#ParsedReport #CompletenessMedium
01-07-2025
CyberSOC Insights: Identification and Tracking of a Black Basta-linked Attack Campaign
https://www.orangecyberdefense.com/global/blog/managed-detection-response/cybersoc-insights-identification-and-tracking-of-a-black-basta-linked-attack-campaign
Report completeness: Medium
Threats:
Blackbasta
Darkgate
Qakbot
Lumma_stealer
Email_bombing_technique
Microsoft_quick_assist_tool
Screenconnect_tool
Anydesk_tool
Process_injection_technique
Lolbin_technique
Teamviewer_tool
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036.005, T1041, T1055, T1056.001, T1059.001, T1059.003, T1105, T1204.002, T1219, have more...
IOCs:
File: 29
Path: 4
Command: 2
Domain: 2
Url: 2
Soft:
Microsoft Teams, Microsoft Defender, curl, Steam, Office 365, Microsoft Defender for Endpoint
Algorithms:
zip
Functions:
count
Languages:
java, autoit, powershell
Links:
have more...
01-07-2025
CyberSOC Insights: Identification and Tracking of a Black Basta-linked Attack Campaign
https://www.orangecyberdefense.com/global/blog/managed-detection-response/cybersoc-insights-identification-and-tracking-of-a-black-basta-linked-attack-campaign
Report completeness: Medium
Threats:
Blackbasta
Darkgate
Qakbot
Lumma_stealer
Email_bombing_technique
Microsoft_quick_assist_tool
Screenconnect_tool
Anydesk_tool
Process_injection_technique
Lolbin_technique
Teamviewer_tool
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036.005, T1041, T1055, T1056.001, T1059.001, T1059.003, T1105, T1204.002, T1219, have more...
IOCs:
File: 29
Path: 4
Command: 2
Domain: 2
Url: 2
Soft:
Microsoft Teams, Microsoft Defender, curl, Steam, Office 365, Microsoft Defender for Endpoint
Algorithms:
zip
Functions:
count
Languages:
java, autoit, powershell
Links:
have more...
https://github.com/D4RK-R4BB1T/BlackBasta-Chats
CTT Report Hub
#ParsedReport #CompletenessMedium 01-07-2025 CyberSOC Insights: Identification and Tracking of a Black Basta-linked Attack Campaign https://www.orangecyberdefense.com/global/blog/managed-detection-response/cybersoc-insights-identification-and-tracking-of…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В декабре 2024 года операторы программ-вымогателей Black Basta осуществили кибератаки с использованием электронной почты и социальной инженерии с помощью Microsoft Teams, используя вредоносное ПО DarkGate для заражения. Атаки начались со значительного объема спама по электронной почте, за которым последовали сеансы быстрой помощи при развертывании вредоносных программ, таких как DarkGate и Lumma Stealer, что свидетельствует об организованной тактике и устойчивости к обнаружению. Организациям рекомендуется внедрять многоуровневую систему безопасности, включая строгие политики RMM и расширенные конфигурации Microsoft Teams.
-----
В декабре 2024 года организация Orange Cyberdefense CyberSOC задокументировала серию кибератак, которые в первую очередь использовали тактику взлома электронной почты для установления контакта с жертвами, а затем использовали методы социальной инженерии с помощью Microsoft Teams. Этот метод связан с операторами-вымогателями Black Basta, которые все чаще используют вредоносное ПО DarkGate в качестве основного источника заражения после демонтажа серверов QBot в 2023 году. В этих инцидентах проявилась заметная закономерность, когда первое предупреждение обычно появлялось как уведомление Microsoft Defender для облачных приложений о подозрительных действиях команд, часто с использованием тактики олицетворения с отображаемыми именами, такими как "Менеджер службы поддержки"..
На начальных этапах атак наблюдался значительный рост количества спам-рассылок, в результате одного из зафиксированных инцидентов в течение получаса было отправлено около 200 спам-рассылок. Вскоре после этой атаки хакеры вступили в контакт с жертвами, чтобы организовать сеанс быстрой помощи для облегчения дальнейшей эксплуатации. Этот сеанс позволил получить защищенный паролем ZIP-архив, содержащий множество полезных вредоносных программ, в том числе DarkGate и Lumma Stealer, а также инструменты для сбора учетных данных.
Вредоносная программа DarkGate, запущенная вскоре после доставки ZIP-архива, установила устойчивость за счет внесения изменений в реестр и почти сразу же начала вести кейлоггинг. Ее операции по управлению (C2) включали многочисленные попытки подключения к различным доменам, что продемонстрировало устойчивость вредоносной программы к обнаружению и блокировке. Кроме того, злоумышленники предприняли значительные усилия для обхода механизмов защиты конечных точек, которые включали попытки повторной доставки с помощью различных средств, таких как PowerShell и другие скриптовые интерфейсы.
Lumma Stealer также присутствовал в полезных приложениях, но продемонстрировал ограниченные возможности из-за защиты окружающей среды, ограничивающей подключение к его C2, встроенному в профиль сообщества Steam. Злоумышленники также использовали инструмент под названием ScreenConnect для обеспечения повышенных привилегий, используя его функциональные возможности для запуска вредоносных скриптов незамеченными. Утечка сообщений между участниками Black Basta выявила скоординированный подход, включающий рассылку спама и социальную инженерию, что иллюстрирует организованную структуру атаки.
Для защиты от подобных атак организациям настоятельно рекомендуется внедрять многоуровневую стратегию безопасности, включающую строгие правила использования инструментов удаленного мониторинга и управления (RMM). В число рекомендаций входит настройка Microsoft Teams для ограничения взаимодействия с внешними пользователями и применение строгих белых списков для одобренных доменов. Кроме того, внедрение комплексных решений по обнаружению угроз и непрерывный мониторинг в сети организации необходимы для обнаружения атак и реагирования на них в режиме реального времени. Интеграция функций безопасности, таких как Microsoft Defender, на различных платформах может помочь в выявлении различных этапов цепочки кибератак, связанных с такими сложными методами атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В декабре 2024 года операторы программ-вымогателей Black Basta осуществили кибератаки с использованием электронной почты и социальной инженерии с помощью Microsoft Teams, используя вредоносное ПО DarkGate для заражения. Атаки начались со значительного объема спама по электронной почте, за которым последовали сеансы быстрой помощи при развертывании вредоносных программ, таких как DarkGate и Lumma Stealer, что свидетельствует об организованной тактике и устойчивости к обнаружению. Организациям рекомендуется внедрять многоуровневую систему безопасности, включая строгие политики RMM и расширенные конфигурации Microsoft Teams.
-----
В декабре 2024 года организация Orange Cyberdefense CyberSOC задокументировала серию кибератак, которые в первую очередь использовали тактику взлома электронной почты для установления контакта с жертвами, а затем использовали методы социальной инженерии с помощью Microsoft Teams. Этот метод связан с операторами-вымогателями Black Basta, которые все чаще используют вредоносное ПО DarkGate в качестве основного источника заражения после демонтажа серверов QBot в 2023 году. В этих инцидентах проявилась заметная закономерность, когда первое предупреждение обычно появлялось как уведомление Microsoft Defender для облачных приложений о подозрительных действиях команд, часто с использованием тактики олицетворения с отображаемыми именами, такими как "Менеджер службы поддержки"..
На начальных этапах атак наблюдался значительный рост количества спам-рассылок, в результате одного из зафиксированных инцидентов в течение получаса было отправлено около 200 спам-рассылок. Вскоре после этой атаки хакеры вступили в контакт с жертвами, чтобы организовать сеанс быстрой помощи для облегчения дальнейшей эксплуатации. Этот сеанс позволил получить защищенный паролем ZIP-архив, содержащий множество полезных вредоносных программ, в том числе DarkGate и Lumma Stealer, а также инструменты для сбора учетных данных.
Вредоносная программа DarkGate, запущенная вскоре после доставки ZIP-архива, установила устойчивость за счет внесения изменений в реестр и почти сразу же начала вести кейлоггинг. Ее операции по управлению (C2) включали многочисленные попытки подключения к различным доменам, что продемонстрировало устойчивость вредоносной программы к обнаружению и блокировке. Кроме того, злоумышленники предприняли значительные усилия для обхода механизмов защиты конечных точек, которые включали попытки повторной доставки с помощью различных средств, таких как PowerShell и другие скриптовые интерфейсы.
Lumma Stealer также присутствовал в полезных приложениях, но продемонстрировал ограниченные возможности из-за защиты окружающей среды, ограничивающей подключение к его C2, встроенному в профиль сообщества Steam. Злоумышленники также использовали инструмент под названием ScreenConnect для обеспечения повышенных привилегий, используя его функциональные возможности для запуска вредоносных скриптов незамеченными. Утечка сообщений между участниками Black Basta выявила скоординированный подход, включающий рассылку спама и социальную инженерию, что иллюстрирует организованную структуру атаки.
Для защиты от подобных атак организациям настоятельно рекомендуется внедрять многоуровневую стратегию безопасности, включающую строгие правила использования инструментов удаленного мониторинга и управления (RMM). В число рекомендаций входит настройка Microsoft Teams для ограничения взаимодействия с внешними пользователями и применение строгих белых списков для одобренных доменов. Кроме того, внедрение комплексных решений по обнаружению угроз и непрерывный мониторинг в сети организации необходимы для обнаружения атак и реагирования на них в режиме реального времени. Интеграция функций безопасности, таких как Microsoft Defender, на различных платформах может помочь в выявлении различных этапов цепочки кибератак, связанных с такими сложными методами атаки.
#ParsedReport #CompletenessLow
01-07-2025
Jasper Sleet: North Korean remote IT workers evolving tactics to infiltrate organizations
https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/
Report completeness: Low
Actors/Campaigns:
Famous_chollima (motivation: information_theft)
Moonstone_sleet
Storm-1877
Void_blizzard
Threats:
Teamviewer_tool
Anyviewer_tool
Anydesk_tool
Victims:
Us companies, Fortune 500 companies, Government agencies, Microsoft customers, Organizations globally
Industry:
Software_development, Telco, Government, Logistic, Transport, Financial
Geo:
Korea, Chinese, Russian, Russia, North korean, Korean, Dprk, China, North korea
ChatGPT TTPs:
T1021.001, T1059, T1070.004, T1071.001, T1078, T1082, T1087.002, T1110.003, T1136, T1199, have more...
IOCs:
File: 1
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Faceswap, Astrill VPN, Twitter
Languages:
rust
Links:
have more...
01-07-2025
Jasper Sleet: North Korean remote IT workers evolving tactics to infiltrate organizations
https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate-organizations/
Report completeness: Low
Actors/Campaigns:
Famous_chollima (motivation: information_theft)
Moonstone_sleet
Storm-1877
Void_blizzard
Threats:
Teamviewer_tool
Anyviewer_tool
Anydesk_tool
Victims:
Us companies, Fortune 500 companies, Government agencies, Microsoft customers, Organizations globally
Industry:
Software_development, Telco, Government, Logistic, Transport, Financial
Geo:
Korea, Chinese, Russian, Russia, North korean, Korean, Dprk, China, North korea
ChatGPT TTPs:
do not use without manual checkT1021.001, T1059, T1070.004, T1071.001, T1078, T1082, T1087.002, T1110.003, T1136, T1199, have more...
IOCs:
File: 1
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Telegram, Faceswap, Astrill VPN, Twitter
Languages:
rust
Links:
https://github.com/ondyari/FaceForensicshave more...
https://github.com/jischell-msft/RemoteManagementMonitoringToolsMicrosoft News
Jasper Sleet: North Korean remote IT workers’ evolving tactics to infiltrate organizations
Since 2024, Microsoft Threat Intelligence has observed remote IT workers deployed by North Korea leveraging AI to improve the scale and sophistication of their operations, steal data, and generate revenue for the North Korean government.
CTT Report Hub
#ParsedReport #CompletenessLow 01-07-2025 Jasper Sleet: North Korean remote IT workers evolving tactics to infiltrate organizations https://www.microsoft.com/en-us/security/blog/2025/06/30/jasper-sleet-north-korean-remote-it-workers-evolving-tactics-to-infiltrate…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Удаленные ИТ-работники из Северной Кореи используют искусственный интеллект для улучшения своей работы, что позволяет красть данные и получать доход за счет мошеннических схем трудоустройства. Они создают поддельные удостоверения личности и используют VPN для проникновения в организации, получения доступа к конфиденциальным данным и вымогательства денег у работодателей. Корпорация Майкрософт рекомендует усовершенствовать процессы проверки и постоянного мониторинга для борьбы с этими внутренними угрозами.
-----
Северокорейские удаленные ИТ-работники используют искусственный интеллект для улучшения своих операций по краже данных и получению доходов. Они базируются в основном в Северной Корее, Китае и России и участвуют в мошеннических схемах трудоустройства в сфере ИТ. Эти работники скрывают свою личность, используя VPN, инструменты удаленного мониторинга и сообщников для создания поддельных личностей для выполнения функций, связанных с технологиями, по всему миру. Схема предусматривает систематическое трудоустройство на удаленные ИТ-должности с привязкой к географическому местоположению, часто с использованием украденных или сфабрикованных документов. Они используют инструменты искусственного интеллекта для манипулирования изображениями и программное обеспечение, изменяющее голос, чтобы вводить в заблуждение потенциальных работодателей во время собеседований. Их деятельность расширилась от американских технологических компаний до различных глобальных отраслей. Злоумышленники получают доступ к конфиденциальной интеллектуальной собственности и используют тактику принуждения для вымогательства денег у работодателей под угрозой раскрытия конфиденциальной информации. Сообщается, что в период с 2020 по 2022 год более 300 американских компаний, сами того не подозревая, наняли этих работников. Корпорация Майкрософт отслеживает наличие тревожных сигналов, таких как невозможность поездок, и тщательно изучает использование средств удаленного управления, чтобы нарушить эти операции. Они приостановили работу 3000 учетных записей Microsoft, связанных с подозрительными действиями. Организациям рекомендуется усовершенствовать процессы проверки сотрудников и обеспечить соблюдение протоколов безопасности, связанных со средствами удаленного управления. Постоянный мониторинг и обучение персонала необходимы для противодействия инсайдерским угрозам, исходящим от этих сложных операций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Удаленные ИТ-работники из Северной Кореи используют искусственный интеллект для улучшения своей работы, что позволяет красть данные и получать доход за счет мошеннических схем трудоустройства. Они создают поддельные удостоверения личности и используют VPN для проникновения в организации, получения доступа к конфиденциальным данным и вымогательства денег у работодателей. Корпорация Майкрософт рекомендует усовершенствовать процессы проверки и постоянного мониторинга для борьбы с этими внутренними угрозами.
-----
Северокорейские удаленные ИТ-работники используют искусственный интеллект для улучшения своих операций по краже данных и получению доходов. Они базируются в основном в Северной Корее, Китае и России и участвуют в мошеннических схемах трудоустройства в сфере ИТ. Эти работники скрывают свою личность, используя VPN, инструменты удаленного мониторинга и сообщников для создания поддельных личностей для выполнения функций, связанных с технологиями, по всему миру. Схема предусматривает систематическое трудоустройство на удаленные ИТ-должности с привязкой к географическому местоположению, часто с использованием украденных или сфабрикованных документов. Они используют инструменты искусственного интеллекта для манипулирования изображениями и программное обеспечение, изменяющее голос, чтобы вводить в заблуждение потенциальных работодателей во время собеседований. Их деятельность расширилась от американских технологических компаний до различных глобальных отраслей. Злоумышленники получают доступ к конфиденциальной интеллектуальной собственности и используют тактику принуждения для вымогательства денег у работодателей под угрозой раскрытия конфиденциальной информации. Сообщается, что в период с 2020 по 2022 год более 300 американских компаний, сами того не подозревая, наняли этих работников. Корпорация Майкрософт отслеживает наличие тревожных сигналов, таких как невозможность поездок, и тщательно изучает использование средств удаленного управления, чтобы нарушить эти операции. Они приостановили работу 3000 учетных записей Microsoft, связанных с подозрительными действиями. Организациям рекомендуется усовершенствовать процессы проверки сотрудников и обеспечить соблюдение протоколов безопасности, связанных со средствами удаленного управления. Постоянный мониторинг и обучение персонала необходимы для противодействия инсайдерским угрозам, исходящим от этих сложных операций.
#ParsedReport #CompletenessLow
02-07-2025
Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands
https://www.silentpush.com/blog/fake-marketplace/
Report completeness: Low
Actors/Campaigns:
Ghostvendors
Steal-it
Threats:
Hermes
Victims:
Apple, Harbor freight tools, Michael kors, Rei, Wayfair, Wrangler jeans, Mastercard, Paypal, Visa, Google pay, have more...
Industry:
Retail, Financial, E-commerce
Geo:
Chinese, Mexican, Kors, Spanish, Mexico, China
ChatGPT TTPs:
T1566, T1584
IOCs:
Domain: 11
Platforms:
apple
02-07-2025
Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands
https://www.silentpush.com/blog/fake-marketplace/
Report completeness: Low
Actors/Campaigns:
Ghostvendors
Steal-it
Threats:
Hermes
Victims:
Apple, Harbor freight tools, Michael kors, Rei, Wayfair, Wrangler jeans, Mastercard, Paypal, Visa, Google pay, have more...
Industry:
Retail, Financial, E-commerce
Geo:
Chinese, Mexican, Kors, Spanish, Mexico, China
ChatGPT TTPs:
do not use without manual checkT1566, T1584
IOCs:
Domain: 11
Platforms:
apple
Silent Push
Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail…
Silent Push uncovered a fake marketplace e-commerce phishing campaign using thousands of websites to spoof popular retail brands
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2025 Silent Push Uncovers Chinese Fake Marketplace e-Commerce Phishing Campaign Using Thousands of Websites to Spoof Popular Retail Brands https://www.silentpush.com/blog/fake-marketplace/ Report completeness: Low …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В фишинговой кампании, нацеленной на потребителей во время "Горячей распродажи 2025", участвуют мошеннические веб-сайты, выдающие себя за крупных розничных продавцов, которые, вероятно, управляются хакерской группой из Китая. Эти сайты используют тактику обмана для сбора платежной информации и обеспечения безопасности онлайн-платежей, не доставляя товары после транзакции.
-----
Недавние расследования, проведенные аналитиками Silent Push Threat, выявили крупную фишинговую аферу в электронной коммерции, направленную против потребителей во время "Горячей распродажи 2025", мероприятия, аналогичного "Черной пятнице" в Соединенных Штатах. Эта кампания, первоначально организованная мексиканским журналистом Игнасио Гмесом Вильясеором, распространилась за пределы Мексики, выявив ряд мошеннических веб-сайтов, ориентированных как на англоговорящих, так и на испаноязычных клиентов по всему миру. Анализ показал, что хакерская группа, стоящая за этой операцией, скорее всего, родом из Китая, о чем свидетельствует обнаруженный в инфраструктуре кампании уникальный технический отпечаток, содержащий китайские иероглифы.
Выявленная сеть управляет тысячами вредоносных доменов, которые имитируют различные известные розничные и платежные бренды, включая такие крупные компании, как Apple, MasterCard, PayPal и Visa. Фишинговые веб-сайты имитируют настоящие розничные платформы, демонстрируя товары, которые, по-видимому, взяты с законных сайтов. Эти сайты используют обманную тактику, такую как имитация обработки платежей, которая ложно отображает таймер “зарезервированной корзины” и логотипы надежных платежных сервисов, чтобы завоевать доверие пользователей и извлечь конфиденциальную информацию, не вызывая подозрений.
Более того, хакеры используют методы обеспечения безопасности онлайн-платежей, предназначенные для защиты покупателей. Например, в своих мошеннических действиях они используют Google Pay, известный тем, что использует номера виртуальных кредитных карт. Хотя этот метод, как правило, обеспечивает высокий уровень безопасности, не раскрывая продавцам фактические данные кредитной карты, злоумышленники обходят эту защиту, просто не доставляя товары после завершения транзакции. Эта обманчивая практика позволяет им собирать платежную информацию, избегая прямой кражи данных кредитной карты.
В ходе исследования было обнаружено множество поддельных торговых площадок, пытающихся выдать себя за популярные бренды. Например, один мошеннический сайт имитировал Guitar Center, предлагая не связанные с ним детские аксессуары, в то время как другой выдавал себя за Nordstrom, используя вводящий в заблуждение URL. Несмотря на то, что некоторые веб-сайты были удалены при обнаружении, расследование показало, что тысячи этих вредоносных доменов остаются активными.
Аналитики по борьбе с угрозами Silent Push внимательно следят за этой продолжающейся фишинговой кампанией и планируют делиться обновлениями по мере появления новых разработок. Они также опубликовали пример своих индикаторов будущих атак (IOFATM), связанных с этой кампанией, чтобы поддержать усилия сообщества по защите от подобных мошенничеств.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В фишинговой кампании, нацеленной на потребителей во время "Горячей распродажи 2025", участвуют мошеннические веб-сайты, выдающие себя за крупных розничных продавцов, которые, вероятно, управляются хакерской группой из Китая. Эти сайты используют тактику обмана для сбора платежной информации и обеспечения безопасности онлайн-платежей, не доставляя товары после транзакции.
-----
Недавние расследования, проведенные аналитиками Silent Push Threat, выявили крупную фишинговую аферу в электронной коммерции, направленную против потребителей во время "Горячей распродажи 2025", мероприятия, аналогичного "Черной пятнице" в Соединенных Штатах. Эта кампания, первоначально организованная мексиканским журналистом Игнасио Гмесом Вильясеором, распространилась за пределы Мексики, выявив ряд мошеннических веб-сайтов, ориентированных как на англоговорящих, так и на испаноязычных клиентов по всему миру. Анализ показал, что хакерская группа, стоящая за этой операцией, скорее всего, родом из Китая, о чем свидетельствует обнаруженный в инфраструктуре кампании уникальный технический отпечаток, содержащий китайские иероглифы.
Выявленная сеть управляет тысячами вредоносных доменов, которые имитируют различные известные розничные и платежные бренды, включая такие крупные компании, как Apple, MasterCard, PayPal и Visa. Фишинговые веб-сайты имитируют настоящие розничные платформы, демонстрируя товары, которые, по-видимому, взяты с законных сайтов. Эти сайты используют обманную тактику, такую как имитация обработки платежей, которая ложно отображает таймер “зарезервированной корзины” и логотипы надежных платежных сервисов, чтобы завоевать доверие пользователей и извлечь конфиденциальную информацию, не вызывая подозрений.
Более того, хакеры используют методы обеспечения безопасности онлайн-платежей, предназначенные для защиты покупателей. Например, в своих мошеннических действиях они используют Google Pay, известный тем, что использует номера виртуальных кредитных карт. Хотя этот метод, как правило, обеспечивает высокий уровень безопасности, не раскрывая продавцам фактические данные кредитной карты, злоумышленники обходят эту защиту, просто не доставляя товары после завершения транзакции. Эта обманчивая практика позволяет им собирать платежную информацию, избегая прямой кражи данных кредитной карты.
В ходе исследования было обнаружено множество поддельных торговых площадок, пытающихся выдать себя за популярные бренды. Например, один мошеннический сайт имитировал Guitar Center, предлагая не связанные с ним детские аксессуары, в то время как другой выдавал себя за Nordstrom, используя вводящий в заблуждение URL. Несмотря на то, что некоторые веб-сайты были удалены при обнаружении, расследование показало, что тысячи этих вредоносных доменов остаются активными.
Аналитики по борьбе с угрозами Silent Push внимательно следят за этой продолжающейся фишинговой кампанией и планируют делиться обновлениями по мере появления новых разработок. Они также опубликовали пример своих индикаторов будущих атак (IOFATM), связанных с этой кампанией, чтобы поддержать усилия сообщества по защите от подобных мошенничеств.
#ParsedReport #CompletenessLow
02-07-2025
FIN8 Enhances Its Campaigns for Advanced Privilege Escalation
https://www.picussecurity.com/resource/blog/fin8-enhances-its-campaigns-for-advanced-privilege-escalation
Report completeness: Low
Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Carbanak
Threats:
Sardonic
Ragnar_locker
Exocet_tool
Punchtrack
Badhatch_tool
White_rabbit_ransomware
Blackcat
Nltest_tool
Credential_harvesting_technique
Cobalt_strike_tool
Lolbin_technique
Gopurple_tool
Mimikatz_tool
Sharptoken_tool
Process_injection_technique
Process_hollowing_technique
Apc_injection_technique
Credential_dumping_technique
Anubis
Industry:
Retail, Financial, Entertainment, Chemical
TTPs:
Tactics: 7
Technics: 10
IOCs:
File: 8
Command: 7
Path: 3
Soft:
Windows security
Functions:
Remove-WmiObject, Windows
Win API:
RtlCreateUserThread
Win Services:
WebClient
Languages:
powershell
02-07-2025
FIN8 Enhances Its Campaigns for Advanced Privilege Escalation
https://www.picussecurity.com/resource/blog/fin8-enhances-its-campaigns-for-advanced-privilege-escalation
Report completeness: Low
Actors/Campaigns:
Fin8 (motivation: financially_motivated)
Carbanak
Threats:
Sardonic
Ragnar_locker
Exocet_tool
Punchtrack
Badhatch_tool
White_rabbit_ransomware
Blackcat
Nltest_tool
Credential_harvesting_technique
Cobalt_strike_tool
Lolbin_technique
Gopurple_tool
Mimikatz_tool
Sharptoken_tool
Process_injection_technique
Process_hollowing_technique
Apc_injection_technique
Credential_dumping_technique
Anubis
Industry:
Retail, Financial, Entertainment, Chemical
TTPs:
Tactics: 7
Technics: 10
IOCs:
File: 8
Command: 7
Path: 3
Soft:
Windows security
Functions:
Remove-WmiObject, Windows
Win API:
RtlCreateUserThread
Win Services:
WebClient
Languages:
powershell
Picussecurity
FIN8 Enhances Its Campaigns for Advanced Privilege Escalation
Discover how FIN8 leverages stealthy techniques like fileless attacks and privilege escalation, and how Picus helps stop them before damage is done.
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2025 FIN8 Enhances Its Campaigns for Advanced Privilege Escalation https://www.picussecurity.com/resource/blog/fin8-enhances-its-campaigns-for-advanced-privilege-escalation Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
FIN8 - это группа APT, известная своей развивающейся тактикой, использующая модульное вредоносное ПО и такие инструменты, как Sardonic и Exocet, для развертывания программ-вымогателей и повышения привилегий. Их методы включают в себя выполнение без использования файлов с помощью PowerShell, внедрение процессов и WMI для обеспечения постоянства, что делает акцент на скрытности и адаптивности, позволяющих избежать механизмов обнаружения.
-----
FIN8 - это финансово мотивированная APT-группа, которая работает с 2016 года. Изначально ее тактика была сосредоточена на взломах торговых точек (POS), но со временем она эволюционировала и включила в себя сложный арсенал модульных вредоносных программ и методов их внедрения с целью вымогательства. В последнее время внимание группы значительно сместилось в сторону использования таких инструментов, как Sardonic (также известный как Ragnar Loader) и Exocet, что расширяет их возможности по повышению привилегий, обходу средств защиты и поддержанию долгосрочного доступа. Sardonic служит в качестве бэкдора, поддерживающего функциональность плагинов, позволяя FIN8 предоставлять различную полезную нагрузку и участвовать в операциях с двойным вымогательством, таких как BlackCat /ALPHV и White Rabbit.
Подход FIN8 делает упор на скрытность и адаптивность, используя общие инструменты администрирования, которые позволяют легко адаптироваться к целевым средам. Они используют такие методы, как внедрение зашифрованного шеллкода в надежные процессы, использование инструментария управления Windows (WMI) для создания постоянных подписок на события и косвенное выполнение команд. Их атаки обычно начинаются с разведки и сбора учетных данных, а завершаются развертыванием программ-вымогателей. Ключевым моментом в их работе является использование PowerShell для выполнения без использования файлов, что позволяет им избегать прямой записи полезной нагрузки на диск, тем самым обходя традиционные механизмы обнаружения. В обычном сценарии FIN8 создает облегченные этапы, которые подключают исходящие данные, вызывая запутанный код PowerShell, выполняемый в памяти, что усложняет усилия по обнаружению.
Отличительной чертой FIN8 является их стратегическое терпение, они часто совершенствуют свои методологии с течением времени. Примечательно, что они следят за своими кампаниями, делая паузы для улучшения инфраструктуры и инструментов. Например, Sardonic был переписан на C, чтобы снизить вероятность обнаружения, демонстрируя их акцент на уклончивые модульные операции, а не на простую тактику вторжения. Группа известна тем, что использует такие методы, как подписка на события WMI для скрытого сохранения, что позволяет им автоматически выполнять полезную нагрузку при определенных системных событиях, что еще больше снижает видимость их действий.
Более того, FIN8 использует передовые технологии внедрения в процессы, в том числе очереди APC Early Bird, чтобы обойти меры безопасности, помещая вредоносный код в очередь до того, как законный процесс начнет выполняться. Они используют манипуляции с токенами, чтобы незаметно повысить свои привилегии, не прибегая к обычным эксплойтам. FIN8 часто в значительной степени полагается на обфускированные версии таких инструментов, как Mimikatz, для кражи учетных данных, и они используют зашифрованную полезную нагрузку, чтобы свести к минимуму видимость для защиты конечных точек.
Платформа проверки безопасности Picus уже упоминалась для моделирования угроз, подобных FIN8, путем эмуляции определенных тактик, методов и процедур (TTP) для проверки защиты организации от таких сложных угроз. Это включает в себя выполнение кода без использования файлов и внедрение в память, что помогает выявлять бреши в системе безопасности до того, как злоумышленники смогут ими воспользоваться. В целом, угрозы, исходящие от FIN8, представляют собой серьезную проблему для организаций, требующую бдительной и адаптивной системы безопасности для эффективного противодействия угрозам на уровне APT.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
FIN8 - это группа APT, известная своей развивающейся тактикой, использующая модульное вредоносное ПО и такие инструменты, как Sardonic и Exocet, для развертывания программ-вымогателей и повышения привилегий. Их методы включают в себя выполнение без использования файлов с помощью PowerShell, внедрение процессов и WMI для обеспечения постоянства, что делает акцент на скрытности и адаптивности, позволяющих избежать механизмов обнаружения.
-----
FIN8 - это финансово мотивированная APT-группа, которая работает с 2016 года. Изначально ее тактика была сосредоточена на взломах торговых точек (POS), но со временем она эволюционировала и включила в себя сложный арсенал модульных вредоносных программ и методов их внедрения с целью вымогательства. В последнее время внимание группы значительно сместилось в сторону использования таких инструментов, как Sardonic (также известный как Ragnar Loader) и Exocet, что расширяет их возможности по повышению привилегий, обходу средств защиты и поддержанию долгосрочного доступа. Sardonic служит в качестве бэкдора, поддерживающего функциональность плагинов, позволяя FIN8 предоставлять различную полезную нагрузку и участвовать в операциях с двойным вымогательством, таких как BlackCat /ALPHV и White Rabbit.
Подход FIN8 делает упор на скрытность и адаптивность, используя общие инструменты администрирования, которые позволяют легко адаптироваться к целевым средам. Они используют такие методы, как внедрение зашифрованного шеллкода в надежные процессы, использование инструментария управления Windows (WMI) для создания постоянных подписок на события и косвенное выполнение команд. Их атаки обычно начинаются с разведки и сбора учетных данных, а завершаются развертыванием программ-вымогателей. Ключевым моментом в их работе является использование PowerShell для выполнения без использования файлов, что позволяет им избегать прямой записи полезной нагрузки на диск, тем самым обходя традиционные механизмы обнаружения. В обычном сценарии FIN8 создает облегченные этапы, которые подключают исходящие данные, вызывая запутанный код PowerShell, выполняемый в памяти, что усложняет усилия по обнаружению.
Отличительной чертой FIN8 является их стратегическое терпение, они часто совершенствуют свои методологии с течением времени. Примечательно, что они следят за своими кампаниями, делая паузы для улучшения инфраструктуры и инструментов. Например, Sardonic был переписан на C, чтобы снизить вероятность обнаружения, демонстрируя их акцент на уклончивые модульные операции, а не на простую тактику вторжения. Группа известна тем, что использует такие методы, как подписка на события WMI для скрытого сохранения, что позволяет им автоматически выполнять полезную нагрузку при определенных системных событиях, что еще больше снижает видимость их действий.
Более того, FIN8 использует передовые технологии внедрения в процессы, в том числе очереди APC Early Bird, чтобы обойти меры безопасности, помещая вредоносный код в очередь до того, как законный процесс начнет выполняться. Они используют манипуляции с токенами, чтобы незаметно повысить свои привилегии, не прибегая к обычным эксплойтам. FIN8 часто в значительной степени полагается на обфускированные версии таких инструментов, как Mimikatz, для кражи учетных данных, и они используют зашифрованную полезную нагрузку, чтобы свести к минимуму видимость для защиты конечных точек.
Платформа проверки безопасности Picus уже упоминалась для моделирования угроз, подобных FIN8, путем эмуляции определенных тактик, методов и процедур (TTP) для проверки защиты организации от таких сложных угроз. Это включает в себя выполнение кода без использования файлов и внедрение в память, что помогает выявлять бреши в системе безопасности до того, как злоумышленники смогут ими воспользоваться. В целом, угрозы, исходящие от FIN8, представляют собой серьезную проблему для организаций, требующую бдительной и адаптивной системы безопасности для эффективного противодействия угрозам на уровне APT.
#ParsedReport #CompletenessMedium
02-07-2025
macOS NimDoor \| DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware
https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/
Report completeness: Medium
Threats:
Nimdoor
Process_injection_technique
Netchk_tool
Corekitagent
Victims:
Web3 startup, Crypto-related businesses, Web3 and crypto organizations
Geo:
Korea, North korean, Dprk
ChatGPT TTPs:
T1020, T1024, T1027, T1036.005, T1055, T1059.002, T1059.004, T1070.004, T1071.001, T1105, have more...
IOCs:
Domain: 6
Url: 1
Hash: 22
Soft:
macOS, Telegram, Zoom, curl, Firefox, Google Chrome, Microsoft Edge, Unix
Algorithms:
pbkdf2, sha1, base64, xor, rc4, cbc, aes
Functions:
setCwd, getCwd, getSysInfo, uploadData, mach_absolute_time, mach_timebase_info, CoreKitAgent
Win API:
Arc
Win Services:
bits
Languages:
applescript, objective_c, rust
Platforms:
cross-platform, arm, apple
Links:
02-07-2025
macOS NimDoor \| DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware
https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/
Report completeness: Medium
Threats:
Nimdoor
Process_injection_technique
Netchk_tool
Corekitagent
Victims:
Web3 startup, Crypto-related businesses, Web3 and crypto organizations
Geo:
Korea, North korean, Dprk
ChatGPT TTPs:
do not use without manual checkT1020, T1024, T1027, T1036.005, T1055, T1059.002, T1059.004, T1070.004, T1071.001, T1105, have more...
IOCs:
Domain: 6
Url: 1
Hash: 22
Soft:
macOS, Telegram, Zoom, curl, Firefox, Google Chrome, Microsoft Edge, Unix
Algorithms:
pbkdf2, sha1, base64, xor, rc4, cbc, aes
Functions:
setCwd, getCwd, getSysInfo, uploadData, mach_absolute_time, mach_timebase_info, CoreKitAgent
Win API:
Arc
Win Services:
bits
Languages:
applescript, objective_c, rust
Platforms:
cross-platform, arm, apple
Links:
https://github.com/nim-lang/Nim/blob/version-2-2/lib/pure/osproc.nim#L1SentinelOne
macOS NimDoor | DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware
NimDoor reflects a leap in DPRK’s offensive toolkit, mixing compile-time trickery with native scripting to complicate and deter analysis.
CTT Report Hub
#ParsedReport #CompletenessMedium 02-07-2025 macOS NimDoor \| DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакеры из КНДР используют двоичные файлы, скомпилированные с помощью Nim, и многоэтапные цепочки атак на Web3 и криптографические компании, используя специфичные для macOS методы, такие как внедрение процессов. Их вредоносное ПО обеспечивает сохраняемость с помощью уникальных обработчиков сигналов и взаимодействует через защищенные веб-сокеты, используя AppleScripts для первоначального доступа и фильтрации данных, включая извлечение учетных данных из связки ключей macOS.
-----
Хакеры из КНДР разработали сложную кампанию атак на Web3 и предприятия, связанные с криптографией, которые используют двоичные файлы, скомпилированные с помощью Nim, и различные многоэтапные цепочки атак. Их подход особенно примечателен тем, что в системах macOS используется внедрение процессов, что редко встречается в вредоносных программах, нацеленных на эту платформу. Злоумышленники используют зашифрованную удаленную связь через wss, защищенный протокол WebSocket, и внедрили уникальный механизм сохранения, который использует обработчики сигналов SIGINT/SIGTERM, что позволяет им сохранять сохранение, даже если вредоносное ПО будет удалено или система перезагрузится.
В основе их тактики лежит использование AppleScripts как для первоначального доступа, так и для последующей атаки в качестве легких маяков и бэкдоров. Злоумышленники используют скрипты Bash, предназначенные для извлечения конфиденциальных учетных данных из связки ключей macOS, данных браузера и пользовательской информации Telegram. На начальном этапе атак обычно используется стратегия социальной инженерии, при которой цели выдаются за пользователей Telegram и заманиваются для запуска вредоносного AppleScript, замаскированного под "сценарий обновления Zoom SDK". Этот скрипт сильно запутан и извлекает дополнительные скрипты с сервера управления (C2), выполняя основную функциональность вредоносного ПО.
В кампаниях используются различные языки программирования, в частности AppleScript, C++ и Nim. После первоначального запуска исполняемый файл Mach-O, скомпилированный на C++, записывает зашифрованную полезную информацию на диск, после чего загружаются сценарии Bash для фильтрации данных. Исполняемые файлы на основе Nim обеспечивают постоянство работы, удаляя дополнительные компоненты, которые обеспечивают долгосрочный доступ злоумышленников. Первый зараженный двоичный файл, в котором используется технология process injection, взаимодействует с C2 через wss, используя структурированный формат сообщений JSON, что позволяет ему отправлять и получать команды вместе с результатами выполнения.
Один из ключевых компонентов, CoreKitAgent, использует передовые стратегии обфускации, включая процедуры многоходового шифрования, что затрудняет аналитикам немедленное выявление вредоносных намерений. Способность вредоносного ПО реагировать на системные сигналы и выполнять действия асинхронно обеспечивает устойчивость к попыткам его уничтожения. Кроме того, вредоносная программа использует встроенный AppleScript, который периодически передает данные на серверы C2, что повышает ее скрытность во время операций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакеры из КНДР используют двоичные файлы, скомпилированные с помощью Nim, и многоэтапные цепочки атак на Web3 и криптографические компании, используя специфичные для macOS методы, такие как внедрение процессов. Их вредоносное ПО обеспечивает сохраняемость с помощью уникальных обработчиков сигналов и взаимодействует через защищенные веб-сокеты, используя AppleScripts для первоначального доступа и фильтрации данных, включая извлечение учетных данных из связки ключей macOS.
-----
Хакеры из КНДР разработали сложную кампанию атак на Web3 и предприятия, связанные с криптографией, которые используют двоичные файлы, скомпилированные с помощью Nim, и различные многоэтапные цепочки атак. Их подход особенно примечателен тем, что в системах macOS используется внедрение процессов, что редко встречается в вредоносных программах, нацеленных на эту платформу. Злоумышленники используют зашифрованную удаленную связь через wss, защищенный протокол WebSocket, и внедрили уникальный механизм сохранения, который использует обработчики сигналов SIGINT/SIGTERM, что позволяет им сохранять сохранение, даже если вредоносное ПО будет удалено или система перезагрузится.
В основе их тактики лежит использование AppleScripts как для первоначального доступа, так и для последующей атаки в качестве легких маяков и бэкдоров. Злоумышленники используют скрипты Bash, предназначенные для извлечения конфиденциальных учетных данных из связки ключей macOS, данных браузера и пользовательской информации Telegram. На начальном этапе атак обычно используется стратегия социальной инженерии, при которой цели выдаются за пользователей Telegram и заманиваются для запуска вредоносного AppleScript, замаскированного под "сценарий обновления Zoom SDK". Этот скрипт сильно запутан и извлекает дополнительные скрипты с сервера управления (C2), выполняя основную функциональность вредоносного ПО.
В кампаниях используются различные языки программирования, в частности AppleScript, C++ и Nim. После первоначального запуска исполняемый файл Mach-O, скомпилированный на C++, записывает зашифрованную полезную информацию на диск, после чего загружаются сценарии Bash для фильтрации данных. Исполняемые файлы на основе Nim обеспечивают постоянство работы, удаляя дополнительные компоненты, которые обеспечивают долгосрочный доступ злоумышленников. Первый зараженный двоичный файл, в котором используется технология process injection, взаимодействует с C2 через wss, используя структурированный формат сообщений JSON, что позволяет ему отправлять и получать команды вместе с результатами выполнения.
Один из ключевых компонентов, CoreKitAgent, использует передовые стратегии обфускации, включая процедуры многоходового шифрования, что затрудняет аналитикам немедленное выявление вредоносных намерений. Способность вредоносного ПО реагировать на системные сигналы и выполнять действия асинхронно обеспечивает устойчивость к попыткам его уничтожения. Кроме того, вредоносная программа использует встроенный AppleScript, который периодически передает данные на серверы C2, что повышает ее скрытность во время операций.
#ParsedReport #CompletenessLow
02-07-2025
2025-06-29 - Supper is served
https://c-b.io/2025-06-29+-+Supper+is+served
Report completeness: Low
Actors/Campaigns:
Vice_society
Threats:
Supper_backdoor
Xorist
Interlock
Revshell_tool
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036.003, T1059.003, T1070.004, T1071.001, T1090.002, T1219, T1547.001
IOCs:
Path: 3
File: 9
IP: 3
Command: 1
Hash: 1
Algorithms:
xor
Functions:
rand
Win API:
LoadLibrary, FreeLibrary, WSAStartup, GetModuleFileNameA, WriteFile
Platforms:
x64
Links:
02-07-2025
2025-06-29 - Supper is served
https://c-b.io/2025-06-29+-+Supper+is+served
Report completeness: Low
Actors/Campaigns:
Vice_society
Threats:
Supper_backdoor
Xorist
Interlock
Revshell_tool
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.003, T1059.003, T1070.004, T1071.001, T1090.002, T1219, T1547.001
IOCs:
Path: 3
File: 9
IP: 3
Command: 1
Hash: 1
Algorithms:
xor
Functions:
rand
Win API:
LoadLibrary, FreeLibrary, WSAStartup, GetModuleFileNameA, WriteFile
Platforms:
x64
Links:
https://github.com/horsicq/Detect-It-Easyhttps://github.com/AptAmoebaHumpty's RE Blog
2025-06-29 - Supper is served - Humpty's RE Blog
Recommend song to listen to while reading: If you find something off with what I say, please let me know. I'll gladly amend my content and credit you for the fix. Some thanks in alphabetical order
CTT Report Hub
#ParsedReport #CompletenessLow 02-07-2025 2025-06-29 - Supper is served https://c-b.io/2025-06-29+-+Supper+is+served Report completeness: Low Actors/Campaigns: Vice_society Threats: Supper_backdoor Xorist Interlock Revshell_tool TTPs: Tactics: 1 Technics:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Supper - это сложный 64-разрядный бэкдор для Windows, функционирующий как троян удаленного доступа (RAT) и прокси-сервер SOCKS5, обнаруженный в июле 2024 года. Он поддерживает постоянный доступ через бесфайловую обратную оболочку и использует пользовательские протоколы и шифрование для обмена данными C2, обеспечивая потоковую безопасность и повторное выполнение в случае сбоя, демонстрируя повышенную сложность вредоносного ПО.
-----
Supper, также известная как "Interlock Rat", представляет собой сложную 64-разрядную утилиту для бэкдора и туннелирования Windows, которая действует как троян удаленного доступа (RAT), так и прокси-сервер SOCKS5. Первоначально обнаруженная в июле 2024 года, эта вредоносная программа предоставляет хакерам постоянный доступ к скомпрометированным системам, позволяя им направлять произвольный трафик через среду жертвы. Supper работает по пользовательскому протоколу, который характеризуется 12-байтовым заголовком, содержащим ключ шифрования, за которым следует 8-байтовая полезная нагрузка. Все команды, выполняемые Supper, обрабатываются через `cmd.exe`.
После запуска Supper интегрирует несколько ключевых компонентов для поддержания своей операционной эффективности. Сначала он ожидает, пока глобальный коммуникационный мьютекс обеспечит потокобезопасность, а затем инициирует взаимодействие со своим сервером управления (C2), используя идентификатор сеанса 0xFFFF. Вредоносная программа проверяет наличие пустой полезной нагрузки и, если ее нет, создает новый зашифрованный заголовок полезной нагрузки для отправки на C2. Этот процесс включает в себя этап проверки, чтобы убедиться, что текущий идентификатор сеанса находится в допустимых пределах, и в этом случае она отправляет полезную нагрузку и освобождает мьютекс.
Supper использует пользовательский потоковый шифр с отслеживанием состояния, который генерирует 4-байтовый ключ с помощью двух вызовов функции rand(). После подготовки этого ключа вредоносная программа пытается установить соединение с C2. Если подключение установлено успешно, он отправляет пакет подтверждения, указывающий на установленное заражение; этот пакет содержит магический заголовок 0xDF691155 и значение тайм-аута для связи, установленное на 300 секунд. После этого первоначального взаимодействия Supper переходит к поддержанию постоянства и выполнению команд.
Для обеспечения сохраняемости Supper использует бесфайловый подход для запуска обратной оболочки. Он запускает дочерний процесс, который перенаправляет операции ввода-вывода обратно на C2, не оставляя следов в файлах. В случае, если его основные процессы не будут инициализированы, Supper попытается выполнить повторное выполнение до трех раз, обрабатывая возможные сбои из-за проблем с сетью или взаимодействий с файловой системой. Если все попытки заканчиваются неудачей, Supper обращается к локальному файлу конфигурации, расположенному во временной директории пользователя, и расшифровывает его с помощью ключа, полученного из первых четырех байт файла. В этом процессе используется стратегия экспоненциального замедления, чтобы определить продолжительность ожидания между повторными попытками.
Благодаря своему сложному дизайну и возможностям Supper демонстрирует растущую сложность работы вредоносных программ. Всестороннее знание технических аспектов Supper может значительно повысить эффективность защиты от его функциональности и угроз, исходящих от связанных с ним хакеров, включая ранее известную группу Vanilla Tempest/Vice Society.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Supper - это сложный 64-разрядный бэкдор для Windows, функционирующий как троян удаленного доступа (RAT) и прокси-сервер SOCKS5, обнаруженный в июле 2024 года. Он поддерживает постоянный доступ через бесфайловую обратную оболочку и использует пользовательские протоколы и шифрование для обмена данными C2, обеспечивая потоковую безопасность и повторное выполнение в случае сбоя, демонстрируя повышенную сложность вредоносного ПО.
-----
Supper, также известная как "Interlock Rat", представляет собой сложную 64-разрядную утилиту для бэкдора и туннелирования Windows, которая действует как троян удаленного доступа (RAT), так и прокси-сервер SOCKS5. Первоначально обнаруженная в июле 2024 года, эта вредоносная программа предоставляет хакерам постоянный доступ к скомпрометированным системам, позволяя им направлять произвольный трафик через среду жертвы. Supper работает по пользовательскому протоколу, который характеризуется 12-байтовым заголовком, содержащим ключ шифрования, за которым следует 8-байтовая полезная нагрузка. Все команды, выполняемые Supper, обрабатываются через `cmd.exe`.
После запуска Supper интегрирует несколько ключевых компонентов для поддержания своей операционной эффективности. Сначала он ожидает, пока глобальный коммуникационный мьютекс обеспечит потокобезопасность, а затем инициирует взаимодействие со своим сервером управления (C2), используя идентификатор сеанса 0xFFFF. Вредоносная программа проверяет наличие пустой полезной нагрузки и, если ее нет, создает новый зашифрованный заголовок полезной нагрузки для отправки на C2. Этот процесс включает в себя этап проверки, чтобы убедиться, что текущий идентификатор сеанса находится в допустимых пределах, и в этом случае она отправляет полезную нагрузку и освобождает мьютекс.
Supper использует пользовательский потоковый шифр с отслеживанием состояния, который генерирует 4-байтовый ключ с помощью двух вызовов функции rand(). После подготовки этого ключа вредоносная программа пытается установить соединение с C2. Если подключение установлено успешно, он отправляет пакет подтверждения, указывающий на установленное заражение; этот пакет содержит магический заголовок 0xDF691155 и значение тайм-аута для связи, установленное на 300 секунд. После этого первоначального взаимодействия Supper переходит к поддержанию постоянства и выполнению команд.
Для обеспечения сохраняемости Supper использует бесфайловый подход для запуска обратной оболочки. Он запускает дочерний процесс, который перенаправляет операции ввода-вывода обратно на C2, не оставляя следов в файлах. В случае, если его основные процессы не будут инициализированы, Supper попытается выполнить повторное выполнение до трех раз, обрабатывая возможные сбои из-за проблем с сетью или взаимодействий с файловой системой. Если все попытки заканчиваются неудачей, Supper обращается к локальному файлу конфигурации, расположенному во временной директории пользователя, и расшифровывает его с помощью ключа, полученного из первых четырех байт файла. В этом процессе используется стратегия экспоненциального замедления, чтобы определить продолжительность ожидания между повторными попытками.
Благодаря своему сложному дизайну и возможностям Supper демонстрирует растущую сложность работы вредоносных программ. Всестороннее знание технических аспектов Supper может значительно повысить эффективность защиты от его функциональности и угроз, исходящих от связанных с ним хакеров, включая ранее известную группу Vanilla Tempest/Vice Society.