#ParsedReport #CompletenessHigh
05-07-2025

Phishing Attack : Deploying Malware on Indian Defense BOSS Linux

https://www.cyfirma.com/research/phishing-attack-deploying-malware-on-indian-defense-boss-linux/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Indian government agencies, Personnel within indian defense sector, Organizations using boss linux

Industry:
Education, Government, Critical_infrastructure

Geo:
Pakistan, Indian, India

TTPs:
Tactics: 11
Technics: 15

IOCs:
File: 11
Url: 4
Hash: 6
IP: 3
Domain: 2

Soft:
Linux, Systemd, LibreOffice, curl

Algorithms:
sha256, md5, zip

Functions:
setKeepAlive, setKeepAlivePeriod

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, известная как Transparent Tribe, нацелена на оборонный сектор Индии, используя фишинговые электронные письма для доставки вредоносного по.файл рабочего стола, который выполняет полезную нагрузку под названием BOSS.elf в среде Linux. Эта вредоносная программа собирает системную информацию, устанавливает канал C2 и может делать снимки экрана, что указывает на изощренный подход к кибершпионажу.
-----

APT36, также известный как Transparent Tribe, был идентифицирован как опытный хакер, занимающийся кибершпионажем, в частности, нацеленный на оборонный сектор Индии. Группа использует новую тактику, ориентированную на среды на базе Linux, в частности на дистрибутив BOSS Linux, который широко используется индийскими правительственными учреждениями. Вектор атаки в основном связан с фишинговыми электронными письмами, которые доставляют вложения в формате ZIP, содержащие вредоносные файлы.

Как только жертва выполнит вредоносное ПО .файл для рабочего стола, замаскированный под ярлык Linux, использует механизм двойного действия: он загружает и открывает законный файл PowerPoint (.pptx), чтобы создать видимость подлинности, и одновременно запускает вредоносный двоичный файл ELF (исполняемый файл в связываемом формате) в фоновом режиме. Двоичный файл ELF, называемый BOSS.elf, служит в качестве основной полезной нагрузки, предназначенной для взлома системы и облегчения несанкционированного доступа.

Вся операция представляет собой многоэтапный подход, направленный на то, чтобы избежать подозрений пользователей и традиционных мер безопасности. Фишинговое электронное письмо предназначено для отображения в качестве соответствующей рекомендации, а использование значка LibreOffice Impress с ярлыком усиливает его маскировку. Атака использует скриптовый процесс с использованием команды curl для бесшумной загрузки дополнительных файлов, в то же время отвлекая жертву от работы с документом-приманкой.

После своего запуска вредоносная программа получает важную системную информацию, такую как имя хоста, данные о процессоре и оперативной памяти, чтобы адаптировать свои действия, прежде чем установить постоянство в целевой системе. Примечательно, что он использует main.junkcalc2 для ведения журнала действий, что помогает управлять операциями в режиме реального времени и избегать обнаружения антивирусом, сводя к минимуму подозрительное поведение. Кроме того, вредоносная программа сканирует диски и файлы, чтобы найти конфиденциальную информацию, потенциально пригодную для утечки.

Для обмена данными вредоносная программа устанавливает канал управления (C2) с IP-адресом 101.99.92.182 на порту 12520. Однако, по данным последнего анализа, этот IP-адрес был недоступен, что указывает на то, что хакер может в любой момент повторно активировать его для удаленного управления. Вредоносная программа также способна делать скриншоты рабочего стола жертвы для сбора дополнительной информации, оставаясь незамеченной.

Таким образом, недавние операции APT36 свидетельствуют об эволюции их тактики и подчеркивают растущие угрозы инфраструктурам на базе Linux, особенно в критически важных государственных секторах. Организациям, использующим BOSS Linux или аналогичные платформы, необходимо уделять приоритетное внимание усиленным мерам безопасности, включая сложную защиту электронной почты, повышение осведомленности пользователей и постоянный мониторинг аналитических данных об угрозах, чтобы противостоять этим продвинутым хакерам.

#ParsedReport #CompletenessLow
05-07-2025

Weekly Threat Infrastructure Investigation(Week26)

https://disconinja.hatenablog.com/entry/2025/07/05/161657

Report completeness: Low

Threats:
Cobalt_strike_tool
Supershell
Netsupportmanager_rat
Mythic_c2
Brc4_tool
Plugx_rat

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1584.004

IOCs:
IP: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Идентификация 26 серверов командования и контроля в Японии, включая те, которые связаны с Cobalt Strike, указывает на продолжающуюся изощренную хакерскую деятельность, что свидетельствует о потенциальных скоординированных операциях хакеров.
-----

В ходе расследования с использованием поисковой функции Censys в Японии за период с 23 по 29 июня 2025 года было выявлено 26 серверов управления (C2). Примечательно, что расследование подтвердило наличие нескольких C2s, в том числе связанных с широко используемым инструментом тестирования на проникновение Cobalt Strike. Идентификация этих серверов C2 указывает на продолжающуюся хакерскую активность в регионе, особенно связанную со сложными методами атак, в которых используется инфраструктура, способная управлять скомпрометированными системами или координировать вредоносную деятельность. Обнаружение нескольких серверов C2 позволяет предположить возможность скоординированной кибероперации, которая, вероятно, была проведена хакерами, использующими Cobalt Strike в целях последующей эксплуатации. Использование таких инструментов, как правило, иллюстрирует продвинутую тактику, применяемую злоумышленниками, которая может варьироваться от горизонтального перемещения внутри сетей до развертывания дополнительной полезной нагрузки. Присутствие этих серверов C2 в Японии вызывает обеспокоенность по поводу уровня безопасности организаций в регионе и подчеркивает необходимость повышения бдительности в отношении изощренных хакеров.

#ParsedReport #CompletenessMedium
05-07-2025

Who are DragonForce Ransomware Group?

https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)
0ktapus

Threats:
Dragonforce_ransomware
Credential_dumping_technique
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Systembc
Cobalt_strike_tool
Babuk
Shadow_copies_delete_technique
Mimikatz_tool
Adfind_tool

Victims:
Marks and spencer, The co-op group, Harrods

Industry:
Transport, Logistic, Retail, Healthcare

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 6
Technics: 23

IOCs:
File: 9
Registry: 1
Command: 3
Path: 3
IP: 4
Hash: 7

Soft:
Active Directory, Ivanti, PsExec

Win Services:
webclient

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, хакер 2023 года, нацелен на более чем 170 организаций с целью получения финансовой выгоды, используя фишинг для получения первоначального доступа и уязвимости, доступные общественности (например, CVE-2021-44228). Они используют PowerShell для загрузки вредоносных программ, SystemBC - для доступа через черный ход и выполнения пользовательских программ-вымогателей, удаляя при этом параметры восстановления, препятствующие исправлению. В своей работе они используют такие инструменты, как Mimikatz для сбора учетных данных и Cobalt Strike для управления.
-----

DragonForce - это недавно выявленный хакер, появившийся в 2023 году и нацеленный на более чем 170 организаций в различных секторах, включая розничную торговлю, логистику, технологии и критически важную национальную инфраструктуру, в первую очередь для получения финансовой выгоды. Они избегают нападок на медицинские учреждения из-за внутреннего морального кодекса, но совершили громкие нарушения в секторе розничной торговли Великобритании, нацелившись на такие компании, как Marks and Spencer, Co-Op Group и Harrods. DragonForce сотрудничает с другой группой, Scattered Spider, делясь методами и инструментами, в том числе полезными программами-вымогателями, подобными LockBit и Conti.

Группа использует методы фишинга для получения первоначального доступа, уделяя особое внимание ложным электронным письмам, чтобы получить учетные данные с помощью социальной инженерии. Они использовали взломанные базы данных Windows Active Directory для получения конфиденциальной информации для входа в систему и часто используют действительные учетные данные сторонних поставщиков для доступа.

Первоначальный доступ DragonForce также связан с использованием известных уязвимостей в общедоступных приложениях, таких как Apache, RDP и VPN-сервисы, в частности CVE-2021-44228 и CVE-2023-46805. При проникновении в сеть они используют PowerShell для загрузки дополнительного вредоносного ПО, обеспечения сохраняемости с помощью изменений в реестре и обеспечения доступа к бэкдору с помощью вредоносного ПО SystemBC proxy.

Боковое перемещение осуществляется с помощью внутренних протоколов, таких как RDP и SMB, с использованием таких инструментов, как Cobalt Strike и PsExec. Они запускают пользовательскую программу-вымогатель для шифрования файлов на разных устройствах, используя передовые методы повышения привилегий и обхода средств защиты, а также удаляют параметры восстановления системы после шифрования, чтобы помешать исправлению.

Сбор учетных данных предполагает прямой доступ к памяти с помощью таких инструментов, как Mimikatz, и нацеливание на базу данных Active Directory. Они используют такие инструменты, как AdFind, для обнаружения сети, а их инфраструктура командования и контроля работает через Cobalt Strike, отмеченную многочисленными уникальными IP-адресами, указывающими на структурированную операционную систему.

#ParsedReport #CompletenessMedium
06-07-2025

Golden-eyed Dog (APT-Q-27) The gang's recent stealing activities using the "Silver Fox" Trojan horse

https://www.secrss.com/articles/79443

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Todesk_tool
Winos
Ollvm_tool

Victims:
People engaged in gambling, Dog promotion related personnel, Overseas chinese groups

Geo:
Asia, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1027, T1027.004, T1053.005, T1055.001, T1056.001, T1059.001, T1059.003, T1071.001, T1072, T1082, have more...

IOCs:
File: 16
Hash: 10
IP: 10
Registry: 1
Url: 1
Domain: 1

Soft:
Kuailian VPN, windows defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, известная как Golden Eye Dog gang, нацелена на сектор азартных игр и продвижения собак в Юго-Восточной Азии, используя вредоносное ПО, замаскированное под легальное программное обеспечение, с помощью атак water hole. Их тактика включает внедрение троянца Winos 4.0 remote control в программу установки вредоносного по, выдающую себя за ToDesk, используя сложное кодирование, чтобы избежать обнаружения и сохранить работоспособность. Группа использует оптимизированные для SEO поддельные страницы с программным обеспечением для привлечения жертв, что приводит к значительным рискам для безопасности и разнообразной преступной деятельности.
-----

The Golden Eye Dog gang, также известная как APT-Q-27, - это киберпреступная группировка, целью которой являются лица, занимающиеся азартными играми и продвижением собак, в первую очередь в Юго-Восточной Азии, а также в зарубежных китайских общинах. В своей деятельности они используют сложные методы, которые включают распространение вредоносных программ, замаскированных под законное программное обеспечение, таких как Todesk и Kuailian VPN, с помощью атак на water hole. Известно, что банда размещает вредоносные установочные пакеты на веб-сайтах, оптимизированных для поисковых систем, что позволяет жертвам загружать вредоносное программное обеспечение.

Недавно выявленная процедура атаки включала в себя запуск вредоносного установочного пакета, маскирующегося под Todesk. После запуска этот пакет не только устанавливает законное программное обеспечение ToDesk, но и внедряет троянскую программу дистанционного управления Winos 4.0. Вредоносная программа отличается высокой сложностью и создана с использованием различных языков программирования, включая .NET, C++, Go и Delphi. Банда Golden Eye Dog использует троянскую программу "Silver Fox" для скрытой кражи данных, используя недавно внедренные бэкдоры с шелл-кодом и сложные средства противодействия обнаружению.

Исходный вредоносный файл с именем build.exe запускается вместе с законным установочным пакетом ToDesk. Этот файл, написанный на C++ и превышающий 30 МБ по размеру, устанавливает сетевое соединение с сервером управления (C2), идентифицированным как 120.89.71.226. Вредоносная программа использует ряд возможностей с помощью PowerShell и командной строки для выполнения дальнейших вредоносных действий, включая создание таких подпроцессов, как svchost.exe. Анализ поведения вредоносной программы выявил сетевые взаимодействия, которые осуществляются через несколько вредоносных портов.

Критически важные файлы, используемые вредоносной программой, такие как instect.exe, способны скрывать вредоносный код в рамках нормативных структур кода, загружать файлы конфигурации и реализовывать запутанные функции, препятствующие статическому анализу. Эта сложная операция позволяет вредоносному ПО сохранять постоянство в системе жертвы, создавая уникальные идентификаторы мьютекса и обходя решения безопасности, эффективно предотвращая обнаружение и удаление.

Принцип работы банды Golden Eye Dog заключается в создании поддельных страниц загрузки программного обеспечения, которые используют поисковую оптимизацию для повышения видимости, тем самым привлекая ничего не подозревающих пользователей, которые непреднамеренно загружают и устанавливают вредоносное ПО. Анализ угроз показывает, что эта банда является одной из наиболее часто наблюдаемых в Китае, с различными операционными областями, которые включают удаленное управление, добычу криптовалют, DDoS-атаки и другие действия, связанные с трафиком.

Пользователям рекомендуется проявлять постоянную бдительность в отношении фишинга и атак с использованием социальной инженерии, а также избегать загрузки файлов из ненадежных источников или перехода по неизвестным ссылкам. Пользователям рекомендуется применять такие меры безопасности, как своевременное резервное копирование и регулярные обновления своих систем, чтобы снизить риски, исходящие от этих изощренных хакеров.

#ParsedReport #CompletenessHigh
07-07-2025

HOUKEN. SEEKING A PATH BY LIVING ON THE EDGE WITH ZERO-DAYS

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-009.pdf

Report completeness: High

Actors/Campaigns:
Houken (motivation: hacktivism)
Unc5174 (motivation: hacktivism)
Hafnium
Dawn_calvary (motivation: hacktivism)

Threats:
Goreverse
Netcat_tool
Residential_proxy_technique
Behinder
Neo-regeorg_tool
Chinachopper
Proxylogon_exploit
Interactsh_tool
Landesk_tool
Screenconnect_tool
Vshell
Fscan_tool
Nmap_tool
Netspy
Ettercap_tool
Iox_tool
Earthworm_tool
Gohtran_tool
Reversesocks5_tool
Reversessh_tool
Spark_rat

Victims:
French entities, Ngos, Research and education institutions, Charities

Industry:
Financial, Telco, Education, Ngo

Geo:
Indonesia, French, Hong kong, Vietnam, France, Thailand, Chinese, America, Asia, China

CVEs:
CVE-2024-9380 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_cloud_services_appliance (<5.0.2)

CVE-2024-8190 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti cloud_services_appliance (4.6)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-8963 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_cloud_services_appliance (4.6)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1020, T1021.002, T1046, T1053, T1059.006, T1070.006, T1071.001, T1071.004, T1078, have more...

IOCs:
IP: 10
File: 13
Url: 1
Hash: 5

Soft:
ivanti, PostgreSQL, BIG-IP, sudo, curl, Microsoft Exchange Server, ASP.NET, Linux, Android

Algorithms:
base64

Languages:
php, python

YARA: Found

Links:
have more...
https://github.com/NHAS/reverse\_ssh
https://github.com/L-codes/Neo-reGeorg
https://github.com/rebeyond/Behinder

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года группой Houken были использованы уязвимости нулевого дня (CVE-2024-8190, CVE-2024-8963, CVE-2024-9380) в устройствах Ivanti CSA для удаленного выполнения кода, сбора учетных данных и постоянного доступа через веб-оболочки и руткиты. Злоумышленники использовали различные инструменты и методы, в том числе расшифровку учетных данных администратора из баз данных Postgres и перемещение по сетям целевых французских организаций, что позволяет предположить оперативные связи с Китаем.
-----

В сентябре 2024 года устройства Ivanti Cloud Service Appliance (CSA) были подвергнуты кибератаке с использованием уязвимостей нулевого дня CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380. Злоумышленники получили удаленный доступ и выполнили произвольный код для сбора учетных данных и установления постоянного доступа, развернув веб-оболочку PHP и установив руткит. Злоумышленник "Houken" продемонстрировал методичный подход, изначально использовав скрипт на Python в кодировке base64 для расшифровки учетных данных администратора из баз данных PostgreSQL. Постоянство включало создание веб-оболочек из инструментов с открытым исходным кодом и модификацию допустимых PHP-скриптов. Операторы Houken использовали тактику обходных маневров против французских компаний в таких секторах, как правительство, телекоммуникации, СМИ, финансы и транспорт. Активность злоумышленников в течение 8 часов по UTC+ указывает на возможные связи с Китаем. ANSSI обнаружила бреши, с помощью которых злоумышленники использовали устройства Ivanti CSA и проникали во внутренние системы для сбора учетных данных. Операторами Houken использовались коммерческие VPN-сервисы для обеспечения анонимности и различные инфраструктуры, что предполагает наличие значительных ресурсов. Индикаторы включают развертывание модуля ядра и исполняемого файла в пользовательском пространстве в качестве руткита для перехвата входящего TCP-трафика и обеспечения выполнения команд с правами суперпользователя. Кампания использовала модификацию файлов скриптов и инструментов, таких как GOREVERSE и PHP webshells, в соответствии с тактикой известной группы UNC5174. Эти действия свидетельствуют о целенаправленных усилиях по использованию уязвимостей, созданию плацдарма и поддержанию устойчивости для кражи учетных данных и эксплуатации системы.

#ParsedReport #CompletenessMedium
07-07-2025

Datacarry Ransomware

https://www.ccitic.org/assets/reports/CCITIC_Report_TLP-White_DATACARRY.pdf

Report completeness: Medium

Actors/Campaigns:
Datacarry

Threats:
Datacarry
Chisel_tool
Conti

Victims:
Balcia insurance, Mammut sports group, Alx forex, Frontierco, Alles lgehus, Tude bordet, Executive jet support, La maison lige, Alliance healthcare it, V development, have more...

Industry:
Healthcare, Aerospace

Geo:
Turkey, United kingdom, Morocco, Belgium, Denmark, Lithuania, South africa, Italy, Greece, Switzerland, Spain

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient_enterprise_management_server (<7.0.11, <7.2.3)


TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 2
Hash: 6
Registry: 1
Command: 1

Soft:
Windows firewall, Windows registry

Algorithms:
sha256, md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Datacarry атаковала 11 организаций, используя уязвимость SQL-инъекции CVE-2023-48788 для удаленного выполнения кода. В их атаках использовался вариант программы-вымогателя Conti, использующий WebSocket для обеспечения сохраняемости и такие инструменты, как Chisel, для туннелирования. Рекомендуемые меры безопасности включают исправление уязвимостей, мониторинг подключений к WebSocket и улучшение сегментации сети.
-----

Группа программ-вымогателей Datacarry участвовала в серии целенаправленных атак на 11 европейских и международных организаций в период с июня 2024 по июнь 2025 года, причем первый инцидент произошел в страховой компании Balcia Insurance в Литве. Методы и оперативная тактика этой группы были задокументированы на основе общедоступных записей и анализа инцидентов.

Группа использовала общедоступные сервисы OSINT для разведки и выявления уязвимостей, таких как CVE-2023-48788, уязвимость SQL-инъекции в Fortinet EMS, которая позволяет удаленно выполнять код с помощью функции xp_cmdshell. Использование этой уязвимости позволило злоумышленникам установить контроль над системами жертв. Их инфраструктура включала в себя использование сменяющихся прокси-серверов и малоизвестных методов связи через WebSocket, что повышало их устойчивость в целевых средах. Особенно примечательным аспектом их настройки является использование Chisel, инструмента туннелирования TCP/UDP, работающего через HTTP/WebSocket, который был идентифицирован на их серверах управления (C2).

Были тщательно изучены варианты вредоносных программ, использовавшихся при атаках, в частности, версия программы-вымогателя Conti. Основной модуль, написанный на Go, продемонстрировал не только возможность обеспечения сохраняемости с помощью WebSocket, но и встроенные функции туннелирования и прокси-сервера. Были подтверждены конкретные показатели компрометации (IOCs), такие как хэши MD5 для вредоносного ПО и шаблоны, связанные с сетевыми коммуникациями группы, что указывает на наличие уникальных следов, которые должны отслеживать специалисты по безопасности.

График активности показал умеренный уровень атак с одной жертвой примерно в месяц с июня 2024 года по март 2025 года, за которым последовала эскалация, когда в течение трех месяцев с приближением весны 2025 года атакам подверглись пять организаций. Однако к концу июня 2025 года инфраструктура была значительно выведена из эксплуатации после того, как была подключена к сети Tor.

Для устранения рисков, связанных с этой группой, немедленные рекомендации по обеспечению безопасности включают исправление выявленного CVE, отключение ненужных функций на SQL-серверах и мониторинг необычно длинных подключений к WebSocket. Следует обратить особое внимание на дополнительные меры, такие как блокирование взаимодействия с определенными портами и улучшение ведения журнала для отслеживания изменений RDP и реестра. Более строгая сегментация сети и пересмотр политики управления исправлениями также имеют решающее значение для снижения потенциального воздействия таких сложных угроз.

#technique

BOFAMET stealer

https://github.com/ZolManStaff/BOFAMET_STEALER

#ParsedReport #CompletenessHigh
08-07-2025

Taking SHELLTER: a commercial evasion framework abused in-the-wild

http://www.elastic.co/security-labs/taking-shellter

Report completeness: High

Threats:
Shellter_tool
Seth_locker
Junk_code_technique
Polymorphism_technique
Rhadamanthys
Lumma_stealer
Procmon_tool
Sectop_rat
Sandbox_evasion_technique
Amsi_bypass_technique
Ghostpulse

Victims:
Content creators, Individuals with youtube channels, Shellter project

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Domain: 2
IP: 2
Hash: 6

Soft:
Component Object Model, Active Template Library

Algorithms:
aes, aes-128, cbc, xor, lznt1, sha256

Functions:
GetCurrentDirectoryA

Win API:
VirtualAlloc, Getmodulehandlea, GetProcAddress, CreateFileMappingW, MapViewOfFile, NtCreateSection, NtMapViewOfSection, NtOpenSection, LoadLibraryExW, LdrLoadDll, have more...

Win Services:
BITS

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_shellcode\_from\_unusual\_microsoft\_signed\_module.toml
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_unbacked\_shellcode\_from\_unsigned\_module.toml
have more...
https://github.com/elastic/labs-releases/tree/main/tools/shellter