#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sapphire Werewolf обновила программу Amethyst stealer, распространяя ее по фишинговым электронным письмам с исполняемыми PDF-файлами. Вредоносная программа поддерживает расширенные проверки на обнаружение виртуальных машин, использует тройное шифрование DES для шифрования и извлекает учетные данные из различных браузеров и приложений, усложняя обнаружение с помощью поддельных документов и специальных URL-адресов для утечки данных.
-----

Кластер Sapphire Werewolf обновил свой инструментарий, внедрив более продвинутую версию Amethyst stealer, которая в основном распространяется с помощью фишинговых электронных писем, замаскированных под официальные сообщения. Хакер отправляет вредоносное вложение, выдаваемое за служебную записку представителя отдела кадров, в которой содержится исполняемый файл, замаскированный значком PDF. Этот исполняемый файл представляет собой загрузчик .NET, в котором содержится полезная нагрузка в кодировке Base64, которая в конечном итоге и является похитителем аметиста. Эта вредоносная программа защищена с помощью .NET Reactor и загружает вредоносные файлы в память с помощью библиотеки сжатия файлов DotNetZip.dll, обычно использующей Zip-библиотеку Ionic версии 1.16.

В последней версии Amethyst stealer реализованы сложные проверки для виртуализированных сред, позволяющие избежать обнаружения. Программа выполняет ряд проверок, чтобы определить, является ли среда выполнения виртуальной машиной (ВМ). Это включает в себя попытки получить файловые дескрипторы, уникальные для VirtualBox, проверку реестра Windows на наличие ключей, связанных с инструментами VMware, и сбор обширной системной информации с помощью инструментария управления Windows (WMI). Проверки распространяются на определение особенностей оборудования, таких как производитель и модель процессора, материнской платы и диска, а также состояния подключаемых устройств и служб Windows. Эти методы направлены на выявление сред, в которых вредоносное ПО может быть изолировано, что позволяет хакеру обойти меры безопасности.

Более того, Amethyst stealer использует алгоритм симметричного шифрования Triple DES, чтобы скрыть свои рабочие строки, что является отличием от обычных .NET загрузчиков, которые шифруют целые сегменты кода. Программа stealer также способна извлекать учетные данные из веб-браузеров, включая Chrome, Opera и Edge Chromium, а также конфиденциальные данные из VPN-клиентов, конфигурации удаленных рабочих столов и различные типы документов, хранящихся на съемных носителях.

Дальнейший анализ показал, что вредоносная программа взаимодействует с определенными URL-адресами для извлечения данных, в том числе с одним из сторонних сервисов. Кроме того, BI.ZONE Threat Intelligence подчеркнула, что Amethyst stealer также может извлекать и запускать поддельный PDF-документ, что еще больше усложняет обнаружение. Организациям рекомендуется усилить свою защиту от подобных атак с помощью комплексной защиты электронной почты и применения стратегий, которые улучшают понимание этих развивающихся угроз и повышают бдительность в отношении последних киберугроз, создаваемых такими хакерами, как Sapphire Werewolf.

#ParsedReport #CompletenessMedium
28-06-2025

Dire Wolf Strikes: New Ransomware Group Targeting Global Sectors

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/dire-wolf-strikes-new-ransomware-group-targeting-global-sectors/

Report completeness: Medium

Actors/Campaigns:
Dire_wolf (motivation: financially_motivated)

Threats:
Dire_wolf
Shadow_copies_delete_technique
Wevtutil_tool
Vssadmin_tool
Bcedit_tool
Qtox_tool

Geo:
New york, Thailand, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1070.001, T1486, T1490, T1562.001

IOCs:
File: 28
Command: 3
Hash: 3
Url: 1

Soft:
MSExchange, MSSQL, DefWatch, QuickBooks, steam, thebat, firefox, onenote, outlook, wordpad, have more...

Algorithms:
md5, curve25519, sha1, chacha20, sha256

Functions:
Get-WmiObject

Win API:
ControlService

Win Services:
eventlog, AcrSch2Svc, SQLPBENGINE, MsDtsServer150, SQLSERVERAGENT, BackupExecAgentAccelerator, BackupExecAgentBrowser, msmdsrv, SQLTELEMETRY, BackupExecDiveciMediaService, have more...

Languages:
golang, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Dire Wolf, нацеленных на производственный и технологический секторы, использует двойное вымогательство для шифрования файлов и угрозы публикации данных. Программа написана на Golang и использует UPX для обфускации, отключает ведение журнала и удаление теневых копий для повышения эффективности. Шифрование сочетает в себе Curve25519 и ChaCha20, добавляя к файлам ".direwolf", в то время как пользовательские уведомления о требовании выкупа указывают на индивидуальную стратегию вымогательства.
-----

Группа программ-вымогателей Dire Wolf, впервые обнаруженная в мае 2025 года, быстро превратилась в крупную хакерскую группу, нацеленную, в частности, на производственный и технологический секторы по всему миру, причем наибольшее количество атак было зарегистрировано в Соединенных Штатах и Таиланде. Используя тактику двойного вымогательства, Dire Wolf не только шифрует файлы в зараженных системах, но и угрожает публикацией конфиденциальных данных, чтобы вынудить жертв заплатить выкуп. По последним данным, жертвами были признаны 16 организаций в 11 странах.

Исследование, проведенное Trustwave SpiderLabs, выявило важные рабочие детали образца программы-вымогателя Dire Wolf. Этот конкретный образец, полученный с помощью Virustotal Hunting, изначально был оснащен UPX, распространенным методом обфускации. Анализ показал, что программа—вымогатель написана на Golang, языке программирования, который киберпреступники предпочитают за его мобильность и устойчивость к обнаружению - заметное преимущество, учитывая, что некоторые антивирусные решения борются с вредоносными программами на базе Golang.

После запуска программа-вымогатель выполняет специальные проверки, чтобы предотвратить одновременный запуск нескольких экземпляров и проверить, была ли система уже взломана. Она выполняет поиск файла-маркера ("runfinish.exe") и проверяет мьютекс ("Global\direwolfAppMutex"). Если какой-либо из них будет обнаружен, он не запустится, а самоудалится. Если программа-вымогатель не обнаружена, она отключает ведение журнала событий Windows и завершает различные процессы, которые могут повлиять на ее работу, включая ключевые антивирусные решения. Используя такие команды, как Powershell, vssadmin и wevtutil, он повышает свою эффективность за счет удаления теневых копий и очистки журналов событий.

Для шифрования Dire Wolf использует комбинацию алгоритмов Curve25519 и ChaCha20, добавляя расширение ".direwolf" ко всем зашифрованным файлам, за исключением файлов с указанными расширениями, связанными с безопасностью системы. Отправленная после шифрования записка с требованием выкупа настраивается для каждой жертвы, включая уникальные учетные данные для входа в чат переговоров, что указывает на индивидуальный подход к вымогательству.

Хотя методы проникновения, рекогносцировки и бокового перемещения, используемые Dire Wolf, остаются неясными, организациям настоятельно рекомендуется внедрить надежные методы обеспечения безопасности и обеспечить мониторинг поведенческих показателей, выявленных в этом анализе. Компания Trustwave предложила правила обнаружения, основанные на методах, описанных в их исследовании, направленные на защиту организаций от воздействия и тактики уклонения, типичных для операций программ-вымогателей.

#ParsedReport #CompletenessLow
28-06-2025

The Case of Hidden Spam Pages

https://blog.sucuri.net/2025/06/the-case-of-hidden-spam-pages.html

Report completeness: Low

Threats:
Blackseo_technique

Victims:
Wordpress website administrators

Industry:
E-commerce, Entertainment

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078, T1110.001, T1133, T1505, T1564.001

IOCs:
File: 2

Soft:
WordPress, Steam

Functions:
WordPress

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют wp-admin WordPress с помощью грубой силы для рассылки спама, часто используя скрытые методы, такие как CSS и вредоносные плагины для постоянного доступа. Это указывает на уязвимости в защите входа в систему и необходимость принятия строгих мер безопасности.
-----

Веб-сайты WordPress часто становятся мишенью злоумышленников, которые используют панель администратора wp с помощью грубой силы для создания спам-сообщений и страниц. Простота этого метода, который требует простого доступа к панели администратора, делает его распространенным источником заражения. Многие установки WordPress не имеют надежной защиты, позволяющей ограничить неудачные попытки входа в систему или скрыть личность администратора, что приводит к уязвимости, которой можно легко воспользоваться. После взлома злоумышленники могут генерировать множество спам-сообщений, что часто приводит к появлению десятков тысяч вредоносных сообщений, удаление которых может занять много времени.

Процесс очистки взломанного сайта обычно включает в себя проверку как файлов, так и базы данных. Во многих случаях заражение спамом заметно проявляется в базе данных из-за его текстовой природы. Термины, связанные с азартными играми онлайн, и различные ключевые слова, связанные со спамом, часто попадают в эти базы данных, что приводит к существенному негативному влиянию на SEO сайта, особенно при индексации поисковыми системами. Хотя метод удаления таких сообщений непосредственно в wp-admin, как правило, позволяет восстановить законный контент, отдельные случаи могут маскировать такой спам, усложняя усилия по исправлению.

В ходе недавнего анализа были обнаружены спам-страницы, рекламирующие онлайн-казино, и неожиданный контент, такой как Farming Simulator 17, хотя они и не были доступны с помощью обычных административных запросов. Вместо этого спам-сообщения были намеренно скрыты с помощью таких методов, как CSS, чтобы изменить видимость в административной области. Определенный плагин был идентифицирован как бэкдор, который обеспечивал злоумышленникам постоянный доступ к сайту. Этот плагин использовал функции, общие для вредоносного программного обеспечения, в том числе механизм самозакрытия, который скрывал его присутствие от администраторов и скрывал спам-контент от прямого доступа.

Дальнейшая проверка показала, что комбинация вводящей в заблуждение идентификации плагина и простых манипуляций с кодом, таких как использование правил CSS "отображать: нет", позволила злоумышленникам скрыть спам. Хотя такие методы могут показаться тривиальными, они демонстрируют, на что способны злоумышленники, чтобы сохранить свой эксплойт и избежать обнаружения. Подобная практика рассылки спама и сокрытия информации иллюстрирует постоянные угрозы в среде WordPress, подчеркивая острую необходимость в строгих мерах безопасности и регулярных проверках для эффективного обнаружения и устранения таких уязвимостей. Кибератакеры продолжают внедрять инновации, внедряя новые методы, позволяющие оставаться незамеченными и продолжать свою незаконную деятельность.

#ParsedReport #CompletenessLow
27-06-2025

The Birth and Death of LoopyTicket Our Story on CVE-2025-33073

https://www.guidepointsecurity.com/blog/the-birth-and-death-of-loopyticket/

Report completeness: Low

Threats:
Loopyticket_technique
Petitpotam_vuln
Badsuccessor_technique
Printnightmare_vuln
Netexec_tool

Industry:
Education, E-commerce, Financial

CVEs:
CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.002, T1046, T1071.004, T1097, T1557.001

IOCs:
File: 4

Soft:
Active Directory, SMB Server, Twitter

Functions:
WriteProperties

Win API:
NETBIOS

Languages:
python

Links:
https://github.com/dirkjanm/krbrelayx
have more...
https://github.com/Pennyw0rth/NetExec/pull/718
https://github.com/C0nd4/krbrelayx

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В документе CVE-2025-33073 описана критическая уязвимость в Active Directory, которая делает возможными атаки с отражением Kerberos посредством манипулирования записями DNS и использования отключенной подписи SMB. Это позволяет злоумышленникам извлекать данные Security Account Manager (SAM), используя действительные учетные данные домена, что подчеркивает необходимость строгого управления конфигурацией в средах AD.
-----

В статье, посвященной CVE-2025-33073, рассказывается об обнаружении критической уязвимости, связанной с отраженными атаками Kerberos, влияющими на среды Active Directory (AD). Все началось с настройки контроллера домена (DC), созданного в лабораторной среде, где разрабатывались методы взлома. Злоумышленник использовал технику манипулирования записями DNS, которая включала добавление к имени хоста определенной "магической строки", что в конечном итоге обеспечило успешную принудительную аутентификацию.

В ходе тестирования выяснилось, что отраженные атаки, которые, как правило, заканчиваются неудачей из-за мер по предотвращению блокировки сообщений сервера (SMB) с 2008 года, могут обходить меры безопасности при определенных обстоятельствах. Важный вывод был подтвержден в ходе тестирования в другой лабораторной среде, продемонстрировавшего, что атака смогла успешно извлечь базу данных Security Account Manager (SAM), что указывает на более широкий потенциал воздействия, чем первоначально предполагалось.

Ключом к использованию этой уязвимости является требование, чтобы в целевых системах была отключена подпись SMB или установлено значение “при согласовании”. Этот параметр должен сочетаться с действительными учетными данными пользователя домена, чтобы упростить создание записей DNS, необходимых для перенаправления попыток аутентификации. Автор подчеркнул роль манипулирования DNS, которое, как правило, разрешено в большинстве сред без строгих ограничений на создание записей, что делает его реальным вектором атаки.

Технология атаки основана на использовании серверов-участников путем манипулирования именами участников-служб (SPN), привязанными к конкретным хостам. Для облегчения этого действия, особенно в сценариях, когда записи DNS соответствуют SPN, но отличаются от имени NETBIOS, необходимо глубокое понимание конфигурации сети. Кроме того, принудительные методы аутентификации могут использовать такие инструменты, как mitm6, pretender или responder, хотя создание записей DNS часто является более простым подходом при проведении тестирования на проникновение.

Таким образом, CVE-2025-33073 представляет собой детализированный вектор атаки, который использует определенные конфигурации в настройках Active Directory. Понимание требований к доступу к сети, необходимость отключения подписи SMB и возможность манипулирования записями DNS являются ключевыми областями знаний для специалистов в области кибербезопасности, которые стремятся снизить риски, связанные с отраженными атаками Kerberos. Эта уязвимость отражает текущие проблемы, с которыми организации сталкиваются при обеспечении безопасности среды AD, и подчеркивает необходимость тщательного управления конфигурацией и оценки уязвимостей.

#ParsedReport #CompletenessLow
28-06-2025

Stealthy WordPress Malware Drops Windows Trojan via PHP Backdoor

https://blog.sucuri.net/2025/06/stealthy-wordpress-malware-drops-windows-trojan-via-php-backdoor.html

Report completeness: Low

Victims:
Wordpress websites, Website visitors, Windows users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1057, T1059.001, T1059.003, T1071.001, T1078, T1105, T1112, T1190, have more...

IOCs:
File: 9
Path: 1
Command: 2
Registry: 1
IP: 1

Soft:
WordPress, Windows Registry

Algorithms:
zip

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложное вредоносное ПО, обнаруженное на взломанных сайтах WordPress, запускает троянскую программу с помощью дропперов на основе PHP и запутанного кода. Ключевые компоненты включают в себя header.php для сбора информации о посетителях и выполнения полезной нагрузки, что приводит к client32.exe, который работает как троян удаленного доступа с механизмами сохранения.
-----

Недавний случай обнаружения вредоносного ПО на взломанных веб-сайтах WordPress выявил сложную цепочку заражения, предназначенную для доставки троянца пользователям без типичных признаков компрометации. Вредоносное ПО использует различные методы, включая дропперы на основе PHP, запутанный код, уклонение от использования IP-адресов и автоматически генерируемые скрипты для выполнения своей полезной нагрузки. Хотя первоначальная причина взлома остается неизвестной, считается, что вредоносное ПО возникло в результате более раннего взлома веб-сайта, когда злоумышленники внедряли вредоносный код в легальные PHP-файлы для установления контроля.

Центральное место в работе вредоносного ПО занимают два ключевых файла PHP: header.php и man.php. Файл header.php действует как главный контроллер, отвечающий за сбор информации о посетителях, создание черного списка на основе IP-адресов и динамическую генерацию сильно запутанного пакетного файла. Этот файл запускает загрузку вредоносного ZIP-архива, содержащего client32.exe, троянскую программу для Windows. При посещении пользователем вредоносная программа записывает IP-адрес посетителя в файл журнала, count.txt и гарантирует, что полезная информация будет передана только уникальным посетителям, предотвращая повторное заражение с того же IP-адреса.

Пакетный скрипт, созданный с помощью header.php, работает как многоэтапный дроппер, который использует команды PowerShell для загрузки, извлечения и выполнения полезной нагрузки трояна. Этот процесс включает в себя настройку переменных среды, создание необходимых каталогов и выполнение команд для загрузки ZIP-файла и извлечения его содержимого. Кроме того, скрипт устанавливает постоянство, добавляя запись в реестр Windows, гарантируя, что client32.exe запускается автоматически при запуске системы, сохраняя присутствие вредоносного ПО при перезагрузке.

После запуска client32.exe подключается к серверу управления (C2) по идентифицированному IP-адресу. Хотя полная реализация этого троянца не анализировалась, его поведение позволяет предположить, что он отражает типичные функциональные возможности трояна удаленного доступа (RAT), включая автоматическое выполнение и постоянное подключение к инфраструктуре C2.

Природа этого вредоносного ПО подчеркивает эволюцию хакерских технологий, в которых особое внимание уделяется скрытности и уклонению. Злоумышленники все чаще используют PowerShell и пакетные сценарии для облегчения развертывания и выполнения вредоносного ПО, избегая при этом обнаружения. Таким образом, владельцы веб-сайтов должны уделять приоритетное внимание превентивным мерам, включая регулярное сканирование на наличие вредоносных программ, использование брандмауэров веб-приложений и своевременное внесение исправлений для защиты от таких сложных угроз. Кроме того, пользователи должны быть осторожны при загрузке исполняемых файлов, поддерживать обновленное программное обеспечение для обеспечения безопасности и внедрять строгий контроль доступа пользователей, чтобы снизить риск заражения.

#ParsedReport #CompletenessMedium
28-06-2025

Tracing Blind Eagle to Proton66

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/tracing-blind-eagle-to-proton66/

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Opendir_technique
Remcos_rat
Asyncrat

Victims:
Bancolombia, Bbva, Banco caja social, Davivienda

Industry:
Financial

Geo:
Brazilian, Colombian, Argentina, Latin american, Latam, Latin america, Russian

ChatGPT TTPs:
do not use without manual check
T1003, T1005, T1027, T1041, T1053.005, T1056.001, T1059.001, T1059.005, T1071.001, T1078, have more...

IOCs:
IP: 1
Url: 2
File: 1

Soft:
Telegram, Windows Registry

Algorithms:
base64, exhibit

Languages:
powershell, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blind Eagle (APT-C-36) нацелен на колумбийские финансовые учреждения, используя файлы VBS в качестве векторов атаки и RAT с открытым исходным кодом, такие как Remcos и AsyncRAT, для последующего контроля. Их фишинговые сайты имитируют банковские порталы для кражи учетных данных, в то время как их операции демонстрируют незащищенную инфраструктуру, несмотря на использование методов обфускации.
-----

Хакерская группа, известная как Blind Eagle, или APT-C-36, тесно связана с российской пуленепробиваемой хостинговой компанией Proton66 и активно атакует организации в Латинской Америке, в частности колумбийские финансовые учреждения. Недавние расследования выявили значительную операционную инфраструктуру, используемую этой группой, которая характеризуется обширными взаимосвязями между различными доменами и IP-адресами. Их метод работы в основном использует файлы сценариев Visual Basic (VBS) в качестве исходного вектора атаки и включает бесплатные службы динамической DNS (DDNS) для облегчения работы.

Blind Eagle использует легкодоступные трояны удаленного доступа (RATs) в качестве вредоносного ПО второго этапа, позволяющего им сохранять контроль над скомпрометированными системами. Примечательным аспектом их инфраструктуры является появившийся летом 2024 года кластер доменов, каждый из которых имеет определенный IP-адрес, связанный с Proton66. Эти домены используются для размещения вредоносного контента, начиная от фишинговых сайтов и заканчивая скриптами VBS, которые инициируют развертывание вредоносного ПО. Скрипты VBS функционируют как загрузчики, извлекая дополнительные вредоносные программы, в первую очередь RAT с открытым исходным кодом, такие как Remcos и AsyncRAT.

Анализ скриптов VBS указывает на их причастность к сервису, основанному на подписке, который известен своей способностью скрывать полезную нагрузку на VBS. Это говорит о том, что Blind Eagle использует передовые методы, препятствующие обнаружению. Несмотря на сложность их вредоносного ПО, многие аспекты их работы остаются открытыми. В их инфраструктуре были обнаружены открытые каталоги, содержащие идентичные вредоносные файлы. Эти каталоги содержат готовые фишинговые страницы, имитирующие действующие колумбийские банки, специально предназначенные для кражи учетных данных для входа в систему и конфиденциальной информации. Фишинговые сайты копируют внешний вид законных банковских порталов для входа в систему и предоставляют вредоносное ПО первой стадии, которое облегчает заражение.

После выполнения скрипт VBS первого этапа создает запланированные задачи и расшифровывает строки Base64 для выполнения последующих полезных загрузок. Основной исполняемый файл, часто содержащий заголовок MZ, переименовывается перед загрузкой дополнительного вредоносного программного обеспечения. В развернутых RATs используется веб-интерфейс управления ботнетом, позволяющий операторам контролировать взломанные компьютеры, управлять журналами и развертывать дополнительные полезные приложения с помощью централизованной панели мониторинга. Этот интерфейс указывает на минимальные усилия по сокрытию операционных структур, что способствует быстрому развертыванию, а не сложной маскировке.

Общая направленность атак Blind Eagle подчеркивает значительную угрозу для организаций финансового сектора Латинской Америки. В ответ на это учреждениям следует усилить свою защиту от попыток фишинга, связанных с банковской деятельностью. Рекомендации по обеспечению безопасности включают внедрение строгих механизмов фильтрации электронной почты, содействие обучению персонала распознаванию специализированных стратегий фишинга и упреждающий мониторинг региональных индикаторов угроз. Такой подход может значительно снизить риск компрометации, связанный с такими простыми, но эффективными методами атаки.

#technique #llm

Through the Stealth Lens: Rethinking Attacks and Defenses in RAG

https://arxiv.org/html/2506.04390v1

#ParsedReport #CompletenessLow
28-06-2025

XWorm and Katz Stealer distributed via email storage space

https://cert-agid.gov.it/news/xworm-e-katz-stealer-distribuiti-tramite-spazio-di-storage-di-posta-elettronica/

Report completeness: Low

Threats:
Katz_stealer
Xworm_rat

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1001.002, T1027, T1036.004, T1055, T1059.001, T1059.007, T1071.001, T1105, T1140, T1218.005, have more...

IOCs:
File: 2

Algorithms:
base64

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID сообщила о вредоносной кампании по рассылке спама, нацеленной на итальянского почтового провайдера, который использовал XWorm и Katz Stealer с помощью запутанного файла JavaScript. Атака использует PowerShell для загрузки и извлечения стеганографированного изображения, содержащего Katz Stealer, который захватывает учетные данные для входа в систему, в то время как XWorm подключается к своему серверу C2.
-----

Компания CERT-AGID сообщила о кампании по рассылке вредоносного по, целью которой является использование выделенного хранилища, связанного с известным итальянским почтовым провайдером. В рамках кампании используются два типа вредоносных программ: XWorm и Katz Stealer. Первоначальный доступ осуществляется по ссылке, направляющей пользователей на ресурс в взломанном почтовом ящике, что приводит к загрузке файла TAR, содержащего запутанный JavaScript-файл с более чем 57 000 строками кода. Этот обширный код в основном включает повторяющиеся функции, предназначенные для того, чтобы скрыть истинную цель вредоносного ПО.

Существенной частью этого скрипта является компактный сегмент, который генерирует запутанный сценарий PowerShell, закодированный в Base64. При расшифровке этого скрипта обнаруживается дополнительная команда PowerShell и отдельная обратная строка Base64, которая ссылается на другие ресурсы в том же хранилище почтовых ящиков. Одна из основных команд загружает стеганографированное изображение размером 2,6 МБ, в которое встроена фактическая полезная нагрузка. Процесс извлечения полезной нагрузки включает считывание байтов канала RGB изображения, где первые четыре байта указывают длину последующих данных. Извлеченные данные соответствуют Katz Stealer, разновидности вредоносного ПО как услуги (MaaS), которое CERT-AGID идентифицировал впервые.

Katz Stealer запускается с помощью функции под названием VAI, которая предварительно настроена в коде PowerShell для Base64. Основная цель Katz Stealer - захват учетных данных пользователей для входа в систему. Кроме того, скрипт PowerShell загружает текстовый файл с именем xwormdotnet.txt, который также содержит обратный код Base64. Затем этот код загружается в память, преобразуется в исполняемый формат и внедряется в систему с помощью MSBuild.exe, таким образом развертывая вредоносную программу XWorm. XWorm предназначен для установления соединения со своим сервером управления (C2).

В ответ на эту кампанию CERT-AGID уведомил затронутого поставщика услуг электронной почты, который принял меры по удалению вредоносных ресурсов. CERT-AGID распространил индикаторы компрометации (IOCs), связанные с этой кампанией, для повышения осведомленности и готовности к этим угрозам.

#ParsedReport #CompletenessHigh
28-06-2025

Zoom & doom: BlueNoroff call opens the door

https://fieldeffect.com/blog/zoom-doom-bluenoroff-call-opens-the-door#2t4re

Report completeness: High

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Threats:
Process_injection_technique
Credential_harvesting_technique

Victims:
Canadian online gambling provider, Cryptocurrency-related users and organizations

Industry:
Entertainment, Financial

Geo:
Japan, Canadian, North korea, America, Ukraine, Korea, North korean

TTPs:
Tactics: 3
Technics: 19

IOCs:
Url: 6
File: 10
Domain: 143
Email: 1
IP: 1
Hash: 10

Soft:
Zoom, curl, sudo, macOS, sysctl, Telegram, rsync, macOS Gatekeeper

Algorithms:
zip, sha1, sha256, md5

Functions:
BlueNoroff

Languages:
applescript, javascript

Platforms:
apple

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_lazarus.txt