#ParsedReport #ExtractedSchema

Classified images:
table: 14, windows: 2, code: 3, schema: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце ноября 2024 года хакер использовал распыление паролей на сервере RDP для первоначального доступа, собрал учетные данные с помощью Mimikatz и провел разведку. Они развернули RClone для фильтрации данных, затем установили средства удаленного доступа и запустили программу-вымогатель RansomHub с использованием передовых методов уклонения, и все это в течение 118 часов.
-----

В конце ноября 2024 года хакер осуществил многоаспектное вторжение, которое началось с атаки с использованием пароля на незащищенный сервер протокола удаленного рабочего стола (RDP). В этой атаке использовались известные вредоносные IP-адреса, связанные с предыдущими атаками на учетные данные, что привело к успешной аутентификации шести учетных записей пользователей. После первоначального доступа злоумышленник собрал учетные данные, используя инструменты Mimikatz и Nirsoft CredentialFileView. Они получили широкую известность в сети, используя современные технологии и сторонние приложения, такие как Advanced IP Scanner и SoftPerfect NetScan, для получения сведений о системе и подсчета учетных записей пользователей и компьютеров, расширяя свое присутствие на различных контроллерах домена и серверах.

После установления доступа к ключевым серверам они развернули RClone, который использовался для фильтрации данных по протоколу SFTP, ориентируясь на определенные типы файлов, такие как документы и электронные письма. Процесс эксфильтрации включал выполнение скриптов, таких как nocmd.vbs и rcl.bat, для облегчения передачи, которая осуществлялась через порт 443, подтверждая использование SFTP. В последующие дни злоумышленник вернулся, чтобы провести разведку, установить средства удаленного доступа Atera и Splashtop для постоянного доступа и изменить пароли пользователей, что, вероятно, затруднит восстановление.

Кульминацией вторжения стало развертывание программы-вымогателя RansomHub, запускаемой с помощью двоичного файла с именем amd64.exe. Операция программы-вымогателя включала остановку всех запущенных виртуальных машин, удаление теневых копий и выполнение команд для очистки журналов событий, что серьезно затрудняло усилия по реагированию на инциденты. Распространение вредоносного ПО по сети осуществлялось с помощью SMB, в котором файлам-вымогателям присваивались случайные символы, чтобы скрыть их вредоносную природу. Была проведена тщательная подготовка и проверка сети, чтобы обеспечить эффективное распространение программы-вымогателя при минимальном обнаружении.

На протяжении всей атаки хакер демонстрировал явное намерение не высовываться и избежать обнаружения, используя законные инструменты для удаленного доступа и обнаружения информации. Использование инструментов сброса учетных данных и нацеливание на конкретные серверы с высокой стоимостью указывают на сложный подход, направленный на максимизацию последствий вторжения при одновременном обеспечении операционной безопасности. Общее время, затраченное на получение первоначального доступа к программе-вымогателю, составило приблизительно 118 часов, что свидетельствует о хорошо спланированной и методичной стратегии атаки.

#ParsedReport #CompletenessLow
30-06-2025

Threat Actors Exploit CVE-2025-3248 to Deliver Flodrix Botnet

https://blog.polyswarm.io/threat-actors-exploit-cve-2025-3248-to-deliver-flodrix-botnet

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

IOCs:
Hash: 11

Soft:
Langflow

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-3248 (CVSS 9.8) в Langflow позволяет выполнять удаленный код без проверки подлинности. Эксплуатируемый ботнетом Flodrix, он использует вредоносные программы на Python для DDoS-атак и кражи данных, используя при этом такие тактики уклонения, как самоудаление и запутывание строк.
-----

Описанный хакер использовал критическую уязвимость, идентифицированную как CVE-2025-3248, которая имеет оценку CVSS 9,8. Эта уязвимость затрагивает версии Langflow до версии 1.3.0 и допускает удаленное выполнение кода без проверки подлинности, позволяя злоумышленникам выполнять произвольный код в уязвимых системах. Инцидент связан с ботнетом Flodrix, который распространяется с помощью вредоносных программ на Python. После развертывания этот ботнет способствует распределенным атакам типа "Отказ в обслуживании" (DDoS) и краже данных из скомпрометированных систем.

Злоумышленники используют эксплойты с открытым исходным кодом и средства разведки, такие как Shodan, для выявления и атаки на серверы Langflow, которые доступны для общего доступа в Интернет. Этот процесс позволяет им эффективно сканировать уязвимые экземпляры. В своей тактике работы вредоносное ПО демонстрирует расширенные возможности скрытности. Он использует такие методы, как самоудаление, которое удаляет свое присутствие из зараженной системы, чтобы избежать обнаружения, а также обфускацию строк, которая маскирует код вредоносной программы, чтобы предотвратить анализ и идентификацию с помощью программного обеспечения безопасности. Такое сочетание использования уязвимости и изощренной тактики уклонения от ответственности подчеркивает эволюцию круга хакеров и необходимость того, чтобы организации защищали свои системы от подобных уязвимостей.

#ParsedReport #CompletenessMedium
30-06-2025

Havoc Demon Targeting Pakistan International Airlines

https://dmpdump.github.io/posts/Havoc-Demon-Targeting-Pakistan-International-Airlines/

Report completeness: Medium

Threats:
Havoc
Process_injection_technique
Dev_tunnels_tool

Victims:
Pakistan international airlines

Industry:
Aerospace

Geo:
China, Bangladesh, Pakistan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.001, T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1620

IOCs:
File: 4
Hash: 3
Url: 1

Soft:
Microsoft Office

Algorithms:
sha2, base64

Functions:
ObjectExceed, ModelAsset

Win API:
DispCallFunc, NtAllocateVirtualMemory, NtProtectVirtualMemory

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный документ Word из Пакистана, напоминающий предыдущую кампанию Havoc Demon, использует макросы для запуска отражающего загрузчика, который подключается к адресу C2 через dev-туннели Microsoft, улучшая тактику уклонения и сигнализируя о продолжающейся скоординированной атаке со стороны того же хакера.
-----

В июне 2025 года был обнаружен вредоносный документ Word, исходящий из Пакистана, который очень напоминал предыдущую кампанию, проведенную в январе 2025 года с использованием вредоносного ПО Havoc Demon. Документ, загруженный на VirusTotal, имеет название "TMS Data - июнь 2025" и использует макрос, чтобы побудить пользователей включить макросы для просмотра, в частности, для Pakistan International Airlines (PIA). Как только макросы активированы, документ инициирует аномальную активность, создавая новый процесс WINWORD.exe, что указывает на потенциальное внедрение процесса путем выделения памяти RWX (чтение-запись-выполнение), содержащей переносимый исполняемый файл.

Макрокод выполняет полезную нагрузку непосредственно из памяти, используя функцию, получившую название RightAmex, которая регулирует права доступа к памяти и запускает низкоуровневые вызовы API через DispCallFunc. Последующий анализ выгруженной полезной нагрузки, который согласуется с более ранними результатами, полученными в январе, показывает, что это вариант шеллкода, который отражает Демона хаоса, с меньшей запутанностью по сравнению с предыдущими экземплярами. Этот шеллкод представляет собой отражающий загрузчик, который развертывает встроенный переносимый исполняемый файл с именем demon.x64.dll, идентифицируемый по его незашифрованной конфигурации.

Инфраструктура командования и контроля (C2) для этого варианта использует туннели разработки Microsoft, позволяющие хакерам направлять трафик через законные домены Microsoft, тем самым улучшая тактику уклонения от обнаружения. Обнаруженный адрес C2 - это hxxp://djlmwd9b-80.euw.devtunnels.ms/. Этот метод использования установленной инфраструктуры для перенаправления C2 позволяет избежать осложнений, связанных с блокировкой домена, с которой часто сталкиваются злоумышленники. Совпадения в тактике, целевых секторах и характере шеллкода убедительно свидетельствуют о том, что эта новая атака связана с тем же хакером, который участвовал в предыдущей кампании, нацеленной на Havoc Demon, что указывает на потенциально продолжающуюся серию скоординированных атак со стороны этого субъекта.

#ParsedReport #CompletenessLow
01-07-2025

LNK and BAT files: phishing mailing

https://habr.com/ru/companies/usergate/articles/923818/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1055.002, T1059.001, T1059.003, T1105, T1140, T1202, T1204.002, T1547.001, have more...

IOCs:
Url: 7
File: 15
Hash: 92
IP: 1

Soft:
Curl

Algorithms:
base64, aes, zip

Languages:
python, powershell

Links:
https://github.com/billythegoat356/Kramer
https://github.com/KhanhNguyen9872/kramer-specter\_deobf

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная полезная нагрузка доставляется с использованием файлов LNK и BAT посредством фишинговых электронных писем с ZIP-файлами; файлы LNK используют PowerShell для выполнения, в то время как файлы BAT запускают скрипты на Python, которые запутывают и выполняют вредоносный код, усложняя его обнаружение.
-----

Анализ фокусируется на двух распространенных сценариях доставки вредоносной информации: один использует файлы LNK, а другой - файлы BAT. Оба метода в основном основаны на фишинговых электронных письмах, содержащих ZIP-архивы с вложениями, защищенными паролем, при этом пароль часто указывается в тексте письма. В первом случае файлы LNK служат промежуточным звеном для запуска основной вредоносной программы. Злоумышленники используют интерпретаторы команд, такие как CMD или PowerShell, для запуска сценариев, встроенных в файлы LNK. Чтобы избежать обнаружения, они используют такие методы, как кодирование, запутывание или шифрование.

На примере вредоносного файла LNK анализ показывает, как злоумышленники могут скрыть важную информацию с помощью шифрования. Используя PowerShell для расшифровки и изменяя исходную структуру команд, в частности, заменяя Invoke—Expression на Echo, аналитики могут восстановить вредоносную полезную нагрузку для дальнейшего изучения. Однако во время этого расследования само вредоносное ПО было недоступно.

В отличие от этого, второй сценарий предполагает развертывание основной полезной нагрузки с помощью файлов BAT, где кодировка является основным используемым методом обфускации. Проверка конкретного файла BAT показывает, что он запускает самые последние загруженные скрипты на Python. Файлы, о которых идет речь (FV1.PY через FV6.PY и YAM1.от PY до YAM6.PY) - это скомпилированные скрипты на Python, которые расшифровывают шелл-код, выделяют для него память и выполняют его. Все эти скрипты следуют согласованному алгоритму.

Динамический анализ показывает, что эти вредоносные скрипты при запуске запускают несколько экземпляров процесса NOTEPAD.exe, каждый из которых имеет уникальный идентификатор. Примечательно, что они реализуют подмену родительского процесса, что усложняет усилия по обнаружению, поскольку скрывает их источник, создавая впечатление, что Explorer.exe отвечает за запуск всех экземпляров NOTEPAD.exe.

Анализ показывает, что даже, казалось бы, простые кибератаки могут быть сложными и эффективными, если использовать различные методы обфускации и выполнения кода. Изучение этих двух сценариев, включающих как файлы LNK, так и файлы BAT, подчеркивает важность детального ручного анализа для выявления такой тактики и противодействия ей, что в конечном итоге позволяет разработать более надежную защиту от обхода автоматизированной защиты информации.

#ParsedReport #CompletenessMedium
01-07-2025

DCRAT Impersonating the Colombian Government

https://www.fortinet.com/blog/threat-research/dcrat-impersonating-the-columbian-government

Report completeness: Medium

Threats:
Dcrat
Steganography_technique
Credential_harvesting_technique

Victims:
Colombian government entity, Organizations

Industry:
Government

Geo:
Colombian, Columbia, Colombia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1033, T1053.005, T1055, T1059.001, T1059.003, T1059.005, T1071.001, have more...

IOCs:
Path: 2
IP: 2
Coin: 1
Command: 2
Registry: 3
File: 4
Url: 3
Hash: 4

Algorithms:
base64, zip, sha256, md5, aes-256

Functions:
InitializeSettings, CreateMutex, Install

Win API:
RtlSetProcessIsCritical, SetThreadExecutionState, AmsiScanBuffer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака на основе электронной почты с использованием трояна удаленного доступа (RAT) DCRAT нацелена на колумбийские организации и использует методы обфускации, чтобы избежать обнаружения. DCRAT обладает модульной архитектурой для индивидуальных вредоносных операций, включая кражу данных и слежку, сохраняя при этом устойчивость за счет изменения системных настроек и отключения антивирусной защиты. Он использует фишинг для доставки вредоносной полезной нагрузки и подключается к серверам управления для постоянного устранения угроз.
-----

Команда FortiMail IR выявила сложную атаку на электронную почту, связанную с распространением троянской программы удаленного доступа (RAT) под названием DCRAT, предназначенной специально для организаций в Колумбии и выдававшей себя за государственное учреждение Колумбии. В ходе атаки используется множество методов обфускации, включая защищенные паролем архивы, стеганографию, кодирование в формате base64 и многократное удаление файлов, чтобы избежать обнаружения и повысить эффективность.

Архитектура DCRAT является модульной, что позволяет злоумышленникам настраивать ее функциональность с помощью различных плагинов. Эта модульность позволяет выполнять индивидуальные операции, направленные на кражу данных, слежку или обеспечение сохранности в скомпрометированных системах. Среди ключевых возможностей DCRAT - удаленное управление зараженными устройствами, выполнение команд, управление файлами и мониторинг активности пользователей. Кроме того, он может загружать и запускать новые полезные приложения, манипулировать системными настройками и изменять визуальные элементы на зараженном компьютере. Вредоносная программа может управлять файлами — создавать, удалять, переименовывать или передавать их по мере необходимости — и осуществлять сбор данных браузера и учетных данных, в частности, нацеливаясь на сохраненные данные, такие как файлы cookie и сохраненные логины.

Механизм доставки DCRAT использует тактику фишинга, при которой злоумышленник отправляет электронное письмо, предназначенное для того, чтобы обманом заставить пользователя выполнить вредоносное вложение. Процесс использования, инициированный электронной почтой, включает запуск исполняемого файла, который подключается к набору запутанных скриптов, размещенных на внешних платформах, и в конечном итоге запускает библиотеку .NET, скрытую в файле изображения, с помощью стеганографии.

Критически важным для функциональности DCRAT является его способность поддерживать постоянство. Он проверяет наличие административных привилегий и пытается зарегистрироваться как критически важный системный процесс, вызывая ошибку синего экрана при попытке завершить его. Если он обнаруживает, что у него нет прав администратора, он создает запись в реестре, обеспечивая непрерывность запуска. Кроме того, RAT использует интерфейс Windows Antimalware Scan Interface (AMSI) для отключения антивирусной защиты с помощью внедрения функций, что позволяет в дальнейшем избежать обнаружения.

После установки DCRAT пытается подключиться к своему командно-контрольному серверу (C2), используя жестко заданный адрес, но также способный к динамическому поиску по указанному URL. Характер этих постоянных подключений подчеркивает постоянную угрозу, исходящую от этого RAT, и указывает на потенциальную возможность существенного компрометирования информации в целевых системах.

#ParsedReport #CompletenessLow
01-07-2025

Threat Report: Smishing Triad

https://www.silentpush.com/white-papers-and-reports/threat-report-smishing-triad/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Victims:
Hsbc, Paypal, Mastercard, Bank of america, Chase

Industry:
Transport, Financial

Geo:
Chinese, America

ChatGPT TTPs:
do not use without manual check
T1204, T1566.001, T1566.002, T1583.006

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Smishing Triad - это фишинговая операция с использованием SMS-сообщений для выдачи себя за финансовые бренды, проводимая китайскими хакерами и действующая в 121 стране. Она нацелена на крупные финансовые учреждения и использует тактику извлечения конфиденциальной информации с помощью мошеннических сообщений, для эффективного выполнения которой используются фишинговые наборы. Эффективные меры противодействия включают в себя обучение пользователей и мониторинг на наличие признаков рассылки сообщений.
-----

Smishing Triad - это сложная фишинговая операция, которая использует SMS-сообщения для выдачи себя за известные финансовые и транспортные бренды, впервые обнаруженная в 2023 году. Эта кампания быстро превратилась в хорошо организованную экосистему, в основном управляемую китайскими хакерами. Она значительно расширила свой охват и в настоящее время действует более чем в 121 стране, при этом заметный рост активности наблюдается в Азиатско-Тихоокеанском регионе.

Основными целями Smishing Triad являются крупные финансовые организации, включая такие известные учреждения, как HSBC, PayPal, Mastercard, Bank of America и Chase. В ходе операции используются различные методы атаки, направленные на то, чтобы обманом заставить отдельных лиц разглашать конфиденциальную личную и финансовую информацию посредством мошеннических сообщений, которые кажутся законными.

Инфраструктура, поддерживающая эту кампанию, включает в себя различные фишинговые наборы, которые разрабатываются и распространяются для облегчения проведения таких атак. Эти наборы упрощают процесс для злоумышленников, позволяя им эффективно создавать кампании и управлять ими, которые могут быть нацелены на несколько жертв в разных регионах одновременно.

Эффективные контрмеры требуют понимания тактики, методов и процедур кампании (TTP). Специалистам по безопасности рекомендуется внедрять действенные стратегии смягчения последствий, которые могут включать обучение пользователей распознаванию попыток рассылки SMS-сообщений, внедрение сложных инструментов фильтрации SMS-сообщений и постоянный мониторинг общих признаков компрометации, связанных с этими атаками. Операция Smishing Triad иллюстрирует меняющийся ландшафт хакерских атак, особенно в секторе финансовых услуг, что требует от организаций по всему миру повышенной осведомленности и проактивной защиты.

#ParsedReport #CompletenessMedium
01-07-2025

10 Things I Hate About Attribution: RomCom vs. TransferLoader

https://www.proofpoint.com/us/blog/threat-insight/10-things-i-hate-about-attribution-romcom-vs-transferloader

Report completeness: Medium

Actors/Campaigns:
Ta829 (motivation: financially_motivated, cyber_criminal, information_theft, cyber_espionage)
Unk_greensec (motivation: cyber_criminal, cyber_espionage)
Void_rabisu
Ta505

Threats:
Romcom_rat
Transferloader
Snipbot
Dustyhammock
Morpheus
Putty_tool
Plink_tool
Metasploit_tool
Slipscreen
Damascened_peacock
Rustyclaw
Meltingclaw
Com_hijacking_technique
Shadyhammock
Hellcat
Danabot
Sunseed

Industry:
Healthcare, Government

Geo:
Ukraine, North korea, America, Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1055.001, T1059.003, T1070.004, T1071.001, T1090, T1105, T1486, T1547.001, have more...

IOCs:
File: 11
Registry: 3
Domain: 106
Hash: 18

Soft:
Windows Registry, WordPress, NGINX, Ubuntu

Algorithms:
sha1, base32, sha256, aes, xor

Win API:
LoadLibraryA

Languages:
php, javascript, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA829 - это гибридный киберпреступник, использующий такие инструменты, как бэкдор RomCom для шпионажа и киберпреступности, фишинг с использованием вредоносных программ SingleCamper и DustyHammock, а также эксплойты нулевого дня. UNK_GreenSec, наблюдавшийся во время стагнации TA829, использует TransferLoader для более широких кампаний, что указывает на потенциальное дублирование тактики и инфраструктуры, усложняющее идентификацию хакеров, поскольку оба кластера размывают границы между киберпреступностью и шпионажем.
-----

TA829 участвует в шпионаже и киберпреступной деятельности, используя инструменты из бэкдора RomCom. Эта группа продемонстрировала взаимодействие с другим кластером, UNK_GreenSec, что указывает на возможные связи в инфраструктуре и вредоносное ПО. В своей деятельности TA829 придерживается баланса между финансовыми мотивами и государственным шпионажем, особенно под влиянием таких геополитических событий, как вторжение в Украину.

TA829 регулярно обновляет вредоносное ПО, использует разнообразную инфраструктуру доставки и автоматизированные методы уклонения. В их фишинговых кампаниях используются вредоносные программы SingleCamper и DustyHammock, часто использующие эксплойты нулевого дня. Недавние кампании подделывают законные сервисы, такие как OneDrive и Google Drive, используя запутывание и скомпрометированные устройства для ретрансляции сообщений.

UNK_GreenSec продемонстрировала уникальную тактику работы, используя загрузчик вредоносных программ TransferLoader для крупномасштабных кампаний, которые могут устанавливать программы-вымогатели. Их кампании имеют более широкий географический таргетинг и другие приманки по сравнению с TA829. Оба участника используют скомпрометированные маршрутизаторы MikroTik и прокси-сервисы REM для доставки электронной почты, но отличаются спецификой полезной нагрузки и характеристиками заражения.

TransferLoader использует передовые методы обхода, включая динамически разрешаемые хэши API и строгую проверку имен файлов, чтобы избежать обнаружения. Тщательная разработка цепочек заражения скрывает его функции и обеспечивает тщательный контроль после заражения. Размытие границ между киберпреступностью и шпионажем усложняет поиск разведывательных данных и отслеживание действий обеих групп.