#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия программы-вымогателя DEVMAN напоминает DragonForce, используя ее модель RaaS с уникальными изменениями, усложняющими установление авторства. В ней используются такие методы, как проверка теневого копирования томов и выборочное шифрование расширений файлов, что указывает на оперативные связи с предыдущими платформами-вымогателями, такими как Conti.
-----

Недавние разработки в области программ-вымогателей выявили появление новых разновидностей, которые часто являются ответвлениями известных семейств. Одним из таких примеров является вариант, напоминающий программу-вымогателя DragonForce, но с отличительными чертами, указывающими на участие нового хакера под названием DEVMAN. Этот вариант, по-видимому, использует код DragonForce, привнося при этом уникальные черты, которые предполагают стратегическое отличие от его предшественника. Примечательно, что DEVMAN использовала в своей деятельности модель DragonForce "Программа-вымогатель как услуга" (RaaS), позволяющую аффилированным лицам создавать индивидуальные производные от оригинального вредоносного ПО.

В одном конкретном инциденте участники DragonForce опубликовали удаленный env-файл от цели на своем выделенном сайте утечек (DLS) в Tor, демонстрируя свою оперативную тактику. Вариант DEVMAN, который имеет сходство с DragonForce и который антивирусные системы часто ошибочно принимают за вариант Conti, демонстрирует уникальное измененное поведение, требующее более тщательного изучения. Вредоносная программа использует расширение файла .DEVMAN для зашифрованных данных, сохраняя при этом большую часть своей кодовой базы DragonForce, что затрудняет точную идентификацию. Несмотря на то, что вредоносные действия в основном происходят в автономном режиме без подключения к системе управления Observe (C2), были отмечены случаи проверки блокировки сообщений сервера (SMB).

Поведение варианта DEVMAN включает в себя несколько методов подписи; он проверяет наличие теневых копий томов и стратегически избегает шифрования определенных расширений файлов. Такая форма шифрования только заголовками позволяет вредоносному ПО быстро повреждать значительные объемы данных, хотя и в ущерб полноте. Кроме того, взаимодействие с диспетчером перезапуска Windows предполагает методический подход, отражающий возможные следы происхождения от платформы Conti, что свидетельствует о тенденции разработчиков вредоносных программ быстро удалять записи реестра, чтобы свести к минимуму криминалистические следы.

Мьютексы, используемые для координации выполнения, свидетельствуют о соблюдении установленных правил среди семейств программ-вымогателей, связывая поведение DEVMAN с его предшественниками. Это также демонстрирует потенциал для совершенствования операционной деятельности и показывает, как новые участники могут научиться применять тактику вымогателей. Сложности варианта DEVMAN сигнализируют о более широких тенденциях в экосистеме программ-вымогателей, где новые участники склонны повторно использовать и модифицировать существующие кодовые базы.

В конечном счете, хотя версия DEVMAN, возможно, и не отличается существенными инновациями по сравнению со своей предшественницей, ее операционные схемы и внедрение норм цифровой коммуникации отражают эволюционную динамику разработки программ-вымогателей. Запутанные характеристики этого вредоносного ПО подчеркивают трудности, с которыми сталкиваются аналитики в области безопасности при распознавании и устранении ранее не замеченных мутаций в программах-вымогателях, что требует использования надежных инструментов расследования, таких как интерактивные "песочницы", для более эффективного анализа угроз.

#ParsedReport #CompletenessMedium
01-07-2025

CyberSOC Insights: Identification and Tracking of a Black Basta-linked Attack Campaign

https://www.orangecyberdefense.com/global/blog/managed-detection-response/cybersoc-insights-identification-and-tracking-of-a-black-basta-linked-attack-campaign

Report completeness: Medium

Threats:
Blackbasta
Darkgate
Qakbot
Lumma_stealer
Email_bombing_technique
Microsoft_quick_assist_tool
Screenconnect_tool
Anydesk_tool
Process_injection_technique
Lolbin_technique
Teamviewer_tool

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1055, T1056.001, T1059.001, T1059.003, T1105, T1204.002, T1219, have more...

IOCs:
File: 29
Path: 4
Command: 2
Domain: 2
Url: 2

Soft:
Microsoft Teams, Microsoft Defender, curl, Steam, Office 365, Microsoft Defender for Endpoint

Algorithms:
zip

Functions:
count

Languages:
java, autoit, powershell

Links:
have more...
https://github.com/D4RK-R4BB1T/BlackBasta-Chats

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В декабре 2024 года операторы программ-вымогателей Black Basta осуществили кибератаки с использованием электронной почты и социальной инженерии с помощью Microsoft Teams, используя вредоносное ПО DarkGate для заражения. Атаки начались со значительного объема спама по электронной почте, за которым последовали сеансы быстрой помощи при развертывании вредоносных программ, таких как DarkGate и Lumma Stealer, что свидетельствует об организованной тактике и устойчивости к обнаружению. Организациям рекомендуется внедрять многоуровневую систему безопасности, включая строгие политики RMM и расширенные конфигурации Microsoft Teams.
-----

В декабре 2024 года организация Orange Cyberdefense CyberSOC задокументировала серию кибератак, которые в первую очередь использовали тактику взлома электронной почты для установления контакта с жертвами, а затем использовали методы социальной инженерии с помощью Microsoft Teams. Этот метод связан с операторами-вымогателями Black Basta, которые все чаще используют вредоносное ПО DarkGate в качестве основного источника заражения после демонтажа серверов QBot в 2023 году. В этих инцидентах проявилась заметная закономерность, когда первое предупреждение обычно появлялось как уведомление Microsoft Defender для облачных приложений о подозрительных действиях команд, часто с использованием тактики олицетворения с отображаемыми именами, такими как "Менеджер службы поддержки"..

На начальных этапах атак наблюдался значительный рост количества спам-рассылок, в результате одного из зафиксированных инцидентов в течение получаса было отправлено около 200 спам-рассылок. Вскоре после этой атаки хакеры вступили в контакт с жертвами, чтобы организовать сеанс быстрой помощи для облегчения дальнейшей эксплуатации. Этот сеанс позволил получить защищенный паролем ZIP-архив, содержащий множество полезных вредоносных программ, в том числе DarkGate и Lumma Stealer, а также инструменты для сбора учетных данных.

Вредоносная программа DarkGate, запущенная вскоре после доставки ZIP-архива, установила устойчивость за счет внесения изменений в реестр и почти сразу же начала вести кейлоггинг. Ее операции по управлению (C2) включали многочисленные попытки подключения к различным доменам, что продемонстрировало устойчивость вредоносной программы к обнаружению и блокировке. Кроме того, злоумышленники предприняли значительные усилия для обхода механизмов защиты конечных точек, которые включали попытки повторной доставки с помощью различных средств, таких как PowerShell и другие скриптовые интерфейсы.

Lumma Stealer также присутствовал в полезных приложениях, но продемонстрировал ограниченные возможности из-за защиты окружающей среды, ограничивающей подключение к его C2, встроенному в профиль сообщества Steam. Злоумышленники также использовали инструмент под названием ScreenConnect для обеспечения повышенных привилегий, используя его функциональные возможности для запуска вредоносных скриптов незамеченными. Утечка сообщений между участниками Black Basta выявила скоординированный подход, включающий рассылку спама и социальную инженерию, что иллюстрирует организованную структуру атаки.

Для защиты от подобных атак организациям настоятельно рекомендуется внедрять многоуровневую стратегию безопасности, включающую строгие правила использования инструментов удаленного мониторинга и управления (RMM). В число рекомендаций входит настройка Microsoft Teams для ограничения взаимодействия с внешними пользователями и применение строгих белых списков для одобренных доменов. Кроме того, внедрение комплексных решений по обнаружению угроз и непрерывный мониторинг в сети организации необходимы для обнаружения атак и реагирования на них в режиме реального времени. Интеграция функций безопасности, таких как Microsoft Defender, на различных платформах может помочь в выявлении различных этапов цепочки кибератак, связанных с такими сложными методами атаки.

#ParsedReport #CompletenessLow
01-07-2025

Jasper Sleet: North Korean remote IT workers evolving tactics to infiltrate organizations

https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/

Report completeness: Low

Actors/Campaigns:
Famous_chollima (motivation: information_theft)
Moonstone_sleet
Storm-1877
Void_blizzard

Threats:
Teamviewer_tool
Anyviewer_tool
Anydesk_tool

Victims:
Us companies, Fortune 500 companies, Government agencies, Microsoft customers, Organizations globally

Industry:
Software_development, Telco, Government, Logistic, Transport, Financial

Geo:
Korea, Chinese, Russian, Russia, North korean, Korean, Dprk, China, North korea

ChatGPT TTPs:
do not use without manual check
T1021.001, T1059, T1070.004, T1071.001, T1078, T1082, T1087.002, T1110.003, T1136, T1199, have more...

IOCs:
File: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Faceswap, Astrill VPN, Twitter

Languages:
rust

Links:
https://github.com/ondyari/FaceForensics
have more...
https://github.com/jischell-msft/RemoteManagementMonitoringTools

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Удаленные ИТ-работники из Северной Кореи используют искусственный интеллект для улучшения своей работы, что позволяет красть данные и получать доход за счет мошеннических схем трудоустройства. Они создают поддельные удостоверения личности и используют VPN для проникновения в организации, получения доступа к конфиденциальным данным и вымогательства денег у работодателей. Корпорация Майкрософт рекомендует усовершенствовать процессы проверки и постоянного мониторинга для борьбы с этими внутренними угрозами.
-----

Северокорейские удаленные ИТ-работники используют искусственный интеллект для улучшения своих операций по краже данных и получению доходов. Они базируются в основном в Северной Корее, Китае и России и участвуют в мошеннических схемах трудоустройства в сфере ИТ. Эти работники скрывают свою личность, используя VPN, инструменты удаленного мониторинга и сообщников для создания поддельных личностей для выполнения функций, связанных с технологиями, по всему миру. Схема предусматривает систематическое трудоустройство на удаленные ИТ-должности с привязкой к географическому местоположению, часто с использованием украденных или сфабрикованных документов. Они используют инструменты искусственного интеллекта для манипулирования изображениями и программное обеспечение, изменяющее голос, чтобы вводить в заблуждение потенциальных работодателей во время собеседований. Их деятельность расширилась от американских технологических компаний до различных глобальных отраслей. Злоумышленники получают доступ к конфиденциальной интеллектуальной собственности и используют тактику принуждения для вымогательства денег у работодателей под угрозой раскрытия конфиденциальной информации. Сообщается, что в период с 2020 по 2022 год более 300 американских компаний, сами того не подозревая, наняли этих работников. Корпорация Майкрософт отслеживает наличие тревожных сигналов, таких как невозможность поездок, и тщательно изучает использование средств удаленного управления, чтобы нарушить эти операции. Они приостановили работу 3000 учетных записей Microsoft, связанных с подозрительными действиями. Организациям рекомендуется усовершенствовать процессы проверки сотрудников и обеспечить соблюдение протоколов безопасности, связанных со средствами удаленного управления. Постоянный мониторинг и обучение персонала необходимы для противодействия инсайдерским угрозам, исходящим от этих сложных операций.

#ParsedReport #CompletenessLow
02-07-2025

Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands

https://www.silentpush.com/blog/fake-marketplace/

Report completeness: Low

Actors/Campaigns:
Ghostvendors
Steal-it

Threats:
Hermes

Victims:
Apple, Harbor freight tools, Michael kors, Rei, Wayfair, Wrangler jeans, Mastercard, Paypal, Visa, Google pay, have more...

Industry:
Retail, Financial, E-commerce

Geo:
Chinese, Mexican, Kors, Spanish, Mexico, China

ChatGPT TTPs:
do not use without manual check
T1566, T1584

IOCs:
Domain: 11

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании, нацеленной на потребителей во время "Горячей распродажи 2025", участвуют мошеннические веб-сайты, выдающие себя за крупных розничных продавцов, которые, вероятно, управляются хакерской группой из Китая. Эти сайты используют тактику обмана для сбора платежной информации и обеспечения безопасности онлайн-платежей, не доставляя товары после транзакции.
-----

Недавние расследования, проведенные аналитиками Silent Push Threat, выявили крупную фишинговую аферу в электронной коммерции, направленную против потребителей во время "Горячей распродажи 2025", мероприятия, аналогичного "Черной пятнице" в Соединенных Штатах. Эта кампания, первоначально организованная мексиканским журналистом Игнасио Гмесом Вильясеором, распространилась за пределы Мексики, выявив ряд мошеннических веб-сайтов, ориентированных как на англоговорящих, так и на испаноязычных клиентов по всему миру. Анализ показал, что хакерская группа, стоящая за этой операцией, скорее всего, родом из Китая, о чем свидетельствует обнаруженный в инфраструктуре кампании уникальный технический отпечаток, содержащий китайские иероглифы.

Выявленная сеть управляет тысячами вредоносных доменов, которые имитируют различные известные розничные и платежные бренды, включая такие крупные компании, как Apple, MasterCard, PayPal и Visa. Фишинговые веб-сайты имитируют настоящие розничные платформы, демонстрируя товары, которые, по-видимому, взяты с законных сайтов. Эти сайты используют обманную тактику, такую как имитация обработки платежей, которая ложно отображает таймер “зарезервированной корзины” и логотипы надежных платежных сервисов, чтобы завоевать доверие пользователей и извлечь конфиденциальную информацию, не вызывая подозрений.

Более того, хакеры используют методы обеспечения безопасности онлайн-платежей, предназначенные для защиты покупателей. Например, в своих мошеннических действиях они используют Google Pay, известный тем, что использует номера виртуальных кредитных карт. Хотя этот метод, как правило, обеспечивает высокий уровень безопасности, не раскрывая продавцам фактические данные кредитной карты, злоумышленники обходят эту защиту, просто не доставляя товары после завершения транзакции. Эта обманчивая практика позволяет им собирать платежную информацию, избегая прямой кражи данных кредитной карты.

В ходе исследования было обнаружено множество поддельных торговых площадок, пытающихся выдать себя за популярные бренды. Например, один мошеннический сайт имитировал Guitar Center, предлагая не связанные с ним детские аксессуары, в то время как другой выдавал себя за Nordstrom, используя вводящий в заблуждение URL. Несмотря на то, что некоторые веб-сайты были удалены при обнаружении, расследование показало, что тысячи этих вредоносных доменов остаются активными.

Аналитики по борьбе с угрозами Silent Push внимательно следят за этой продолжающейся фишинговой кампанией и планируют делиться обновлениями по мере появления новых разработок. Они также опубликовали пример своих индикаторов будущих атак (IOFATM), связанных с этой кампанией, чтобы поддержать усилия сообщества по защите от подобных мошенничеств.

#ParsedReport #CompletenessLow
02-07-2025

FIN8 Enhances Its Campaigns for Advanced Privilege Escalation

https://www.picussecurity.com/resource/blog/fin8-enhances-its-campaigns-for-advanced-privilege-escalation

Report completeness: Low

Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Carbanak

Threats:
Sardonic
Ragnar_locker
Exocet_tool
Punchtrack
Badhatch_tool
White_rabbit_ransomware
Blackcat
Nltest_tool
Credential_harvesting_technique
Cobalt_strike_tool
Lolbin_technique
Gopurple_tool
Mimikatz_tool
Sharptoken_tool
Process_injection_technique
Process_hollowing_technique
Apc_injection_technique
Credential_dumping_technique
Anubis

Industry:
Retail, Financial, Entertainment, Chemical

TTPs:
Tactics: 7
Technics: 10

IOCs:
File: 8
Command: 7
Path: 3

Soft:
Windows security

Functions:
Remove-WmiObject, Windows

Win API:
RtlCreateUserThread

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FIN8 - это группа APT, известная своей развивающейся тактикой, использующая модульное вредоносное ПО и такие инструменты, как Sardonic и Exocet, для развертывания программ-вымогателей и повышения привилегий. Их методы включают в себя выполнение без использования файлов с помощью PowerShell, внедрение процессов и WMI для обеспечения постоянства, что делает акцент на скрытности и адаптивности, позволяющих избежать механизмов обнаружения.
-----

FIN8 - это финансово мотивированная APT-группа, которая работает с 2016 года. Изначально ее тактика была сосредоточена на взломах торговых точек (POS), но со временем она эволюционировала и включила в себя сложный арсенал модульных вредоносных программ и методов их внедрения с целью вымогательства. В последнее время внимание группы значительно сместилось в сторону использования таких инструментов, как Sardonic (также известный как Ragnar Loader) и Exocet, что расширяет их возможности по повышению привилегий, обходу средств защиты и поддержанию долгосрочного доступа. Sardonic служит в качестве бэкдора, поддерживающего функциональность плагинов, позволяя FIN8 предоставлять различную полезную нагрузку и участвовать в операциях с двойным вымогательством, таких как BlackCat /ALPHV и White Rabbit.

Подход FIN8 делает упор на скрытность и адаптивность, используя общие инструменты администрирования, которые позволяют легко адаптироваться к целевым средам. Они используют такие методы, как внедрение зашифрованного шеллкода в надежные процессы, использование инструментария управления Windows (WMI) для создания постоянных подписок на события и косвенное выполнение команд. Их атаки обычно начинаются с разведки и сбора учетных данных, а завершаются развертыванием программ-вымогателей. Ключевым моментом в их работе является использование PowerShell для выполнения без использования файлов, что позволяет им избегать прямой записи полезной нагрузки на диск, тем самым обходя традиционные механизмы обнаружения. В обычном сценарии FIN8 создает облегченные этапы, которые подключают исходящие данные, вызывая запутанный код PowerShell, выполняемый в памяти, что усложняет усилия по обнаружению.

Отличительной чертой FIN8 является их стратегическое терпение, они часто совершенствуют свои методологии с течением времени. Примечательно, что они следят за своими кампаниями, делая паузы для улучшения инфраструктуры и инструментов. Например, Sardonic был переписан на C, чтобы снизить вероятность обнаружения, демонстрируя их акцент на уклончивые модульные операции, а не на простую тактику вторжения. Группа известна тем, что использует такие методы, как подписка на события WMI для скрытого сохранения, что позволяет им автоматически выполнять полезную нагрузку при определенных системных событиях, что еще больше снижает видимость их действий.

Более того, FIN8 использует передовые технологии внедрения в процессы, в том числе очереди APC Early Bird, чтобы обойти меры безопасности, помещая вредоносный код в очередь до того, как законный процесс начнет выполняться. Они используют манипуляции с токенами, чтобы незаметно повысить свои привилегии, не прибегая к обычным эксплойтам. FIN8 часто в значительной степени полагается на обфускированные версии таких инструментов, как Mimikatz, для кражи учетных данных, и они используют зашифрованную полезную нагрузку, чтобы свести к минимуму видимость для защиты конечных точек.

Платформа проверки безопасности Picus уже упоминалась для моделирования угроз, подобных FIN8, путем эмуляции определенных тактик, методов и процедур (TTP) для проверки защиты организации от таких сложных угроз. Это включает в себя выполнение кода без использования файлов и внедрение в память, что помогает выявлять бреши в системе безопасности до того, как злоумышленники смогут ими воспользоваться. В целом, угрозы, исходящие от FIN8, представляют собой серьезную проблему для организаций, требующую бдительной и адаптивной системы безопасности для эффективного противодействия угрозам на уровне APT.

#ParsedReport #CompletenessMedium
02-07-2025

macOS NimDoor \| DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware

https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/

Report completeness: Medium

Threats:
Nimdoor
Process_injection_technique
Netchk_tool
Corekitagent

Victims:
Web3 startup, Crypto-related businesses, Web3 and crypto organizations

Geo:
Korea, North korean, Dprk

ChatGPT TTPs:
do not use without manual check
T1020, T1024, T1027, T1036.005, T1055, T1059.002, T1059.004, T1070.004, T1071.001, T1105, have more...

IOCs:
Domain: 6
Url: 1
Hash: 22

Soft:
macOS, Telegram, Zoom, curl, Firefox, Google Chrome, Microsoft Edge, Unix

Algorithms:
pbkdf2, sha1, base64, xor, rc4, cbc, aes

Functions:
setCwd, getCwd, getSysInfo, uploadData, mach_absolute_time, mach_timebase_info, CoreKitAgent

Win API:
Arc

Win Services:
bits

Languages:
applescript, objective_c, rust

Platforms:
cross-platform, arm, apple

Links:
https://github.com/nim-lang/Nim/blob/version-2-2/lib/pure/osproc.nim#L1

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакеры из КНДР используют двоичные файлы, скомпилированные с помощью Nim, и многоэтапные цепочки атак на Web3 и криптографические компании, используя специфичные для macOS методы, такие как внедрение процессов. Их вредоносное ПО обеспечивает сохраняемость с помощью уникальных обработчиков сигналов и взаимодействует через защищенные веб-сокеты, используя AppleScripts для первоначального доступа и фильтрации данных, включая извлечение учетных данных из связки ключей macOS.
-----

Хакеры из КНДР разработали сложную кампанию атак на Web3 и предприятия, связанные с криптографией, которые используют двоичные файлы, скомпилированные с помощью Nim, и различные многоэтапные цепочки атак. Их подход особенно примечателен тем, что в системах macOS используется внедрение процессов, что редко встречается в вредоносных программах, нацеленных на эту платформу. Злоумышленники используют зашифрованную удаленную связь через wss, защищенный протокол WebSocket, и внедрили уникальный механизм сохранения, который использует обработчики сигналов SIGINT/SIGTERM, что позволяет им сохранять сохранение, даже если вредоносное ПО будет удалено или система перезагрузится.

В основе их тактики лежит использование AppleScripts как для первоначального доступа, так и для последующей атаки в качестве легких маяков и бэкдоров. Злоумышленники используют скрипты Bash, предназначенные для извлечения конфиденциальных учетных данных из связки ключей macOS, данных браузера и пользовательской информации Telegram. На начальном этапе атак обычно используется стратегия социальной инженерии, при которой цели выдаются за пользователей Telegram и заманиваются для запуска вредоносного AppleScript, замаскированного под "сценарий обновления Zoom SDK". Этот скрипт сильно запутан и извлекает дополнительные скрипты с сервера управления (C2), выполняя основную функциональность вредоносного ПО.

В кампаниях используются различные языки программирования, в частности AppleScript, C++ и Nim. После первоначального запуска исполняемый файл Mach-O, скомпилированный на C++, записывает зашифрованную полезную информацию на диск, после чего загружаются сценарии Bash для фильтрации данных. Исполняемые файлы на основе Nim обеспечивают постоянство работы, удаляя дополнительные компоненты, которые обеспечивают долгосрочный доступ злоумышленников. Первый зараженный двоичный файл, в котором используется технология process injection, взаимодействует с C2 через wss, используя структурированный формат сообщений JSON, что позволяет ему отправлять и получать команды вместе с результатами выполнения.

Один из ключевых компонентов, CoreKitAgent, использует передовые стратегии обфускации, включая процедуры многоходового шифрования, что затрудняет аналитикам немедленное выявление вредоносных намерений. Способность вредоносного ПО реагировать на системные сигналы и выполнять действия асинхронно обеспечивает устойчивость к попыткам его уничтожения. Кроме того, вредоносная программа использует встроенный AppleScript, который периодически передает данные на серверы C2, что повышает ее скрытность во время операций.

#ParsedReport #CompletenessLow
02-07-2025

2025-06-29 - Supper is served

https://c-b.io/2025-06-29+-+Supper+is+served

Report completeness: Low

Actors/Campaigns:
Vice_society

Threats:
Supper_backdoor
Xorist
Interlock
Revshell_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1059.003, T1070.004, T1071.001, T1090.002, T1219, T1547.001

IOCs:
Path: 3
File: 9
IP: 3
Command: 1
Hash: 1

Algorithms:
xor

Functions:
rand

Win API:
LoadLibrary, FreeLibrary, WSAStartup, GetModuleFileNameA, WriteFile

Platforms:
x64

Links:
https://github.com/horsicq/Detect-It-Easy
https://github.com/AptAmoeba

#ParsedReport #GeneratedSchema
Generated with GPT-4