#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Havoc, сложная программа RAT, нацелена на критически важную инфраструктуру на Ближнем Востоке, используя C++ и Go. Она поддерживает постоянство с помощью планировщика задач, загружает полезные данные в процессы и взаимодействует с жестко запрограммированным сервером C2 для фильтрации данных и выполнения команд.
-----

Этот анализ представляет собой углубленное изучение разновидности вредоносного ПО Havoc, использовавшегося при длительном кибератаке, направленной на критически важную национальную инфраструктуру (CNI) на Ближнем Востоке. Платформа Havoc framework служит в качестве средства управления (C2) после эксплуатации, написанного в основном на C++ и Go. В ней используется сложный метод установки и запуска вредоносного ПО с использованием системного планировщика задач для поддержания работоспособности в скомпрометированных системах Windows.

Удаленный инжектор, маскирующийся под conhost.exe, активируется планировщиком задач с помощью специальных параметров командной строки, которые облегчают внедрение полезной нагрузки Havoc в новый процесс "cmd.exe". Полезная нагрузка, содержащаяся в динамически загружаемой библиотеке DLL с именем conhost.dll, расшифровывается и выполняется с помощью серии вызовов API, включая ZwAllocateVirtualMemory() и ZwCreateThreadEx(). Эти механизмы позволяют агенту Havoc, называемому демоном, взаимодействовать со своим жестко запрограммированным сервером C2, облегчая различные вредоносные действия.

Вредоносная программа Havoc работает как троян удаленного доступа (RAT) и позволяет осуществлять всестороннее управление с помощью нескольких протоколов, таких как HTTP, HTTPS и SMB. Хотя исходный сервер C2 был недоступен во время анализа, для изучения поведения вредоносной программы был создан имитационный сервер. Демон, установленный на взломанном хосте, собирает системные метаданные, шифрует их с помощью AES и передает на сервер C2 в рамках процесса регистрации.

Модульная конструкция Havoc поддерживает ряд операционных команд и выполнение объектных файлов Beacon в памяти (BOF), что позволяет злоумышленникам расширять свои возможности контроля без непосредственного обновления демонического процесса. Каждая команда, поступающая с сервера C2, тщательно упакована и может вызывать определенные реакции со стороны зараженной системы. Демон поддерживает соединение с сервером C2, периодически отправляя пакеты с сигнальными сигналами, что гарантирует его активный статус в зараженной среде.

Такое всестороннее понимание архитектуры вредоносного ПО Havoc, включая структуру пакетов, методы шифрования и рабочие процессы выполнения команд, имеет решающее значение для исследователей в области безопасности, стремящихся обнаружить и смягчить воздействие этой продвинутой платформы RAT.

#ParsedReport #CompletenessMedium
28-06-2025

Checking all the Boxes

https://securityscorecard.com/wp-content/uploads/2025/06/LapDogs-STRIKE-Report-June-2025.pdf

Report completeness: Medium

Actors/Campaigns:
Uat-5918 (motivation: cyber_espionage)

Threats:
Lapdogs
Relay_boxes_technique
Shortleash
Polaredge

Victims:
Soho device owners, Organizations, Isps, Hardware vendors, Ruckus wireless, Buffalo technology, Critical infrastructure in taiwan

Industry:
Telco, Iot, Critical_infrastructure

Geo:
Tokyo, Japan, Asia, California, Korea, Taiwan, Latin-america, China, Los angeles, Hong kong, Asian

CVEs:
CVE-2015-1548 [Vulners]
CVSS V3.1: 5.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- acme mini_httpd (le1.21)

CVE-2017-17663 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- acme mini_httpd (<1.28)
- acme thttpd (<2.28)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059.004, T1071.001, T1090.001, T1105, T1190, T1210, T1505.003, T1543.002, T1547.010, have more...

IOCs:
IP: 18
File: 3
Hash: 3
Domain: 5

Soft:
RB networks, m, ORB Networks, ORB Network, Nginx, Linux, Ubuntu, OpenSSH, Ruckus, buntu, a

Algorithms:
sha256, crc-32

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция LapDogs нацелена на устройства SOHO на базе Linux и использует пользовательский бэкдор "ShortLeash" с самозаверяющими сертификатами TLS для постоянного доступа. Связанный с технологией China-nexus APT, он в первую очередь нацелен на встроенные устройства, такие как Ruckus Wireless, и использует старые уязвимости веб-серверов, используя продвинутую тактику обхода для имитации законных сервисов.
-----

Исследовательская группа STRIKE из SecurityScorecard выявила новую подозрительную операцию, связанную с сетью операционных ретрансляционных блоков (ORB), получивших название "Комнатные собачки", предназначенных преимущественно для устройств малого и домашнего офиса (SOHO) на базе Linux. Эта операция показала значительную концентрацию жертв в Соединенных Штатах и Юго-Восточной Азии и постепенно расширялась с момента ее начала в сентябре 2023 года. Центральное место в сети LapDogs занимает специальный бэкдор, известный как "ShortLeash", который обеспечивает постоянную защиту скомпрометированных устройств за счет создания уникальных самоподписанных сертификатов TLS с фальсифицированными метаданными. Каждый узел взаимодействует в сети с помощью этих сертификатов, которые отслеживаются на более чем 1000 активно зараженных устройствах по всему миру.

LapDogs демонстрирует методичный операционный подход, характерный для китайской группы разработчиков APT (APT), основанной на доказательствах судебной экспертизы, включая заметки разработчика на китайском языке, найденные в сценарии запуска ShortLeash, а также наблюдаемые схемы вторжений, основанные на выдаче сертификатов. В отличие от более оппортунистических ботнетов, LapDogs, по-видимому, проводит структурированные кампании, ориентированные на конкретные географические цели, о чем свидетельствует ее стратегия расширения, которая иногда проверяет различные наборы вторжений на основе характеристик скомпрометированных устройств, управления сертификатами и шаблонов постановки задач. При изучении взаимодействия различных узлов становится очевидным, что операторы предпочитают использовать встроенные устройства, в частности продукты Ruckus Wireless и Buffalo Technology, уделяя особое внимание уязвимостям, связанным со старыми веб-серверами.

Бэкдор ShortLeash продемонстрировал возможности для получения привилегий высокого уровня, что обеспечивает непрерывную работу в скомпрометированных системах. Он устанавливается на целевые устройства с помощью сценария запуска, требующего прав root, демонстрируя продвинутую тактику уклонения, при которой он выполняет операции, замаскированные под законные сервисы, а именно имитацию веб-сервера Nginx. Структуры узлов, отображаемые LapDogs, указывают на многоуровневый метод работы для эффективного проведения кампаний по внедрению, при этом большинство зараженных устройств используют устаревшие и уязвимые конфигурации служб.

Поведение комнатных собачек напоминает поведение других сетей ORB, таких как PolarEdge, однако отличительные факторы в их тактике, методах и процедурах (TTP) остаются очевидными. В частности, отличительная операционная методология подчеркивает важность мониторинга конкретных отпечатков TLS, относящихся к вредоносным сервисам, для облегчения быстрой идентификации уязвимых устройств. Операторы адаптируют свой подход в зависимости от географического контекста, последовательно демонстрируя закономерности - как с точки зрения таргетинга, так и с точки зрения выполнения услуг.

#ParsedReport #CompletenessMedium
28-06-2025

Patch and Persist: Darktraces Detection of Blind Eagle (APT-C-36)

https://www.darktrace.com/blog/patch-and-persist-darktraces-detection-of-blind-eagle-apt-c-36

Report completeness: Medium

Actors/Campaigns:
Blindeagle
Dukeeugene

Threats:
Remcos_rat
Supply_chain_technique
Spear-phishing_technique

Victims:
Government institutions, Financial organizations, Critical infrastructure, Colombian organizations, Latin american organizations

Industry:
Government, Ics, Critical_infrastructure

Geo:
Germany, Colombian, Latin american, Colombia, Latin america

CVEs:
CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:

IOCs:
IP: 1
Url: 1
Domain: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Blind Eagle (APT-C-36) нацелен на латиноамериканские организации с помощью фишинга, используя уязвимости, такие как CVE-2024-43451 в Microsoft Windows. Они используют WebDAV для доставки полезной нагрузки и поддерживают доступ C2 через динамический DNS. Недавние действия включают в себя рассылку сообщений Remcos RAT и значительный трафик на геолокированный немецкий IP-адрес, что указывает на продолжающиеся кампании, несмотря на исправления.
-----

Blind Eagle, также известная как APT-C-36, с 2018 года активно атакует организации Латинской Америки, особенно в Колумбии. Эта хакерская группа в основном нацелена на правительственные учреждения, финансовые организации и критически важную инфраструктуру. Их типичный первоначальный вектор атаки - фишинговые электронные письма, содержащие вредоносные URL-ссылки. Недавние операции Blind Eagle включали использование CVE-2024-43451, уязвимости в Microsoft Windows, которая ранее позволяла злоумышленникам раскрывать хэш пароля пользователя NTLMv2 при минимальном взаимодействии с пользователем. В то время как Microsoft исправила эту уязвимость в ноябре 2024 года, Blind Eagle скорректировала свою тактику, продолжая использовать минимальные механизмы взаимодействия для инициирования загрузки вредоносной полезной нагрузки по внешним ссылкам.

В ходе недавней кампании после того, как пользователь нажимает на вредоносный URL из фишингового электронного письма, вредоносный файл загружается и активируется при минимальном взаимодействии с пользователем. Это запускает запрос WebDAV по протоколу HTTP, в частности, с использованием пользовательского агента Microsoft-WebDAV-MiniRedir/10.0.19044. WebDAV позволяет передавать файлы или каталоги онлайн, что позволяет хакерам выполнять последующую полезную нагрузку с помощью дополнительных запросов WebDAV. Такое поведение подчеркивает способность Blind Eagle эффективно взаимодействовать с инфраструктурой командования и контроля (C2), что усугубляется их технологией уведомления злоумышленников, когда получатель загружает их вредоносные файлы.

В конце февраля 2025 года Darktrace выявила продолжающуюся деятельность, связанную с атакой Blind Eagle на клиента в Колумбии. Сетевой трафик компании перенаправлялся на необычный внешний IP-адрес, геолокированный в Германии, который был связан с предыдущими кампаниями по фишингу и вредоносному ПО. Эта конечная точка использовала динамические службы DNS для облегчения смены IP-адресов, тем самым поддерживая доступ к инфраструктуре C2. Дальнейшее расследование связало эту активность с вредоносным ПО Remcos, RAT, используемым в фишинговых кампаниях. Darktrace также отметила рост активности C2 и проблем с алгоритмом генерации вредоносных доменов (DGA), поскольку скомпрометированное устройство начало отправлять и получать сообщения с вредоносными конечными точками через новый TCP-порт (1512), что указывает на более масштабное событие компрометации, которое включало подозрительные загрузки и передачу внешних данных.

Устойчивость Blind Eagle демонстрирует их способность адаптироваться даже после внедрения исправлений. Это подчеркивает необходимость принятия комплексных мер безопасности, выходящих за рамки управления исправлениями, включая системы обнаружения аномалий, которые могут выявлять отклонения в поведении пользователя или устройства, указывающие на вредоносную активность. Для организаций крайне важно внедрять упреждающие меры, сочетающие своевременное внесение исправлений с автономными решениями по обнаружению угроз и реагированию на них, чтобы эффективно противостоять все более изощренной тактике, применяемой хакерами, такими как Blind Eagle.

#ParsedReport #CompletenessLow
28-06-2025

General Recommendations

https://sysdig.com/blog/sysdig-threat-bulletin-iranian-cyber-threats/

Report completeness: Low

Actors/Campaigns:
Charming_kitten (motivation: government_sponsored)
Apt33 (motivation: government_sponsored)
Fox_kitten (motivation: cyber_espionage)
Ransomhouse

Threats:
Password_spray_technique
Hyperscrape_tool
Powerless
Bellaciao
Log4shell_vuln
Credential_harvesting_technique
Tickler
Roadtools_tool
Azurehound_tool
Blackcat
Noescape
Lolbin_technique
Ligolo_tool
Socat_tool
Proxychains_tool
Havoc
Meshcentral_tool
Ngrok_tool

Victims:
Military personnel, Diplomatic personnel, Government personnel, Researchers, Media, Energy contractors, Defense contractors, Aviation sector, Oil sector, Education, have more...

Industry:
Military, Healthcare, Aerospace, Energy, Financial, Education, Government, Petroleum

Geo:
Saudi arabia, Azerbaijan, Israel, Iran, Iranian, Korea

ChatGPT TTPs:
do not use without manual check
T1021.004, T1046, T1053.003, T1059.001, T1071.001, T1090.001, T1095, T1105, T1110.003, T1114.002, have more...

IOCs:
File: 1

Soft:
Linux, Gmail, Office 365, Zimbra, Azure Active Directory, BIG-IP

Languages:
powershell

Links:
https://github.com/SpecterOps/AzureHound
https://github.com/dirkjanm/ROADtools

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, связанная с правительством Ирана, нацелена на военные и правительственные структуры с помощью фишинга и кражи учетных данных, используя такие инструменты, как Hyperscrape, для фильтрации электронной почты. APT33 ориентирован на авиационный и нефтяной секторы, используя Azure для управления и переподготовки, а также пользовательский инструмент отслеживания вредоносных программ для утечки данных. Pioneer Kitten нацелен на образование и финансы, используя уязвимости VPN и веб-оболочки для обеспечения сохраняемости, выступая в качестве посредника доступа для программ-вымогателей.
-----

APT35, действующая с 2014 года и связанная с правительством Ирана, в основном нацелена на военные, дипломатические и правительственные учреждения в США, Европе и на Ближнем Востоке. Их методы работы включают в себя компрометацию облачных учетных записей путем кражи учетных данных, использования фишинга, подбора паролей и кражи токенов, особенно в отношении учетных записей Microsoft 365 и Gmail. Они разработали специализированный инструмент под названием Hyperscrape, предназначенный для скрытого входа в систему и фильтрации электронных писем из скомпрометированных учетных записей. Кроме того, APT35 создала такие известные вредоносные программы, как PowerLess - бэкдор PowerShell, который работает незамеченным, и BellaCiao - дроппер, который доставляет определенные имплантаты в зависимости от геолокации жертвы. Их тактика также заключается в использовании быстрого обратного прокси-сервера (FRP) для туннелирования протокола удаленного рабочего стола (RDP) и трафика управления (C2) через контролируемую облачную инфраструктуру, эффективно обходя меры безопасности. APT35 использовала серьезные уязвимости, включая Log4j, на различных платформах, демонстрируя способность группы воздействовать как на среды Windows, так и на Linux, используя такие методы, как обратные оболочки и сбор учетных данных.

APT33, действующая с 2013 года, поддерживает аналогичные связи с правительством Ирана и в первую очередь направляет свои усилия против таких секторов, как авиация и нефть в США, Саудовской Аравии и Южной Корее. Они используют облачный подход, используя Azure Active Directory как часть своей системы управления. Их пользовательская вредоносная программа Tickler взаимодействует с ресурсами Azure, контролируемыми злоумышленниками, для утечки данных и оперативного управления. APT33 активно использует тактику разбрасывания паролей в отношении учетных записей Microsoft 365, используя узлы выхода из TOR и инструменты разведки, такие как Roadtools и AzureHound, для повышения эффективности их использования. Хотя вредоносное ПО APT33 нацелено на системы Windows, оно воздействует на облачные сервисы, размещенные на Linux, включая виртуальные машины Azure и VPN-устройства. Они также используют методы социальной инженерии, используя LinkedIn для сбора учетных данных.

Компания Pioneer Kitten, действующая с 2017 года, соответствует интересам Ирана и нацелена на такие отрасли, как образование, финансы, здравоохранение и оборона. Эта группа выполняет функции посредника первоначального доступа для операций с программами-вымогателями, используя уязвимости в VPN и сетевых устройствах, таких как Citrix Netscaler и F5 BIG-IP, для обеспечения первоначального доступа. Они поддерживают постоянство работы за счет развертывания скрытых веб-оболочек, которые часто позволяют избежать обнаружения за счет использования методов безфайлового выполнения. Pioneer Kitten использует набор инструментов для автономной работы и фреймворков для последующей эксплуатации как в Linux, так и в облачных средах. Их операции могут включать в себя туннелирование через взломанные системы для облегчения атак программ-вымогателей или продажу доступа другим вредоносным объектам, что демонстрирует универсальный подход к киберпреступности, сочетающий шпионаж и вымогательство.

#ParsedReport #CompletenessLow
28-06-2025

SparkKitty Malware Hits 242,000+ Downloads, Steals Photos & Crypto via Apps

https://www.secureblink.com/cyber-security-news/spark-kitty-malware-hits-242-000-downloads-steals-photos-and-crypto-via-apps

Report completeness: Low

Threats:
Sparkkitty
Sparkcat

Industry:
Entertainment, Education

Geo:
China, Korean, Chinese, Japanese, Asia

ChatGPT TTPs:
do not use without manual check
T1406, T1409, T1411, T1412, T1444, T1448, T1457, T1475, T1476

IOCs:
File: 2

Soft:
Google Play, Android, TikTok

Algorithms:
aes-256

Languages:
objective_c

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SparkKitty, разновидность вредоносной программы SparkCat, использует технологию распознавания текста для кражи конфиденциальных данных, вводя пользователей в заблуждение относительно предоставления разрешений приложениям. Она нацелена на библиотеки фотографий, фокусируясь на фразах из криптовалютных кошельков, и позволяет избежать обнаружения с помощью передовых методов обхода на iOS и Android. Несмотря на удаление из магазинов приложений, его успешное проникновение вызывает серьезные опасения по поводу безопасности.
-----

SparkKitty - это новый вариант вредоносного ПО SparkCat, обнаруженный в январе 2024 года. Для кражи конфиденциальных данных в нем используется передовая технология оптического распознавания символов (OCR). Вредоносное ПО обходит меры безопасности Apple и Google с помощью многоэтапной атаки. Заражение обычно происходит с помощью вредоносных приложений, загружаемых из официальных магазинов приложений, включая SOEX и Coin. На iOS вирус активируется с помощью метода Objective-C "+загрузка"; на Android он запускается при запуске приложения или определенных действиях пользователя. SparkKitty извлекает зашифрованные файлы конфигурации с помощью AES-256 для подключения к серверам управления. Программа извлекает полные библиотеки фотографий, ориентируясь на фразы для восстановления криптовалютных кошельков, хранящиеся в виде изображений. Вредоносная программа использует методы обхода, в том числе поддельные платформы для iOS, и использует уязвимости в Android с помощью вредоносных модулей Xposed и LSPosed. В ее возможностях распознавания текста используется Google ML Kit для интеллектуального обнаружения текста и фильтрации данных. Количество скачиваний SparkKitty в Google Play превысило 242 000, а распространение ведется по неофициальным каналам. В первую очередь он ориентирован на пользователей в Китае и Юго-Восточной Азии, но представляет угрозу для глобальной безопасности. Google и Apple удалили вредоносные приложения и заблокировали связанных с ними разработчиков. Появление SparkKitty подчеркивает недостатки существующих процессов проверки безопасности в официальных магазинах приложений.

#ParsedReport #CompletenessLow
28-06-2025

ConnectUnwise: Threat actors abuse ConnectWise as builder for signed malware

https://www.gdatasoftware.com/blog/2025/06/38218-connectwise-abuse-malware

Report completeness: Low

Threats:
Screenconnect_tool

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-1708 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)


ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1553.006, T1566.002

IOCs:
Hash: 25
File: 24

Soft:
Windows Authenticode, Google Chrome, Chrome

Languages:
python

Links:
have more...
https://github.com/struppigel/PortEx
https://github.com/vcsjones/AuthenticodeLint

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Рост числа заражений вредоносными программами, использующими легитимные сигнатуры ConnectWise, связан с уязвимостями CVE-2024-1708 и CVE-2024-1709. Вредоносная программа, получившая название "EvilConwi", распространяется с помощью фишинга и использует аутентификационный код, манипулирующий поведением программного обеспечения для сокрытия вредоносной активности.
-----

С марта 2025 года наблюдается заметный рост числа заражений вредоносными программами, использующими программное обеспечение ConnectWise с действительной подписью, что свидетельствует о неправильных методах подписи, используемых хакерами. Эта тенденция связана с возобновлением злоупотреблений, связанных с двумя уязвимостями, выявленными в феврале 2024 года, а именно CVE-2024-1708 и CVE-2024-1709. Нынешняя волна вредоносных действий связана с новым видом вредоносного ПО, получившим название "EvilConwi", которое использует эти действительные подписи для распространения мошеннических приложений.

Жертвы часто сообщают о заражениях, вызванных фишинговыми электронными письмами, которые приводят к появлению поддельных страниц, маскирующихся под законные приложения. Например, в одном из распространенных сценариев пользователь нажимал на ссылку OneDrive, которая перенаправляла его на страницу Canva, скрывающую вредоносный установщик ConnectWise в процессе загрузки. В отчетах указывается, что пользователи испытывают такие симптомы, как неустойчивое перемещение мыши и поддельные запросы центра обновления Windows во время активных удаленных подключений, что сигнализирует о компрометации.

Чтобы обеспечить обнаружение этих вредоносных образцов ConnectWise, был проведен сравнительный анализ с использованием PortexAnalyzer, который выявил важные характеристики в их сертификатах. Для проверки образцов был использован анализатор authenticode, который определил, что оба они содержат неаутентифицированные атрибуты, которые могут быть использованы в злонамеренных целях. Возникли подозрения относительно практики использования Authenticode - метода, при котором к вредоносным файлам ненадлежащим образом применяются действительные подписи.

Дальнейшее расследование выявило наличие настроек конфигурации, встроенных в образцы. Для извлечения и анализа этих настроек был разработан модуль сбора конфигурации, который показал, что хакеры изменяют поведение приложения, чтобы подавлять предупреждения пользователей (например, значки в трее, указывающие на удаленные подключения) и включают вводящие в заблуждение визуальные компоненты, такие как поддельные экраны обновления Windows. Эти модификации не только улучшают маскировку вредоносного ПО, но и позволяют жертве оставаться в неведении, а ее системе - быть доступной в течение длительного времени.

Неправильное использование механизмов аутентификации значительно повышает уровень кибербезопасности, поскольку позволяет злоумышленникам создавать специализированные средства удаленного доступа, маскирующиеся под законное программное обеспечение. Такая практика представляет серьезную угрозу до тех пор, пока ConnectWise не решит основные проблемы в процессе подписи. 12 июня 2025 года ConnectWise была проинформирована об этих уязвимостях, а 17 июня было отмечено, что подписи для образцов, подвергшихся злоупотреблениям, были отозваны, что указывает на реакцию на возникающую угрозу.

#ParsedReport #CompletenessMedium
28-06-2025

Your Mobile App, Their Playground: The Dark side of the Virtualization

https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization

Report completeness: Medium

Threats:
Godfather
Fjordphantom
Process_injection_technique
Dead_drop_technique

Victims:
Financial institutions, Individual users, Users of mobile banking apps, Cryptocurrency app users, Digital payment platform users, Online shopping app users, Online auction site users, Ride-sharing service users, Food delivery service users, Media streaming platform users, have more...

Industry:
Foodtech, E-commerce, Financial, Retail

Geo:
France, United kingdom, Spain, Italy, Germany, Turkish, America, Canada, Turkey

TTPs:
Tactics: 9
Technics: 12

IOCs:
File: 7

Soft:
Android, Google play, Telegram

Algorithms:
base64, exhibit, zip

Functions:
build, getEnabledAccessibilityServiceList, getEnabledAccessilibityServiceList, setDuration

Languages:
java

Links:
https://github.com/asLody/VirtualApp/tree/master
have more...
https://github.com/rovo89/XposedBridge
https://github.com/rovo89/XposedInstaller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа GodFather использует расширенную виртуализацию на устройстве для создания изолированных сред для сбора конфиденциальной информации из законных банковских и криптовалютных приложений. Она расширяет тактику обхода с помощью манипуляций с ZIP-файлами и запутывания в манифестах Android, а также использует специальные разрешения для глубокого доступа к системе, выдавая себя за обычные приложения. Это позволяет ит-отделу перехватывать действия пользователей и незаметно красть учетные данные, нацеливаясь примерно на 484 приложения, включая крупные банки.
-----

Вредоносная программа GodFather banking использует виртуализацию на устройстве для взлома законных приложений мобильного банкинга и криптовалют. Она создает изолированную виртуальную среду на устройстве жертвы вместо традиционных атак с наложением. Вредоносная программа устанавливает вредоносное хост-приложение для создания изолированной среды, которая запускает копию реального банковского приложения, позволяя отслеживать и контролировать взаимодействия пользователей в режиме реального времени.

Он использует манипуляции с ZIP-файлами и перемещает код на уровень Java, чтобы избежать обнаружения статическим анализом. Сложные методы обфускации в файлах манифеста Android затрудняют обратное проектирование. GodFather использует подход к установке на основе сеанса, вводя пользователей в заблуждение и заставляя их предоставлять разрешения, которые улучшают его работу.

Разрешения на использование специальных возможностей позволяют вредоносному ПО регистрировать взаимодействия с пользователем через службу специальных возможностей, фиксируя все сенсорные входы в активных приложениях. Важные данные, в том числе данные о командно-контрольных передачах, хранятся в общих настройках в кодировке Base64, что позволяет поддерживать скрытые соединения.

Вредоносная программа использует законные инструменты с открытым исходным кодом для управления виртуальными средами и извлечения данных, выдавая себя за обычное приложение. Она может запускать виртуализированные версии целевых банковских приложений и перехватывать конфиденциальные вызовы API для перехвата данных, избегая обнаружения. GodFather может перехватывать учетные данные для блокировки устройств и нацеливаться примерно на 484 законных приложения, включая крупные банковские учреждения и коммуникационные платформы.

Передовые технологии виртуализации создают значительные риски для конфиденциальности и финансовой безопасности пользователей, создавая ненадежную среду на зараженных устройствах.

#ParsedReport #CompletenessHigh
28-06-2025

Dissecting Kimsuky s Attacks on South Korea: In-Depth Analysis of GitHub-Based Malicious Infrastructure

https://www.enki.co.kr/en/media-center/tech-blog/dissecting-kimsuky-s-attacks-on-south-korea-in-depth-analysis-of-github-based-malicious-infrastructure#9

Report completeness: High

Actors/Campaigns:
Kimsuky

Threats:
Spear-phishing_technique
Xenorat
Moonpeak

Industry:
Financial

Geo:
Dprk, North korean, Korean, Korea

TTPs:
Tactics: 8
Technics: 19

IOCs:
Url: 2
File: 21
Hash: 33
Email: 2
IP: 11

Soft:
Dropbox, Task Scheduler, Visual Studio

Algorithms:
zip, xor, md5, base64

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
chats: 1, code: 18, windows: 12, schema: 1