#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская сеть "Triad Nexus" использует отмывание средств через FUNNULL CDN для размещения мошеннических инвестиционных веб-сайтов, нацеленных на граждан США, что приводит к убыткам на сумму более 200 миллионов долларов. Ключевая фигура Лижи Лю находится под санкциями за содействие этим мошенничествам, в то время как предпринимаются усилия по отслеживанию его цифрового следа и пресечению его присутствия в Интернете.
-----

Аналитики, работающие с угрозами Silent Push, сосредоточили внимание на хакерской сети, известной как "Triad Nexus", которая использует отмывание инфраструктуры для сокрытия своей деятельности в рамках крупных западных поставщиков облачных услуг, таких как Amazon и Microsoft. Эта сеть в основном использует FUNNULL CDN для размещения мошеннических веб-сайтов, нацеленных на американских граждан. В мае 2025 года Министерство финансов США и ФБР выпустили совместные рекомендации в отношении FUNNULL и его администратора Лижи Лю, который впоследствии был внесен в санкционный список США за участие в содействии мошенническим инвестиционным сайтам. Лю, также известный как "Стив/Steven" Liu, активно управляет многочисленными аккаунтами на различных западных онлайн-платформах, что свидетельствует о сложной стратегии поддержания операционной безопасности, несмотря на действия правоохранительных органов.

На протяжении многих лет Silent Push отслеживал FUNNULL и с 2022 года определил его как важный сайт для мошеннических инвестиционных сайтов. Их исследование указывает на ошеломляющие финансовые последствия: мошенничество, связанное с ВОРОНКАМИ, по сообщениям, привело к убыткам жертв на сумму более 200 миллионов долларов, в среднем около 150 000 долларов каждая. Сотрудничество между такими агентствами, как ФБР, и фирмами, занимающимися финансовым отслеживанием, такими как Chainalysis, сыграло ключевую роль в борьбе с финансовыми преступлениями, связанными с FUNNULL, которая ранее была классифицирована как "финансовое учреждение, вызывающее наибольшую озабоченность по поводу отмывания денег"..

Операционный подход Лю предполагает использование вредоносной инфраструктуры, которая освобождает его от прямого финансового бремени за счет использования услуг западных провайдеров. Хотя он, по-видимому, является ключевой фигурой в функционировании FUNNULL, аналитики предполагают, что он, возможно, не является главным архитектором многочисленных инвестиционных схем, которые он поддерживает. После публичной идентификации Лю предпринимаются усилия по отслеживанию и потенциальному закрытию аккаунтов, которые он контролирует, на различных платформах, многие из которых все еще могут оставаться активными.

Анализ выявил огромное количество информации о цифровом следе Лю, включая различные онлайн-персоны и платформы, которые он использует как для личных, так и для мошеннических действий. Его участие распространяется на многочисленные программные проекты и сервисы электронной коммерции, такие как NexaMerchant, которые размещены на GitHub и имеют множество связанных аккаунтов. Адреса электронной почты и имена пользователей Liu свидетельствуют о долгой истории взаимодействия на различных платформах, некоторые из которых все еще могут служить средством для осуществления незаконной деятельности.

Правозащитникам настоятельно рекомендуется проявлять бдительность в отношении схем инвестиционного мошенничества, связанных с "разделкой свиней", и проявлять инициативу при прекращении предоставления услуг, связанных с организациями, на которые распространяются санкции, такими как FUNNULL и ее сеть. Продолжение расследования в отношении MINNULL CDN и сети Triad Nexus имеет решающее значение для пресечения этих схем мошенничества и предотвращения дальнейшей виктимизации.

#ParsedReport #CompletenessHigh
03-07-2025

Taking SHELLTER: a commercial evasion framework abused in-the-wild

https://www.elastic.co/security-labs/taking-shellter

Report completeness: High

Threats:
Shellter_tool
Seth_locker
Junk_code_technique
Polymorphism_technique
Rhadamanthys
Lumma_stealer
Procmon_tool
Sectop_rat
Sandbox_evasion_technique
Amsi_bypass_technique
Ghostpulse

Victims:
Youtube content creators, Brands (udemy, skillshare, pinnacle studio, duolingo), Shellter project

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
IP: 3
Domain: 2
Hash: 6

Soft:
Component Object Model, Active Template Library

Algorithms:
xor, aes, sha256, aes-128, cbc, lznt1

Functions:
GetCurrentDirectoryA

Win API:
VirtualAlloc, GetModuleHandleA, GetProcAddress, CreateFileMappingW, MapViewOfFile, NtCreateSection, NtMapViewOfSection, NtOpenSection, LoadLibraryExW, LdrLoadDll, have more...

Win Services:
BITS

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/labs-releases/tree/main/tools/shellter
have more...
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_unbacked\_shellcode\_from\_unsigned\_module.toml
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_shellcode\_from\_unusual\_microsoft\_signed\_module.toml

#ParsedReport #ExtractedSchema

Classified images:
dump: 6, code: 17, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Elastic Security Labs отметили увеличение числа киберкампаний с использованием SHELLTER - платформы уклонения, которая позволяет вредоносному ПО обходить средства защиты, используя самоизменение и полиморфную обфускацию. Платформа нацелена на методы перехвата API и использует шифрование, что усложняет обнаружение, в то время как инфокрады, такие как LUMMA и RHADAMANTHYS, доставляются с помощью фишинговых кампаний.
-----

SHELLTER - это коммерческая платформа для уклонения от ответственности, используемая в киберкампаниях по внедрению инфокрадов. Она позволяет хакерам обходить антивирусные программы и средства обнаружения конечных точек. С конца апреля 2025 года было замечено, что SHELLTER упаковывает полезную нагрузку с помощью Shellter Elite версии 11.0. Он поддерживает самомодификацию и полиморфную обфускацию, что затрудняет статическое обнаружение и обратное проектирование аналитиками безопасности. SHELLTER встраивает код в легальное программное обеспечение, используя самомодифицирующийся шеллкод и такие функции, как VirtualAlloc, чтобы скрыть свои данные от мониторинга. Полезная нагрузка шифруется с использованием режима AES-128 CBC с ключами, либо встроенными, либо полученными с серверов, контролируемых злоумышленниками. Платформа нацелена на использование методов перехвата API для обхода механизмов безопасности путем сопоставления свежих копий системных библиотек. SHELLTER включает в себя такие функции, как непрямые системные вызовы на основе trampoline, обнаружение отладки в пользовательском режиме и режиме ядра, а также меры по борьбе с виртуализацией. В недавних кампаниях были задействованы такие мошенники, как LUMMA и RHADAMANTHYS, которые распространяли фишинговые электронные письма, нацеленные на создателей контента. Эти электронные письма приводят к загрузке файлов RAR с двоичными файлами, защищенными SHELLTER, что приводит к краже полезной информации. Компания Elastic Security Labs разработала динамический распаковщик для двоичных файлов, защищенных SHELLTER, но его использование рекомендуется только в изолированных средах из соображений безопасности. Продолжающаяся эволюция тактики, применяемой хакерами, использующими SHELLTER, создает серьезные проблемы для защиты кибербезопасности.

#ParsedReport #CompletenessLow
04-07-2025

Threat Actors Recompile SonicWall's NetExtender to Include SilentRoute Backdoor

https://www.esentire.com/blog/threat-actors-recompile-sonicwalls-netextender-to-include-silentroute-backdoor

Report completeness: Low

Threats:
Silentroute

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1071.001, T1071.004, T1078, T1078.002, T1189, T1556

IOCs:
IP: 1
File: 3
Hash: 3
Url: 1
Domain: 3

Algorithms:
xor

Links:
https://github.com/esentire/iocs/blob/main/SilentRoute/SilentRoute-IoCs-06-25-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скрытая версия SSL-VPN-клиента SonicWall под названием "SilentRoute" была загружена пользователями с фишингового сайта, что привело к утечке учетных данных на сервер, контролируемый хакерами. Вредоносная программа, замаскированная под подлинный сертификат, изменяет исходные исполняемые файлы, чтобы скомпрометировать пользовательские данные и проникнуть в сети. Организациям рекомендуется менять пароли, проводить аудит на предмет возможных угроз и обучать сотрудников методам безопасного использования программного обеспечения.
-----

В конце июня 2025 года ничего не подозревающие пользователи обнаружили, что скрытая версия SSL VPN-клиента NetExtender от SonicWall, помеченная Microsoft как "SilentRoute", была загружена. Этот вредоносный вариант очень похож на легальное программное обеспечение, отличаясь лишь незначительными изменениями в его двоичных файлах. Когда пользователи вводят свои учетные данные и подключаются, эти изменения облегчают передачу конфиденциальных данных, а именно домена пользователя, имени пользователя и пароля, на сервер, контролируемый хакерами, по адресу 132.196.198.163 через порт 8080. Злоумышленники используют эти полученные учетные данные для проникновения в корпоративные сети и совершения дальнейших несанкционированных действий.

Процесс заражения начинается, когда пользователь пытается загрузить клиент NetExtender от SonicWall и случайно попадает на поддельный веб-сайт, имитирующий подлинную страницу загрузки SonicWall. Это приводит к загрузке подписанного вредоносного установщика с именем "SonicWall-NetExtender.msi". Этот установщик, подписанный сертификатом, выданным GlobalSign, создает видимость легитимности, поскольку использует центр сертификации, известный своим участием в анализе вредоносных программ. Вредоносный установщик содержит измененные версии двух исполняемых файлов NEService.exe и NetExtender.exe, которыми злоумышленники манипулировали с помощью сложного метода дизассемблирования или декомпиляции исходных файлов, внесения вредоносных изменений и последующей их повторной сборки.

Меры защиты для организаций включают немедленную смену паролей для пользователей, загрузивших троянское программное обеспечение, и проведение проверок для выявления последующих действий хакеров. Следует применять образовательный подход для информирования сотрудников об опасностях загрузки программного обеспечения из неофициальных источников. Для обнаружения и сдерживания таких угроз рекомендуется использовать антивирусные решения нового поколения. Кроме того, ведение внутреннего хранилища официальных ссылок на программное обеспечение поможет конечным пользователям использовать проверенные и одобренные загрузки, снижая риск непреднамеренной загрузки вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
04-07-2025

8 More Malicious Firefox Extensions: Exploiting Popular Game Recognition, Hijacking User Sessions, and Stealing OAuth Credentials

https://socket.dev/blog/8-more-malicious-firefox-extensions

Report completeness: Medium

Actors/Campaigns:
Mre1903

Threats:
Shell_shockers
Credential_harvesting_technique
Mitm_technique

Industry:
E-commerce, Entertainment

Geo:
Belgium, Netherlands

TTPs:

IOCs:
File: 9
Url: 3
Domain: 3

Soft:
Firefox

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные расширения Firefox, выдающие себя за популярные игры, крадут токены OAuth и перехватывают сеансы, а хакер mre1903 использует обманную тактику для перенаправления пользователей на мошеннические сайты. Тактика включает в себя кражу учетных данных с помощью поддельных инструментов и перехват данных с помощью отслеживающих iframe-фреймов, что подчеркивает необходимость бдительности и регулярных проверок для борьбы с этими угрозами.
-----

Недавнее исследование выявило сеть вредоносных расширений Firefox, выдающих себя за популярные игры, с целью кражи токенов OAuth, перехвата пользовательских сессий и использования разрешений браузера для мониторинга пользователей. Первоначально расследование было сосредоточено на расширении "Shell Shockers", которое, как было установлено, перенаправляет пользователей на мошеннические сайты технической поддержки. Результаты показывают, что вредоносные браузерные расширения все чаще используются во всех основных браузерах в качестве средства для выполнения различных хакерских действий.

Идентифицированный хакер, известный как mre1903, был активен с июня 2018 года, а эти вредоносные игровые расширения появились в основном в декабре 2020 года. Примечательно, что эти расширения не предлагают никаких подлинных игровых функций; вместо этого они используют узнаваемые названия популярных игр, таких как Little Alchemy 2, чтобы завоевать доверие пользователей и скрыть свои вредоносные цели. После установки пользователи перенаправляются на сайты азартных игр и мошеннические программы Apple virus alert, целью которых является получение личной информации с помощью тактики социальной инженерии.

Исследование также выявило несколько других вредоносных расширений. Например, расширение "GimmeGimme" выдает себя за инструмент для составления списка пожеланий для авторитетных европейских торговых сайтов, таких как bol.com и wehkamp.nl, но тайно перенаправляет пользователей по партнерским ссылкам для отслеживания. Это не только подрывает доверие пользователей, но и может препятствовать законным программам кэшбэка.

Другое вызывающее беспокойство расширение, позиционируемое как ориентированное на конфиденциальность VPN под названием "VPN Grab A Proxy Free", внедряет невидимые отслеживающие iframe-файлы на веб-страницы, создавая, таким образом, скрытые пути для перехвата данных и отслеживания пользователей без их согласия. Такое манипулятивное поведение может привести к компрометации конфиденциальных пользовательских данных, включая учетные данные для входа в систему и личную информацию, снижая уровень защищенности HTTPS-соединений и облегчая проведение атак типа "человек посередине".

Наиболее тревожным из этих расширений является "CalSyncMaster", замаскированное под инструмент синхронизации календаря Google. Оно совершает кражу учетных данных, используя доверие пользователей к потокам аутентификации OAuth, тем самым получая доступ к конфиденциальным данным с помощью украденных токенов. Этот переход от простого мошенничества к изощренной краже учетных данных подчеркивает эволюционирующий характер таких угроз и показывает, как киберпреступники приспосабливаются к использованию поведения и доверия пользователей.

Вредоносные браузерные расширения остаются популярным средством атаки из-за их способности работать в контексте безопасности браузера, используя обширные права доступа и осведомленность пользователей. Проанализированные кампании подчеркивают необходимость постоянной бдительности, подчеркивая важность регулярных проверок, тщательной проверки разрешений и внедрения автоматизированных средств обнаружения для снижения рисков в динамичном ландшафте угроз, связанных с расширениями браузера.

#ParsedReport #CompletenessLow
03-07-2025

Exclusive disclosure of the "NightEagle" attack activities of an APT organization in a North American country

https://www.ctfiot.com/259781.html

Report completeness: Low

Actors/Campaigns:
Nighteagle

Threats:
Chisel_tool

Victims:
Top companies, High-tech units, Big model application industry, Military industries

Industry:
Semiconductor_industry, Military

Geo:
American, America, China, Malaysia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1053.005, T1055, T1071.004, T1078, T1090.001, T1105, T1190, have more...

IOCs:
Domain: 23
File: 9
IP: 2

Soft:
ASP.NET, WeChat

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightEagle (APT-Q-95) использует неизвестную уязвимость Microsoft Exchange, используя динамическую вредоносную программу, троянскую программу Chisel на базе Go, для скрытого проникновения в интрасеть. Ориентируясь на высокотехнологичные сектора Китая, они демонстрируют передовые тактические приемы, включая способность стирать следы после атаки и манипулировать ответами сервера для получения доступа к конфиденциальным данным.
-----

Qi'an Pangu отслеживает сложную APT-группу, известную как NightEagle (APT-Q-95), которая, как подозревается, использует неизвестную уязвимость в Microsoft Exchange. Эта организация располагает значительными ресурсами, что позволяет ей приобретать многочисленные сетевые ресурсы, такие как VPS-серверы и доменные имена, при этом каждая атака потенциально использует другое доменное имя, сопровождаемое часто меняющимися IP-адресами, для обеспечения оперативной скрытности. NightEagle в первую очередь нацелился на высокотехнологичные секторы, включая полупроводниковые, квантовые технологии, искусственный интеллект и военную промышленность Китая, с целью кражи конфиденциальных разведданных.

Оперативная тактика NightEagle заключается в быстром уходе с места нападения после получения информации и обеспечении того, чтобы следы их деятельности были полностью стерты. Во время своих операций группа была известна своей ночной активностью, по сообщениям, совершая нападения между 9 часами вечера и 6 часами утра по пекинскому времени. Злоумышленники продемонстрировали усовершенствованные возможности, внедрив вредоносное ПО, в частности, специализированный троян семейства Chisel, написанный на Go, который активируется через определенные промежутки времени с помощью запланированных задач. Это вредоносное ПО облегчает проникновение в интрасеть, устанавливая скрытое соединение Socks с серверами управления (C&C).

Анализ взломанной среды показал, что троянец NightEagle работает в оперативной памяти, что делает его менее обнаруживаемым традиционными антивирусными решениями. Загрузчик вредоносной программы, идентифицированный как App_Web_cn*.dll—файл ASP.NET предварительно скомпилированная библиотека DLL — была обнаружена на сервере Exchange и служит механизмом для дальнейшего доступа вредоносной программы. Запросы к виртуальным URL-адресам манипулируют ответами сервера, чтобы запустить полезную нагрузку троянца memory.

В ходе расследования был сделан вывод, что злоумышленники, вероятно, воспользовались уязвимостью нулевого дня для получения машинного ключа сервера Exchange, что позволило им получить несанкционированный доступ и прочитать конфиденциальные данные почтового ящика. Исследование инструментов и методов, используемых NightEagle, выявило закономерность в их таргетинге, с уникальными характеристиками доменных имен, используемых для атак, включая их регистрацию через Tucows и методы разрешения, которые маскировали реальные IP-адреса во время работы.

Анализ показывает, что группировка NightEagle динамична и корректирует направление своих атак в соответствии с геополитическими изменениями, сохраняя при этом обширную оперативную базу в сфере кибершпионажа. Их логистика демонстрирует сложный подход - от первоначального проникновения до скрытой утечки данных. Информация, полученная об инструментах, методах и процедурах APT group, имеет решающее значение для усиления защиты от их меняющихся стратегий в области кибербезопасности.

#ParsedReport #CompletenessLow
04-07-2025

CrowdStrike Services Observes SCATTERED SPIDER Escalate Attacks Across Industries

https://www.crowdstrike.com/en-us/blog/crowdstrike-services-observes-scattered-spider-escalate-attacks/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: financially_motivated)

Threats:
Ad_explorer_tool
Adrecon_tool
Chisel_tool
Mobaxterm_tool
Ngrok_tool
Teleport_tool
Sim_swapping_technique
Teamviewer_tool
Anydesk_tool

Victims:
Insurance entities, Retail entities, Airlines

Industry:
Aerospace, Retail

ChatGPT TTPs:
do not use without manual check
T1003.003, T1078, T1087.002, T1114.003, T1486, T1489, T1556.006, T1562.001, T1567.002, T1572, have more...

IOCs:
File: 1

Soft:
Active Directory, Rsocx, S3 Browser, ESXi, Microsoft Defender, Confluence

Functions:
Get-ADUser

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SCATTERED SPIDER, киберпреступная группировка, специализирующаяся на электронных преступлениях, теперь нацелена на авиацию, а также страхование и розничную торговлю. Они используют голосовой фишинг для кражи учетных данных для доступа к Microsoft Entra ID и VMware, используя такие тактические приемы, как боковое перемещение, для развертывания программ-вымогателей, угрожая утечкой данных с целью вымогательства. Защитные меры включают расширенный мониторинг инфраструктуры VMware и облачных приложений для обнаружения несанкционированных действий.
-----

Киберпреступная группа SCATTERED SPIDER, специализирующаяся на электронных преступлениях, начала атаковать авиационный сектор в дополнение к страхованию и розничной торговле. Во втором квартале 2025 года группа проявляла особую активность в отношении компаний США и Великобритании. Их основной метод атаки заключается в голосовом фишинге, направленном на сотрудников службы поддержки, чтобы получить доступ к учетным записям Microsoft Entra ID, SSO и VDI. Они эффективно выдают себя за законных сотрудников, точно отвечая на вопросы службы поддержки для сброса паролей и многофакторной аутентификации.

Как только доступ получен, они переключаются на SaaS-приложения для горизонтального перемещения и сбора информации, фокусируясь на получении финансовой выгоды за счет вымогательства. SPIDER SPIDER проводит разведку сред Active Directory с помощью таких инструментов, как ADExplorer и PowerShell scripts. Они использовали VMware vCenter для создания неуправляемых виртуальных машин, подключая диски виртуальных машин контроллера домена для извлечения файлов базы данных Active Directory.

Методы защиты включают установку законных средств туннелирования и прокси-серверов на взломанные виртуальные машины и манипулирование правилами передачи электронной почты, чтобы препятствовать обнаружению подозрительных действий. Целью группы является внедрение программ-вымогателей в инфраструктуры VMware ESXi, угрожающих утечкой данных, если требования о выкупе не будут выполнены. Они используют методы социальной инженерии, замену SIM-карт и инструменты удаленного доступа, такие как TeamViewer, для обеспечения устойчивого доступа.

SCATTERED SPIDER использует облачных провайдеров идентификации для перемещения по сети и извлечения данных перед развертыванием программ-вымогателей. Они нацелены на среды поставщиков облачных услуг, таких как Azure, AWS и Google Cloud Identity. Организациям рекомендуется усилить мониторинг инфраструктур VMware, отслеживать изменения и внедрять надежные планы реагирования на инциденты. Превентивные меры должны включать в себя развертывание средств сбора информации в виртуальных средах и мониторинг подозрительной активности в облачных приложениях.

#ParsedReport #CompletenessHigh
04-07-2025

Hpingbot: A New Botnet Family Based on Pastebin Payload Delivery Chain and Hping3 DDoS Module

https://nsfocusglobal.com/hpingbot-a-new-botnet-family-based-on-pastebin-payload-delivery-chain-and-hping3-ddos-module/

Report completeness: High

Threats:
Hpingbot
Hping3_tool
Mirai
Bashlite
Sysvinit_tool
Ackflood_technique
Tcpflood_technique
Synflood_technique
Udpflood_technique

Victims:
Netdata, Servers, Containers, Applications, Network devices

Industry:
Iot

Geo:
Germany, Turkey, German

TTPs:
Tactics: 6
Technics: 14

IOCs:
IP: 2
Url: 3
Hash: 1

Soft:
Unix, Systemd, curl

Platforms:
amd64, mips, cross-platform, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hpingbot - это ботнет на базе Go, обнаруженный в июне 2025 года, работающий на Windows и Linux /IoT и использующий несколько архитектур. Он проводит целенаправленные DDoS-атаки, используя слабые пароли SSH для распространения и используя Pastebin для распределения полезной нагрузки. Новый модуль DDoS предлагает расширенные возможности, фокусируясь на выполнении полезной нагрузки по сравнению с традиционными методами DDoS.
-----

Hpingbot представляет собой новое семейство ботнетов, разработанное в основном на Go, обнаруженное исследовательской лабораторией NSFOCUS в июне 2025 года. Этот кроссплатформенный ботнет работает в системах Windows и Linux/IoT, используя множество процессорных архитектур, включая amd64, mips, arm и 80386. Это было задумано в ответ на последние тенденции, когда доступность исходного кода ботнета и инструментов искусственного интеллекта сделала разработку ботнета более доступной. В то время как многие новые ботнеты являются адаптацией традиционных семейств, таких как Mirai и Gafgyt, hpingbot выделяется своей уникальной архитектурой и методологиями работы, в частности, использованием Pastebin для распределения полезной нагрузки и инструмента hping3 для проведения DDoS-атак.

Оперативное поведение hpingbot показывает, что он часто остается бездействующим, выдавая ограниченное количество DDoS-команд, в основном против целей в Германии, Соединенных Штатах и Турции. Интересным наблюдением является то, что ботнет изначально нацелился на IP-адрес, связанный с инструментом мониторинга NetData с открытым исходным кодом, что указывает на возможность того, что тестирование возможностей DDoS-атак интегрировано в рабочий процесс его разработки. Примечательно, что, хотя Windows-версия hpingbot напрямую не использует hping3 для DDoS-атак, ее частая оперативная активность позволяет предположить, что злоумышленники могут уделять больше внимания загрузке и выполнению произвольной полезной нагрузки, а не исключительно проведению DDoS-атак.

С середины июня 2025 года наблюдается повышенная активность в отношении функциональности hpingbot. Злоумышленники начали распространять новый компонент для DDoS-атак, также разработанный на Go, в котором отсутствует интеграция с Pastebin или hping3. Этот новый модуль, который, судя по наличию отладочной информации, находится на стадии тестирования, реализует функции защиты от наводнений через UDP и TCP, служа либо потенциальной заменой оригинальному hpingbot, либо вспомогательным инструментом для распределения полезной нагрузки. Двойная функциональность подчеркивает роль ботнета как посредника в проведении более масштабных атак, включая доставку APT-компонентов или программ-вымогателей.

Методы распространения, используемые hpingbot, в основном связаны с использованием слабых паролей SSH. Примечательно, что модуль распространения SSH работает независимо от самой ботнета, что позволяет предотвратить раскрытие ключевой информации и усилить контроль над операционными масштабами. Технические стратегии, используемые hpingbot, согласуются с несколькими этапами платформы MITRE ATT&CK, используя Pastebin для размещения полезной нагрузки, используя системные службы для сохранения и выполняя задачи с помощью сценариев оболочки.

Модуль DDoS оперативно управляет hping3, используя упрощенный текстовый формат, что позволяет злоумышленникам инициировать различные типы DDoS-атак с помощью легко настраиваемых параметров. Несмотря на свои основные возможности для DDoS-атак, архитектура hpingbot подчеркивает важность возможностей выполнения полезной нагрузки, особенно когда версия Windows не может выполнить hping3.

#ParsedReport #CompletenessHigh
04-07-2025

Gamaredon in 2024: Cranking out spearphishing campaigns against Ukraine with an evolved toolset

https://web-assets.esetstatic.com/wls/en/papers/white-papers/gamaredon-in-2024.pdf

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage, propaganda)
Invisimole

Threats:
Spear-phishing_technique
Pterographin
Pteropsdoor
Pterodoc
Pterotemplate
Smuggling_technique
Pterosand
Pteropsload
Pterolnk
Pterotickle
Pterocdrop
Pterogram
Pterorisk
Pteropshell
Pterovdoor
Pterovload
Pteroscout
Pterox
Pteroscreen
Pterosig
Pterosocks
Pterosteal
Pterodespair
Pteroquark
Pterostew
Pterodash
Pterobox
Ngrok_tool
Fastflux_technique
Litterdrifter
Pteropsddoor
Junk_code_technique
Dead_drop_technique

Victims:
Governmental institutions

Geo:
Russian federation, Ukraine, Ukrainian, Russian, Crimea

TTPs:
Tactics: 11
Technics: 67

IOCs:
File: 43
Command: 2
Path: 9
Url: 5
IP: 29
Registry: 12
Hash: 27
Domain: 21

Soft:
Windows registry, trycloudflare, curl, Telegram, PyInstaller, Microsoft Excel, Unix, Dropbox, Microsoft Word, Windows Explorer, have more...

Algorithms:
3des, base64, zip, md5, des, exhibit, xor

Functions:
getHttp, Get-WmiObject, createICIs, createAccount, createPage, getPage, Dropbox, attendtkq, xlonglet, CreateObject, have more...

Win API:
deletefile, getobject, copyfile, DriveType, CreateProcess

Win Services:
webclient

Languages:
php, javascript, python, jscript, visual_basic, powershell