлюзов электронной почты и решений для обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с методами скрытого фишинга, используемыми участниками GIFTEDCROOK.
#ParsedReport #CompletenessLow
27-06-2025
Surge in MOVEit Transfer Scanning Could Signal Emerging Threat Activity
https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity
Report completeness: Low
Geo:
Mexico, France, Germany, United kingdom
CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_cloud (<14.0.5.45, <14.1.6.97, <15.0.2.39)
- progress moveit_transfer (<2021.0.7, <2021.1.5, <2022.0.5, <2022.1.6, <2023.0.2)
CVE-2023-36934 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_transfer (<12.1.11, <13.0.9, <13.1.7, <14.0.7, <14.1.8)
IOCs:
IP: 5
Soft:
MOVEit
27-06-2025
Surge in MOVEit Transfer Scanning Could Signal Emerging Threat Activity
https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity
Report completeness: Low
Geo:
Mexico, France, Germany, United kingdom
CVEs:
CVE-2023-34362 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_cloud (<14.0.5.45, <14.1.6.97, <15.0.2.39)
- progress moveit_transfer (<2021.0.7, <2021.1.5, <2022.0.5, <2022.1.6, <2023.0.2)
CVE-2023-36934 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- progress moveit_transfer (<12.1.11, <13.0.9, <13.1.7, <14.0.7, <14.1.8)
IOCs:
IP: 5
Soft:
MOVEit
www.greynoise.io
Surge in MOVEit Transfer Scanning Activity Could Signal Emerging Threat Activity
GreyNoise has identified a notable surge in scanning activity targeting MOVEit Transfer systems, beginning on May 27, 2025. Prior to this date, scanning was minimal — typically fewer than 10 IPs observed per day.
CTT Report Hub
#ParsedReport #CompletenessLow 27-06-2025 Surge in MOVEit Transfer Scanning Could Signal Emerging Threat Activity https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity Report completeness: Low Geo: Mexico, France, Germany, United kingdom…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С 27 мая 2025 года активность сканирования, нацеленного на системы передачи данных MOVEit, значительно возросла: было обнаружено более 682 уникальных IP-адреса, в основном из Tencent Cloud. 12 июня были отмечены попытки использования, связанные с известными уязвимостями, что указывает на постоянную угрозу для пользователей MOVEit Transfer.
-----
Компания GreyNoise сообщила о значительном увеличении активности сканирования, нацеленного на системы передачи данных MOVEit, которое началось 27 мая 2025 года. Это ознаменовало резкое изменение по сравнению с ранее низким уровнем сканирования, при котором ежедневно обнаруживалось менее 10 уникальных IP-адресов. 27 мая количество уникальных IP-адресов для сканирования резко возросло до более чем 100, а к 28 мая увеличилось до 319. С момента этого первоначального всплеска ежедневное количество сканируемых IP-адресов колебалось от 200 до 300, что указывает на то, что MOVEit Transfer снова является потенциальной целью для использования.
За предыдущие 90 дней GreyNoise пометил 682 уникальных IP-адреса как участвующие в сканировании систем передачи данных MOVEit. Значительная часть этих попыток сканирования, около 44% (303 IP-адреса), была предпринята из Tencent Cloud (ASN 132203), что делает его наиболее популярным источником сканирования. Среди других важных источников - Cloudflare со 113 IP-адресами, Amazon с 94 и Google с 34 IP-адресами. Большинство этих сканирующих IP-адресов находятся в Соединенных Штатах, а также в Великобритании, Германии, Франции и Мексике.
Кроме того, GreyNoise отметила, что 12 июня 2025 года были предприняты попытки малообъемной эксплуатации, которые были связаны с двумя ранее обнаруженными уязвимостями в MOVEit Transfer. Это указывает на то, что хакеры не только сканируют уязвимости, но и пытаются ими воспользоваться, что свидетельствует о постоянной и усиливающейся угрозе для систем передачи файлов MOVEit. Наблюдаемые тенденции к сканированию и последующим попыткам использования подчеркивают важность бдительности и упреждающих мер безопасности для организаций, использующих это программное обеспечение для передачи файлов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С 27 мая 2025 года активность сканирования, нацеленного на системы передачи данных MOVEit, значительно возросла: было обнаружено более 682 уникальных IP-адреса, в основном из Tencent Cloud. 12 июня были отмечены попытки использования, связанные с известными уязвимостями, что указывает на постоянную угрозу для пользователей MOVEit Transfer.
-----
Компания GreyNoise сообщила о значительном увеличении активности сканирования, нацеленного на системы передачи данных MOVEit, которое началось 27 мая 2025 года. Это ознаменовало резкое изменение по сравнению с ранее низким уровнем сканирования, при котором ежедневно обнаруживалось менее 10 уникальных IP-адресов. 27 мая количество уникальных IP-адресов для сканирования резко возросло до более чем 100, а к 28 мая увеличилось до 319. С момента этого первоначального всплеска ежедневное количество сканируемых IP-адресов колебалось от 200 до 300, что указывает на то, что MOVEit Transfer снова является потенциальной целью для использования.
За предыдущие 90 дней GreyNoise пометил 682 уникальных IP-адреса как участвующие в сканировании систем передачи данных MOVEit. Значительная часть этих попыток сканирования, около 44% (303 IP-адреса), была предпринята из Tencent Cloud (ASN 132203), что делает его наиболее популярным источником сканирования. Среди других важных источников - Cloudflare со 113 IP-адресами, Amazon с 94 и Google с 34 IP-адресами. Большинство этих сканирующих IP-адресов находятся в Соединенных Штатах, а также в Великобритании, Германии, Франции и Мексике.
Кроме того, GreyNoise отметила, что 12 июня 2025 года были предприняты попытки малообъемной эксплуатации, которые были связаны с двумя ранее обнаруженными уязвимостями в MOVEit Transfer. Это указывает на то, что хакеры не только сканируют уязвимости, но и пытаются ими воспользоваться, что свидетельствует о постоянной и усиливающейся угрозе для систем передачи файлов MOVEit. Наблюдаемые тенденции к сканированию и последующим попыткам использования подчеркивают важность бдительности и упреждающих мер безопасности для организаций, использующих это программное обеспечение для передачи файлов.
#ParsedReport #CompletenessHigh
28-06-2025
WEEVILPROXY: An evasive and sophisticated malware campaign silently targeting crypto users across the globe
https://labs.withsecure.com/content/dam/labs/docs/WithSecure_Research_WEEVILPROXY.pdf
Report completeness: High
Threats:
Weevilproxy
Mitm_technique
Smokeloader
Domain_fronting_technique
Typosquatting_technique
Shadow_copies_delete_technique
Victims:
Cryptocurrency users, Organizations, Financial traders, Non-cryptocurrency-related organizations
Geo:
Philippines, Bangladesh, Thailand, Pakistan, Vietnam, Malaysia
TTPs:
Tactics: 3
Technics: 34
IOCs:
File: 16
Path: 3
Domain: 161
Registry: 2
Command: 1
Hash: 116
Url: 1
Soft:
Telegram, Windows Hello, Twitter, TradingView, Windows Setup, Chromium, Chrome, Microsoft Edge, Windows Defender, Brotli, have more...
Wallets:
bybit, metamask, tronlink, rabby, ronin_wallet, tokenpocket, trezor, exodus_wallet, electrum
Crypto:
binance, solana
Algorithms:
zip, sha1
Functions:
Remove-Item, Get-ChildItem, Set-ItemProperty, TaskCache, M, N, U, X
Win API:
SetThreadExecutionState, NtRaiseHardError, ExitWindowsEx, SetSystemPowerState
Languages:
powershell, javascript
Platforms:
amd64, intel
28-06-2025
WEEVILPROXY: An evasive and sophisticated malware campaign silently targeting crypto users across the globe
https://labs.withsecure.com/content/dam/labs/docs/WithSecure_Research_WEEVILPROXY.pdf
Report completeness: High
Threats:
Weevilproxy
Mitm_technique
Smokeloader
Domain_fronting_technique
Typosquatting_technique
Shadow_copies_delete_technique
Victims:
Cryptocurrency users, Organizations, Financial traders, Non-cryptocurrency-related organizations
Geo:
Philippines, Bangladesh, Thailand, Pakistan, Vietnam, Malaysia
TTPs:
Tactics: 3
Technics: 34
IOCs:
File: 16
Path: 3
Domain: 161
Registry: 2
Command: 1
Hash: 116
Url: 1
Soft:
Telegram, Windows Hello, Twitter, TradingView, Windows Setup, Chromium, Chrome, Microsoft Edge, Windows Defender, Brotli, have more...
Wallets:
bybit, metamask, tronlink, rabby, ronin_wallet, tokenpocket, trezor, exodus_wallet, electrum
Crypto:
binance, solana
Algorithms:
zip, sha1
Functions:
Remove-Item, Get-ChildItem, Set-ItemProperty, TaskCache, M, N, U, X
Win API:
SetThreadExecutionState, NtRaiseHardError, ExitWindowsEx, SetSystemPowerState
Languages:
powershell, javascript
Platforms:
amd64, intel
CTT Report Hub
#ParsedReport #CompletenessHigh 28-06-2025 WEEVILPROXY: An evasive and sophisticated malware campaign silently targeting crypto users across the globe https://labs.withsecure.com/content/dam/labs/docs/WithSecure_Research_WEEVILPROXY.pdf Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа WEEVILPROXY нацелена на пользователей криптовалют по всему миру, используя для распространения обманчивую рекламу. Она использует подписанный установщик MSI для выполнения вредоносных программ, которые перехватывают сетевой трафик, крадут конфиденциальную информацию и выполняют расширенные функции, такие как кейлоггинг и фишинг учетных данных. Его архитектура использует запутанные приложения NodeJS и поддерживает постоянство с помощью модификаций Windows, обеспечивая скрытность и непрерывность операций.
-----
Компания WithSecure обнаружила сложную вредоносную кампанию, известную как WEEVILPROXY, которая с марта 2024 года в основном нацелена на пользователей криптовалют по всему миру. Кампания развивалась благодаря постоянным обновлениям, проводимым хакерами, и использует широкомасштабные рекламные стратегии, вводящие в заблуждение на таких платформах, как Facebook и контекстно-медийная сеть Google, маскируясь под популярное программное обеспечение для криптовалют. Заражение также затронуло организации, не связанные с криптовалютой, из-за перекрестного заражения, что подчеркивает широкий масштаб угрозы.
Вредоносная программа работает по детальной цепочке заражения, инициируемой взаимодействием пользователя с вводящей в заблуждение рекламой, которая ведет на замаскированный сайт загрузки. На этом сайте обычно размещается подписанный установщик MSI, содержащий безобидную на первый взгляд полезную информацию. После выполнения вредоносные аспекты материализуются, позволяя вредоносному ПО устанавливать прокси-сервер для перехвата сетевого трафика, эффективно похищая конфиденциальную информацию о криптовалютах у пользователей, когда они переходят на сайты обмена. Он способен отслеживать сетевые запросы по меньшей мере для 45 криптовалютных бирж и может манипулировать действиями жертвы в интернете с помощью своих функций прокси-сервера, включая фишинг учетных данных.
WEEVILPROXY включает в себя расширенные возможности, такие как ведение кейлогга, мониторинг экрана, выполнение команд командной строки и операции с файлами. Кроме того, вредоносная программа может собирать данные с рабочего стола Telegram и манипулировать расширениями браузера, связанными с криптовалютными кошельками, осуществляя фильтрацию паролей в режиме реального времени с помощью встроенных скриптов. Эти скрипты предназначены для скрытой работы, обходя предупреждения пользователя о режиме разработчика.
Архитектура вредоносного ПО включает в себя различные технологии, в частности приложения NodeJS, которые затемняются, компилируются и сжимаются для предотвращения анализа и содействия быстрому развитию. Он подключается к серверам управления (C2), используя двунаправленную архитектуру клиент/сервер, обеспечивая связь в режиме реального времени и применяя защитные меры, такие как DNS-over-HTTPS в Cloudflare, для уклонения от трафика.
Для сохранения работоспособности вредоносная программа умело изменяет режим перезагрузки Windows и поддерживает функциональность с помощью таких механизмов, как создание запланированных задач, которые сохраняются после сброса настроек. Она может даже регистрировать новые идентификаторы для обеспечения непрерывности своей работы, гарантируя, что она останется незамеченной во время рутинных процессов восстановления системы.
Более того, хакер использует сложные средства отслеживания, которые позволяют осуществлять всесторонний контроль за процессом заражения, повышая его способность корректировать таргетинг и адаптироваться к поведению пользователей. Обладая обширным арсеналом тактик уклонения и вредоносных функций, WEEVILPROXY представляет значительную угрозу не только для пользователей криптовалют, но и в целом для юридических лиц из-за потенциального перекрестного заражения через зараженные корпоративные устройства.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа WEEVILPROXY нацелена на пользователей криптовалют по всему миру, используя для распространения обманчивую рекламу. Она использует подписанный установщик MSI для выполнения вредоносных программ, которые перехватывают сетевой трафик, крадут конфиденциальную информацию и выполняют расширенные функции, такие как кейлоггинг и фишинг учетных данных. Его архитектура использует запутанные приложения NodeJS и поддерживает постоянство с помощью модификаций Windows, обеспечивая скрытность и непрерывность операций.
-----
Компания WithSecure обнаружила сложную вредоносную кампанию, известную как WEEVILPROXY, которая с марта 2024 года в основном нацелена на пользователей криптовалют по всему миру. Кампания развивалась благодаря постоянным обновлениям, проводимым хакерами, и использует широкомасштабные рекламные стратегии, вводящие в заблуждение на таких платформах, как Facebook и контекстно-медийная сеть Google, маскируясь под популярное программное обеспечение для криптовалют. Заражение также затронуло организации, не связанные с криптовалютой, из-за перекрестного заражения, что подчеркивает широкий масштаб угрозы.
Вредоносная программа работает по детальной цепочке заражения, инициируемой взаимодействием пользователя с вводящей в заблуждение рекламой, которая ведет на замаскированный сайт загрузки. На этом сайте обычно размещается подписанный установщик MSI, содержащий безобидную на первый взгляд полезную информацию. После выполнения вредоносные аспекты материализуются, позволяя вредоносному ПО устанавливать прокси-сервер для перехвата сетевого трафика, эффективно похищая конфиденциальную информацию о криптовалютах у пользователей, когда они переходят на сайты обмена. Он способен отслеживать сетевые запросы по меньшей мере для 45 криптовалютных бирж и может манипулировать действиями жертвы в интернете с помощью своих функций прокси-сервера, включая фишинг учетных данных.
WEEVILPROXY включает в себя расширенные возможности, такие как ведение кейлогга, мониторинг экрана, выполнение команд командной строки и операции с файлами. Кроме того, вредоносная программа может собирать данные с рабочего стола Telegram и манипулировать расширениями браузера, связанными с криптовалютными кошельками, осуществляя фильтрацию паролей в режиме реального времени с помощью встроенных скриптов. Эти скрипты предназначены для скрытой работы, обходя предупреждения пользователя о режиме разработчика.
Архитектура вредоносного ПО включает в себя различные технологии, в частности приложения NodeJS, которые затемняются, компилируются и сжимаются для предотвращения анализа и содействия быстрому развитию. Он подключается к серверам управления (C2), используя двунаправленную архитектуру клиент/сервер, обеспечивая связь в режиме реального времени и применяя защитные меры, такие как DNS-over-HTTPS в Cloudflare, для уклонения от трафика.
Для сохранения работоспособности вредоносная программа умело изменяет режим перезагрузки Windows и поддерживает функциональность с помощью таких механизмов, как создание запланированных задач, которые сохраняются после сброса настроек. Она может даже регистрировать новые идентификаторы для обеспечения непрерывности своей работы, гарантируя, что она останется незамеченной во время рутинных процессов восстановления системы.
Более того, хакер использует сложные средства отслеживания, которые позволяют осуществлять всесторонний контроль за процессом заражения, повышая его способность корректировать таргетинг и адаптироваться к поведению пользователей. Обладая обширным арсеналом тактик уклонения и вредоносных функций, WEEVILPROXY представляет значительную угрозу не только для пользователей криптовалют, но и в целом для юридических лиц из-за потенциального перекрестного заражения через зараженные корпоративные устройства.
#ParsedReport #CompletenessMedium
27-06-2025
Sapphire Werewolf refines Amethyst stealer toattack energy companies
https://bi.zone/eng/expertise/blog/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek/
Report completeness: Medium
Actors/Campaigns:
Sapphire_werewolf
Threats:
Amethyst
Dotnet_reactor_tool
Victims:
Energy companies
Industry:
Energy
TTPs:
Tactics: 9
Technics: 0
IOCs:
File: 2
Url: 1
Domain: 1
Hash: 1
Soft:
NET Reactor, VirtualBox, Windows service, Windows Task Scheduler, Telegram, Chrome, Opera, Orbitum, Kometa, Chromium
Algorithms:
base64, des, zip
Functions:
Invoke
27-06-2025
Sapphire Werewolf refines Amethyst stealer toattack energy companies
https://bi.zone/eng/expertise/blog/kamen-ogranennyy-sapphire-werewolf-ispolzuet-novuyu-versiyu-amethyst-stealer-dlya-atak-na-tek/
Report completeness: Medium
Actors/Campaigns:
Sapphire_werewolf
Threats:
Amethyst
Dotnet_reactor_tool
Victims:
Energy companies
Industry:
Energy
TTPs:
Tactics: 9
Technics: 0
IOCs:
File: 2
Url: 1
Domain: 1
Hash: 1
Soft:
NET Reactor, VirtualBox, Windows service, Windows Task Scheduler, Telegram, Chrome, Opera, Orbitum, Kometa, Chromium
Algorithms:
base64, des, zip
Functions:
Invoke
BI.ZONE
Sapphire Werewolf refines Amethyst stealer to attack energy companies
The Sapphire Werewolf cluster continues to enhance its toolkit, now leveraging a new version of the Amethyst stealer. The threat actor distributes the malware through phishing emails