#ParsedReport #CompletenessLow
02-07-2025

Swiss Government Data Exposed Sarcoma Ransomware Hits Radix Contractor

https://www.secureblink.com/cyber-security-news/swiss-government-data-exposed-sarcoma-ransomware-hits-radix-contractor

Report completeness: Low

Threats:
Sarcoma
Supply_chain_technique
Spear-phishing_technique

Victims:
Radix, Swiss federal administration, Swiss government agencies, Individuals involved in government projects

Industry:
Healthcare, Government

Geo:
Switzerland

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1078, T1190, T1204, T1486, T1566.001

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака программы-вымогателя Sarcoma на Radix foundation выявила уязвимости в швейцарской системе кибербезопасности, особенно в защите сторонних подрядчиков. Злоумышленники использовали тактику двойного вымогательства, что привело к краже и утечке из даркнета 1,3 терабайт конфиденциальных данных, что вызвало опасения по поводу возросших рисков фишинга и мошенничества, направленных против затронутых лиц. Этот инцидент подчеркивает настоятельную необходимость улучшения управления рисками сторонних организаций и ужесточения протоколов безопасности в государственных ИТ-средах.
-----

Атака программы-вымогателя Sarcoma на Radix foundation, произошедшая 16 июня 2025 года, выявила значительные недостатки в системе кибербезопасности Швейцарии, особенно в отношении сторонних подрядчиков. Radix, некоммерческий фонд здравоохранения, с которым сотрудничают различные швейцарские федеральные ведомства, стал мишенью Sarcoma group, изощренной группы киберпреступников, известной своей тактикой двойного вымогательства. Этот подход сочетает шифрование данных с масштабной кражей данных, что вынуждает жертв рассматривать возможность оплаты из-за угрозы раскрытия общедоступных данных. Операции Sarcoma member характеризовались целенаправленными кампаниями фишинга и использованием незащищенных уязвимостей, что позволяет использовать средства удаленного доступа и кражу учетных данных.

В ходе атаки было изъято 1,3 терабайта конфиденциальных данных, которые впоследствии просочились в темную сеть после того, как Radix отказалась заплатить выкуп, требуемый злоумышленниками. Утечка данных включает финансовые отчеты, контракты, частную переписку и потенциально может включать личную информацию, относящуюся к лицам, участвующим в государственных проектах. Хотя Radix не имеет прямого доступа к государственным информационным системам, последствия утечки значительны, поскольку организация обрабатывает конфиденциальные государственные данные.

Последствия этого инцидента выходят за рамки отдельной организации, подчеркивая тревожную тенденцию в киберпреступной деятельности, нацеленной на сторонних поставщиков в обход государственных средств защиты. Это следует за аналогичным случаем, произошедшим в 2024 году с участием другого подрядчика, Xplain, который также подвергся атаке программ-вымогателей, что привело к значительному утечке данных из более чем 65 000 документов, включая секретные материалы.

В связи с инцидентом Radix Швейцарский национальный центр кибербезопасности (NCSC) активно работает над оценкой полной степени уязвимости и потенциального воздействия на различные государственные учреждения. Они предупредили о возросшем риске попыток фишинга, которые могут использовать утечку данных. Хотя компания Radix заверила, что нет никаких свидетельств того, что данные партнерской организации были скомпрометированы, продолжающееся расследование вызывает опасения по поводу фишинга, мошенничества и кражи личных данных, направленных против затронутых лиц.

Этот инцидент подчеркивает настоятельную необходимость улучшения управления рисками сторонних организаций в государственных ИТ-средах. Поскольку киберпреступники продолжают использовать слабые места в цепочках поставок, все чаще возникает необходимость в более строгих протоколах безопасности, регулярных проверках и обязательных мерах для быстрого обнаружения и реагирования со стороны подрядчиков и партнеров в государственном секторе.

#ParsedReport #CompletenessLow
02-07-2025

@mentalpositive s New macOS Stealer: AMOS Repackaged or a New Cyber Threat?

https://labs.k7computing.com/index.php/mentalpositives-new-macos-stealer-amos-repackaged-or-a-new-cyber-threat/

Report completeness: Low

Actors/Campaigns:
Mentalpositive

Threats:
Amos_stealer
Process_hollowing_technique

Victims:
Ledger live users, Metamask users, Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1056.001, T1059.004, T1071.001, T1176, T1204.002, T1497.001, T1518, T1555.001, T1560.001, have more...

IOCs:
File: 2
Hash: 3

Soft:
macOS, Ledger Live, Telegram, Unix, Twitter

Wallets:
metamask

Algorithms:
zip

Functions:
kill

Languages:
objective_c, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый macOS stealer от MentalPositive, "macOS Stealer от MentalPositive", предназначен для пользователей Ledger Live и использует упрощение процессов Unix для обходных операций и запрашивает доступ администратора для сбора конфиденциальных данных. Он форматирует данные в "information.txt", используя HTTP-запросы с уникальными идентификаторами сборки для управления и эксфильтрации данных, имитируя системные диалоги, чтобы избежать обнаружения.
-----

Недавно обнаруженный macOS stealer, известный как "macOS Stealer от MentalPositive", нацелен на пользователей Ledger Live и, по-видимому, является вариантом Atomic macOS Stealer (AMOS), который появился в 2023 году. При первоначальном анализе возникают вопросы о том, является ли это новое вредоносное ПО просто ребрендингом AMOS или оно использует новые методы для повышения своей эффективности. AMOS отличилась своей способностью собирать широкий спектр данных от жертв, включая пароли, системные данные, данные о связках ключей и информацию о криптовалютном кошельке. Вирус распространялся через попытки фишинга, взломанные приложения и контрафактное программное обеспечение, имитирующее законные программы. После установки AMOS использовала средства запуска и подпольные фоновые процессы для скрытной работы, отправляя украденные данные по зашифрованным каналам и часто меняя серверы, чтобы избежать обнаружения.

В macOS Stealer от MentalPositive при запуске используются методы "опустошения" процессов Unix, позволяющие ему отключаться от управляющего терминала и избегать интерактивной отладки или обнаружения в изолированной среде. Он использует специальные системные вызовы для завершения процессов, связанных с терминалом, тем самым защищая его выполнение от вмешательства пользователя. Подобно AMOS, он запрашивает пароль администратора пользователя под видом законной системной операции, проверяя это с помощью локальных механизмов аутентификации. Если пароль подтвержден, вредоносная программа получает повышенные привилегии, необходимые для постоянных операций.

После сбора конфиденциальных данных, таких как имена пользователей, пароли и ключи от кошелька, вредоносная программа форматирует эту информацию в файл с надписью "information.txt", который содержит отличительную подпись для обозначения содержимого. Хакер расширил сферу своих атак, включив в нее более широкий спектр криптовалютных кошельков, извлекая исчерпывающие данные из популярных браузеров и связанных с ними расширений. Затем собранные данные сжимаются в единый архив перед удалением.

Примечательно, что вредоносная программа отправляет HTTP-запросы, содержащие уникальные идентификаторы сборки, такие как JENYA, SHELLS и BARNI, которые помогают хакеру управлять различными версиями или кампаниями. Перед завершением своей работы вредоносная программа имитирует поддельный системный диалог, чтобы отвлечь пользователей во время сбора данных.

Что касается различий, то AMOS использует передовые методы обфускации, что затрудняет анализ, в то время как код MentalPositive более прозрачен, что облегчает проверку. Оригинальный AMOS в основном создан на C++ и Go, что обеспечивает модульность и переносимость, в то время как новый stealer разработан с использованием Objective-C и Swift, с акцентом на собственные функциональные возможности macOS. Оба варианта вредоносных программ схожи в своем подходе к запросам административного доступа и сокрытию своих действий, включая использование обманчивых системных окон. Однако новый вариант находится на ранней стадии разработки и потенциально может дополниться более изощренными методами обхода в будущем.

По мере роста числа угроз для пользователей macOS крайне важна бдительность, особенно в отношении неизвестных исполняемых файлов. Пользователям рекомендуется использовать надежные решения для обеспечения безопасности, чтобы снизить риски, связанные с такими вредоносными программами-похитителями.

#ParsedReport #CompletenessLow
01-07-2025

Phishing Attack Targets Canadian Infrastructure on Canada Day

https://cyberarmor.tech/phishing-attack-targets-canadian-infrastructure-on-canada-day/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Construction & engineering firms, Energy providers, Plumbing and hvac services, Infrastructure contractors, Personnel from critical infrastructure, Municipal services, Private contractors

Industry:
Critical_infrastructure, Energy

Geo:
Quebec, Canada, Canadian

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1566.001, T1566.002

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В День Канады началась фишинговая кампания, нацеленная на важнейшие сектора инфраструктуры Канады, в которой использовались приманки в формате PDF для кражи учетных данных электронной почты. Жертвами стали более 300 канадцев, что привело к несанкционированному доступу и потенциальным перебоям в работе основных служб.
-----

В День Канады была обнаружена масштабная фишинговая кампания, нацеленная на важнейшие секторы национальной инфраструктуры, такие как строительство, энергетика, сантехника и коммунальные услуги. В ходе атаки, которая началась в начале праздничных дней, использовались различные приманки в формате PDF, чтобы обманом заставить пользователей предоставить свои учетные данные электронной почты. Киберпреступники использовали тщательно подготовленные электронные письма, которые выдавали себя за уведомления о законных услугах, обновления учетной записи и приглашения для входа в систему, чтобы увеличить шансы на успешное проникновение.

Данные свидетельствуют о том, что жертвами этой кампании стали более 900 человек по всему миру, из них около 300 случаев были подтверждены в Канаде. Среди жертв были сотрудники служб жизнеобеспечения, занимающихся обслуживанием важнейших объектов инфраструктуры, включая муниципальные службы и частных подрядчиков, ответственных за различные национальные и региональные проекты развития. Целевыми объектами в основном были организации, занимающиеся строительством и инжинирингом, энергоснабжением, сантехникой и системами кондиционирования воздуха, что подчеркивает нацеленность кампании на сектора, жизненно важные для поддержания операционной целостности сообщества.

Последствия такой скоординированной фишинговой атаки включают несанкционированный доступ к внутренним системам и потенциальные сбои в предоставлении основных услуг и техническом обслуживании. Более того, злоумышленники могут использовать этот первоначальный доступ в качестве плацдарма для дальнейших вредоносных действий, таких как развертывание программ-вымогателей или компрометация цепочек поставок. Этот инцидент подчеркивает оппортунистическую природу киберпреступников, которых не останавливают национальные праздники, а скорее используют потенциал снижения бдительности целевых организаций в эти периоды.

Этот инцидент служит суровым напоминанием о стойкой и эволюционирующей природе хакеров, особенно во время важных национальных событий, и усиливает необходимость постоянного мониторинга и надежной защиты от фишинговых атак и других киберугроз, нацеленных на критически важную инфраструктуру.

#ParsedReport #CompletenessLow
03-07-2025

Numerous Western Companies May Still Need to Ban FUNNULL Admin Accounts to Comply with U.S. Treasury Sanctions

https://www.silentpush.com/blog/funnull-admin-sanctions/

Report completeness: Low

Actors/Campaigns:
Triad_nexus
Chinawolfs
Pig_butchering

Threats:
Password_spray_technique

Victims:
Americans, U.s. organizations, U.s. treasury department, Fbi, Individuals

Industry:
E-commerce, Government, Financial

Geo:
Hong kong, China, Americans, Philippines, Chinese

ChatGPT TTPs:
do not use without manual check
T1036.005, T1078.004, T1087.003, T1090.002, T1583.003, T1584.001

IOCs:
Domain: 9
Email: 9
File: 2

Soft:
FUNNULL, WordPress, HuggingFace, Twitter, Weibo, laravel, WeChat, hugging face, ubuntu, Ubuntu Linux, have more...

Languages:
php

Platforms:
intel, apple, apple_m1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская сеть "Triad Nexus" использует отмывание средств через FUNNULL CDN для размещения мошеннических инвестиционных веб-сайтов, нацеленных на граждан США, что приводит к убыткам на сумму более 200 миллионов долларов. Ключевая фигура Лижи Лю находится под санкциями за содействие этим мошенничествам, в то время как предпринимаются усилия по отслеживанию его цифрового следа и пресечению его присутствия в Интернете.
-----

Аналитики, работающие с угрозами Silent Push, сосредоточили внимание на хакерской сети, известной как "Triad Nexus", которая использует отмывание инфраструктуры для сокрытия своей деятельности в рамках крупных западных поставщиков облачных услуг, таких как Amazon и Microsoft. Эта сеть в основном использует FUNNULL CDN для размещения мошеннических веб-сайтов, нацеленных на американских граждан. В мае 2025 года Министерство финансов США и ФБР выпустили совместные рекомендации в отношении FUNNULL и его администратора Лижи Лю, который впоследствии был внесен в санкционный список США за участие в содействии мошенническим инвестиционным сайтам. Лю, также известный как "Стив/Steven" Liu, активно управляет многочисленными аккаунтами на различных западных онлайн-платформах, что свидетельствует о сложной стратегии поддержания операционной безопасности, несмотря на действия правоохранительных органов.

На протяжении многих лет Silent Push отслеживал FUNNULL и с 2022 года определил его как важный сайт для мошеннических инвестиционных сайтов. Их исследование указывает на ошеломляющие финансовые последствия: мошенничество, связанное с ВОРОНКАМИ, по сообщениям, привело к убыткам жертв на сумму более 200 миллионов долларов, в среднем около 150 000 долларов каждая. Сотрудничество между такими агентствами, как ФБР, и фирмами, занимающимися финансовым отслеживанием, такими как Chainalysis, сыграло ключевую роль в борьбе с финансовыми преступлениями, связанными с FUNNULL, которая ранее была классифицирована как "финансовое учреждение, вызывающее наибольшую озабоченность по поводу отмывания денег"..

Операционный подход Лю предполагает использование вредоносной инфраструктуры, которая освобождает его от прямого финансового бремени за счет использования услуг западных провайдеров. Хотя он, по-видимому, является ключевой фигурой в функционировании FUNNULL, аналитики предполагают, что он, возможно, не является главным архитектором многочисленных инвестиционных схем, которые он поддерживает. После публичной идентификации Лю предпринимаются усилия по отслеживанию и потенциальному закрытию аккаунтов, которые он контролирует, на различных платформах, многие из которых все еще могут оставаться активными.

Анализ выявил огромное количество информации о цифровом следе Лю, включая различные онлайн-персоны и платформы, которые он использует как для личных, так и для мошеннических действий. Его участие распространяется на многочисленные программные проекты и сервисы электронной коммерции, такие как NexaMerchant, которые размещены на GitHub и имеют множество связанных аккаунтов. Адреса электронной почты и имена пользователей Liu свидетельствуют о долгой истории взаимодействия на различных платформах, некоторые из которых все еще могут служить средством для осуществления незаконной деятельности.

Правозащитникам настоятельно рекомендуется проявлять бдительность в отношении схем инвестиционного мошенничества, связанных с "разделкой свиней", и проявлять инициативу при прекращении предоставления услуг, связанных с организациями, на которые распространяются санкции, такими как FUNNULL и ее сеть. Продолжение расследования в отношении MINNULL CDN и сети Triad Nexus имеет решающее значение для пресечения этих схем мошенничества и предотвращения дальнейшей виктимизации.

#ParsedReport #CompletenessHigh
03-07-2025

Taking SHELLTER: a commercial evasion framework abused in-the-wild

https://www.elastic.co/security-labs/taking-shellter

Report completeness: High

Threats:
Shellter_tool
Seth_locker
Junk_code_technique
Polymorphism_technique
Rhadamanthys
Lumma_stealer
Procmon_tool
Sectop_rat
Sandbox_evasion_technique
Amsi_bypass_technique
Ghostpulse

Victims:
Youtube content creators, Brands (udemy, skillshare, pinnacle studio, duolingo), Shellter project

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
IP: 3
Domain: 2
Hash: 6

Soft:
Component Object Model, Active Template Library

Algorithms:
xor, aes, sha256, aes-128, cbc, lznt1

Functions:
GetCurrentDirectoryA

Win API:
VirtualAlloc, GetModuleHandleA, GetProcAddress, CreateFileMappingW, MapViewOfFile, NtCreateSection, NtMapViewOfSection, NtOpenSection, LoadLibraryExW, LdrLoadDll, have more...

Win Services:
BITS

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/tools/shellter
have more...
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_unbacked\_shellcode\_from\_unsigned\_module.toml
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_shellcode\_from\_unusual\_microsoft\_signed\_module.toml

#ParsedReport #ExtractedSchema

Classified images:
dump: 6, code: 17, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Elastic Security Labs отметили увеличение числа киберкампаний с использованием SHELLTER - платформы уклонения, которая позволяет вредоносному ПО обходить средства защиты, используя самоизменение и полиморфную обфускацию. Платформа нацелена на методы перехвата API и использует шифрование, что усложняет обнаружение, в то время как инфокрады, такие как LUMMA и RHADAMANTHYS, доставляются с помощью фишинговых кампаний.
-----

SHELLTER - это коммерческая платформа для уклонения от ответственности, используемая в киберкампаниях по внедрению инфокрадов. Она позволяет хакерам обходить антивирусные программы и средства обнаружения конечных точек. С конца апреля 2025 года было замечено, что SHELLTER упаковывает полезную нагрузку с помощью Shellter Elite версии 11.0. Он поддерживает самомодификацию и полиморфную обфускацию, что затрудняет статическое обнаружение и обратное проектирование аналитиками безопасности. SHELLTER встраивает код в легальное программное обеспечение, используя самомодифицирующийся шеллкод и такие функции, как VirtualAlloc, чтобы скрыть свои данные от мониторинга. Полезная нагрузка шифруется с использованием режима AES-128 CBC с ключами, либо встроенными, либо полученными с серверов, контролируемых злоумышленниками. Платформа нацелена на использование методов перехвата API для обхода механизмов безопасности путем сопоставления свежих копий системных библиотек. SHELLTER включает в себя такие функции, как непрямые системные вызовы на основе trampoline, обнаружение отладки в пользовательском режиме и режиме ядра, а также меры по борьбе с виртуализацией. В недавних кампаниях были задействованы такие мошенники, как LUMMA и RHADAMANTHYS, которые распространяли фишинговые электронные письма, нацеленные на создателей контента. Эти электронные письма приводят к загрузке файлов RAR с двоичными файлами, защищенными SHELLTER, что приводит к краже полезной информации. Компания Elastic Security Labs разработала динамический распаковщик для двоичных файлов, защищенных SHELLTER, но его использование рекомендуется только в изолированных средах из соображений безопасности. Продолжающаяся эволюция тактики, применяемой хакерами, использующими SHELLTER, создает серьезные проблемы для защиты кибербезопасности.

#ParsedReport #CompletenessLow
04-07-2025

Threat Actors Recompile SonicWall's NetExtender to Include SilentRoute Backdoor

https://www.esentire.com/blog/threat-actors-recompile-sonicwalls-netextender-to-include-silentroute-backdoor

Report completeness: Low

Threats:
Silentroute

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1071.004, T1078, T1078.002, T1189, T1556

IOCs:
IP: 1
File: 3
Hash: 3
Url: 1
Domain: 3

Algorithms:
xor

Links:
https://github.com/esentire/iocs/blob/main/SilentRoute/SilentRoute-IoCs-06-25-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрытая версия SSL-VPN-клиента SonicWall под названием "SilentRoute" была загружена пользователями с фишингового сайта, что привело к утечке учетных данных на сервер, контролируемый хакерами. Вредоносная программа, замаскированная под подлинный сертификат, изменяет исходные исполняемые файлы, чтобы скомпрометировать пользовательские данные и проникнуть в сети. Организациям рекомендуется менять пароли, проводить аудит на предмет возможных угроз и обучать сотрудников методам безопасного использования программного обеспечения.
-----

В конце июня 2025 года ничего не подозревающие пользователи обнаружили, что скрытая версия SSL VPN-клиента NetExtender от SonicWall, помеченная Microsoft как "SilentRoute", была загружена. Этот вредоносный вариант очень похож на легальное программное обеспечение, отличаясь лишь незначительными изменениями в его двоичных файлах. Когда пользователи вводят свои учетные данные и подключаются, эти изменения облегчают передачу конфиденциальных данных, а именно домена пользователя, имени пользователя и пароля, на сервер, контролируемый хакерами, по адресу 132.196.198.163 через порт 8080. Злоумышленники используют эти полученные учетные данные для проникновения в корпоративные сети и совершения дальнейших несанкционированных действий.

Процесс заражения начинается, когда пользователь пытается загрузить клиент NetExtender от SonicWall и случайно попадает на поддельный веб-сайт, имитирующий подлинную страницу загрузки SonicWall. Это приводит к загрузке подписанного вредоносного установщика с именем "SonicWall-NetExtender.msi". Этот установщик, подписанный сертификатом, выданным GlobalSign, создает видимость легитимности, поскольку использует центр сертификации, известный своим участием в анализе вредоносных программ. Вредоносный установщик содержит измененные версии двух исполняемых файлов NEService.exe и NetExtender.exe, которыми злоумышленники манипулировали с помощью сложного метода дизассемблирования или декомпиляции исходных файлов, внесения вредоносных изменений и последующей их повторной сборки.

Меры защиты для организаций включают немедленную смену паролей для пользователей, загрузивших троянское программное обеспечение, и проведение проверок для выявления последующих действий хакеров. Следует применять образовательный подход для информирования сотрудников об опасностях загрузки программного обеспечения из неофициальных источников. Для обнаружения и сдерживания таких угроз рекомендуется использовать антивирусные решения нового поколения. Кроме того, ведение внутреннего хранилища официальных ссылок на программное обеспечение поможет конечным пользователям использовать проверенные и одобренные загрузки, снижая риск непреднамеренной загрузки вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
04-07-2025

8 More Malicious Firefox Extensions: Exploiting Popular Game Recognition, Hijacking User Sessions, and Stealing OAuth Credentials

https://socket.dev/blog/8-more-malicious-firefox-extensions

Report completeness: Medium

Actors/Campaigns:
Mre1903

Threats:
Shell_shockers
Credential_harvesting_technique
Mitm_technique

Industry:
E-commerce, Entertainment

Geo:
Belgium, Netherlands

TTPs:

IOCs:
File: 9
Url: 3
Domain: 3

Soft:
Firefox

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4