#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blind Eagle (APT-C-36) нацелен на колумбийские финансовые учреждения, используя файлы VBS в качестве векторов атаки и RAT с открытым исходным кодом, такие как Remcos и AsyncRAT, для последующего контроля. Их фишинговые сайты имитируют банковские порталы для кражи учетных данных, в то время как их операции демонстрируют незащищенную инфраструктуру, несмотря на использование методов обфускации.
-----

Хакерская группа, известная как Blind Eagle, или APT-C-36, тесно связана с российской пуленепробиваемой хостинговой компанией Proton66 и активно атакует организации в Латинской Америке, в частности колумбийские финансовые учреждения. Недавние расследования выявили значительную операционную инфраструктуру, используемую этой группой, которая характеризуется обширными взаимосвязями между различными доменами и IP-адресами. Их метод работы в основном использует файлы сценариев Visual Basic (VBS) в качестве исходного вектора атаки и включает бесплатные службы динамической DNS (DDNS) для облегчения работы.

Blind Eagle использует легкодоступные трояны удаленного доступа (RATs) в качестве вредоносного ПО второго этапа, позволяющего им сохранять контроль над скомпрометированными системами. Примечательным аспектом их инфраструктуры является появившийся летом 2024 года кластер доменов, каждый из которых имеет определенный IP-адрес, связанный с Proton66. Эти домены используются для размещения вредоносного контента, начиная от фишинговых сайтов и заканчивая скриптами VBS, которые инициируют развертывание вредоносного ПО. Скрипты VBS функционируют как загрузчики, извлекая дополнительные вредоносные программы, в первую очередь RAT с открытым исходным кодом, такие как Remcos и AsyncRAT.

Анализ скриптов VBS указывает на их причастность к сервису, основанному на подписке, который известен своей способностью скрывать полезную нагрузку на VBS. Это говорит о том, что Blind Eagle использует передовые методы, препятствующие обнаружению. Несмотря на сложность их вредоносного ПО, многие аспекты их работы остаются открытыми. В их инфраструктуре были обнаружены открытые каталоги, содержащие идентичные вредоносные файлы. Эти каталоги содержат готовые фишинговые страницы, имитирующие действующие колумбийские банки, специально предназначенные для кражи учетных данных для входа в систему и конфиденциальной информации. Фишинговые сайты копируют внешний вид законных банковских порталов для входа в систему и предоставляют вредоносное ПО первой стадии, которое облегчает заражение.

После выполнения скрипт VBS первого этапа создает запланированные задачи и расшифровывает строки Base64 для выполнения последующих полезных загрузок. Основной исполняемый файл, часто содержащий заголовок MZ, переименовывается перед загрузкой дополнительного вредоносного программного обеспечения. В развернутых RATs используется веб-интерфейс управления ботнетом, позволяющий операторам контролировать взломанные компьютеры, управлять журналами и развертывать дополнительные полезные приложения с помощью централизованной панели мониторинга. Этот интерфейс указывает на минимальные усилия по сокрытию операционных структур, что способствует быстрому развертыванию, а не сложной маскировке.

Общая направленность атак Blind Eagle подчеркивает значительную угрозу для организаций финансового сектора Латинской Америки. В ответ на это учреждениям следует усилить свою защиту от попыток фишинга, связанных с банковской деятельностью. Рекомендации по обеспечению безопасности включают внедрение строгих механизмов фильтрации электронной почты, содействие обучению персонала распознаванию специализированных стратегий фишинга и упреждающий мониторинг региональных индикаторов угроз. Такой подход может значительно снизить риск компрометации, связанный с такими простыми, но эффективными методами атаки.

#technique #llm

Through the Stealth Lens: Rethinking Attacks and Defenses in RAG

https://arxiv.org/html/2506.04390v1

#ParsedReport #CompletenessLow
28-06-2025

XWorm and Katz Stealer distributed via email storage space

https://cert-agid.gov.it/news/xworm-e-katz-stealer-distribuiti-tramite-spazio-di-storage-di-posta-elettronica/

Report completeness: Low

Threats:
Katz_stealer
Xworm_rat

Geo:
Italian

ChatGPT TTPs:
do not use without manual check
T1001.002, T1027, T1036.004, T1055, T1059.001, T1059.007, T1071.001, T1105, T1140, T1218.005, have more...

IOCs:
File: 2

Algorithms:
base64

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID сообщила о вредоносной кампании по рассылке спама, нацеленной на итальянского почтового провайдера, который использовал XWorm и Katz Stealer с помощью запутанного файла JavaScript. Атака использует PowerShell для загрузки и извлечения стеганографированного изображения, содержащего Katz Stealer, который захватывает учетные данные для входа в систему, в то время как XWorm подключается к своему серверу C2.
-----

Компания CERT-AGID сообщила о кампании по рассылке вредоносного по, целью которой является использование выделенного хранилища, связанного с известным итальянским почтовым провайдером. В рамках кампании используются два типа вредоносных программ: XWorm и Katz Stealer. Первоначальный доступ осуществляется по ссылке, направляющей пользователей на ресурс в взломанном почтовом ящике, что приводит к загрузке файла TAR, содержащего запутанный JavaScript-файл с более чем 57 000 строками кода. Этот обширный код в основном включает повторяющиеся функции, предназначенные для того, чтобы скрыть истинную цель вредоносного ПО.

Существенной частью этого скрипта является компактный сегмент, который генерирует запутанный сценарий PowerShell, закодированный в Base64. При расшифровке этого скрипта обнаруживается дополнительная команда PowerShell и отдельная обратная строка Base64, которая ссылается на другие ресурсы в том же хранилище почтовых ящиков. Одна из основных команд загружает стеганографированное изображение размером 2,6 МБ, в которое встроена фактическая полезная нагрузка. Процесс извлечения полезной нагрузки включает считывание байтов канала RGB изображения, где первые четыре байта указывают длину последующих данных. Извлеченные данные соответствуют Katz Stealer, разновидности вредоносного ПО как услуги (MaaS), которое CERT-AGID идентифицировал впервые.

Katz Stealer запускается с помощью функции под названием VAI, которая предварительно настроена в коде PowerShell для Base64. Основная цель Katz Stealer - захват учетных данных пользователей для входа в систему. Кроме того, скрипт PowerShell загружает текстовый файл с именем xwormdotnet.txt, который также содержит обратный код Base64. Затем этот код загружается в память, преобразуется в исполняемый формат и внедряется в систему с помощью MSBuild.exe, таким образом развертывая вредоносную программу XWorm. XWorm предназначен для установления соединения со своим сервером управления (C2).

В ответ на эту кампанию CERT-AGID уведомил затронутого поставщика услуг электронной почты, который принял меры по удалению вредоносных ресурсов. CERT-AGID распространил индикаторы компрометации (IOCs), связанные с этой кампанией, для повышения осведомленности и готовности к этим угрозам.

#ParsedReport #CompletenessHigh
28-06-2025

Zoom & doom: BlueNoroff call opens the door

https://fieldeffect.com/blog/zoom-doom-bluenoroff-call-opens-the-door#2t4re

Report completeness: High

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Threats:
Process_injection_technique
Credential_harvesting_technique

Victims:
Canadian online gambling provider, Cryptocurrency-related users and organizations

Industry:
Entertainment, Financial

Geo:
Japan, Canadian, North korea, America, Ukraine, Korea, North korean

TTPs:
Tactics: 3
Technics: 19

IOCs:
Url: 6
File: 10
Domain: 143
Email: 1
IP: 1
Hash: 10

Soft:
Zoom, curl, sudo, macOS, sysctl, Telegram, rsync, macOS Gatekeeper

Algorithms:
zip, sha1, sha256, md5

Functions:
BlueNoroff

Languages:
applescript, javascript

Platforms:
apple

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_lazarus.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа BlueNoroff APT нацелилась на канадского провайдера онлайн-гемблинга, используя социальную инженерию с помощью поддельного вызова Zoom для доставки вредоносной программы infostealer. Вредоносная программа использовала мошеннические скрипты, замаскированные под законные инструменты, что привело к сбору учетных данных и утечке конфиденциальной информации, особенно связанной с криптовалютой. Организациям рекомендуется усовершенствовать протоколы безопасности для противодействия таким сложным угрозам.
-----

Хакерская группа BlueNoroff, связанная с кибератаками Северной Кореи, атаковала канадского провайдера онлайн-гемблинга. В ходе атаки использовалась социальная инженерия, в ходе которой злоумышленники выдавали себя за доверенных лиц во время вызова Zoom для развертывания вредоносного ПО. Жертв обманом заставили запустить вводящий в заблуждение скрипт, который представлялся как инструмент для восстановления звука Zoom. Этот скрипт загружал вредоносное ПО с поддельного домена, похожего на официальный сайт Zoom. Первоначальный скрипт скрывал свои вредоносные намерения, используя примерно 10 000 пустых строк.

Вредоносная программа infostealer выполняла команды командной строки для получения дополнительной полезной нагрузки и, возможно, сохраняла учетные данные жертвы для последующей фильтрации. Она быстро извлекала конфиденциальную информацию, включая файлы связки ключей и профили браузера. Уникальные идентификаторы привязывали вредоносную программу к целевой организации, позволяя выполнять индивидуальные команды и осуществлять фильтрацию данных.

Он использовал законные системные пути для сокрытия действий и использовал методы внедрения процессов. Вредоносное ПО отслеживало действия браузера, связанные с криптовалютой, и использовало rsync для фильтрации данных. Оно также включало сбор учетных данных на ранней стадии для обеспечения дальнейшего доступа к конфиденциальным ресурсам.

Кампания демонстрирует усовершенствованные методы финансово мотивированных хакеров, а также усовершенствованную социальную инженерию и тактику вредоносного ПО, фокусируясь на криптовалютах и извлечении конфиденциальных данных. В ней использовались методы борьбы с криминалистикой и инфраструктура для скрытой коммуникации, нацеленные на проведение скрытных операций. Организациям следует ограничить несанкционированное выполнение сценариев, использовать функции безопасности macOS и внедрять решения EDR для отслеживания вредоносного поведения. Для снижения рисков важно разработать строгие протоколы взаимодействия с пользователями и проводить постоянный аудит системных действий.

#ParsedReport #CompletenessLow
28-06-2025

The New Face of Remcos: Path Bypass and Masquerading

https://www.forcepoint.com/blog/x-labs/remcos-malware-new-face

Report completeness: Low

Threats:
Remcos_rat
Process_injection_technique

Geo:
Japanese

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1036.005, T1041, T1053.005, T1055, T1059.001, T1070.004, T1071.001, T1082, have more...

IOCs:
File: 5
Path: 1
Command: 1
Domain: 1
Hash: 5

Soft:
Windows registry

Algorithms:
base64

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Remcos распространяется с помощью фишинговых электронных писем с вредоносными файлами LNK, которые используют передовые методы обхода для маскировки своего присутствия. После запуска она загружает запутанный сценарий PowerShell, который обеспечивает постоянный доступ и выполняет вредоносные действия, такие как кража пароля, маскируясь под законные системные процессы. Он подключается к серверу C2 через нестандартный порт, что подчеркивает его сложную тактику уклонения от обнаружения.
-----

Недавние кампании с использованием вредоносного ПО Remcos сохранили высокий уровень активности и адаптивности, что позволяет избежать обнаружения. Злоумышленники обычно используют фишинговые электронные письма, содержащие вредоносные файлы, такие как файлы быстрого доступа к Windows, скрипты или документы. Когда жертва открывает эти файлы, программа загрузки Remcos незаметно развертывается, часто скрываясь в каталогах, имитирующих законные системные папки Windows. Этот метод не только облегчает длительный доступ к зараженному компьютеру, но и позволяет вредоносной программе выполнять ряд вредоносных действий, включая кражу пароля и регистрацию нажатий клавиш.

В качестве характерной тактики эти кампании используют скомпрометированные учетные записи электронной почты малых предприятий или образовательных учреждений для распространения вредоносных файлов LNK, которые часто упаковываются в сжатые вложения. В файлах LNK используются передовые методы обхода, в частности, префикс пути в пространстве имен NT "\\?\". Это позволяет вредоносной программе создавать ложный каталог Windows, обходя типичные ограничения на разбор путей, установленные средствами безопасности.

Технический анализ показывает, что эти файлы LNK содержат встроенные сценарии PowerShell, закодированные случайным потоком данных, что увеличивает размер файла и усложняет усилия по обнаружению. Сценарий PowerShell загружает файл .dat в кодировке Base64, который при декодировании создает исполняемый файл, сохраненный с расширением .pif. Несмотря на свой внешний вид, этот исполняемый файл, разработанный с использованием компилятора Borland Delphi, маскируется под документ со значком PDF. После выполнения он реплицируется и генерирует ярлык .URL вместе с четырьмя сильно запутанными пакетными файлами .cmd, предназначенными для выполнения дальнейших вредоносных задач и обеспечения сохраняемости.

Для обфускации этих пакетных файлов используются нетрадиционные символы и бессмысленный текст, что усложняет их анализ и препятствует механизмам обнаружения антивирусом. Эта инновационная стратегия маскировки сочетается со способностью вредоносного ПО маскироваться под легитимный системный каталог, в частности, имитируя "C:\Windows\SysWOW64" (с добавленным пробелом). Этот преднамеренный обман повышает вероятность того, что вредоносное ПО сохранится в скомпрометированных системах.

После установки основной исполняемый файл не только выполняет внедрение процесса в SndVol.exe, законный процесс Windows, но и подключается к серверу управления (C2), размещенному на OVHcloud, используя нетипичный коммуникационный порт (32583). Протокол работы вредоносной программы включает в себя проверку активного подключения к Интернету и оценку языковых настроек системы, чтобы настроить ее работу в зависимости от местоположения жертвы.

Вредоносная программа Remcos является примером растущей сложности угроз, которые могут маскироваться под обычные системные операции, используя обманную тактику, чтобы избежать обнаружения и сохранить долгосрочный доступ. Защитники должны проявлять бдительность в отношении необычных ярлыков для файлов, подозрительных манипуляций с путями доступа и нетипичных соглашений об именовании папок в рамках своих мер безопасности.

#ParsedReport #CompletenessLow
28-06-2025

China-Linked Hackers Exploit Cisco Flaw in Escalating Espionage Campaign

https://www.secureblink.com/cyber-security-news/china-linked-hackers-exploit-cisco-flaw-in-escalating-espionage-campaign

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)

Victims:
Canadian telecom company, Eight us telecom firms, Government officials, Political figures

Industry:
Telco, Government, Critical_infrastructure

Geo:
American, Russian, Chinese, America, Canadian, Canada, China

CVEs:
CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation allen-bradley_stratix_5200_firmware (<17.12.02)


ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1046, T1098, T1136, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая государством группа Salt Typhoon использовала CVE-2023-20198 в Cisco IOS XE для взлома канадского телекоммуникационного провайдера, компрометируя устройства и перехватывая конфиденциальный трафик. Группа нацелена на критически важную инфраструктуру и проводит аналогичные операции по всему миру, подчеркивая необходимость своевременного исправления ошибок и повышения осведомленности о безопасности.
-----

В результате серьезного нарушения кибербезопасности спонсируемая государством китайская хакерская группа, известная как Salt Typhoon, успешно проникла в систему крупного канадского телекоммуникационного провайдера, воспользовавшись известной уязвимостью в Cisco IOS XE, а именно CVE-2023-20198. Эта уязвимость позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, создавать привилегированные учетные записи и получать контроль над уязвимыми устройствами. Первоначальное обнаружение взлома произошло в феврале 2025 года, когда выяснилось, что три сетевых устройства канадской компании были взломаны. Эта уязвимость уже способствовала глобальным атакам на более чем 10 000 устройств с момента ее обнаружения в октябре 2023 года, однако канадский провайдер не смог применить необходимые исправления безопасности, оставив свою инфраструктуру незащищенной.

Проникнув внутрь, злоумышленники извлекли файлы конфигурации со взломанных устройств и перенастроили по крайней мере одно из них для создания туннеля GRE. Это позволило им перехватывать и собирать конфиденциальный сетевой трафик, подчеркивая риск, который эти нарушения представляют для критически важной инфраструктуры. Однако масштабы операций Salt Typhoon выходят за рамки одного телекоммуникационного провайдера; попытки разведки и проникновения были обнаружены в различных секторах Канады, что указывает на более широкую кампанию против критически важных цифровых активов.

Власти Канадского центра кибербезопасности и ФБР выпустили предупреждения о том, что "Солт Тайфун" почти наверняка действует в соответствии с директивами Китайской Народной Республики и, вероятно, продолжит наносить удары по канадским организациям, особенно в сфере телекоммуникаций, по крайней мере в течение следующих двух лет. Параллельно эта группа взломала многочисленные телекоммуникационные компании США, что свидетельствует о широкой и устойчивой кампании, охватывающей множество стран, и некоторые официальные лица США признают, что китайские агенты по-прежнему задействованы в определенных сетях.

Шпионские цели Salt Typhoon сосредоточены в первую очередь на перехвате сообщений, связанных с важными объектами, включая правительственных чиновников и политических деятелей, а также на извлечении конфиденциальных записей телефонных разговоров и метаданных. В ответ и Канада, и США призвали к немедленному усилению защиты сетей и исправлению уязвимых систем. Хотя Пекин отрицает свою причастность, международное сообщество уже начало вводить санкции против причастных к этому китайских компаний.

Сохраняющийся риск, связанный с Salt Typhoon, очевиден, поскольку способность группы использовать известные уязвимости в сочетании с медленным подходом к исправлению представляет постоянную угрозу для критически важной инфраструктуры. Чтобы снизить риски, организациям рекомендуется проводить тщательный аудит своих периферийных устройств, внедрять протоколы быстрой установки исправлений и проявлять бдительность в отношении действий, связанных с методами атаки Salt Typhoon. Канадский центр кибербезопасности подчеркнул, что ответственными за эти нарушения, скорее всего, являются сотрудники Китайской Народной Республики, спонсируемые государством, что подчеркивает необходимость повышения осведомленности и активной защиты от таких APT.

#ParsedReport #CompletenessMedium
28-06-2025

Excessors filed a complaint: F6 discovered new attacks of the Werewolves group

https://habr.com/ru/companies/F6/articles/922208/

Report completeness: Medium

Actors/Campaigns:
Werewolves

Threats:
Anydesk_tool
Netscan_tool
Cobalt_strike_tool
Meterpreter_tool
Lockbit

Victims:
Industrial enterprises, Telecommunications companies, It companies, Financial organizations, Insurance organizations, Banks, Retail companies, Logistics companies, Energy organizations, Russian airport, have more...

Industry:
Energy, Logistic, Retail, Financial, Aerospace, Telco

Geo:
Russian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


ChatGPT TTPs:
do not use without manual check
T1036.007, T1059, T1071.001, T1105, T1133, T1203, T1204.002, T1486, T1490, T1566.001, have more...

IOCs:
Domain: 14
File: 10
Hash: 19
Email: 3

Soft:
Microsoft Office

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Werewolves активизировала вредоносные кампании по электронной почте, нацеленные на промышленный и финансовый секторы России, используя такие инструменты, как Cobalt Strike и Lockbit ransomware. Они используют CVE-2017-11882 для доставки вредоносных программ и используют обманчивые вложения с вводящими в заблуждение расширениями, чтобы заманить жертв. Последние методы включают социальную инженерию с помощью поддельных юридических угроз и подмены адреса отправителя.
-----

Центр кибербезопасности F6 выявил возобновление вредоносных рассылок по электронной почте, организованных хакерской группой, известной как Werewolves, которая действует с 2023 года. Эта группа в основном нацелена на промышленные предприятия, телекоммуникационные и IT-компании, а также финансовые и страховые организации в России. Группа Werewolves использует различные инструменты для своей деятельности, в частности Anydesk, Netscan, Cobalt Strike, Meterpreter и программу-вымогатель Lockbit.

Оборотни применяют двойную стратегию вымогательства, используя как шифрование данных, так и тактику публичного позора, раскрывая информацию о жертвах, которые отказываются платить. Их последние кампании по электронной почте включают в себя поддельные юридические угрозы, в частности досудебные иски, и используют социально ориентированный контент, чтобы побудить жертв открывать вредоносные вложения. Группа была отмечена за использование метода, при котором они маскируют вредоносные вложения под законные документы, используя уязвимость CVE-2017-11882, которая позволяет выполнять произвольный код при открытии файла.

В ходе своей последней работы аналитики обнаружили электронные письма, содержащие файлы с вводящими в заблуждение расширениями, такими как .pdf.LNK, которые кажутся безобидными, побуждают жертв открывать их. Эта тактика основана на склонности пользователей не замечать истинные расширения файлов, поскольку стандартные настройки Windows могут их скрывать. Примечательно, что группа "Оборотни" также внедрила методы подмены, маскируя адреса отправителей, чтобы электронные письма выглядели правдоподобно; например, одно электронное письмо якобы пришло от главного бухгалтера российского аэропорта.

Последняя волна атак, зафиксированная в июне 2025 года, была связана с рассылкой электронных писем в различные секторы, включая финансы, энергетику и розничную торговлю, содержащих сжатые архивы с несколькими уровнями вредоносных расширений файлов. Эти полезные устройства настроены на развертывание Cobalt Strike Beacon при получении доступа к вредоносным вложениям, что способствует дальнейшей компрометации целевых систем. Неоднократное использование группой CVE-2017-11882 свидетельствует о последовательной стратегии использования известных уязвимостей для достижения своих вредоносных целей. Своевременное вмешательство кибераналитиков F6 в блокирование этих рассылок по электронной почте демонстрирует постоянную необходимость принятия упреждающих мер кибербезопасности против растущих угроз со стороны групп эксплуатации, таких как оборотни.

#ParsedReport #CompletenessMedium
28-06-2025

Snake Keylogger in Geopolitical Affairs: Abuse of Trusted Java Utilities in Cybercrime Operations

https://lab52.io/blog/snake-keylogger-in-geopolitical-affairs-abuse-of-trusted-java-utilities-in-cybercrime-operations/

Report completeness: Medium

Actors/Campaigns:
Ta558

Threats:
Snake_keylogger
Spear-phishing_technique
Agent_tesla
Dll_sideloading_technique

Victims:
Companies, Governments, Individuals, Llp ksk petroleum ltd oil and gas, Energy organisations

Industry:
Petroleum, Logistic, Government, Energy

Geo:
Kazakhstan, Asia, Iran, Israel, Middle east, Russian, China, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1555, T1566.001, T1574.002, T1588.002

IOCs:
File: 6
Email: 2
Hash: 31

Soft:
Google Chrome, Google Chrome Canary, Chromium, Vivaldi, Blisk, Torch, xVast, Microsoft Edge, Nichrome, Kometa, have more...

Algorithms:
zip

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, связанная с кейлоггером Snake, использующая электронную почту для шпионажа и загрузку DLL-файлов, нацелена на различных жертв, которые выдают себя за поставщиков нефти. В кампании используется новая тактика, включающая jsadebugd.exe развертывание вредоносного ПО, которое крадет конфиденциальные данные и скрывает двоичные файлы, используя методы обфускации.
-----

Разведывательная группа S2 Group задокументировала новую фишинговую кампанию, связанную с использованием Snake Keylogger, .NET-взломщика, созданного в России. В этой кампании используются электронные письма с предложением нефтепродуктов, предназначенные для широкого круга жертв, включая корпорации, государственные учреждения и частных лиц. Электронные письма содержат сжатые вложения, которые используют легальную утилиту jsadebugd.exe наряду с технологией дополнительной загрузки DLL для запуска кейлоггера Snake внутри InstallUtil.exe. Вредоносное использование jsadebugd, обычно используемого для отладки на Java, является новой тактикой в этой кампании.

Кейлоггер Snake работает по модели "Вредоносное ПО как услуга" (MaaS), которая ранее применялась в операциях против Украины такими хакерскими группами, как UAC-0041 и TA558. Контекст кампании связан с усилением геополитической напряженности на Ближнем Востоке, в частности, конфликтом между Ираном и Израилем, и потенциальными сбоями в логистике нефти, влияющими на мировые рынки. Используя темы, связанные с этими геополитическими проблемами, такими как боязнь роста цен на нефть и проблемы с цепочками поставок, которые могут возникнуть в результате гипотетической блокады Ормузского пролива, кампания призвана найти отклик у целевой аудитории.

В электронных письмах, предназначенных для шпионажа, пытаются выдать себя за казахстанское ТОО "КСК ПЕТРОЛЕУМ ЛТД ОЙЛ ЭНД ГАЗ" — крупного игрока в области добычи нефти в регионе. После выполнения вредоносное вложение разархивируется, и в нем обнаруживаются двоичные файлы, содержащие переименованный файл jsadebugd.exe, который активирует вредоносную библиотеку DLL jli.dll. Примечательно, что эта библиотека DLL содержит двоичный код Snake Keylogger, скрытый внутри concrt141.dll, дополненный методами обфускации для обхода мер безопасности путем добавления посторонних двоичных данных перед заголовком MZ.

С точки зрения функциональности, кейлоггер Snake, как известно, извлекает конфиденциальные данные, включая пароли от различных приложений и веб-браузеров, и захватывает ключ продукта Windows зараженного компьютера. Кроме того, вредоносная программа сообщает IP-адрес и источник взломанной системы, используя легальные сервисы, такие как reallyfreegeoip.org и checkip.dyndns.org. Обнаружение 29 других образцов, использующих аналогичные методы, подтверждает связь этих действий с одним хакером, что указывает на систематический и скоординированный подход к заражению.

Такое растущее использование jsadebugd в злонамеренных целях свидетельствует об изменении тактики группы кейлоггеров Snake, предполагающей сложную адаптацию для использования геополитической неопределенности и слабых мест в традиционных средствах защиты. Поскольку международный интерес к нефти в условиях ближневосточного кризиса растет, цель этой кампании - использовать эту динамику для эффективного воздействия на энергетические организации.