#ParsedReport #CompletenessLow
05-07-2025
XwormRAT distributed using steganography techniques
https://asec.ahnlab.com/ko/88785/
Report completeness: Low
Threats:
Xworm_rat
Steganography_technique
Formbook
ChatGPT TTPs:
T1027, T1027.003, T1059.001, T1059.005, T1059.007, T1105, T1140, T1566.001
IOCs:
Hash: 5
Url: 5
Algorithms:
md5, base64
Functions:
replace
Languages:
powershell, javascript
05-07-2025
XwormRAT distributed using steganography techniques
https://asec.ahnlab.com/ko/88785/
Report completeness: Low
Threats:
Xworm_rat
Steganography_technique
Formbook
ChatGPT TTPs:
do not use without manual checkT1027, T1027.003, T1059.001, T1059.005, T1059.007, T1105, T1140, T1566.001
IOCs:
Hash: 5
Url: 5
Algorithms:
md5, base64
Functions:
replace
Languages:
powershell, javascript
ASEC
스테가노그래피 기법을 이용해 유포중인 XwormRAT - ASEC
스테가노그래피 기법을 이용해 유포중인 XwormRAT ASEC
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 XwormRAT distributed using steganography techniques https://asec.ahnlab.com/ko/88785/ Report completeness: Low Threats: Xworm_rat Steganography_technique Formbook ChatGPT TTPs: do not use without manual check…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, используя стеганографию изображений в формате JPG, чтобы скрыть свой код выполнения. Она использует VBScript/JavaScript для запуска сценария PowerShell, который загружает дополнительное вредоносное ПО, усложняя его обнаружение. Модифицированные версии вредоносной программы могут выполнять поиск определенных растровых подписей в файлах JPG, что подчеркивает универсальность этого метода и необходимость соблюдать осторожность при работе с неизвестными электронными письмами.
-----
Аналитический центр безопасности AhnLab (ASEC) сообщил, что вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, в которых используются методы стеганографии, что усложняет усилия по обнаружению. При первоначальном запуске вредоносного ПО используется код на VBScript или JavaScript, который встраивает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт запускает также встроенный в него сценарий PowerShell, предназначенный для загрузки и запуска вредоносного ПО.
Сценарий PowerShell использует кодировку BASE64 вместе с фиктивными символами, которые удаляются во время выполнения, чтобы выявить вредоносную нагрузку. В конечном счете, этот процесс приводит к загрузке и запуску дополнительного вредоносного ПО, размещенного на внешних серверах. Примечательно, что механизм доставки этого вредоносного ПО включает в себя файл изображения в формате JPG, который содержит загрузчик .NET вместе с самим вредоносным кодом. Эта реализация стеганографии предназначена для маскировки вредоносного ПО, что делает его менее узнаваемым для пользователей и систем безопасности.
Было подтверждено, что модифицированные версии вредоносной программы специально предназначены для поиска определенных шаблонов, в частности, подписи растрового изображения в конце файлов JPG. Этот поиск позволяет получить пиксельные данные, из которых извлекаются значения R, G и B, что позволяет вредоносному ПО функционировать аналогично его предыдущим версиям. Это подчеркивает универсальность метода стеганографии, позволяющего применять его для различных типов вредоносных программ, помимо XwormRAT. Поскольку модифицированные версии становятся все более распространенными, ASEC предупреждает пользователей проявлять осторожность при работе с электронными письмами из неизвестных источников, чтобы снизить потенциальные риски, связанные с этими развивающимися угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, используя стеганографию изображений в формате JPG, чтобы скрыть свой код выполнения. Она использует VBScript/JavaScript для запуска сценария PowerShell, который загружает дополнительное вредоносное ПО, усложняя его обнаружение. Модифицированные версии вредоносной программы могут выполнять поиск определенных растровых подписей в файлах JPG, что подчеркивает универсальность этого метода и необходимость соблюдать осторожность при работе с неизвестными электронными письмами.
-----
Аналитический центр безопасности AhnLab (ASEC) сообщил, что вредоносная программа XwormRAT распространяется с помощью фишинговых электронных писем, в которых используются методы стеганографии, что усложняет усилия по обнаружению. При первоначальном запуске вредоносного ПО используется код на VBScript или JavaScript, который встраивает вредоносные скрипты в кажущийся безобидным код. Этот исходный скрипт запускает также встроенный в него сценарий PowerShell, предназначенный для загрузки и запуска вредоносного ПО.
Сценарий PowerShell использует кодировку BASE64 вместе с фиктивными символами, которые удаляются во время выполнения, чтобы выявить вредоносную нагрузку. В конечном счете, этот процесс приводит к загрузке и запуску дополнительного вредоносного ПО, размещенного на внешних серверах. Примечательно, что механизм доставки этого вредоносного ПО включает в себя файл изображения в формате JPG, который содержит загрузчик .NET вместе с самим вредоносным кодом. Эта реализация стеганографии предназначена для маскировки вредоносного ПО, что делает его менее узнаваемым для пользователей и систем безопасности.
Было подтверждено, что модифицированные версии вредоносной программы специально предназначены для поиска определенных шаблонов, в частности, подписи растрового изображения в конце файлов JPG. Этот поиск позволяет получить пиксельные данные, из которых извлекаются значения R, G и B, что позволяет вредоносному ПО функционировать аналогично его предыдущим версиям. Это подчеркивает универсальность метода стеганографии, позволяющего применять его для различных типов вредоносных программ, помимо XwormRAT. Поскольку модифицированные версии становятся все более распространенными, ASEC предупреждает пользователей проявлять осторожность при работе с электронными письмами из неизвестных источников, чтобы снизить потенциальные риски, связанные с этими развивающимися угрозами.
#ParsedReport #CompletenessHigh
05-07-2025
XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild
https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html
Report completeness: High
Threats:
Xworm_rat
Process_injection_technique
Supply_chain_technique
Asyncrat
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Empire_loader
Industry:
Entertainment, Transport
TTPs:
IOCs:
File: 35
Command: 1
Path: 1
Hash: 9
Soft:
Microsoft Defender, Windows Powershell, Windows security, Windows Event Tracing for Windows, Windows Security Center, Slack
Algorithms:
zip, md5, gzip, base64, aes
Functions:
EtwEventWrite, Win32_VideoController, RunDisk
Win API:
AmsiScanBuffer, decompress, capGetDriverDescriptionA
Languages:
dotnet, javascript, cscript, powershell
Links:
have more...
05-07-2025
XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild
https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html
Report completeness: High
Threats:
Xworm_rat
Process_injection_technique
Supply_chain_technique
Asyncrat
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Empire_loader
Industry:
Entertainment, Transport
TTPs:
IOCs:
File: 35
Command: 1
Path: 1
Hash: 9
Soft:
Microsoft Defender, Windows Powershell, Windows security, Windows Event Tracing for Windows, Windows Security Center, Slack
Algorithms:
zip, md5, gzip, base64, aes
Functions:
EtwEventWrite, Win32_VideoController, RunDisk
Win API:
AmsiScanBuffer, decompress, capGetDriverDescriptionA
Languages:
dotnet, javascript, cscript, powershell
Links:
https://github.com/splunk/attack\_data/https://gist.github.com/tccontre/2e4508f7fd308a6d6e64aa56ff5ad50ehave more...
https://github.com/splunk/security\_contentSplunk
XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild | Splunk
Explore XWorm's shape-shifting tactics, evolution, and persistence, and how Splunk helps detect this RAT.
CTT Report Hub
#ParsedReport #CompletenessHigh 05-07-2025 XWorm's Shape-Shifting Arsenal: Loader and Stager Variants in the Wild https://www.splunk.com/en_us/blog/security/xworm-shape-shifting-arsenal-detection-evasion.html Report completeness: High Threats: Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
XWorm - это усовершенствованная программа RAT, используемая киберпреступниками, которая обеспечивает кейлоггинг, удаленный доступ и эксфильтрацию данных. Она использует модульную тактику, обфускацию и связь C2, чтобы избежать обнаружения, используя различные методы доставки и механизмы сохранения данных, одновременно облегчая загрузку полезных программ-вымогателей.
-----
XWorm - это продвинутый троян для удаленного доступа (RAT), который завоевал популярность среди хакеров благодаря своему широкому набору функций, включая кейлоггинг, удаленный доступ к рабочему столу, эксфильтрацию данных и выполнение команд. Его модульность и адаптивность сделали его предпочтительным выбором для киберпреступников, особенно нацеленных на цепочку поставок программного обеспечения и игровой сектор. XWorm часто развертывается вместе с другими вредоносными программами, такими как AsyncRAT, на ранних стадиях атаки, что в конечном итоге облегчает доставку полезной нагрузки программ-вымогателей, связанных с такими группами, как LockBit.
Недавние кампании, в которых используется XWorm, показывают, как развиваются методы обхода механизмов обнаружения. Вредоносная программа использует ряд этапов и загрузчиков, что позволяет ей динамически изменять методы доставки. Такая гибкость позволяет XWorm использовать различные форматы файлов и языки сценариев, включая PowerShell, VBS, исполняемые файлы .NET и другие, что усложняет работу по обнаружению. Использование RAT методов обфускации еще больше затрудняет статический анализ кода, скрывая его функциональность и назначение.
Цепочка заражения XWorm включает в себя компоненты, специально разработанные для получения основной полезной информации непосредственно с серверов командно-диспетчерского управления (C2). Например, некоторые .Было замечено, что hta-файлы и stagers на базе PowerShell ведут себя подобным образом. Вредоносная программа также использует сложные тактики уклонения, такие как изменение интерфейса проверки на наличие вредоносных программ (AMSI), чтобы избежать обнаружения антивирусными решениями. Исправив функцию AmsiScanBuffer() в памяти, XWorm может выполнять свой код, не запуская защиту, а также изменять трассировку событий Windows (ETW), чтобы избежать регистрации вредоносных действий.
В дополнение к своим механизмам сохранения, которые включают создание ярлыков .lnk и изменение разделов реестра, XWorm обладает способностью распространяться через съемные диски. Для этого он удаляет свои копии и привлекает пользователей к выполнению своей полезной нагрузки. Кроме того, вредоносная программа способна поддерживать работоспособность при перезагрузке системы и повышать привилегии с помощью запланированных задач.
После выполнения XWorm взаимодействует со своим сервером C2, обрабатывая команды, которые включают выключение системы, загрузку файлов и DDoS-атаки. Он выполняет разведку системы с использованием инструментария управления Windows (WMI) для сбора информации об установленном антивирусном программном обеспечении и подробных данных об аппаратном обеспечении системы, таком как графический процессор.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
XWorm - это усовершенствованная программа RAT, используемая киберпреступниками, которая обеспечивает кейлоггинг, удаленный доступ и эксфильтрацию данных. Она использует модульную тактику, обфускацию и связь C2, чтобы избежать обнаружения, используя различные методы доставки и механизмы сохранения данных, одновременно облегчая загрузку полезных программ-вымогателей.
-----
XWorm - это продвинутый троян для удаленного доступа (RAT), который завоевал популярность среди хакеров благодаря своему широкому набору функций, включая кейлоггинг, удаленный доступ к рабочему столу, эксфильтрацию данных и выполнение команд. Его модульность и адаптивность сделали его предпочтительным выбором для киберпреступников, особенно нацеленных на цепочку поставок программного обеспечения и игровой сектор. XWorm часто развертывается вместе с другими вредоносными программами, такими как AsyncRAT, на ранних стадиях атаки, что в конечном итоге облегчает доставку полезной нагрузки программ-вымогателей, связанных с такими группами, как LockBit.
Недавние кампании, в которых используется XWorm, показывают, как развиваются методы обхода механизмов обнаружения. Вредоносная программа использует ряд этапов и загрузчиков, что позволяет ей динамически изменять методы доставки. Такая гибкость позволяет XWorm использовать различные форматы файлов и языки сценариев, включая PowerShell, VBS, исполняемые файлы .NET и другие, что усложняет работу по обнаружению. Использование RAT методов обфускации еще больше затрудняет статический анализ кода, скрывая его функциональность и назначение.
Цепочка заражения XWorm включает в себя компоненты, специально разработанные для получения основной полезной информации непосредственно с серверов командно-диспетчерского управления (C2). Например, некоторые .Было замечено, что hta-файлы и stagers на базе PowerShell ведут себя подобным образом. Вредоносная программа также использует сложные тактики уклонения, такие как изменение интерфейса проверки на наличие вредоносных программ (AMSI), чтобы избежать обнаружения антивирусными решениями. Исправив функцию AmsiScanBuffer() в памяти, XWorm может выполнять свой код, не запуская защиту, а также изменять трассировку событий Windows (ETW), чтобы избежать регистрации вредоносных действий.
В дополнение к своим механизмам сохранения, которые включают создание ярлыков .lnk и изменение разделов реестра, XWorm обладает способностью распространяться через съемные диски. Для этого он удаляет свои копии и привлекает пользователей к выполнению своей полезной нагрузки. Кроме того, вредоносная программа способна поддерживать работоспособность при перезагрузке системы и повышать привилегии с помощью запланированных задач.
После выполнения XWorm взаимодействует со своим сервером C2, обрабатывая команды, которые включают выключение системы, загрузку файлов и DDoS-атаки. Он выполняет разведку системы с использованием инструментария управления Windows (WMI) для сбора информации об установленном антивирусном программном обеспечении и подробных данных об аппаратном обеспечении системы, таком как графический процессор.
#ParsedReport #CompletenessLow
05-07-2025
Pro-Russian hacktivism: Shifting alliances, new groups and risks
https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks
Report completeness: Low
Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)
Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper
Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...
Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco
Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel
ChatGPT TTPs:
T1190, T1491, T1499, T1565.001, T1588.002
Soft:
Telegram
Platforms:
intel
Links:
05-07-2025
Pro-Russian hacktivism: Shifting alliances, new groups and risks
https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks
Report completeness: Low
Actors/Campaigns:
Dark_storm_team (motivation: hacktivism, cyber_espionage)
Mr_hamza (motivation: hacktivism, cyber_espionage)
Z-pentest_alliance (motivation: hacktivism)
Oplithuania (motivation: hacktivism)
Noname057 (motivation: financially_motivated, hacktivism)
Serverkillers (motivation: hacktivism)
Anonsec (motivation: hacktivism)
Keymous (motivation: hacktivism)
Twonet (motivation: hacktivism, cyber_espionage)
Killnet (motivation: hacktivism)
Killmilk (motivation: hacktivism)
Cyberarmyofrussia (motivation: hacktivism)
Peoples_cyber_army
Root_sploit
Cyberarmyrussia
Deadnet
Fucknet
Xaknet
Sandworm (motivation: hacktivism)
It_army (motivation: hacktivism, information_theft)
Rippersec (motivation: hacktivism)
Overflame (motivation: hacktivism, cyber_espionage)
Sector091 (motivation: hacktivism, cyber_espionage)
Threats:
Ddosia_botnet
Panicbotnet_tool
Megamedusa_tool
Sakura_dropper
Victims:
Lithuanian financial sector, Lithuanian government institutions, Expresstrip, Industrial control systems, Water utility facility texas, Energy utility facility, Nato countries, Entities in or supporting ukraine, Israeli websites, Critical infrastructure organizations, have more...
Industry:
Government, Ics, Energy, Military, Aerospace, Critical_infrastructure, Software_development, Telco
Geo:
Lithuania, Russia, France, Ukrainians, Russians, Poland, Russian, Iranian, Polish, Spain, Iran, Israeli, Ukraine, Ukrainian, Israel
ChatGPT TTPs:
do not use without manual checkT1190, T1491, T1499, T1565.001, T1588.002
Soft:
Telegram
Platforms:
intel
Links:
https://github.com/TrashDono/MegaMedusa
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Pro-Russian hacktivism: Shifting alliances, new groups and risks https://intel471.com/blog/pro-russian-hacktivism-shifting-alliances-new-groups-and-risks Report completeness: Low Actors/Campaigns: Dark_storm_team…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----
Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.
Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.
KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.
Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.
В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.
Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----
Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.
Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.
KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.
Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.
В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.
Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.
#ParsedReport #CompletenessHigh
05-07-2025
From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains
https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/
Report completeness: High
Actors/Campaigns:
Unc5174
Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool
Victims:
Python developers, Hugging face users, Machine learning practitioners
Geo:
Chinese
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 6
Url: 2
Hash: 11
IP: 2
Soft:
Unix, torch, Hugging Face, curl, Linux, macOS
Algorithms:
md5, sha256, sha1
Languages:
python
Platforms:
intel, cross-platform
05-07-2025
From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains
https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/
Report completeness: High
Actors/Campaigns:
Unc5174
Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool
Victims:
Python developers, Hugging face users, Machine learning practitioners
Geo:
Chinese
TTPs:
Tactics: 2
Technics: 7
IOCs:
File: 6
Url: 2
Hash: 11
IP: 2
Soft:
Unix, torch, Hugging Face, curl, Linux, macOS
Algorithms:
md5, sha256, sha1
Languages:
python
Platforms:
intel, cross-platform
CTT Report Hub
#ParsedReport #CompletenessHigh 05-07-2025 From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Модуль Python pickle представляет собой уязвимость в моделях машинного обучения, позволяющую выполнять произвольный код во время десериализации. Злоумышленники используют это, внедряя вредоносный код в pth-файлы, что приводит к загрузке и запуску троянских программ удаленного доступа (RATs) с использованием таких инструментов, как VShell, что выявляет риски цепочки поставок программного обеспечения в надежных хранилищах искусственного интеллекта.
-----
Недавние расследования деятельности хакеров выявили значительный риск, связанный с экосистемой Python, особенно в отношении моделей машинного обучения, которые используют модуль pickle для сериализации. Этот модуль, широко используемый для сохранения и загрузки сложных объектов, обладает критической уязвимостью: он может выполнять произвольный код в процессе десериализации. Злоумышленники все чаще используют эту уязвимость, внедряя вредоносный код в сериализованные файлы моделей, в частности, в pth-файлы, используемые в PyTorch.
В одном примечательном случае исследователи выявили вредоносные файлы модели PyTorch, загруженные на авторитетные платформы, такие как Hugging Face. Эти скомпрометированные файлы были связаны с подозрительной учетной записью пользователя и после десериализации с помощью функции torch.load() выполняли встроенные команды оболочки, предназначенные для загрузки и запуска троянских программ удаленного доступа (RATs). Одна из таких полезных данных включала двоичный файл ELF на базе Go, который вызывался обратно на сервер управления (C2), скрытый через туннель Cloudflare, - тактика, которая помогает избежать обнаружения и установления авторства.
Специфика атаки заключается в командах оболочки, которые автоматически загружают исполняемые файлы с помощью curl или wget и выполняют их непосредственно в оболочке, не сохраняя на диске. Например, файлы пытались загрузить скрипт с удаленного сервера и выполнить его, что позволило получить дополнительный контроль над скомпрометированными системами. Использование платформы VShell C2, которая поддерживает различные операционные системы и предоставляет такие возможности, как удаленное выполнение команд и передача файлов, указывает на изощренный характер этих атак. Изначально предназначенный для операций red team, VShell стал излюбленным инструментом злоумышленников, позволяющим им скрытно проводить операции через зашифрованные веб-сокеты.
Кроме того, полученные данные свидетельствуют о тенденции злоупотребления надежными хранилищами искусственного интеллекта в качестве каналов распространения вредоносного ПО, связывая уязвимости цепочки поставок программного обеспечения с растущим уровнем угроз. Риск, связанный с использованием pickle для ненадежных источников, является существенным, поскольку он позволяет выполнять скрытый код, проявляющийся в виде реальных угроз, когда злоумышленники внедряют вредоносное ПО, используя такие инструменты, как Cobalt Strike и Metasploit. Эта эскалация подчеркивает необходимость того, чтобы специалисты по безопасности тщательно изучали сериализованные файлы моделей с той же тщательностью, что и при выполнении традиционного кода, поскольку взаимодействие моделей ML и кибербезопасности продолжает развиваться.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Модуль Python pickle представляет собой уязвимость в моделях машинного обучения, позволяющую выполнять произвольный код во время десериализации. Злоумышленники используют это, внедряя вредоносный код в pth-файлы, что приводит к загрузке и запуску троянских программ удаленного доступа (RATs) с использованием таких инструментов, как VShell, что выявляет риски цепочки поставок программного обеспечения в надежных хранилищах искусственного интеллекта.
-----
Недавние расследования деятельности хакеров выявили значительный риск, связанный с экосистемой Python, особенно в отношении моделей машинного обучения, которые используют модуль pickle для сериализации. Этот модуль, широко используемый для сохранения и загрузки сложных объектов, обладает критической уязвимостью: он может выполнять произвольный код в процессе десериализации. Злоумышленники все чаще используют эту уязвимость, внедряя вредоносный код в сериализованные файлы моделей, в частности, в pth-файлы, используемые в PyTorch.
В одном примечательном случае исследователи выявили вредоносные файлы модели PyTorch, загруженные на авторитетные платформы, такие как Hugging Face. Эти скомпрометированные файлы были связаны с подозрительной учетной записью пользователя и после десериализации с помощью функции torch.load() выполняли встроенные команды оболочки, предназначенные для загрузки и запуска троянских программ удаленного доступа (RATs). Одна из таких полезных данных включала двоичный файл ELF на базе Go, который вызывался обратно на сервер управления (C2), скрытый через туннель Cloudflare, - тактика, которая помогает избежать обнаружения и установления авторства.
Специфика атаки заключается в командах оболочки, которые автоматически загружают исполняемые файлы с помощью curl или wget и выполняют их непосредственно в оболочке, не сохраняя на диске. Например, файлы пытались загрузить скрипт с удаленного сервера и выполнить его, что позволило получить дополнительный контроль над скомпрометированными системами. Использование платформы VShell C2, которая поддерживает различные операционные системы и предоставляет такие возможности, как удаленное выполнение команд и передача файлов, указывает на изощренный характер этих атак. Изначально предназначенный для операций red team, VShell стал излюбленным инструментом злоумышленников, позволяющим им скрытно проводить операции через зашифрованные веб-сокеты.
Кроме того, полученные данные свидетельствуют о тенденции злоупотребления надежными хранилищами искусственного интеллекта в качестве каналов распространения вредоносного ПО, связывая уязвимости цепочки поставок программного обеспечения с растущим уровнем угроз. Риск, связанный с использованием pickle для ненадежных источников, является существенным, поскольку он позволяет выполнять скрытый код, проявляющийся в виде реальных угроз, когда злоумышленники внедряют вредоносное ПО, используя такие инструменты, как Cobalt Strike и Metasploit. Эта эскалация подчеркивает необходимость того, чтобы специалисты по безопасности тщательно изучали сериализованные файлы моделей с той же тщательностью, что и при выполнении традиционного кода, поскольку взаимодействие моделей ML и кибербезопасности продолжает развиваться.
#ParsedReport #CompletenessLow
05-07-2025
Scattered Spider: Rapid7 Insights, Observations, and Recommendations
https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Threats:
Sim_swapping_technique
Teleport_tool
Byovd_technique
Blackcat
Mfa_bombing_technique
Teamviewer_tool
Screenconnect_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Fleetdeck_tool
Psexec_tool
Credential_dumping_technique
Lolbin_technique
Mimikatz_tool
Stonestop
Poortry
Dragonforce_ransomware
Victims:
Large enterprises, Telecommunications firms, Outsourcing firms, Cloud companies, Technology companies, Retailers, Finance companies, Airline sector, Uk retailers, Airlines, have more...
Industry:
Telco, Retail, Entertainment, Financial, Aerospace
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet_diagnostics_driver_iqvw32.sys (1.03.0.7)
- intel ethernet_diagnostics_driver_iqvw64.sys (1.03.0.7)
CVE-2021-35464 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- forgerock access_management (<6.5.4)
- forgerock openam (<14.6.3)
TTPs:
Soft:
Windows Remote Desktop, psexec
Functions:
AWS
Platforms:
intel
05-07-2025
Scattered Spider: Rapid7 Insights, Observations, and Recommendations
https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/
Report completeness: Low
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Threats:
Sim_swapping_technique
Teleport_tool
Byovd_technique
Blackcat
Mfa_bombing_technique
Teamviewer_tool
Screenconnect_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Fleetdeck_tool
Psexec_tool
Credential_dumping_technique
Lolbin_technique
Mimikatz_tool
Stonestop
Poortry
Dragonforce_ransomware
Victims:
Large enterprises, Telecommunications firms, Outsourcing firms, Cloud companies, Technology companies, Retailers, Finance companies, Airline sector, Uk retailers, Airlines, have more...
Industry:
Telco, Retail, Entertainment, Financial, Aerospace
CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet_diagnostics_driver_iqvw32.sys (1.03.0.7)
- intel ethernet_diagnostics_driver_iqvw64.sys (1.03.0.7)
CVE-2021-35464 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- forgerock access_management (<6.5.4)
- forgerock openam (<14.6.3)
TTPs:
Soft:
Windows Remote Desktop, psexec
Functions:
AWS
Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessLow 05-07-2025 Scattered Spider: Rapid7 Insights, Observations, and Recommendations https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, нацеленная на крупные предприятия с помощью сложной социальной инженерии и многоэтапных вторжений. Они используют тактику ИТ-службы поддержки, усталость от работы с MFA и уязвимости, такие как CVE-2021-35464, для доступа, используя такие инструменты, как TeamViewer, для сохранения. Их операции сосредоточены на краже данных и вымогательстве, включая сотрудничество с программами-вымогателями и заметные нарушения, такие как MGM Resorts.
-----
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, действующая с мая 2022 года.
Они ориентированы на крупные предприятия, особенно в сфере телекоммуникаций, облачных технологий, розничной торговли, финансов и авиаперевозок.
Группа использует сложную социальную инженерию, в частности, выдает себя за ИТ-службу поддержки, чтобы получить доступ.
Их тактика эволюционировала от фишинга и обмена SIM-картами до сложных многоэтапных вторжений в облачные и локальные среды.
Они используют методы MITRE ATT&CK, включая фишинг (T1566), информационный фишинг (T1598), выполнение действий пользователя (T1204) и усталость от работы с MFA (T1621).
Они используют законные инструменты удаленного доступа, такие как TeamViewer, ScreenConnect, Splashtop и Teleport, для обеспечения надежного долгосрочного доступа.
Они используют облачные инструменты управления для подсчета и горизонтального перемещения, используя API AWS для сбора данных об экземплярах EC2 и ролях IAM.
Для навигации по корпоративным сетям используются внутренние протоколы, такие как RDP и SMB.
Они используют такие уязвимости, как CVE-2021-35464 в ForgeRock AM для удаленного выполнения кода и CVE-2015-2291 в драйверах Intel.
Они используют тактику "принеси свой собственный уязвимый драйвер" (BYOVD), чтобы отключить программное обеспечение безопасности без обнаружения.
Вредоносные драйверы, такие как STONESTOP и YOUPRTRY, используются для отключения систем endpoint protection.
Их цели включают кражу данных и вымогательство, что иногда приводит к внедрению программ-вымогателей наряду с угрозами для данных.
Scattered Spider был связан с такими группами программ-вымогателей, как ALPHV /BlackCat, и серьезными нарушениями, включая атаку на MGM Resorts.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, нацеленная на крупные предприятия с помощью сложной социальной инженерии и многоэтапных вторжений. Они используют тактику ИТ-службы поддержки, усталость от работы с MFA и уязвимости, такие как CVE-2021-35464, для доступа, используя такие инструменты, как TeamViewer, для сохранения. Их операции сосредоточены на краже данных и вымогательстве, включая сотрудничество с программами-вымогателями и заметные нарушения, такие как MGM Resorts.
-----
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, действующая с мая 2022 года.
Они ориентированы на крупные предприятия, особенно в сфере телекоммуникаций, облачных технологий, розничной торговли, финансов и авиаперевозок.
Группа использует сложную социальную инженерию, в частности, выдает себя за ИТ-службу поддержки, чтобы получить доступ.
Их тактика эволюционировала от фишинга и обмена SIM-картами до сложных многоэтапных вторжений в облачные и локальные среды.
Они используют методы MITRE ATT&CK, включая фишинг (T1566), информационный фишинг (T1598), выполнение действий пользователя (T1204) и усталость от работы с MFA (T1621).
Они используют законные инструменты удаленного доступа, такие как TeamViewer, ScreenConnect, Splashtop и Teleport, для обеспечения надежного долгосрочного доступа.
Они используют облачные инструменты управления для подсчета и горизонтального перемещения, используя API AWS для сбора данных об экземплярах EC2 и ролях IAM.
Для навигации по корпоративным сетям используются внутренние протоколы, такие как RDP и SMB.
Они используют такие уязвимости, как CVE-2021-35464 в ForgeRock AM для удаленного выполнения кода и CVE-2015-2291 в драйверах Intel.
Они используют тактику "принеси свой собственный уязвимый драйвер" (BYOVD), чтобы отключить программное обеспечение безопасности без обнаружения.
Вредоносные драйверы, такие как STONESTOP и YOUPRTRY, используются для отключения систем endpoint protection.
Их цели включают кражу данных и вымогательство, что иногда приводит к внедрению программ-вымогателей наряду с угрозами для данных.
Scattered Spider был связан с такими группами программ-вымогателей, как ALPHV /BlackCat, и серьезными нарушениями, включая атаку на MGM Resorts.
#ParsedReport #CompletenessMedium
05-07-2025
When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign
https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html
Report completeness: Medium
Threats:
Shellcodeloader
Dll_sideloading_technique
Hijackloader
Redline_stealer
D3fack
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Process_hollowing_technique
Plugx_rat
Credential_harvesting_technique
TTPs:
IOCs:
File: 22
Path: 5
Hash: 4
Url: 1
Command: 2
Soft:
Chrome, Internet Explorer, chromium, Opera, Vivaldi, Google Chrome, Microsoft Edge, Slack
Wallets:
metamask, tronlink
Crypto:
binance
Algorithms:
zip, xor, lznt1
Functions:
TaskContent, TaskName
Win API:
RtlDecompressBuffer
Languages:
pascal
Links:
05-07-2025
When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign
https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html
Report completeness: Medium
Threats:
Shellcodeloader
Dll_sideloading_technique
Hijackloader
Redline_stealer
D3fack
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Process_hollowing_technique
Plugx_rat
Credential_harvesting_technique
TTPs:
IOCs:
File: 22
Path: 5
Hash: 4
Url: 1
Command: 2
Soft:
Chrome, Internet Explorer, chromium, Opera, Vivaldi, Google Chrome, Microsoft Edge, Slack
Wallets:
metamask, tronlink
Crypto:
binance
Algorithms:
zip, xor, lznt1
Functions:
TaskContent, TaskName
Win API:
RtlDecompressBuffer
Languages:
pascal
Links:
https://github.com/splunk/security\_contenthttps://github.com/splunk/attack\_data/Splunk
When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign | Splunk
Uncover the Inno Setup malware campaign leveraging Pascal scripting to deliver RedLine Stealer.
CTT Report Hub
#ParsedReport #CompletenessMedium 05-07-2025 When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют установщики Inno Setup для распространения вредоносного ПО, внедряя вредоносный код, который использует сценарии на языке Pascal для выполнения полезной нагрузки и уклонения от обнаружения. В рамках кампании в основном используется RedLine Stealer, предназначенный для защиты конфиденциальных данных браузера. Тактика уклонения включает в себя обфускацию, меры по предотвращению анализа и связь C2 с ограниченным доступом, что требует усовершенствованных стратегий обнаружения для предотвращения.
-----
Киберпреступники используют легальные платформы установки, в частности Inno Setup, для распространения вредоносных программ. Вредоносные программы установки Inno Setup содержат встроенное вредоносное ПО, замаскированное под безопасные приложения. Эти установщики используют сценарии на языке Pascal для извлечения и выполнения вторичной полезной нагрузки, что приводит к развертыванию шеллкода и HijackLoader, который предоставляет RedLine Stealer. Сценарий включает в себя XOR-шифрование для обфускации и использует инструментарий управления Windows (WMI) для обнаружения средств безопасности, прерывая выполнение при их обнаружении. Загрузчик выполняет контекстную проверку имени файла и подключается к серверу управления для загрузки полезной нагрузки, которая защищена специальными идентификационными заголовками. RedLine Stealer использует данные пользователя браузера для сбора учетных данных, включая информацию для входа в систему и расширения криптовалютного кошелька. Вредоносная программа использует продвинутые тактики уклонения, такие как "постоянное разворачивание" обфускации и манипулирование процессами, чтобы обеспечить скрытность. Она использует перенаправленные URL-адреса и запутанную полезную нагрузку, чтобы скрыть свои операции. Обнаружение вредоносной активности может включать распознавание ненормальных условий запуска браузера, таких как использование опции "--no-sandbox" или отсутствие расширений.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют установщики Inno Setup для распространения вредоносного ПО, внедряя вредоносный код, который использует сценарии на языке Pascal для выполнения полезной нагрузки и уклонения от обнаружения. В рамках кампании в основном используется RedLine Stealer, предназначенный для защиты конфиденциальных данных браузера. Тактика уклонения включает в себя обфускацию, меры по предотвращению анализа и связь C2 с ограниченным доступом, что требует усовершенствованных стратегий обнаружения для предотвращения.
-----
Киберпреступники используют легальные платформы установки, в частности Inno Setup, для распространения вредоносных программ. Вредоносные программы установки Inno Setup содержат встроенное вредоносное ПО, замаскированное под безопасные приложения. Эти установщики используют сценарии на языке Pascal для извлечения и выполнения вторичной полезной нагрузки, что приводит к развертыванию шеллкода и HijackLoader, который предоставляет RedLine Stealer. Сценарий включает в себя XOR-шифрование для обфускации и использует инструментарий управления Windows (WMI) для обнаружения средств безопасности, прерывая выполнение при их обнаружении. Загрузчик выполняет контекстную проверку имени файла и подключается к серверу управления для загрузки полезной нагрузки, которая защищена специальными идентификационными заголовками. RedLine Stealer использует данные пользователя браузера для сбора учетных данных, включая информацию для входа в систему и расширения криптовалютного кошелька. Вредоносная программа использует продвинутые тактики уклонения, такие как "постоянное разворачивание" обфускации и манипулирование процессами, чтобы обеспечить скрытность. Она использует перенаправленные URL-адреса и запутанную полезную нагрузку, чтобы скрыть свои операции. Обнаружение вредоносной активности может включать распознавание ненормальных условий запуска браузера, таких как использование опции "--no-sandbox" или отсутствие расширений.
#ParsedReport #CompletenessHigh
05-07-2025
Phishing Attack : Deploying Malware on Indian Defense BOSS Linux
https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux
Industry:
Education, Government, Critical_infrastructure
Geo:
Pakistan, Indian, India
TTPs:
Tactics: 11
Technics: 15
IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2
Soft:
Linux, Systemd, LibreOffice, curl
Algorithms:
sha256, md5, zip
Functions:
setKeepAlive, setKeepAlivePeriod
YARA: Found
05-07-2025
Phishing Attack : Deploying Malware on Indian Defense BOSS Linux
https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux
Industry:
Education, Government, Critical_infrastructure
Geo:
Pakistan, Indian, India
TTPs:
Tactics: 11
Technics: 15
IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2
Soft:
Linux, Systemd, LibreOffice, curl
Algorithms:
sha256, md5, zip
Functions:
setKeepAlive, setKeepAlivePeriod
YARA: Found
CYFIRMA
Phishing Attack : Deploying Malware on Indian Defense BOSS Linux - CYFIRMA
Executive Summary CYFIRMA has identified a sophisticated cyber-espionage campaign orchestrated by APT36 (also known as Transparent Tribe), a threat actor...