#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Конфликт между Россией и Украиной привел к росту хактивизма, когда такие группы, как NoName057(16) и CARR, проводят целенаправленные DDoS-атаки и используют уязвимости в критически важной инфраструктуре. Эти операции, часто связанные с геополитическими событиями, свидетельствуют о сотрудничестве между хакерами и организациями, спонсируемыми государством, что усложняет поиск виновных и увеличивает масштаб угроз.
-----

Продолжающийся конфликт между Россией и Украиной, который обострился в 2022 году, значительно изменил ситуацию с киберпреступностью, в частности, из-за заметного роста хактивизма. Пророссийские и проукраинские хактивисты участвовали в различных кибероперациях, включая распределенные атаки типа "отказ в обслуживании" (DDoS), повреждение веб-сайтов и утечку данных. В 2025 году эта деятельность была стимулирована геополитическими событиями, такими как изменение военной поддержки Украины со стороны США и увеличение военной помощи со стороны европейских стран.

Появилось несколько пророссийских групп хактивистов, в частности, кампания #OpLithuania, начатая в мае 2025 года, в которой участвовали несколько групп, нацеленных на финансовые и правительственные учреждения Литвы в ответ на санкции против России. В нем приняли участие такие хактивисты, как команда Dark Storm и мистер Хамза, продемонстрировав скоординированные усилия по выражению несогласия с европейской поддержкой Украины. Рост числа атак связан со значительными политическими событиями, такими как президентские выборы в Польше и военные действия Израиля против Ирана, что еще больше побудило пророссийских и проиранских хактивистов к проведению ответных киберопераций.

KillNet, ранее известная пророссийская хактивистская группировка, превратилась в более финансово мотивированную киберпреступность, в то время как NoName057(16) приобрела известность. Действуя с начала 2022 года, эта группа постоянно нацеливается на страны НАТО, проводя атаки в ответ на военные и политические события. Они используют проект DDoSia, инструмент, разработанный в Go, для организации массовых DDoS-атак, вознаграждая участников криптовалютой за их вклад.

Кроме того, возрожденная Кибер-армия России (CARR) перешла от обычных DDoS-атак к более изощренным атакам на промышленные системы управления (ICS), воздействуя на критически важную инфраструктуру. Министерство финансов США выявило ключевые фигуры в компании CARR, которые были вовлечены в подобные операции, что указывает на возможную связь с деятельностью, спонсируемой российским государством. Мандиант сообщил, что КАРР тесно сотрудничает с ГРУ, выступая в качестве прикрытия, обеспечивающего правдоподобное отрицание спонсируемых государством киберопераций и способствующего утечке информации.

В среде хактивистов также появились новые организации, такие как ИТ-армия России и TwoNet, которые используют стратегии DDoS-атак и кражи данных. ИТ-армия нацелена на украинские предприятия и критически важную инфраструктуру, часто используя уязвимости SQL-инъекций для утечки данных. Тем временем TwoNet проводит DDoS-атаки в различных секторах, включая авиацию и телекоммуникации, поддерживая свою деятельность через социальные сети и Telegram.

Хактивистский ландшафт остается изменчивым, характеризуясь доступностью инструментов для DDoS-атак на подпольных рынках и возможностью наращивания интенсивности атак. Несмотря на то, что некоторым группам хактивистов зачастую не хватает сложных навыков по сравнению с APT, некоторым группам хактивистов удалось набрать квалифицированный персонал, способный скомпрометировать критически важную инфраструктуру. Примерами значительных сбоев являются DDoS-атаки, направленные против ICS, что подчеркивает потенциальные риски, связанные с деятельностью хактивистов в условиях продолжающегося конфликта. Наблюдатели отмечают, что, хотя эти группы, как правило, используют базовые методы, их связь с субъектами государственного уровня усложняет установление их причастности и повышает вес их кибервозможностей.

#ParsedReport #CompletenessHigh
05-07-2025

From .pth to p0wned: Abuse of Pickle Files in AI Model Supply Chains

https://www.rapid7.com/blog/post/from-pth-to-p0wned-abuse-of-pickle-files-in-ai-model-supply-chains/

Report completeness: High

Actors/Campaigns:
Unc5174

Threats:
Supply_chain_technique
Vshell
Cobalt_strike_tool
Metasploit_tool

Victims:
Python developers, Hugging face users, Machine learning practitioners

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 7

IOCs:
File: 6
Url: 2
Hash: 11
IP: 2

Soft:
Unix, torch, Hugging Face, curl, Linux, macOS

Algorithms:
md5, sha256, sha1

Languages:
python

Platforms:
intel, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модуль Python pickle представляет собой уязвимость в моделях машинного обучения, позволяющую выполнять произвольный код во время десериализации. Злоумышленники используют это, внедряя вредоносный код в pth-файлы, что приводит к загрузке и запуску троянских программ удаленного доступа (RATs) с использованием таких инструментов, как VShell, что выявляет риски цепочки поставок программного обеспечения в надежных хранилищах искусственного интеллекта.
-----

Недавние расследования деятельности хакеров выявили значительный риск, связанный с экосистемой Python, особенно в отношении моделей машинного обучения, которые используют модуль pickle для сериализации. Этот модуль, широко используемый для сохранения и загрузки сложных объектов, обладает критической уязвимостью: он может выполнять произвольный код в процессе десериализации. Злоумышленники все чаще используют эту уязвимость, внедряя вредоносный код в сериализованные файлы моделей, в частности, в pth-файлы, используемые в PyTorch.

В одном примечательном случае исследователи выявили вредоносные файлы модели PyTorch, загруженные на авторитетные платформы, такие как Hugging Face. Эти скомпрометированные файлы были связаны с подозрительной учетной записью пользователя и после десериализации с помощью функции torch.load() выполняли встроенные команды оболочки, предназначенные для загрузки и запуска троянских программ удаленного доступа (RATs). Одна из таких полезных данных включала двоичный файл ELF на базе Go, который вызывался обратно на сервер управления (C2), скрытый через туннель Cloudflare, - тактика, которая помогает избежать обнаружения и установления авторства.

Специфика атаки заключается в командах оболочки, которые автоматически загружают исполняемые файлы с помощью curl или wget и выполняют их непосредственно в оболочке, не сохраняя на диске. Например, файлы пытались загрузить скрипт с удаленного сервера и выполнить его, что позволило получить дополнительный контроль над скомпрометированными системами. Использование платформы VShell C2, которая поддерживает различные операционные системы и предоставляет такие возможности, как удаленное выполнение команд и передача файлов, указывает на изощренный характер этих атак. Изначально предназначенный для операций red team, VShell стал излюбленным инструментом злоумышленников, позволяющим им скрытно проводить операции через зашифрованные веб-сокеты.

Кроме того, полученные данные свидетельствуют о тенденции злоупотребления надежными хранилищами искусственного интеллекта в качестве каналов распространения вредоносного ПО, связывая уязвимости цепочки поставок программного обеспечения с растущим уровнем угроз. Риск, связанный с использованием pickle для ненадежных источников, является существенным, поскольку он позволяет выполнять скрытый код, проявляющийся в виде реальных угроз, когда злоумышленники внедряют вредоносное ПО, используя такие инструменты, как Cobalt Strike и Metasploit. Эта эскалация подчеркивает необходимость того, чтобы специалисты по безопасности тщательно изучали сериализованные файлы моделей с той же тщательностью, что и при выполнении традиционного кода, поскольку взаимодействие моделей ML и кибербезопасности продолжает развиваться.

#ParsedReport #CompletenessLow
05-07-2025

Scattered Spider: Rapid7 Insights, Observations, and Recommendations

https://www.rapid7.com/blog/post/scattered-spider-rapid7-insights-observations-and-recommendations/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)

Threats:
Sim_swapping_technique
Teleport_tool
Byovd_technique
Blackcat
Mfa_bombing_technique
Teamviewer_tool
Screenconnect_tool
Splashtop_tool
Anydesk_tool
Ngrok_tool
Fleetdeck_tool
Psexec_tool
Credential_dumping_technique
Lolbin_technique
Mimikatz_tool
Stonestop
Poortry
Dragonforce_ransomware

Victims:
Large enterprises, Telecommunications firms, Outsourcing firms, Cloud companies, Technology companies, Retailers, Finance companies, Airline sector, Uk retailers, Airlines, have more...

Industry:
Telco, Retail, Entertainment, Financial, Aerospace

CVEs:
CVE-2015-2291 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel ethernet_diagnostics_driver_iqvw32.sys (1.03.0.7)
- intel ethernet_diagnostics_driver_iqvw64.sys (1.03.0.7)

CVE-2021-35464 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- forgerock access_management (<6.5.4)
- forgerock openam (<14.6.3)


TTPs:

Soft:
Windows Remote Desktop, psexec

Functions:
AWS

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, нацеленная на крупные предприятия с помощью сложной социальной инженерии и многоэтапных вторжений. Они используют тактику ИТ-службы поддержки, усталость от работы с MFA и уязвимости, такие как CVE-2021-35464, для доступа, используя такие инструменты, как TeamViewer, для сохранения. Их операции сосредоточены на краже данных и вымогательстве, включая сотрудничество с программами-вымогателями и заметные нарушения, такие как MGM Resorts.
-----

Scattered Spider (UNC3944) - это финансово мотивированная киберпреступная группировка, действующая с мая 2022 года.

Они ориентированы на крупные предприятия, особенно в сфере телекоммуникаций, облачных технологий, розничной торговли, финансов и авиаперевозок.

Группа использует сложную социальную инженерию, в частности, выдает себя за ИТ-службу поддержки, чтобы получить доступ.

Их тактика эволюционировала от фишинга и обмена SIM-картами до сложных многоэтапных вторжений в облачные и локальные среды.

Они используют методы MITRE ATT&CK, включая фишинг (T1566), информационный фишинг (T1598), выполнение действий пользователя (T1204) и усталость от работы с MFA (T1621).

Они используют законные инструменты удаленного доступа, такие как TeamViewer, ScreenConnect, Splashtop и Teleport, для обеспечения надежного долгосрочного доступа.

Они используют облачные инструменты управления для подсчета и горизонтального перемещения, используя API AWS для сбора данных об экземплярах EC2 и ролях IAM.

Для навигации по корпоративным сетям используются внутренние протоколы, такие как RDP и SMB.

Они используют такие уязвимости, как CVE-2021-35464 в ForgeRock AM для удаленного выполнения кода и CVE-2015-2291 в драйверах Intel.

Они используют тактику "принеси свой собственный уязвимый драйвер" (BYOVD), чтобы отключить программное обеспечение безопасности без обнаружения.

Вредоносные драйверы, такие как STONESTOP и YOUPRTRY, используются для отключения систем endpoint protection.

Их цели включают кражу данных и вымогательство, что иногда приводит к внедрению программ-вымогателей наряду с угрозами для данных.

Scattered Spider был связан с такими группами программ-вымогателей, как ALPHV /BlackCat, и серьезными нарушениями, включая атаку на MGM Resorts.

#ParsedReport #CompletenessMedium
05-07-2025

When Installers Turn Evil: The Pascal Script Behind Inno Setup Malware Campaign

https://www.splunk.com/en_us/blog/security/inno-setup-malware-redline-stealer-campaign.html

Report completeness: Medium

Threats:
Shellcodeloader
Dll_sideloading_technique
Hijackloader
Redline_stealer
D3fack
Lumma_stealer
Raccoon_stealer
Remcos_rat
Amadey
Heavens_gate_technique
Process_hollowing_technique
Plugx_rat
Credential_harvesting_technique

TTPs:

IOCs:
File: 22
Path: 5
Hash: 4
Url: 1
Command: 2

Soft:
Chrome, Internet Explorer, chromium, Opera, Vivaldi, Google Chrome, Microsoft Edge, Slack

Wallets:
metamask, tronlink

Crypto:
binance

Algorithms:
zip, xor, lznt1

Functions:
TaskContent, TaskName

Win API:
RtlDecompressBuffer

Languages:
pascal

Links:
https://github.com/splunk/security\_content
https://github.com/splunk/attack\_data/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют установщики Inno Setup для распространения вредоносного ПО, внедряя вредоносный код, который использует сценарии на языке Pascal для выполнения полезной нагрузки и уклонения от обнаружения. В рамках кампании в основном используется RedLine Stealer, предназначенный для защиты конфиденциальных данных браузера. Тактика уклонения включает в себя обфускацию, меры по предотвращению анализа и связь C2 с ограниченным доступом, что требует усовершенствованных стратегий обнаружения для предотвращения.
-----

Киберпреступники используют легальные платформы установки, в частности Inno Setup, для распространения вредоносных программ. Вредоносные программы установки Inno Setup содержат встроенное вредоносное ПО, замаскированное под безопасные приложения. Эти установщики используют сценарии на языке Pascal для извлечения и выполнения вторичной полезной нагрузки, что приводит к развертыванию шеллкода и HijackLoader, который предоставляет RedLine Stealer. Сценарий включает в себя XOR-шифрование для обфускации и использует инструментарий управления Windows (WMI) для обнаружения средств безопасности, прерывая выполнение при их обнаружении. Загрузчик выполняет контекстную проверку имени файла и подключается к серверу управления для загрузки полезной нагрузки, которая защищена специальными идентификационными заголовками. RedLine Stealer использует данные пользователя браузера для сбора учетных данных, включая информацию для входа в систему и расширения криптовалютного кошелька. Вредоносная программа использует продвинутые тактики уклонения, такие как "постоянное разворачивание" обфускации и манипулирование процессами, чтобы обеспечить скрытность. Она использует перенаправленные URL-адреса и запутанную полезную нагрузку, чтобы скрыть свои операции. Обнаружение вредоносной активности может включать распознавание ненормальных условий запуска браузера, таких как использование опции "--no-sandbox" или отсутствие расширений.

#ParsedReport #CompletenessHigh
05-07-2025

Phishing Attack : Deploying Malware on Indian Defense BOSS Linux

https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux

Industry:
Education, Government, Critical_infrastructure

Geo:
Pakistan, Indian, India

TTPs:
Tactics: 11
Technics: 15

IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2

Soft:
Linux, Systemd, LibreOffice, curl

Algorithms:
sha256, md5, zip

Functions:
setKeepAlive, setKeepAlivePeriod

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на оборонный сектор Индии, используя фишинговые электронные письма для доставки вредоносного по.файл рабочего стола, который выполняет полезную нагрузку под названием BOSS.elf в среде Linux. Эта вредоносная программа собирает системную информацию, устанавливает канал C2 и может делать снимки экрана, что указывает на изощренный подход к кибершпионажу.
-----

APT36, также известный как Transparent Tribe, был идентифицирован как опытный хакер, занимающийся кибершпионажем, в частности, нацеленный на оборонный сектор Индии. Группа использует новую тактику, ориентированную на среды на базе Linux, в частности на дистрибутив BOSS Linux, который широко используется индийскими правительственными учреждениями. Вектор атаки в основном связан с фишинговыми электронными письмами, которые доставляют вложения в формате ZIP, содержащие вредоносные файлы.

Как только жертва выполнит вредоносное ПО .файл для рабочего стола, замаскированный под ярлык Linux, использует механизм двойного действия: он загружает и открывает законный файл PowerPoint (.pptx), чтобы создать видимость подлинности, и одновременно запускает вредоносный двоичный файл ELF (исполняемый файл в связываемом формате) в фоновом режиме. Двоичный файл ELF, называемый BOSS.elf, служит в качестве основной полезной нагрузки, предназначенной для взлома системы и облегчения несанкционированного доступа.

Вся операция представляет собой многоэтапный подход, направленный на то, чтобы избежать подозрений пользователей и традиционных мер безопасности. Фишинговое электронное письмо предназначено для отображения в качестве соответствующей рекомендации, а использование значка LibreOffice Impress с ярлыком усиливает его маскировку. Атака использует скриптовый процесс с использованием команды curl для бесшумной загрузки дополнительных файлов, в то же время отвлекая жертву от работы с документом-приманкой.

После своего запуска вредоносная программа получает важную системную информацию, такую как имя хоста, данные о процессоре и оперативной памяти, чтобы адаптировать свои действия, прежде чем установить постоянство в целевой системе. Примечательно, что он использует main.junkcalc2 для ведения журнала действий, что помогает управлять операциями в режиме реального времени и избегать обнаружения антивирусом, сводя к минимуму подозрительное поведение. Кроме того, вредоносная программа сканирует диски и файлы, чтобы найти конфиденциальную информацию, потенциально пригодную для утечки.

Для обмена данными вредоносная программа устанавливает канал управления (C2) с IP-адресом 101.99.92.182 на порту 12520. Однако, по данным последнего анализа, этот IP-адрес был недоступен, что указывает на то, что хакер может в любой момент повторно активировать его для удаленного управления. Вредоносная программа также способна делать скриншоты рабочего стола жертвы для сбора дополнительной информации, оставаясь незамеченной.

Таким образом, недавние операции APT36 свидетельствуют об эволюции их тактики и подчеркивают растущие угрозы инфраструктурам на базе Linux, особенно в критически важных государственных секторах. Организациям, использующим BOSS Linux или аналогичные платформы, необходимо уделять приоритетное внимание усиленным мерам безопасности, включая сложную защиту электронной почты, повышение осведомленности пользователей и постоянный мониторинг аналитических данных об угрозах, чтобы противостоять этим продвинутым хакерам.

#ParsedReport #CompletenessLow
05-07-2025

Weekly Threat Infrastructure Investigation(Week26)

https://disconinja.hatenablog.com/entry/2025/07/05/161657

Report completeness: Low

Threats:
Cobalt_strike_tool
Supershell
Netsupportmanager_rat
Mythic_c2
Brc4_tool
Plugx_rat

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1584.004

IOCs:
IP: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Идентификация 26 серверов командования и контроля в Японии, включая те, которые связаны с Cobalt Strike, указывает на продолжающуюся изощренную хакерскую деятельность, что свидетельствует о потенциальных скоординированных операциях хакеров.
-----

В ходе расследования с использованием поисковой функции Censys в Японии за период с 23 по 29 июня 2025 года было выявлено 26 серверов управления (C2). Примечательно, что расследование подтвердило наличие нескольких C2s, в том числе связанных с широко используемым инструментом тестирования на проникновение Cobalt Strike. Идентификация этих серверов C2 указывает на продолжающуюся хакерскую активность в регионе, особенно связанную со сложными методами атак, в которых используется инфраструктура, способная управлять скомпрометированными системами или координировать вредоносную деятельность. Обнаружение нескольких серверов C2 позволяет предположить возможность скоординированной кибероперации, которая, вероятно, была проведена хакерами, использующими Cobalt Strike в целях последующей эксплуатации. Использование таких инструментов, как правило, иллюстрирует продвинутую тактику, применяемую злоумышленниками, которая может варьироваться от горизонтального перемещения внутри сетей до развертывания дополнительной полезной нагрузки. Присутствие этих серверов C2 в Японии вызывает обеспокоенность по поводу уровня безопасности организаций в регионе и подчеркивает необходимость повышения бдительности в отношении изощренных хакеров.

#ParsedReport #CompletenessMedium
05-07-2025

Who are DragonForce Ransomware Group?

https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)
0ktapus

Threats:
Dragonforce_ransomware
Credential_dumping_technique
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Systembc
Cobalt_strike_tool
Babuk
Shadow_copies_delete_technique
Mimikatz_tool
Adfind_tool

Victims:
Marks and spencer, The co-op group, Harrods

Industry:
Transport, Logistic, Retail, Healthcare

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 6
Technics: 23

IOCs:
File: 9
Registry: 1
Command: 3
Path: 3
IP: 4
Hash: 7

Soft:
Active Directory, Ivanti, PsExec

Win Services:
webclient

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, хакер 2023 года, нацелен на более чем 170 организаций с целью получения финансовой выгоды, используя фишинг для получения первоначального доступа и уязвимости, доступные общественности (например, CVE-2021-44228). Они используют PowerShell для загрузки вредоносных программ, SystemBC - для доступа через черный ход и выполнения пользовательских программ-вымогателей, удаляя при этом параметры восстановления, препятствующие исправлению. В своей работе они используют такие инструменты, как Mimikatz для сбора учетных данных и Cobalt Strike для управления.
-----

DragonForce - это недавно выявленный хакер, появившийся в 2023 году и нацеленный на более чем 170 организаций в различных секторах, включая розничную торговлю, логистику, технологии и критически важную национальную инфраструктуру, в первую очередь для получения финансовой выгоды. Они избегают нападок на медицинские учреждения из-за внутреннего морального кодекса, но совершили громкие нарушения в секторе розничной торговли Великобритании, нацелившись на такие компании, как Marks and Spencer, Co-Op Group и Harrods. DragonForce сотрудничает с другой группой, Scattered Spider, делясь методами и инструментами, в том числе полезными программами-вымогателями, подобными LockBit и Conti.

Группа использует методы фишинга для получения первоначального доступа, уделяя особое внимание ложным электронным письмам, чтобы получить учетные данные с помощью социальной инженерии. Они использовали взломанные базы данных Windows Active Directory для получения конфиденциальной информации для входа в систему и часто используют действительные учетные данные сторонних поставщиков для доступа.

Первоначальный доступ DragonForce также связан с использованием известных уязвимостей в общедоступных приложениях, таких как Apache, RDP и VPN-сервисы, в частности CVE-2021-44228 и CVE-2023-46805. При проникновении в сеть они используют PowerShell для загрузки дополнительного вредоносного ПО, обеспечения сохраняемости с помощью изменений в реестре и обеспечения доступа к бэкдору с помощью вредоносного ПО SystemBC proxy.

Боковое перемещение осуществляется с помощью внутренних протоколов, таких как RDP и SMB, с использованием таких инструментов, как Cobalt Strike и PsExec. Они запускают пользовательскую программу-вымогатель для шифрования файлов на разных устройствах, используя передовые методы повышения привилегий и обхода средств защиты, а также удаляют параметры восстановления системы после шифрования, чтобы помешать исправлению.

Сбор учетных данных предполагает прямой доступ к памяти с помощью таких инструментов, как Mimikatz, и нацеливание на базу данных Active Directory. Они используют такие инструменты, как AdFind, для обнаружения сети, а их инфраструктура командования и контроля работает через Cobalt Strike, отмеченную многочисленными уникальными IP-адресами, указывающими на структурированную операционную систему.

#ParsedReport #CompletenessMedium
06-07-2025

Golden-eyed Dog (APT-Q-27) The gang's recent stealing activities using the "Silver Fox" Trojan horse

https://www.secrss.com/articles/79443

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Todesk_tool
Winos
Ollvm_tool

Victims:
People engaged in gambling, Dog promotion related personnel, Overseas chinese groups

Geo:
Asia, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1027, T1027.004, T1053.005, T1055.001, T1056.001, T1059.001, T1059.003, T1071.001, T1072, T1082, have more...

IOCs:
File: 16
Hash: 10
IP: 10
Registry: 1
Url: 1
Domain: 1

Soft:
Kuailian VPN, windows defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 15, table: 2, dump: 2