#ParsedReport #CompletenessLow
01-07-2025

Threat Report: Smishing Triad

https://www.silentpush.com/white-papers-and-reports/threat-report-smishing-triad/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Victims:
Hsbc, Paypal, Mastercard, Bank of america, Chase

Industry:
Transport, Financial

Geo:
Chinese, America

ChatGPT TTPs:
do not use without manual check
T1204, T1566.001, T1566.002, T1583.006

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Smishing Triad - это фишинговая операция с использованием SMS-сообщений для выдачи себя за финансовые бренды, проводимая китайскими хакерами и действующая в 121 стране. Она нацелена на крупные финансовые учреждения и использует тактику извлечения конфиденциальной информации с помощью мошеннических сообщений, для эффективного выполнения которой используются фишинговые наборы. Эффективные меры противодействия включают в себя обучение пользователей и мониторинг на наличие признаков рассылки сообщений.
-----

Smishing Triad - это сложная фишинговая операция, которая использует SMS-сообщения для выдачи себя за известные финансовые и транспортные бренды, впервые обнаруженная в 2023 году. Эта кампания быстро превратилась в хорошо организованную экосистему, в основном управляемую китайскими хакерами. Она значительно расширила свой охват и в настоящее время действует более чем в 121 стране, при этом заметный рост активности наблюдается в Азиатско-Тихоокеанском регионе.

Основными целями Smishing Triad являются крупные финансовые организации, включая такие известные учреждения, как HSBC, PayPal, Mastercard, Bank of America и Chase. В ходе операции используются различные методы атаки, направленные на то, чтобы обманом заставить отдельных лиц разглашать конфиденциальную личную и финансовую информацию посредством мошеннических сообщений, которые кажутся законными.

Инфраструктура, поддерживающая эту кампанию, включает в себя различные фишинговые наборы, которые разрабатываются и распространяются для облегчения проведения таких атак. Эти наборы упрощают процесс для злоумышленников, позволяя им эффективно создавать кампании и управлять ими, которые могут быть нацелены на несколько жертв в разных регионах одновременно.

Эффективные контрмеры требуют понимания тактики, методов и процедур кампании (TTP). Специалистам по безопасности рекомендуется внедрять действенные стратегии смягчения последствий, которые могут включать обучение пользователей распознаванию попыток рассылки SMS-сообщений, внедрение сложных инструментов фильтрации SMS-сообщений и постоянный мониторинг общих признаков компрометации, связанных с этими атаками. Операция Smishing Triad иллюстрирует меняющийся ландшафт хакерских атак, особенно в секторе финансовых услуг, что требует от организаций по всему миру повышенной осведомленности и проактивной защиты.

#ParsedReport #CompletenessMedium
01-07-2025

10 Things I Hate About Attribution: RomCom vs. TransferLoader

https://www.proofpoint.com/us/blog/threat-insight/10-things-i-hate-about-attribution-romcom-vs-transferloader

Report completeness: Medium

Actors/Campaigns:
Ta829 (motivation: financially_motivated, cyber_criminal, information_theft, cyber_espionage)
Unk_greensec (motivation: cyber_criminal, cyber_espionage)
Void_rabisu
Ta505

Threats:
Romcom_rat
Transferloader
Snipbot
Dustyhammock
Morpheus
Putty_tool
Plink_tool
Metasploit_tool
Slipscreen
Damascened_peacock
Rustyclaw
Meltingclaw
Com_hijacking_technique
Shadyhammock
Hellcat
Danabot
Sunseed

Industry:
Healthcare, Government

Geo:
Ukraine, North korea, America, Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1055.001, T1059.003, T1070.004, T1071.001, T1090, T1105, T1486, T1547.001, have more...

IOCs:
File: 11
Registry: 3
Domain: 106
Hash: 18

Soft:
Windows Registry, WordPress, NGINX, Ubuntu

Algorithms:
sha1, base32, sha256, aes, xor

Win API:
LoadLibraryA

Languages:
php, javascript, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA829 - это гибридный киберпреступник, использующий такие инструменты, как бэкдор RomCom для шпионажа и киберпреступности, фишинг с использованием вредоносных программ SingleCamper и DustyHammock, а также эксплойты нулевого дня. UNK_GreenSec, наблюдавшийся во время стагнации TA829, использует TransferLoader для более широких кампаний, что указывает на потенциальное дублирование тактики и инфраструктуры, усложняющее идентификацию хакеров, поскольку оба кластера размывают границы между киберпреступностью и шпионажем.
-----

TA829 участвует в шпионаже и киберпреступной деятельности, используя инструменты из бэкдора RomCom. Эта группа продемонстрировала взаимодействие с другим кластером, UNK_GreenSec, что указывает на возможные связи в инфраструктуре и вредоносное ПО. В своей деятельности TA829 придерживается баланса между финансовыми мотивами и государственным шпионажем, особенно под влиянием таких геополитических событий, как вторжение в Украину.

TA829 регулярно обновляет вредоносное ПО, использует разнообразную инфраструктуру доставки и автоматизированные методы уклонения. В их фишинговых кампаниях используются вредоносные программы SingleCamper и DustyHammock, часто использующие эксплойты нулевого дня. Недавние кампании подделывают законные сервисы, такие как OneDrive и Google Drive, используя запутывание и скомпрометированные устройства для ретрансляции сообщений.

UNK_GreenSec продемонстрировала уникальную тактику работы, используя загрузчик вредоносных программ TransferLoader для крупномасштабных кампаний, которые могут устанавливать программы-вымогатели. Их кампании имеют более широкий географический таргетинг и другие приманки по сравнению с TA829. Оба участника используют скомпрометированные маршрутизаторы MikroTik и прокси-сервисы REM для доставки электронной почты, но отличаются спецификой полезной нагрузки и характеристиками заражения.

TransferLoader использует передовые методы обхода, включая динамически разрешаемые хэши API и строгую проверку имен файлов, чтобы избежать обнаружения. Тщательная разработка цепочек заражения скрывает его функции и обеспечивает тщательный контроль после заражения. Размытие границ между киберпреступностью и шпионажем усложняет поиск разведывательных данных и отслеживание действий обеих групп.

#ParsedReport #CompletenessLow
01-07-2025

DEVMAN Ransomware: Analysis of New DragonForce Variant

https://any.run/cybersecurity-blog/devman-ransomware-analysis/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Devman
Dragonforce_ransomware
Eldorado_ransomware
Embargo_ransomware
Conti
Shadow_copies_delete_technique
Netutils

Geo:
Latin america, Africa, Asia

TTPs:

IOCs:
File: 3
Registry: 1
Hash: 2

Algorithms:
sha256, md5

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия программы-вымогателя DEVMAN напоминает DragonForce, используя ее модель RaaS с уникальными изменениями, усложняющими установление авторства. В ней используются такие методы, как проверка теневого копирования томов и выборочное шифрование расширений файлов, что указывает на оперативные связи с предыдущими платформами-вымогателями, такими как Conti.
-----

Недавние разработки в области программ-вымогателей выявили появление новых разновидностей, которые часто являются ответвлениями известных семейств. Одним из таких примеров является вариант, напоминающий программу-вымогателя DragonForce, но с отличительными чертами, указывающими на участие нового хакера под названием DEVMAN. Этот вариант, по-видимому, использует код DragonForce, привнося при этом уникальные черты, которые предполагают стратегическое отличие от его предшественника. Примечательно, что DEVMAN использовала в своей деятельности модель DragonForce "Программа-вымогатель как услуга" (RaaS), позволяющую аффилированным лицам создавать индивидуальные производные от оригинального вредоносного ПО.

В одном конкретном инциденте участники DragonForce опубликовали удаленный env-файл от цели на своем выделенном сайте утечек (DLS) в Tor, демонстрируя свою оперативную тактику. Вариант DEVMAN, который имеет сходство с DragonForce и который антивирусные системы часто ошибочно принимают за вариант Conti, демонстрирует уникальное измененное поведение, требующее более тщательного изучения. Вредоносная программа использует расширение файла .DEVMAN для зашифрованных данных, сохраняя при этом большую часть своей кодовой базы DragonForce, что затрудняет точную идентификацию. Несмотря на то, что вредоносные действия в основном происходят в автономном режиме без подключения к системе управления Observe (C2), были отмечены случаи проверки блокировки сообщений сервера (SMB).

Поведение варианта DEVMAN включает в себя несколько методов подписи; он проверяет наличие теневых копий томов и стратегически избегает шифрования определенных расширений файлов. Такая форма шифрования только заголовками позволяет вредоносному ПО быстро повреждать значительные объемы данных, хотя и в ущерб полноте. Кроме того, взаимодействие с диспетчером перезапуска Windows предполагает методический подход, отражающий возможные следы происхождения от платформы Conti, что свидетельствует о тенденции разработчиков вредоносных программ быстро удалять записи реестра, чтобы свести к минимуму криминалистические следы.

Мьютексы, используемые для координации выполнения, свидетельствуют о соблюдении установленных правил среди семейств программ-вымогателей, связывая поведение DEVMAN с его предшественниками. Это также демонстрирует потенциал для совершенствования операционной деятельности и показывает, как новые участники могут научиться применять тактику вымогателей. Сложности варианта DEVMAN сигнализируют о более широких тенденциях в экосистеме программ-вымогателей, где новые участники склонны повторно использовать и модифицировать существующие кодовые базы.

В конечном счете, хотя версия DEVMAN, возможно, и не отличается существенными инновациями по сравнению со своей предшественницей, ее операционные схемы и внедрение норм цифровой коммуникации отражают эволюционную динамику разработки программ-вымогателей. Запутанные характеристики этого вредоносного ПО подчеркивают трудности, с которыми сталкиваются аналитики в области безопасности при распознавании и устранении ранее не замеченных мутаций в программах-вымогателях, что требует использования надежных инструментов расследования, таких как интерактивные "песочницы", для более эффективного анализа угроз.

#ParsedReport #CompletenessMedium
01-07-2025

CyberSOC Insights: Identification and Tracking of a Black Basta-linked Attack Campaign

https://www.orangecyberdefense.com/global/blog/managed-detection-response/cybersoc-insights-identification-and-tracking-of-a-black-basta-linked-attack-campaign

Report completeness: Medium

Threats:
Blackbasta
Darkgate
Qakbot
Lumma_stealer
Email_bombing_technique
Microsoft_quick_assist_tool
Screenconnect_tool
Anydesk_tool
Process_injection_technique
Lolbin_technique
Teamviewer_tool

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1055, T1056.001, T1059.001, T1059.003, T1105, T1204.002, T1219, have more...

IOCs:
File: 29
Path: 4
Command: 2
Domain: 2
Url: 2

Soft:
Microsoft Teams, Microsoft Defender, curl, Steam, Office 365, Microsoft Defender for Endpoint

Algorithms:
zip

Functions:
count

Languages:
java, autoit, powershell

Links:
have more...
https://github.com/D4RK-R4BB1T/BlackBasta-Chats

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2024 года операторы программ-вымогателей Black Basta осуществили кибератаки с использованием электронной почты и социальной инженерии с помощью Microsoft Teams, используя вредоносное ПО DarkGate для заражения. Атаки начались со значительного объема спама по электронной почте, за которым последовали сеансы быстрой помощи при развертывании вредоносных программ, таких как DarkGate и Lumma Stealer, что свидетельствует об организованной тактике и устойчивости к обнаружению. Организациям рекомендуется внедрять многоуровневую систему безопасности, включая строгие политики RMM и расширенные конфигурации Microsoft Teams.
-----

В декабре 2024 года организация Orange Cyberdefense CyberSOC задокументировала серию кибератак, которые в первую очередь использовали тактику взлома электронной почты для установления контакта с жертвами, а затем использовали методы социальной инженерии с помощью Microsoft Teams. Этот метод связан с операторами-вымогателями Black Basta, которые все чаще используют вредоносное ПО DarkGate в качестве основного источника заражения после демонтажа серверов QBot в 2023 году. В этих инцидентах проявилась заметная закономерность, когда первое предупреждение обычно появлялось как уведомление Microsoft Defender для облачных приложений о подозрительных действиях команд, часто с использованием тактики олицетворения с отображаемыми именами, такими как "Менеджер службы поддержки"..

На начальных этапах атак наблюдался значительный рост количества спам-рассылок, в результате одного из зафиксированных инцидентов в течение получаса было отправлено около 200 спам-рассылок. Вскоре после этой атаки хакеры вступили в контакт с жертвами, чтобы организовать сеанс быстрой помощи для облегчения дальнейшей эксплуатации. Этот сеанс позволил получить защищенный паролем ZIP-архив, содержащий множество полезных вредоносных программ, в том числе DarkGate и Lumma Stealer, а также инструменты для сбора учетных данных.

Вредоносная программа DarkGate, запущенная вскоре после доставки ZIP-архива, установила устойчивость за счет внесения изменений в реестр и почти сразу же начала вести кейлоггинг. Ее операции по управлению (C2) включали многочисленные попытки подключения к различным доменам, что продемонстрировало устойчивость вредоносной программы к обнаружению и блокировке. Кроме того, злоумышленники предприняли значительные усилия для обхода механизмов защиты конечных точек, которые включали попытки повторной доставки с помощью различных средств, таких как PowerShell и другие скриптовые интерфейсы.

Lumma Stealer также присутствовал в полезных приложениях, но продемонстрировал ограниченные возможности из-за защиты окружающей среды, ограничивающей подключение к его C2, встроенному в профиль сообщества Steam. Злоумышленники также использовали инструмент под названием ScreenConnect для обеспечения повышенных привилегий, используя его функциональные возможности для запуска вредоносных скриптов незамеченными. Утечка сообщений между участниками Black Basta выявила скоординированный подход, включающий рассылку спама и социальную инженерию, что иллюстрирует организованную структуру атаки.

Для защиты от подобных атак организациям настоятельно рекомендуется внедрять многоуровневую стратегию безопасности, включающую строгие правила использования инструментов удаленного мониторинга и управления (RMM). В число рекомендаций входит настройка Microsoft Teams для ограничения взаимодействия с внешними пользователями и применение строгих белых списков для одобренных доменов. Кроме того, внедрение комплексных решений по обнаружению угроз и непрерывный мониторинг в сети организации необходимы для обнаружения атак и реагирования на них в режиме реального времени. Интеграция функций безопасности, таких как Microsoft Defender, на различных платформах может помочь в выявлении различных этапов цепочки кибератак, связанных с такими сложными методами атаки.

#ParsedReport #CompletenessLow
01-07-2025

Jasper Sleet: North Korean remote IT workers evolving tactics to infiltrate organizations

https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/

Report completeness: Low

Actors/Campaigns:
Famous_chollima (motivation: information_theft)
Moonstone_sleet
Storm-1877
Void_blizzard

Threats:
Teamviewer_tool
Anyviewer_tool
Anydesk_tool

Victims:
Us companies, Fortune 500 companies, Government agencies, Microsoft customers, Organizations globally

Industry:
Software_development, Telco, Government, Logistic, Transport, Financial

Geo:
Korea, Chinese, Russian, Russia, North korean, Korean, Dprk, China, North korea

ChatGPT TTPs:
do not use without manual check
T1021.001, T1059, T1070.004, T1071.001, T1078, T1082, T1087.002, T1110.003, T1136, T1199, have more...

IOCs:
File: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Faceswap, Astrill VPN, Twitter

Languages:
rust

Links:
https://github.com/ondyari/FaceForensics
have more...
https://github.com/jischell-msft/RemoteManagementMonitoringTools

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Удаленные ИТ-работники из Северной Кореи используют искусственный интеллект для улучшения своей работы, что позволяет красть данные и получать доход за счет мошеннических схем трудоустройства. Они создают поддельные удостоверения личности и используют VPN для проникновения в организации, получения доступа к конфиденциальным данным и вымогательства денег у работодателей. Корпорация Майкрософт рекомендует усовершенствовать процессы проверки и постоянного мониторинга для борьбы с этими внутренними угрозами.
-----

Северокорейские удаленные ИТ-работники используют искусственный интеллект для улучшения своих операций по краже данных и получению доходов. Они базируются в основном в Северной Корее, Китае и России и участвуют в мошеннических схемах трудоустройства в сфере ИТ. Эти работники скрывают свою личность, используя VPN, инструменты удаленного мониторинга и сообщников для создания поддельных личностей для выполнения функций, связанных с технологиями, по всему миру. Схема предусматривает систематическое трудоустройство на удаленные ИТ-должности с привязкой к географическому местоположению, часто с использованием украденных или сфабрикованных документов. Они используют инструменты искусственного интеллекта для манипулирования изображениями и программное обеспечение, изменяющее голос, чтобы вводить в заблуждение потенциальных работодателей во время собеседований. Их деятельность расширилась от американских технологических компаний до различных глобальных отраслей. Злоумышленники получают доступ к конфиденциальной интеллектуальной собственности и используют тактику принуждения для вымогательства денег у работодателей под угрозой раскрытия конфиденциальной информации. Сообщается, что в период с 2020 по 2022 год более 300 американских компаний, сами того не подозревая, наняли этих работников. Корпорация Майкрософт отслеживает наличие тревожных сигналов, таких как невозможность поездок, и тщательно изучает использование средств удаленного управления, чтобы нарушить эти операции. Они приостановили работу 3000 учетных записей Microsoft, связанных с подозрительными действиями. Организациям рекомендуется усовершенствовать процессы проверки сотрудников и обеспечить соблюдение протоколов безопасности, связанных со средствами удаленного управления. Постоянный мониторинг и обучение персонала необходимы для противодействия инсайдерским угрозам, исходящим от этих сложных операций.

#ParsedReport #CompletenessLow
02-07-2025

Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands

https://www.silentpush.com/blog/fake-marketplace/

Report completeness: Low

Actors/Campaigns:
Ghostvendors
Steal-it

Threats:
Hermes

Victims:
Apple, Harbor freight tools, Michael kors, Rei, Wayfair, Wrangler jeans, Mastercard, Paypal, Visa, Google pay, have more...

Industry:
Retail, Financial, E-commerce

Geo:
Chinese, Mexican, Kors, Spanish, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1566, T1584

IOCs:
Domain: 11

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании, нацеленной на потребителей во время "Горячей распродажи 2025", участвуют мошеннические веб-сайты, выдающие себя за крупных розничных продавцов, которые, вероятно, управляются хакерской группой из Китая. Эти сайты используют тактику обмана для сбора платежной информации и обеспечения безопасности онлайн-платежей, не доставляя товары после транзакции.
-----

Недавние расследования, проведенные аналитиками Silent Push Threat, выявили крупную фишинговую аферу в электронной коммерции, направленную против потребителей во время "Горячей распродажи 2025", мероприятия, аналогичного "Черной пятнице" в Соединенных Штатах. Эта кампания, первоначально организованная мексиканским журналистом Игнасио Гмесом Вильясеором, распространилась за пределы Мексики, выявив ряд мошеннических веб-сайтов, ориентированных как на англоговорящих, так и на испаноязычных клиентов по всему миру. Анализ показал, что хакерская группа, стоящая за этой операцией, скорее всего, родом из Китая, о чем свидетельствует обнаруженный в инфраструктуре кампании уникальный технический отпечаток, содержащий китайские иероглифы.

Выявленная сеть управляет тысячами вредоносных доменов, которые имитируют различные известные розничные и платежные бренды, включая такие крупные компании, как Apple, MasterCard, PayPal и Visa. Фишинговые веб-сайты имитируют настоящие розничные платформы, демонстрируя товары, которые, по-видимому, взяты с законных сайтов. Эти сайты используют обманную тактику, такую как имитация обработки платежей, которая ложно отображает таймер “зарезервированной корзины” и логотипы надежных платежных сервисов, чтобы завоевать доверие пользователей и извлечь конфиденциальную информацию, не вызывая подозрений.

Более того, хакеры используют методы обеспечения безопасности онлайн-платежей, предназначенные для защиты покупателей. Например, в своих мошеннических действиях они используют Google Pay, известный тем, что использует номера виртуальных кредитных карт. Хотя этот метод, как правило, обеспечивает высокий уровень безопасности, не раскрывая продавцам фактические данные кредитной карты, злоумышленники обходят эту защиту, просто не доставляя товары после завершения транзакции. Эта обманчивая практика позволяет им собирать платежную информацию, избегая прямой кражи данных кредитной карты.

В ходе исследования было обнаружено множество поддельных торговых площадок, пытающихся выдать себя за популярные бренды. Например, один мошеннический сайт имитировал Guitar Center, предлагая не связанные с ним детские аксессуары, в то время как другой выдавал себя за Nordstrom, используя вводящий в заблуждение URL. Несмотря на то, что некоторые веб-сайты были удалены при обнаружении, расследование показало, что тысячи этих вредоносных доменов остаются активными.

Аналитики по борьбе с угрозами Silent Push внимательно следят за этой продолжающейся фишинговой кампанией и планируют делиться обновлениями по мере появления новых разработок. Они также опубликовали пример своих индикаторов будущих атак (IOFATM), связанных с этой кампанией, чтобы поддержать усилия сообщества по защите от подобных мошенничеств.

#ParsedReport #CompletenessLow
02-07-2025

FIN8 Enhances Its Campaigns for Advanced Privilege Escalation

https://www.picussecurity.com/resource/blog/fin8-enhances-its-campaigns-for-advanced-privilege-escalation

Report completeness: Low

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Carbanak

Threats:
Sardonic
Ragnar_locker
Exocet_tool
Punchtrack
Badhatch_tool
White_rabbit_ransomware
Blackcat
Nltest_tool
Credential_harvesting_technique
Cobalt_strike_tool
Lolbin_technique
Gopurple_tool
Mimikatz_tool
Sharptoken_tool
Process_injection_technique
Process_hollowing_technique
Apc_injection_technique
Credential_dumping_technique
Anubis

Industry:
Retail, Financial, Entertainment, Chemical

TTPs:
Tactics: 7
Technics: 10

IOCs:
File: 8
Command: 7
Path: 3

Soft:
Windows security

Functions:
Remove-WmiObject, Windows

Win API:
RtlCreateUserThread

Win Services:
WebClient

Languages:
powershell