#cyberthreattech

Допилили сервис переводов TI-текстов, т.ч. качество перевода на русский скоро повысим.

#technique

dnsimg - storing images in txt records

https://asherfalcon.com/blog/posts/2

З.ы. Картинки в TXT записях... этот мир уже не спасти.

#technique

REMOTE WINDOWS CREDENTIAL DUMP WITH SHADOW SNAPSHOTS: EXPLOITATION AND DETECTION

https://labs.itresit.es/2025/06/11/remote-windows-credential-dump-with-shadow-snapshots-exploitation-and-detection/

#ParsedReport #CompletenessLow
29-06-2025

Mythic C2 with EarlyBird Injection and Defender Evasion

https://xbz0n.sh/blog/mythic-c2-early-bird-defender-evasion

Report completeness: Low

Threats:
Mythic_c2
Earlybird_injection_technique
Cobalt_strike_tool
Domain_fronting_technique
Apollo
Process_injection_technique
Credential_harvesting_technique
Antidebugging_technique
Polymorphism_technique

ChatGPT TTPs:
do not use without manual check
T1001.003, T1003, T1027, T1027.005, T1036.004, T1036.005, T1055.002, T1055.012, T1055.019, T1071.001, have more...

IOCs:
File: 20
Path: 1

Soft:
Nginx, WordPress, Ubuntu, sudo, Docker, curl, Windows Error Reporting, Windows Defender

Algorithms:
prng, exhibit, xor

Functions:
decrypt, Execute, GetEmbeddedPayload, AdvancedPayloadLoader, Run, main, Get-MpComputerStatus

Win API:
CreateProcessW, VirtualAllocEx, WriteProcessMemory, QueueUserAPC, ResumeThread

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье описывается построение инфраструктуры скрытого командования и контроля (C2) с использованием фреймворка Mythic C2 и технологии EarlyBird injection, которая использует перенаправители HTTP/HTTPS и легитимный трафик для скрытия коммуникаций C2. В нем подробно описывается, как полезная нагрузка внедряется в легитимные процессы, такие как WerFault.exe, что повышает скрытность и позволяет избежать обнаружения blue teams. Использование реальных доменов и SSL-сертификатов добавляет запутанности, в то время как резервные стратегии обеспечивают устойчивость системы к попыткам обнаружения.
-----

В статье рассматриваются тонкости построения эффективной инфраструктуры командования и контроля (C2), в частности, выделяется платформа Mythic C2 и метод внедрения EarlyBird для обеспечения скрытности во время операций red team. В нем критикуется упрощенный подход, часто применяемый сотрудниками red team, которые полагаются на базовые настройки, такие как Cobalt Strike, подчеркивая, что современные службы безопасности могут быстро выявлять и нейтрализовывать такие очевидные угрозы.

Ядро этой инфраструктуры C2 сосредоточено на использовании перенаправителей HTTP/HTTPS, чтобы скрыть фактический сервер C2 от прямого доступа в Интернет. Это достигается с помощью конфигурации прямого прокси-сервера Nginx, где подлинный веб-трафик скрывает коммуникации C2. Используя легальный контент, зашифрованный трафик и действительные сертификаты, система стремится создать видимость нормальной работы систем обнаружения. Система направляет все коммуникации через сайт-приманку, который спроектирован таким образом, чтобы выглядеть законным и служить прикрытием для трафика C2, сводя к минимуму вероятность обнаружения.

Центральное место в этой операции занимает технология внедрения EarlyBird, которая повышает скрытность полезной нагрузки. Этот метод использует рабочий процесс создания процессов Windows, создавая процессы в приостановленном состоянии, что позволяет выделять память и внедрять ее без немедленного оповещения. Это позволяет выполнить код на этапе инициализации процесса, до того, как большинство мониторов безопасности смогут активироваться. В статье подробно описывается, как загрузчик взаимодействует с системными процессами, в частности, как он нацелен на легитимные процессы, такие как WerFault.exe для внедрения, маскируя свою вредоносную природу при сохранении работоспособности.

В нем также обсуждается важность использования реальных доменных имен и SSL-сертификатов при настройке, добавляя уровни запутывания, которые значительно усложняют обнаружение для blue teams. Благодаря тому, что все коммуникации соответствуют допустимым схемам трафика, риск раскрытия информации значительно снижается. Например, полезные файлы маскируются под безобидные типы файлов, такие как загрузка шрифтов, что еще больше усиливает вредоносную активность в рамках обычного поведения в Интернете.

Устойчивость инфраструктуры повышается за счет внедрения резервных стратегий и обеспечения того, чтобы в случае сбоя в работе одной части системы другие могли поддерживать работоспособность. Это включает автоматическую ротацию полезной нагрузки и все более сложные методы обфускации для взаимодействия инструментов статического и динамического анализа. В статье подчеркивается необходимость принятия ориентированного на защиту подхода, позволяющего предвидеть и смягчать тактику обнаружения, используемую современными решениями для обеспечения безопасности конечных точек.

#ParsedReport #CompletenessLow
29-06-2025

Prolific Phishing Campaign Leveraging Zoom's Infrastructure

https://blog.reconinfosec.com/zoom-events-phishing

Report completeness: Low

Threats:
Aitm_technique
Credential_harvesting_technique
Screenconnect_tool

Victims:
Social security administration, Investment firms, General users

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078, T1204.001, T1566.001, T1566.002, T1584.005, T1589.002

IOCs:
File: 1
Url: 19

Soft:
Zoom, Microsoft Office, Twitter, Discord

Crypto:
chainlink

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Растет число изощренных фишинговых кампаний, использующих инфраструктуру электронной почты Zoom Events и использующих SPF, DKIM и DMARC для уклонения от уплаты налогов. Тактика включает кражу учетных данных и вредоносные загрузки по обманным ссылкам, часто выдавая себя за доверенные учреждения. Пользователям рекомендуется самостоятельно проверять подозрительные электронные письма.
-----

Разведывательный центр SOC выявил рост числа изощренных фишинговых кампаний, которые используют легальную инфраструктуру электронной почты Zoom Events. Эти фишинговые электронные письма, отправляемые с адреса noreply-zoomevents@zoom.us, демонстрируют высокую степень защиты от стандартных протоколов безопасности электронной почты благодаря их криптографическим методам подписи (SPF, DKIM, DMARC), благодаря чему они выглядят как заслуживающие доверия сообщения для пользователей.

В кампаниях используется двойной подход, направленный как на кражу учетных данных, так и на распространение вредоносных настольных приложений. Пользователи получают электронные письма с инструкциями "Просмотреть файл" или "Загрузить настольное приложение прямо сейчас". Электронные письма обычно содержат основную ссылку, ведущую на hxxps://docs.zoom.us/doc/, которая впоследствии направляет жертв либо на фишинговый сайт с учетными данными “промежуточной учетной записи” (AitM), либо инициирует загрузку вредоносного исполняемого файла, замаскированного под ScreenConnect.

Метод, используемый для фишинга учетных данных, очень напоминает фишинг по цепочке ссылок, при котором пользователей заставляют переходить по ссылкам, предположительно ведущим к документам, которые затем требуют от них перехода по нескольким обманным страницам – сначала к поддельному запросу на проверку (CAPTCHA), а затем к странице входа в систему Microsoft, которая фиксирует их учетные данные.

Тактика фишинга заключается в использовании вводящих в заблуждение тем, которые имитируют срочные сообщения, касающиеся финансовых вопросов, обмена файлами или правительственных уведомлений. Кампания демонстрирует выдачу себя за учреждения, такие как Управление социального обеспечения и инвестиционные фирмы, для завоевания доверия получателей. Электронные письма предназначены для того, чтобы заставить пользователей загружать приложения или нажимать на кнопки “Просмотреть файл”. Кроме того, вводящий в заблуждение логотип содержит значки Microsoft Office и нижние колонтитулы "События масштабирования", которые содержат вводящие в заблуждение инструкции, относящиеся к этим якобы "защищенным" документам.

Чтобы снизить риски, связанные с подобными попытками фишинга, пользователям рекомендуется воздержаться от перехода по ссылкам или загрузки вложений из неожиданных электронных писем, которые якобы относятся к событиям Zoom. Любые подозрительные сообщения должны быть независимо проверены отправителем, избегая прямых ответов на подозрительные электронные письма, а о любых необычных электронных письмах следует сообщать через установленные системы электронной почты пользователей.

#ParsedReport #CompletenessLow
29-06-2025

Latest RapperBot Trends Targeting DVRs

https://blog.nicter.jp/2025/06/rapperbot_2025_2g/

Report completeness: Low

Threats:
Rapperbot
Mirai

Victims:
Itx security, Ctring, Domestic retailer, X

Industry:
Entertainment, Iot, Retail

Geo:
France, China, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1046, T1090.003, T1105, T1110.001, T1133, T1190, T1210, T1499.004, T1568.002, have more...

IOCs:
Hash: 5

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа RapperBot, разновидность Mirai, предназначенная для видеорегистраторов, использует уязвимости с помощью логинов с использованием грубой силы и атак на административный интерфейс. Для сбора информации об устройстве используются сканеры типа Recon, что усложняет анализ уязвимостей нулевого дня. Последние обновления включают использование рандомизированных полных доменных имен для связи C2 и методов HTTPS, которые скрывают вредоносный трафик.
-----

RapperBot - это разновидность ботнета Mirai, нацеленного на видеорегистраторы. Он использует уязвимости путем принудительного входа в систему с использованием учетных данных по умолчанию и прямого доступа к административным интерфейсам. Примерно 40% паролей, используемых RapperBot, относятся к видеорегистраторам. Для тестирования на наличие атак нулевого дня требуются реальные устройства, поскольку злоумышленники проверяют реакцию устройств перед выполнением эксплойтов. Команда CSRI отслеживает RapperBot с 2022 года, отметив, что он использует четыре типа вредоносных программ для сканирования устройств. В последнее время наиболее распространенным типом сканирования является Recon scanner, который использует успешные логины для сбора информации об устройстве для проведения атак. Целями DDoS-атак являются китайские компании и глобальные сервисы, такие как игровые серверы и CDN, что указывает на потенциальный переход к DDoS-атакам как к услуге, хотя прямые ссылки на RapperBot остаются неподтвержденными. Изменения в версиях RapperBot, не предназначенных для сканирования, включают улучшенное разрешение имен серверов C2 с несколькими рандомизированными полными доменными именами и внедрение методов HTTPS, что усложняет обнаружение. Одна уязвимость в прошивке видеорегистратора может повлиять на множество OEM-продуктов 28 различных брендов, что усложняет меры реагирования.

#ParsedReport #CompletenessMedium
29-06-2025

1. Attack Process

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506352&idx=1&sn=c9c57e22e7b3300fe2c7d07520d1f339&chksm=f9c1eab9ceb663af9394f52d9f6eb9552f0ee112f8f492b1da6acb8c3444756398d65f6e93e7&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Darkhotel

Threats:
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln
Zemana_tool
Byovd_technique

Victims:
North korean-related traders, People involved in north korean trade

Geo:
North korean, Korean

ChatGPT TTPs:
do not use without manual check
T1036.005, T1055.001, T1055.002, T1059.001, T1068, T1070.004, T1204.002, T1543.003, T1562.001, T1562.004, have more...

IOCs:
File: 6
Path: 4
Hash: 3

Soft:
Windows Defender, Microsoft Defender

Algorithms:
md5, rc4

Win API:
RtlDecompressBuffer, decompress, MsiGetPropertyW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 5, table: 2, code: 17, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года APT-C-06 запустил фишинговую кампанию с использованием установочного пакета вредоносных сертификатов, повысив ее эффективность за счет использования методов защиты от обнаружения. Вредоносная программа использует BYOVD для повышения привилегий, нацеливаясь на уязвимые драйверы для отключения функций безопасности, а также использует модульные методы для выполнения своей полезной нагрузки и управления ею.
-----

В феврале 2025 года APT-C-06 запустил фишинговую кампанию, используя файл-приманку с надписью (2025).zip, который содержал установочный пакет вредоносного сертификата cert.msi. Когда этот файл запускается, он инициирует ряд действий, которые в конечном итоге приводят к доставке вредоносной полезной нагрузки на целевой компьютер. Этот подход отражает более раннюю атаку той же группы в начале 2024 года, которая также использовала корейский установочный пакет для атаки на лиц, вовлеченных в торговлю с Северной Кореей, подчеркивая преемственность и целенаправленность стратегии таргетинга APT-C-06.

Недавняя кампания демонстрирует заметный рост сложности, особенно в методах защиты от обнаружения. Полезная нагрузка включает в себя обширный код, предназначенный для обхода антивирусного программного обеспечения, что значительно отличается от предыдущих более простых методов APT-C-06, которые в основном использовали известные уязвимости для первоначального доступа. Последовательность атак раскрывает двойной подход: создание запланированной задачи, которая выполняет PowerShell для загрузки и запуска последующих полезных нагрузок, и внедрение шелл-кода в процесс (dllhost.exe) для маскировки его вредоносных действий.

После инициализации вредоносная программа расшифровывает свою конфигурацию и выполняет дальнейшую загрузку. Она использует определенные операции, связанные с различными действиями по обработке данных, при этом различные инструкции определяют, как обрабатываются данные — от создания запланированных задач до записи файлов в указанные каталоги. Такой модульный подход позволяет злоумышленникам сохранять контроль над потоком выполнения и скрытно манипулировать системными процессами.

Примечательным аспектом этой атаки является метод BYOVD (Приведите свой собственный уязвимый драйвер), используемый для повышения привилегий и отключения механизмов безопасности. Злоумышленник использовал уязвимые драйверы, связанные с антивирусным программным обеспечением Zemana и Adlice, отправляя специальные коды управления вводом-выводом на свои устройства, чтобы завершить процессы и отключить функции защиты. Эти действия включают установку действия Microsoft Defender по умолчанию на "Игнорировать" для различных уровней угроз и полное отключение критически важных функций сервиса.

Возможности вредоносной программы позволяют ей отключать множество функций защитника Windows и нарушать работу его облачных служб защиты, эффективно делая хост-систему более уязвимой для дальнейшего использования. Использование специфических криптографических методов и манипуляций с процессами подчеркивает растущую сложность современных хакеров и адаптивные стратегии, используемые участниками APT, такими как APT-C-06.

#ParsedReport #CompletenessLow
29-06-2025

SAP NetWeaver CVE-202

https://labs.withsecure.com/publications/netweaver-cve-2025-31324.html

Report completeness: Low

Threats:
Xmrig_miner

Victims:
Sap netweaver server administrators, Sap customers

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)


ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1087, T1105, T1190, T1218.009, T1496, T1505.003

IOCs:
Command: 2
Path: 3
Url: 3
File: 3
Hash: 2
IP: 2

Soft:
SAP NetWeaver, Linux

Algorithms:
base64, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-31324 - это критическая уязвимость нулевого дня в SAP NetWeaver, позволяющая злоумышленникам, не прошедшим проверку подлинности, загружать веб-оболочки JSP для удаленного выполнения команд. Эксплуатация началась в марте 2025 года с развертывания майнера монет XMRig. Злоумышленники использовали certutil для загрузки вредоносных полезных данных, что указывает на сложные методы сохранения и горизонтального перемещения.
-----

29 апреля 2025 года уязвимость CVE-2025-31324 в SAP NetWeaver была добавлена в каталог известных эксплуатируемых уязвимостей CISA в связи с началом ее эксплуатации 22 апреля 2025 года. Эта критическая уязвимость нулевого дня, затрагивающая версию 7.50 компонента Visual Composer в SAP NetWeaver, позволяет злоумышленникам, не прошедшим проверку подлинности, загружать вредоносные файлы. Использование происходит из-за недостаточной проверки файлов в конечной точке /developmentserver/metadatauploader, в результате чего обработанные POST-запросы позволяют загружать вредоносные веб-оболочки JavaServer Pages (JSP). Эти веб-оболочки обеспечивают удаленное выполнение команд и несанкционированный доступ к системе.

Расследование, проведенное WithSecure, показало, что использование CVE-2025-31324 происходило как минимум с 18 марта 2025 года, когда была развернута веб-оболочка JSP с именем helper.jsp. Веб-оболочка облегчала выполнение команд с помощью HTTP-запросов, позволяя загружать и запускать майнер монет XMRig, который был специально идентифицирован как серьезная угроза в кампаниях по криптоджекингу. Вредоносные команды выполнялись через webshell несколько раз, причем в одном примечательном случае полезная нагрузка XMRig была получена с подозрительного IP-адреса.

Злоумышленник использовал certutil, легальную утилиту для Windows, используя ее как простой инструмент для загрузки вредоносных программ, что свидетельствует о сложном подходе к использованию и стойкости. Отслеженная активность свидетельствовала о том, что было задействовано несколько хакеров, причем первоначальный взлом был направлен на развертывание майнера монет, в то время как более поздние участники использовали установленную веб-оболочку для сбора дополнительной разведывательной информации, намекая на свое намерение составить карту сети и искать возможности для перемещения в другие стороны.

Процедурные меры включали изоляцию скомпрометированной системы, применение исправлений для устранения CVE-2025-31324 и удаление webshell. Кроме того, были даны рекомендации по мерам безопасности, в которых подчеркивалась важность мониторинга действий, связанных с webshells, выявления неправомерного использования законных инструментов, таких как certutil, обеспечения своевременного управления исправлениями и проведения анализа журналов для отслеживания несанкционированных действий. Было подчеркнуто, что проактивный поиск угроз имеет важное значение для выявления ранних признаков компрометации до развертывания вредоносной полезной нагрузки.

Этот инцидент иллюстрирует растущую изощренность хакеров, в частности, то, как злоумышленники используют уязвимости для обеспечения постоянного доступа и использования законных инструментов в вредоносных целях. Постоянный мониторинг, быстрое реагирование и надежные методы обеспечения безопасности имеют решающее значение для противодействия такого рода изощренным хакерам.

#ParsedReport #CompletenessMedium
29-06-2025

Hive0154 aka Mustang Panda shifts focus on Tibetan community to deploy Pubload backdoor

https://www.ibm.com/think/x-force/hive0154-mustang-panda-shifts-focus-tibetan-community-deploy-pubload-backdoor

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Hive0154 (motivation: cyber_espionage)

Threats:
Pubload
Claimloader
Pubshell
Spear-phishing_technique
Dll_sideloading_technique

Victims:
Tibetan community, Central tibetan administration, Tibetan government in exile, Us government, Us military, Us navy, Us diplomatic personnel, Philippines government, Philippines military, Philippines diplomatic personnel, have more...

Industry:
Government, Maritime, Military, Education

Geo:
Taiwan, Chinese, Congo, Tibet, China, India, Rwanda, Pakistan, Philippines, Pacific, Tokyo, Ukraine, Belgium, Japan, Tibetan, Indo-pacific

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.003, T1071.001, T1074.001, T1105, T1204.002, T1547.001, T1566.001

IOCs:
Coin: 1
IP: 1
File: 7
Path: 2
Registry: 1

Soft:
Instagram, Microsoft Word

Algorithms:
zip, xor, sha256

Functions:
SHSetValueA, LdrGetProcedureAddress

Win API:
LdrLoadDll, GetDC, EnumFontsW

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti