#ParsedReport #CompletenessMedium
30-06-2025

DragonForce Ransomware: From Hacktivism to Global Cyber Extortion

https://darkatlas.io/blog/dragonforce-ransomware-from-hacktivism-to-global-cyber-extortion

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: cyber_criminal, hacktivism, financially_motivated)
Dragonforce_malaysia (motivation: hacktivism)
Lockbit (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Ransomhub
Lockbit
Log4shell_vuln
Cobalt_strike_tool
Mimikatz_tool
Systembc
Supply_chain_technique
Conti
Byovd_technique

Industry:
Aerospace, Retail, Telco, E-commerce, Logistic, Critical_infrastructure, Healthcare, Transport

Geo:
America, Asia

CVEs:
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 7
Technics: 11

Algorithms:
aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DragonForce, выпущенная в 2023 году, работает как программа-вымогатель как услуга, ориентируясь на такие секторы, как розничная торговля и производство, с настраиваемой полезной нагрузкой. Для развертывания он использует модифицированный LockBit 3.0, применяя тактику двойного вымогательства и используя уязвимости, такие как Log4Shell. Их инструменты включают Cobalt Strike и Mimikatz, которые нацелены на разрушение критически важных секторов с целью получения финансовой выгоды.
-----

Программа-вымогатель DragonForce работает по модели "Программа-вымогатель как услуга" (RaaS), изменяя цели от политических до финансовых. Его модульный инструментарий позволяет филиалам создавать индивидуальные программы-вымогатели, воздействующие на такие секторы, как розничная торговля, финансы и производство, главным образом в Северной Америке, Европе и Азии. В декабре 2023 года DragonForce запустила "DragonLeaks" для борьбы с утечками данных и переговорами о выкупе, что указывает на связи с DragonForce Malaysia. Платформа включает настраиваемый конструктор полезной нагрузки, оптимизированное для скрытности шифрование, многоязычные порталы для жертв и многоуровневую модель распределения доходов.

Программа-вымогатель DragonForce использует модифицированную архитектуру LockBit 3.0 и использует стратегию двойного вымогательства, сочетающую шифрование данных с угрозами публичного раскрытия украденных данных. Первоначальный доступ часто получают с помощью фишинга, использования уязвимостей, таких как Log4Shell (CVE-2021-44228), вброса учетных данных и компрометации учетных данных.

Для горизонтального перемещения DragonForce использует Cobalt Strike, Mimikatz для кражи учетных данных и SystemBC для передачи команд и контроля. Группа использует такие методы, как горизонтальное перемещение по протоколу удаленного рабочего стола (RDP), и использует доверительные отношения в сетях.

Централизованная партнерская платформа использует панель управления на базе .onion, позволяющую партнерам настраивать двоичные файлы программ-вымогателей, управлять доходами и получать комиссионные. DragonForce ориентирована как на государственный, так и на частный сектор, уделяя особое внимание производству, технологическим фирмам, медицинским учреждениям и логистике, нарушая важнейшие цепочки поставок.

Группа также использует усовершенствованный вариант LockBit и усовершенствованный форк Conti, включающий в себя сложное шифрование и метод "Принесите свой собственный уязвимый драйвер" (BYOVD) для отключения обнаружения конечных точек. SystemBC обеспечивает постоянный доступ и скрытые боковые перемещения. Постоянное воздействие DragonForce на критически важные сектора отражает стремление к максимальному финансовому эффекту за счет сбоев в работе. Организациям рекомендуется усилить защиту в местах, подверженных риску, и следить за конкретными методами DragonForce.

#ParsedReport #CompletenessHigh
30-06-2025

Hide Your RDP: Password Spray Leads to RansomHub Deployment

https://thedfirreport.com/2025/06/30/hide-your-rdp-password-spray-leads-to-ransomhub-deployment/

Report completeness: High

Actors/Campaigns:
Ransomhub

Threats:
Password_spray_technique
Ransomhub
Mimikatz_tool
Lolbin_technique
Netscan_tool
Rclone_tool
Credential_harvesting_technique
Softperfect_netscan_tool
Atera_tool
Splashtop_tool
Shadow_copies_delete_technique
Lsadump_tool
Dcsync_technique
Nltest_tool
Nircmd_tool
Wevtutil_tool

Industry:
Telco

Geo:
United kingdom, Ukraine, Belgium

TTPs:
Tactics: 10
Technics: 27

IOCs:
IP: 3
File: 16
Command: 3
Path: 2
Registry: 1
Hash: 5

Soft:
Microsoft Edge, Windows Security, Windows shell, process explorer, fsutil, Active Directory, Local Security Authority, Google Chrome, WordPad, VirtualBox, have more...

Algorithms:
base64

Functions:
Get-VM, SetCloudRegion

Languages:
powershell, visual_basic

Platforms:
x86

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 14, windows: 2, code: 3, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце ноября 2024 года хакер использовал распыление паролей на сервере RDP для первоначального доступа, собрал учетные данные с помощью Mimikatz и провел разведку. Они развернули RClone для фильтрации данных, затем установили средства удаленного доступа и запустили программу-вымогатель RansomHub с использованием передовых методов уклонения, и все это в течение 118 часов.
-----

В конце ноября 2024 года хакер осуществил многоаспектное вторжение, которое началось с атаки с использованием пароля на незащищенный сервер протокола удаленного рабочего стола (RDP). В этой атаке использовались известные вредоносные IP-адреса, связанные с предыдущими атаками на учетные данные, что привело к успешной аутентификации шести учетных записей пользователей. После первоначального доступа злоумышленник собрал учетные данные, используя инструменты Mimikatz и Nirsoft CredentialFileView. Они получили широкую известность в сети, используя современные технологии и сторонние приложения, такие как Advanced IP Scanner и SoftPerfect NetScan, для получения сведений о системе и подсчета учетных записей пользователей и компьютеров, расширяя свое присутствие на различных контроллерах домена и серверах.

После установления доступа к ключевым серверам они развернули RClone, который использовался для фильтрации данных по протоколу SFTP, ориентируясь на определенные типы файлов, такие как документы и электронные письма. Процесс эксфильтрации включал выполнение скриптов, таких как nocmd.vbs и rcl.bat, для облегчения передачи, которая осуществлялась через порт 443, подтверждая использование SFTP. В последующие дни злоумышленник вернулся, чтобы провести разведку, установить средства удаленного доступа Atera и Splashtop для постоянного доступа и изменить пароли пользователей, что, вероятно, затруднит восстановление.

Кульминацией вторжения стало развертывание программы-вымогателя RansomHub, запускаемой с помощью двоичного файла с именем amd64.exe. Операция программы-вымогателя включала остановку всех запущенных виртуальных машин, удаление теневых копий и выполнение команд для очистки журналов событий, что серьезно затрудняло усилия по реагированию на инциденты. Распространение вредоносного ПО по сети осуществлялось с помощью SMB, в котором файлам-вымогателям присваивались случайные символы, чтобы скрыть их вредоносную природу. Была проведена тщательная подготовка и проверка сети, чтобы обеспечить эффективное распространение программы-вымогателя при минимальном обнаружении.

На протяжении всей атаки хакер демонстрировал явное намерение не высовываться и избежать обнаружения, используя законные инструменты для удаленного доступа и обнаружения информации. Использование инструментов сброса учетных данных и нацеливание на конкретные серверы с высокой стоимостью указывают на сложный подход, направленный на максимизацию последствий вторжения при одновременном обеспечении операционной безопасности. Общее время, затраченное на получение первоначального доступа к программе-вымогателю, составило приблизительно 118 часов, что свидетельствует о хорошо спланированной и методичной стратегии атаки.

#ParsedReport #CompletenessLow
30-06-2025

Threat Actors Exploit CVE-2025-3248 to Deliver Flodrix Botnet

https://blog.polyswarm.io/threat-actors-exploit-cve-2025-3248-to-deliver-flodrix-botnet

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 11

Soft:
Langflow

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-3248 (CVSS 9.8) в Langflow позволяет выполнять удаленный код без проверки подлинности. Эксплуатируемый ботнетом Flodrix, он использует вредоносные программы на Python для DDoS-атак и кражи данных, используя при этом такие тактики уклонения, как самоудаление и запутывание строк.
-----

Описанный хакер использовал критическую уязвимость, идентифицированную как CVE-2025-3248, которая имеет оценку CVSS 9,8. Эта уязвимость затрагивает версии Langflow до версии 1.3.0 и допускает удаленное выполнение кода без проверки подлинности, позволяя злоумышленникам выполнять произвольный код в уязвимых системах. Инцидент связан с ботнетом Flodrix, который распространяется с помощью вредоносных программ на Python. После развертывания этот ботнет способствует распределенным атакам типа "Отказ в обслуживании" (DDoS) и краже данных из скомпрометированных систем.

Злоумышленники используют эксплойты с открытым исходным кодом и средства разведки, такие как Shodan, для выявления и атаки на серверы Langflow, которые доступны для общего доступа в Интернет. Этот процесс позволяет им эффективно сканировать уязвимые экземпляры. В своей тактике работы вредоносное ПО демонстрирует расширенные возможности скрытности. Он использует такие методы, как самоудаление, которое удаляет свое присутствие из зараженной системы, чтобы избежать обнаружения, а также обфускацию строк, которая маскирует код вредоносной программы, чтобы предотвратить анализ и идентификацию с помощью программного обеспечения безопасности. Такое сочетание использования уязвимости и изощренной тактики уклонения от ответственности подчеркивает эволюцию круга хакеров и необходимость того, чтобы организации защищали свои системы от подобных уязвимостей.

#ParsedReport #CompletenessMedium
30-06-2025

Havoc Demon Targeting Pakistan International Airlines

https://dmpdump.github.io/posts/Havoc-Demon-Targeting-Pakistan-International-Airlines/

Report completeness: Medium

Threats:
Havoc
Process_injection_technique
Dev_tunnels_tool

Victims:
Pakistan international airlines

Industry:
Aerospace

Geo:
China, Bangladesh, Pakistan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.001, T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1620

IOCs:
File: 4
Hash: 3
Url: 1

Soft:
Microsoft Office

Algorithms:
sha2, base64

Functions:
ObjectExceed, ModelAsset

Win API:
DispCallFunc, NtAllocateVirtualMemory, NtProtectVirtualMemory

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный документ Word из Пакистана, напоминающий предыдущую кампанию Havoc Demon, использует макросы для запуска отражающего загрузчика, который подключается к адресу C2 через dev-туннели Microsoft, улучшая тактику уклонения и сигнализируя о продолжающейся скоординированной атаке со стороны того же хакера.
-----

В июне 2025 года был обнаружен вредоносный документ Word, исходящий из Пакистана, который очень напоминал предыдущую кампанию, проведенную в январе 2025 года с использованием вредоносного ПО Havoc Demon. Документ, загруженный на VirusTotal, имеет название "TMS Data - июнь 2025" и использует макрос, чтобы побудить пользователей включить макросы для просмотра, в частности, для Pakistan International Airlines (PIA). Как только макросы активированы, документ инициирует аномальную активность, создавая новый процесс WINWORD.exe, что указывает на потенциальное внедрение процесса путем выделения памяти RWX (чтение-запись-выполнение), содержащей переносимый исполняемый файл.

Макрокод выполняет полезную нагрузку непосредственно из памяти, используя функцию, получившую название RightAmex, которая регулирует права доступа к памяти и запускает низкоуровневые вызовы API через DispCallFunc. Последующий анализ выгруженной полезной нагрузки, который согласуется с более ранними результатами, полученными в январе, показывает, что это вариант шеллкода, который отражает Демона хаоса, с меньшей запутанностью по сравнению с предыдущими экземплярами. Этот шеллкод представляет собой отражающий загрузчик, который развертывает встроенный переносимый исполняемый файл с именем demon.x64.dll, идентифицируемый по его незашифрованной конфигурации.

Инфраструктура командования и контроля (C2) для этого варианта использует туннели разработки Microsoft, позволяющие хакерам направлять трафик через законные домены Microsoft, тем самым улучшая тактику уклонения от обнаружения. Обнаруженный адрес C2 - это hxxp://djlmwd9b-80.euw.devtunnels.ms/. Этот метод использования установленной инфраструктуры для перенаправления C2 позволяет избежать осложнений, связанных с блокировкой домена, с которой часто сталкиваются злоумышленники. Совпадения в тактике, целевых секторах и характере шеллкода убедительно свидетельствуют о том, что эта новая атака связана с тем же хакером, который участвовал в предыдущей кампании, нацеленной на Havoc Demon, что указывает на потенциально продолжающуюся серию скоординированных атак со стороны этого субъекта.

#ParsedReport #CompletenessLow
01-07-2025

LNK and BAT files: phishing mailing

https://habr.com/ru/companies/usergate/articles/923818/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.003, T1105, T1140, T1202, T1204.002, T1547.001, have more...

IOCs:
Url: 7
File: 15
Hash: 92
IP: 1

Soft:
Curl

Algorithms:
base64, aes, zip

Languages:
python, powershell

Links:
https://github.com/billythegoat356/Kramer
https://github.com/KhanhNguyen9872/kramer-specter\_deobf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная полезная нагрузка доставляется с использованием файлов LNK и BAT посредством фишинговых электронных писем с ZIP-файлами; файлы LNK используют PowerShell для выполнения, в то время как файлы BAT запускают скрипты на Python, которые запутывают и выполняют вредоносный код, усложняя его обнаружение.
-----

Анализ фокусируется на двух распространенных сценариях доставки вредоносной информации: один использует файлы LNK, а другой - файлы BAT. Оба метода в основном основаны на фишинговых электронных письмах, содержащих ZIP-архивы с вложениями, защищенными паролем, при этом пароль часто указывается в тексте письма. В первом случае файлы LNK служат промежуточным звеном для запуска основной вредоносной программы. Злоумышленники используют интерпретаторы команд, такие как CMD или PowerShell, для запуска сценариев, встроенных в файлы LNK. Чтобы избежать обнаружения, они используют такие методы, как кодирование, запутывание или шифрование.

На примере вредоносного файла LNK анализ показывает, как злоумышленники могут скрыть важную информацию с помощью шифрования. Используя PowerShell для расшифровки и изменяя исходную структуру команд, в частности, заменяя Invoke—Expression на Echo, аналитики могут восстановить вредоносную полезную нагрузку для дальнейшего изучения. Однако во время этого расследования само вредоносное ПО было недоступно.

В отличие от этого, второй сценарий предполагает развертывание основной полезной нагрузки с помощью файлов BAT, где кодировка является основным используемым методом обфускации. Проверка конкретного файла BAT показывает, что он запускает самые последние загруженные скрипты на Python. Файлы, о которых идет речь (FV1.PY через FV6.PY и YAM1.от PY до YAM6.PY) - это скомпилированные скрипты на Python, которые расшифровывают шелл-код, выделяют для него память и выполняют его. Все эти скрипты следуют согласованному алгоритму.

Динамический анализ показывает, что эти вредоносные скрипты при запуске запускают несколько экземпляров процесса NOTEPAD.exe, каждый из которых имеет уникальный идентификатор. Примечательно, что они реализуют подмену родительского процесса, что усложняет усилия по обнаружению, поскольку скрывает их источник, создавая впечатление, что Explorer.exe отвечает за запуск всех экземпляров NOTEPAD.exe.

Анализ показывает, что даже, казалось бы, простые кибератаки могут быть сложными и эффективными, если использовать различные методы обфускации и выполнения кода. Изучение этих двух сценариев, включающих как файлы LNK, так и файлы BAT, подчеркивает важность детального ручного анализа для выявления такой тактики и противодействия ей, что в конечном итоге позволяет разработать более надежную защиту от обхода автоматизированной защиты информации.

#ParsedReport #CompletenessMedium
01-07-2025

DCRAT Impersonating the Colombian Government

https://www.fortinet.com/blog/threat-research/dcrat-impersonating-the-columbian-government

Report completeness: Medium

Threats:
Dcrat
Steganography_technique
Credential_harvesting_technique

Victims:
Colombian government entity, Organizations

Industry:
Government

Geo:
Colombian, Columbia, Colombia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1033, T1053.005, T1055, T1059.001, T1059.003, T1059.005, T1071.001, have more...

IOCs:
Path: 2
IP: 2
Coin: 1
Command: 2
Registry: 3
File: 4
Url: 3
Hash: 4

Algorithms:
base64, zip, sha256, md5, aes-256

Functions:
InitializeSettings, CreateMutex, Install

Win API:
RtlSetProcessIsCritical, SetThreadExecutionState, AmsiScanBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на основе электронной почты с использованием трояна удаленного доступа (RAT) DCRAT нацелена на колумбийские организации и использует методы обфускации, чтобы избежать обнаружения. DCRAT обладает модульной архитектурой для индивидуальных вредоносных операций, включая кражу данных и слежку, сохраняя при этом устойчивость за счет изменения системных настроек и отключения антивирусной защиты. Он использует фишинг для доставки вредоносной полезной нагрузки и подключается к серверам управления для постоянного устранения угроз.
-----

Команда FortiMail IR выявила сложную атаку на электронную почту, связанную с распространением троянской программы удаленного доступа (RAT) под названием DCRAT, предназначенной специально для организаций в Колумбии и выдававшей себя за государственное учреждение Колумбии. В ходе атаки используется множество методов обфускации, включая защищенные паролем архивы, стеганографию, кодирование в формате base64 и многократное удаление файлов, чтобы избежать обнаружения и повысить эффективность.

Архитектура DCRAT является модульной, что позволяет злоумышленникам настраивать ее функциональность с помощью различных плагинов. Эта модульность позволяет выполнять индивидуальные операции, направленные на кражу данных, слежку или обеспечение сохранности в скомпрометированных системах. Среди ключевых возможностей DCRAT - удаленное управление зараженными устройствами, выполнение команд, управление файлами и мониторинг активности пользователей. Кроме того, он может загружать и запускать новые полезные приложения, манипулировать системными настройками и изменять визуальные элементы на зараженном компьютере. Вредоносная программа может управлять файлами — создавать, удалять, переименовывать или передавать их по мере необходимости — и осуществлять сбор данных браузера и учетных данных, в частности, нацеливаясь на сохраненные данные, такие как файлы cookie и сохраненные логины.

Механизм доставки DCRAT использует тактику фишинга, при которой злоумышленник отправляет электронное письмо, предназначенное для того, чтобы обманом заставить пользователя выполнить вредоносное вложение. Процесс использования, инициированный электронной почтой, включает запуск исполняемого файла, который подключается к набору запутанных скриптов, размещенных на внешних платформах, и в конечном итоге запускает библиотеку .NET, скрытую в файле изображения, с помощью стеганографии.

Критически важным для функциональности DCRAT является его способность поддерживать постоянство. Он проверяет наличие административных привилегий и пытается зарегистрироваться как критически важный системный процесс, вызывая ошибку синего экрана при попытке завершить его. Если он обнаруживает, что у него нет прав администратора, он создает запись в реестре, обеспечивая непрерывность запуска. Кроме того, RAT использует интерфейс Windows Antimalware Scan Interface (AMSI) для отключения антивирусной защиты с помощью внедрения функций, что позволяет в дальнейшем избежать обнаружения.

После установки DCRAT пытается подключиться к своему командно-контрольному серверу (C2), используя жестко заданный адрес, но также способный к динамическому поиску по указанному URL. Характер этих постоянных подключений подчеркивает постоянную угрозу, исходящую от этого RAT, и указывает на потенциальную возможность существенного компрометирования информации в целевых системах.

#ParsedReport #CompletenessLow
01-07-2025

Threat Report: Smishing Triad

https://www.silentpush.com/white-papers-and-reports/threat-report-smishing-triad/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Victims:
Hsbc, Paypal, Mastercard, Bank of america, Chase

Industry:
Transport, Financial

Geo:
Chinese, America

ChatGPT TTPs:
do not use without manual check
T1204, T1566.001, T1566.002, T1583.006

#ParsedReport #GeneratedSchema
Generated with GPT-4