#ParsedReport #CompletenessMedium
29-06-2025

Hive0154 aka Mustang Panda shifts focus on Tibetan community to deploy Pubload backdoor

https://www.ibm.com/think/x-force/hive0154-mustang-panda-shifts-focus-tibetan-community-deploy-pubload-backdoor

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)
Hive0154 (motivation: cyber_espionage)

Threats:
Pubload
Claimloader
Pubshell
Spear-phishing_technique
Dll_sideloading_technique

Victims:
Tibetan community, Central tibetan administration, Tibetan government in exile, Us government, Us military, Us navy, Us diplomatic personnel, Philippines government, Philippines military, Philippines diplomatic personnel, have more...

Industry:
Government, Maritime, Military, Education

Geo:
Taiwan, Chinese, Congo, Tibet, China, India, Rwanda, Pakistan, Philippines, Pacific, Tokyo, Ukraine, Belgium, Japan, Tibetan, Indo-pacific

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.003, T1071.001, T1074.001, T1105, T1204.002, T1547.001, T1566.001

IOCs:
Coin: 1
IP: 1
File: 7
Path: 2
Registry: 1

Soft:
Instagram, Microsoft Word

Algorithms:
zip, xor, sha256

Functions:
SHSetValueA, LdrGetProcedureAddress

Win API:
LdrLoadDll, GetDC, EnumFontsW

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакер из Китая Hive0154 нацелен на тибетское сообщество, используя вредоносное ПО Pubload в фишинговых кампаниях с использованием соответствующих документов. Pubload использует обратные оболочки, в то время как Claimloader улучшает работу с помощью расширенного шифрования и динамической загрузки API для скрытности.
-----

Хакерская группа Hive0154, связанная с Китаем, недавно атаковала тибетское сообщество, используя вредоносное ПО Pubload в рамках серии изощренных фишинговых кампаний. В этих кампаниях используются культурно и политически значимые документы-приманки, такие как документы, связанные с 9-й Всемирной конвенцией парламентариев по Тибету (ВКПТ), и недавняя публикация Далай-ламы "Голос для безмолвных". Время проведения этих кампаний совпадает со значимыми событиями для тибетского сообщества, особенно в связи с повышенным интересом к 90-летию Далай-ламы, которое отмечается в июне 2025 года.

Pubload, простой бэкдор, способен загружать зашифрованные данные с помощью шеллкода и загружать их в память. Его основная полезная нагрузка, Pubshell, создает обратную оболочку для немедленного доступа к скомпрометированным компьютерам. Фишинговая тактика Hive0154 часто включает в себя вводящие в заблуждение имена файлов, ссылающиеся на текущие геополитические проблемы, чтобы побудить получателей к взаимодействию. Они продемонстрировали практику использования документов Microsoft Word, содержащих безобидный контент, наряду с вредоносными исполняемыми файлами, которые используют методы дополнительной загрузки DLL. Эта тактика является передовой, поскольку позволяет обойти традиционные меры безопасности, маскируя законную информацию в зараженных файлах.

Вредоносная программа Claimloader, загрузчик из арсенала Hive0154, расширяет функциональность их операций. Этот инструмент был усовершенствован, и в последнее время он использует алгоритм TripleDES для шифрования полезной нагрузки и динамической загрузки необходимых API-интерфейсов для обеспечения скрытого выполнения. После активации Claimloader создает мьютексы для обеспечения выполнения в единственном экземпляре и устанавливает постоянство с помощью ключей реестра. Его функция включает расшифровку встроенной полезной нагрузки и выполнение ее в памяти, что расширяет возможности Hive 0154 в отношении шпионажа и целенаправленного сбора данных.

Исследователи X-Force подчеркивают, что Hive 0154 активно участвует в кампаниях, нацеленных не только на тибетскую общину, но и на другие геополитические субъекты, что указывает на широкий круг интересов, включая иностранные правительственные организации. Их деятельность характеризуется тщательным планированием и исполнением, использованием навыков социальной инженерии для привлечения внимания пользователей к вредоносному контенту.

#ParsedReport #CompletenessLow
30-06-2025

Pi2Day Scams: Crypto Users Targeted in Coordinated Facebook Ad Campaign Delivering Malware and Stealing Wallets

https://www.bitdefender.com/en-us/blog/hotforsecurity/pi2day-scams-crypto-users-targeted-in-coordinated-facebook-ad-campaign-delivering-malware-and-stealing-wallets

Report completeness: Low

Victims:
Pi network users, Investors, Crypto afficionados, Crypto novices

Geo:
India, Vietnam, China, Philippines, Australia

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1059.007, T1105, T1204.002, T1555, T1562.006, T1566.002, T1589.001

IOCs:
File: 2

Soft:
TradingView

Crypto:
binance

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники нацелились на мероприятие Pi2Day с помощью фишинговой рекламы на Facebook, чтобы украсть фразы для восстановления криптокошелька и распространить вредоносное ПО. Они используют тактику обмана, такую как поддельные предупреждения о безопасности от авторитетных платформ и предложения бесплатного программного обеспечения для майнинга, внедряя вредоносные программы, которые могут украсть учетные данные и избежать обнаружения. Пользователи должны быть осторожны с подозрительной рекламой и загружать приложения только из официальных источников, чтобы снизить риск.
-----

Мероприятие Pi2Day, которое отмечается 28 июня, стало мишенью киберпреступников, использующих вредоносные рекламные кампании в Facebook. Целью этих атак является подбор фраз для восстановления криптокошелька и распространение вредоносного ПО. С 24 июня хакеры разместили более 140 вариантов рекламы с использованием изображений Pi Network, чтобы перенаправить пользователей на фишинговые сайты или вредоносные приложения. Атака, судя по всему, имеет глобальный охват, и ее целью являются такие регионы, как США, Европа, Австралия, Китай, Вьетнам, Индия и Филиппины.

Для этой кампании характерны два основных метода. Один из вариантов включает фишинговую рекламу, замаскированную под уведомления от авторитетных платформ, таких как Binance и TradingView, которые информируют пользователей о срочных мерах безопасности. Другой подход обещает пользователям бесплатное программное обеспечение для майнинга Pi или бонусы в размере 31,4 PI за установку приложений для ПК. Однако на самом деле эти установки содержат вредоносные программы, идентифицированные ранее, в частности Generic.msil.wmitask и Generic.JS.WMITask. Вредоносная программа является многоцелевой — она может красть сохраненные учетные данные и ключи крипто-кошелька, регистрировать вводимые пользователем данные, загружать дополнительные вредоносные компоненты и использовать методы обфускации и обхода "песочницы", чтобы оставаться незамеченной.

Киберпреступники используют доверие к известным платформам, вводя пользователей в заблуждение с помощью соблазнительной рекламы на Facebook, которая ведет на незаконные веб-сайты. Задействованное многоэтапное вредоносное ПО демонстрирует знакомую тактику уклонения от обнаружения и структуру инфраструктуры, что позволяет предположить, что оно организовано одной группой, проводящей несколько одновременных мошеннических действий с целью расширения охвата и получения финансовой выгоды. Bitdefender сообщила, что стала первой, кто выявил и заблокировал варианты вредоносного ПО, задействованные в этой кампании, которая включает в себя активную блокировку всех поддельных доменов и вредоносной полезной нагрузки.

Пользователям рекомендуется не вводить фразы для восстановления своего кошелька на любом веб-сайте и быть осторожными с рекламой, которая рекламирует крипто-бонусы или бесплатные приложения для майнинга без подтверждения их источников. В рекомендациях рекомендуется загружать приложения исключительно из официальных магазинов приложений или веб-сайта Pi Network и использовать такие инструменты, как Bitdefender Scamio, для оценки подозрительных сообщений и сайтов. Бдительность имеет решающее значение, поскольку этот сценарий указывает на более широкую и постоянную угрозу, когда одна и та же группа использует рекламную платформу Meta для проведения нескольких мошеннических операций, продолжая совершенствовать свою тактику, повторно используя одну и ту же вредоносную инфраструктуру.

#ParsedReport #CompletenessMedium
30-06-2025

DragonForce Ransomware: From Hacktivism to Global Cyber Extortion

https://darkatlas.io/blog/dragonforce-ransomware-from-hacktivism-to-global-cyber-extortion

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce_malaysia (motivation: hacktivism)
Lockbit (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Ransomhub
Lockbit
Log4shell_vuln
Cobalt_strike_tool
Mimikatz_tool
Systembc
Supply_chain_technique
Conti
Byovd_technique

Industry:
Aerospace, Retail, Telco, E-commerce, Logistic, Critical_infrastructure, Healthcare, Transport

Geo:
America, Asia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 7
Technics: 11

Algorithms:
aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DragonForce, выпущенная в 2023 году, работает как программа-вымогатель как услуга, ориентируясь на такие секторы, как розничная торговля и производство, с настраиваемой полезной нагрузкой. Для развертывания он использует модифицированный LockBit 3.0, применяя тактику двойного вымогательства и используя уязвимости, такие как Log4Shell. Их инструменты включают Cobalt Strike и Mimikatz, которые нацелены на разрушение критически важных секторов с целью получения финансовой выгоды.
-----

Программа-вымогатель DragonForce работает по модели "Программа-вымогатель как услуга" (RaaS), изменяя цели от политических до финансовых. Его модульный инструментарий позволяет филиалам создавать индивидуальные программы-вымогатели, воздействующие на такие секторы, как розничная торговля, финансы и производство, главным образом в Северной Америке, Европе и Азии. В декабре 2023 года DragonForce запустила "DragonLeaks" для борьбы с утечками данных и переговорами о выкупе, что указывает на связи с DragonForce Malaysia. Платформа включает настраиваемый конструктор полезной нагрузки, оптимизированное для скрытности шифрование, многоязычные порталы для жертв и многоуровневую модель распределения доходов.

Программа-вымогатель DragonForce использует модифицированную архитектуру LockBit 3.0 и использует стратегию двойного вымогательства, сочетающую шифрование данных с угрозами публичного раскрытия украденных данных. Первоначальный доступ часто получают с помощью фишинга, использования уязвимостей, таких как Log4Shell (CVE-2021-44228), вброса учетных данных и компрометации учетных данных.

Для горизонтального перемещения DragonForce использует Cobalt Strike, Mimikatz для кражи учетных данных и SystemBC для передачи команд и контроля. Группа использует такие методы, как горизонтальное перемещение по протоколу удаленного рабочего стола (RDP), и использует доверительные отношения в сетях.

Централизованная партнерская платформа использует панель управления на базе .onion, позволяющую партнерам настраивать двоичные файлы программ-вымогателей, управлять доходами и получать комиссионные. DragonForce ориентирована как на государственный, так и на частный сектор, уделяя особое внимание производству, технологическим фирмам, медицинским учреждениям и логистике, нарушая важнейшие цепочки поставок.

Группа также использует усовершенствованный вариант LockBit и усовершенствованный форк Conti, включающий в себя сложное шифрование и метод "Принесите свой собственный уязвимый драйвер" (BYOVD) для отключения обнаружения конечных точек. SystemBC обеспечивает постоянный доступ и скрытые боковые перемещения. Постоянное воздействие DragonForce на критически важные сектора отражает стремление к максимальному финансовому эффекту за счет сбоев в работе. Организациям рекомендуется усилить защиту в местах, подверженных риску, и следить за конкретными методами DragonForce.

#ParsedReport #CompletenessHigh
30-06-2025

Hide Your RDP: Password Spray Leads to RansomHub Deployment

https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/

Report completeness: High

Actors/Campaigns:
Ransomhub

Threats:
Password_spray_technique
Ransomhub
Mimikatz_tool
Lolbin_technique
Netscan_tool
Rclone_tool
Credential_harvesting_technique
Softperfect_netscan_tool
Atera_tool
Splashtop_tool
Shadow_copies_delete_technique
Lsadump_tool
Dcsync_technique
Nltest_tool
Nircmd_tool
Wevtutil_tool

Industry:
Telco

Geo:
United kingdom, Ukraine, Belgium

TTPs:
Tactics: 10
Technics: 27

IOCs:
IP: 3
File: 16
Command: 3
Path: 2
Registry: 1
Hash: 5

Soft:
Microsoft Edge, Windows Security, Windows shell, process explorer, fsutil, Active Directory, Local Security Authority, Google Chrome, WordPad, VirtualBox, have more...

Algorithms:
base64

Functions:
Get-VM, SetCloudRegion

Languages:
powershell, visual_basic

Platforms:
x86

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 14, windows: 2, code: 3, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце ноября 2024 года хакер использовал распыление паролей на сервере RDP для первоначального доступа, собрал учетные данные с помощью Mimikatz и провел разведку. Они развернули RClone для фильтрации данных, затем установили средства удаленного доступа и запустили программу-вымогатель RansomHub с использованием передовых методов уклонения, и все это в течение 118 часов.
-----

В конце ноября 2024 года хакер осуществил многоаспектное вторжение, которое началось с атаки с использованием пароля на незащищенный сервер протокола удаленного рабочего стола (RDP). В этой атаке использовались известные вредоносные IP-адреса, связанные с предыдущими атаками на учетные данные, что привело к успешной аутентификации шести учетных записей пользователей. После первоначального доступа злоумышленник собрал учетные данные, используя инструменты Mimikatz и Nirsoft CredentialFileView. Они получили широкую известность в сети, используя современные технологии и сторонние приложения, такие как Advanced IP Scanner и SoftPerfect NetScan, для получения сведений о системе и подсчета учетных записей пользователей и компьютеров, расширяя свое присутствие на различных контроллерах домена и серверах.

После установления доступа к ключевым серверам они развернули RClone, который использовался для фильтрации данных по протоколу SFTP, ориентируясь на определенные типы файлов, такие как документы и электронные письма. Процесс эксфильтрации включал выполнение скриптов, таких как nocmd.vbs и rcl.bat, для облегчения передачи, которая осуществлялась через порт 443, подтверждая использование SFTP. В последующие дни злоумышленник вернулся, чтобы провести разведку, установить средства удаленного доступа Atera и Splashtop для постоянного доступа и изменить пароли пользователей, что, вероятно, затруднит восстановление.

Кульминацией вторжения стало развертывание программы-вымогателя RansomHub, запускаемой с помощью двоичного файла с именем amd64.exe. Операция программы-вымогателя включала остановку всех запущенных виртуальных машин, удаление теневых копий и выполнение команд для очистки журналов событий, что серьезно затрудняло усилия по реагированию на инциденты. Распространение вредоносного ПО по сети осуществлялось с помощью SMB, в котором файлам-вымогателям присваивались случайные символы, чтобы скрыть их вредоносную природу. Была проведена тщательная подготовка и проверка сети, чтобы обеспечить эффективное распространение программы-вымогателя при минимальном обнаружении.

На протяжении всей атаки хакер демонстрировал явное намерение не высовываться и избежать обнаружения, используя законные инструменты для удаленного доступа и обнаружения информации. Использование инструментов сброса учетных данных и нацеливание на конкретные серверы с высокой стоимостью указывают на сложный подход, направленный на максимизацию последствий вторжения при одновременном обеспечении операционной безопасности. Общее время, затраченное на получение первоначального доступа к программе-вымогателю, составило приблизительно 118 часов, что свидетельствует о хорошо спланированной и методичной стратегии атаки.

#ParsedReport #CompletenessLow
30-06-2025

Threat Actors Exploit CVE-2025-3248 to Deliver Flodrix Botnet

https://blog.polyswarm.io/threat-actors-exploit-cve-2025-3248-to-deliver-flodrix-botnet

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 11

Soft:
Langflow

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-3248 (CVSS 9.8) в Langflow позволяет выполнять удаленный код без проверки подлинности. Эксплуатируемый ботнетом Flodrix, он использует вредоносные программы на Python для DDoS-атак и кражи данных, используя при этом такие тактики уклонения, как самоудаление и запутывание строк.
-----

Описанный хакер использовал критическую уязвимость, идентифицированную как CVE-2025-3248, которая имеет оценку CVSS 9,8. Эта уязвимость затрагивает версии Langflow до версии 1.3.0 и допускает удаленное выполнение кода без проверки подлинности, позволяя злоумышленникам выполнять произвольный код в уязвимых системах. Инцидент связан с ботнетом Flodrix, который распространяется с помощью вредоносных программ на Python. После развертывания этот ботнет способствует распределенным атакам типа "Отказ в обслуживании" (DDoS) и краже данных из скомпрометированных систем.

Злоумышленники используют эксплойты с открытым исходным кодом и средства разведки, такие как Shodan, для выявления и атаки на серверы Langflow, которые доступны для общего доступа в Интернет. Этот процесс позволяет им эффективно сканировать уязвимые экземпляры. В своей тактике работы вредоносное ПО демонстрирует расширенные возможности скрытности. Он использует такие методы, как самоудаление, которое удаляет свое присутствие из зараженной системы, чтобы избежать обнаружения, а также обфускацию строк, которая маскирует код вредоносной программы, чтобы предотвратить анализ и идентификацию с помощью программного обеспечения безопасности. Такое сочетание использования уязвимости и изощренной тактики уклонения от ответственности подчеркивает эволюцию круга хакеров и необходимость того, чтобы организации защищали свои системы от подобных уязвимостей.

#ParsedReport #CompletenessMedium
30-06-2025

Havoc Demon Targeting Pakistan International Airlines

https://dmpdump.github.io/posts/Havoc-Demon-Targeting-Pakistan-International-Airlines/

Report completeness: Medium

Threats:
Havoc
Process_injection_technique
Dev_tunnels_tool

Victims:
Pakistan international airlines

Industry:
Aerospace

Geo:
China, Bangladesh, Pakistan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.001, T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1620

IOCs:
File: 4
Hash: 3
Url: 1

Soft:
Microsoft Office

Algorithms:
sha2, base64

Functions:
ObjectExceed, ModelAsset

Win API:
DispCallFunc, NtAllocateVirtualMemory, NtProtectVirtualMemory

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный документ Word из Пакистана, напоминающий предыдущую кампанию Havoc Demon, использует макросы для запуска отражающего загрузчика, который подключается к адресу C2 через dev-туннели Microsoft, улучшая тактику уклонения и сигнализируя о продолжающейся скоординированной атаке со стороны того же хакера.
-----

В июне 2025 года был обнаружен вредоносный документ Word, исходящий из Пакистана, который очень напоминал предыдущую кампанию, проведенную в январе 2025 года с использованием вредоносного ПО Havoc Demon. Документ, загруженный на VirusTotal, имеет название "TMS Data - июнь 2025" и использует макрос, чтобы побудить пользователей включить макросы для просмотра, в частности, для Pakistan International Airlines (PIA). Как только макросы активированы, документ инициирует аномальную активность, создавая новый процесс WINWORD.exe, что указывает на потенциальное внедрение процесса путем выделения памяти RWX (чтение-запись-выполнение), содержащей переносимый исполняемый файл.

Макрокод выполняет полезную нагрузку непосредственно из памяти, используя функцию, получившую название RightAmex, которая регулирует права доступа к памяти и запускает низкоуровневые вызовы API через DispCallFunc. Последующий анализ выгруженной полезной нагрузки, который согласуется с более ранними результатами, полученными в январе, показывает, что это вариант шеллкода, который отражает Демона хаоса, с меньшей запутанностью по сравнению с предыдущими экземплярами. Этот шеллкод представляет собой отражающий загрузчик, который развертывает встроенный переносимый исполняемый файл с именем demon.x64.dll, идентифицируемый по его незашифрованной конфигурации.

Инфраструктура командования и контроля (C2) для этого варианта использует туннели разработки Microsoft, позволяющие хакерам направлять трафик через законные домены Microsoft, тем самым улучшая тактику уклонения от обнаружения. Обнаруженный адрес C2 - это hxxp://djlmwd9b-80.euw.devtunnels.ms/. Этот метод использования установленной инфраструктуры для перенаправления C2 позволяет избежать осложнений, связанных с блокировкой домена, с которой часто сталкиваются злоумышленники. Совпадения в тактике, целевых секторах и характере шеллкода убедительно свидетельствуют о том, что эта новая атака связана с тем же хакером, который участвовал в предыдущей кампании, нацеленной на Havoc Demon, что указывает на потенциально продолжающуюся серию скоординированных атак со стороны этого субъекта.

#ParsedReport #CompletenessLow
01-07-2025

LNK and BAT files: phishing mailing

https://habr.com/ru/companies/usergate/articles/923818/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.003, T1105, T1140, T1202, T1204.002, T1547.001, have more...

IOCs:
Url: 7
File: 15
Hash: 92
IP: 1

Soft:
Curl

Algorithms:
base64, aes, zip

Languages:
python, powershell

Links:
https://github.com/billythegoat356/Kramer
https://github.com/KhanhNguyen9872/kramer-specter\_deobf

#ParsedReport #GeneratedSchema
Generated with GPT-4