#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Идентификация 26 серверов командования и контроля в Японии, включая те, которые связаны с Cobalt Strike, указывает на продолжающуюся изощренную хакерскую деятельность, что свидетельствует о потенциальных скоординированных операциях хакеров.
-----

В ходе расследования с использованием поисковой функции Censys в Японии за период с 23 по 29 июня 2025 года было выявлено 26 серверов управления (C2). Примечательно, что расследование подтвердило наличие нескольких C2s, в том числе связанных с широко используемым инструментом тестирования на проникновение Cobalt Strike. Идентификация этих серверов C2 указывает на продолжающуюся хакерскую активность в регионе, особенно связанную со сложными методами атак, в которых используется инфраструктура, способная управлять скомпрометированными системами или координировать вредоносную деятельность. Обнаружение нескольких серверов C2 позволяет предположить возможность скоординированной кибероперации, которая, вероятно, была проведена хакерами, использующими Cobalt Strike в целях последующей эксплуатации. Использование таких инструментов, как правило, иллюстрирует продвинутую тактику, применяемую злоумышленниками, которая может варьироваться от горизонтального перемещения внутри сетей до развертывания дополнительной полезной нагрузки. Присутствие этих серверов C2 в Японии вызывает обеспокоенность по поводу уровня безопасности организаций в регионе и подчеркивает необходимость повышения бдительности в отношении изощренных хакеров.

#ParsedReport #CompletenessMedium
05-07-2025

Who are DragonForce Ransomware Group?

https://www.bridewell.com/insights/blogs/detail/who-are-dragonforce-ransomware-group

Report completeness: Medium

Actors/Campaigns:
Dragonforce (motivation: hacktivism, financially_motivated)
0ktapus

Threats:
Dragonforce_ransomware
Credential_dumping_technique
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Systembc
Cobalt_strike_tool
Babuk
Shadow_copies_delete_technique
Mimikatz_tool
Adfind_tool

Victims:
Marks and spencer, The co-op group, Harrods

Industry:
Transport, Logistic, Retail, Healthcare

CVEs:
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 6
Technics: 23

IOCs:
File: 9
Registry: 1
Command: 3
Path: 3
IP: 4
Hash: 7

Soft:
Active Directory, Ivanti, PsExec

Win Services:
webclient

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce, хакер 2023 года, нацелен на более чем 170 организаций с целью получения финансовой выгоды, используя фишинг для получения первоначального доступа и уязвимости, доступные общественности (например, CVE-2021-44228). Они используют PowerShell для загрузки вредоносных программ, SystemBC - для доступа через черный ход и выполнения пользовательских программ-вымогателей, удаляя при этом параметры восстановления, препятствующие исправлению. В своей работе они используют такие инструменты, как Mimikatz для сбора учетных данных и Cobalt Strike для управления.
-----

DragonForce - это недавно выявленный хакер, появившийся в 2023 году и нацеленный на более чем 170 организаций в различных секторах, включая розничную торговлю, логистику, технологии и критически важную национальную инфраструктуру, в первую очередь для получения финансовой выгоды. Они избегают нападок на медицинские учреждения из-за внутреннего морального кодекса, но совершили громкие нарушения в секторе розничной торговли Великобритании, нацелившись на такие компании, как Marks and Spencer, Co-Op Group и Harrods. DragonForce сотрудничает с другой группой, Scattered Spider, делясь методами и инструментами, в том числе полезными программами-вымогателями, подобными LockBit и Conti.

Группа использует методы фишинга для получения первоначального доступа, уделяя особое внимание ложным электронным письмам, чтобы получить учетные данные с помощью социальной инженерии. Они использовали взломанные базы данных Windows Active Directory для получения конфиденциальной информации для входа в систему и часто используют действительные учетные данные сторонних поставщиков для доступа.

Первоначальный доступ DragonForce также связан с использованием известных уязвимостей в общедоступных приложениях, таких как Apache, RDP и VPN-сервисы, в частности CVE-2021-44228 и CVE-2023-46805. При проникновении в сеть они используют PowerShell для загрузки дополнительного вредоносного ПО, обеспечения сохраняемости с помощью изменений в реестре и обеспечения доступа к бэкдору с помощью вредоносного ПО SystemBC proxy.

Боковое перемещение осуществляется с помощью внутренних протоколов, таких как RDP и SMB, с использованием таких инструментов, как Cobalt Strike и PsExec. Они запускают пользовательскую программу-вымогатель для шифрования файлов на разных устройствах, используя передовые методы повышения привилегий и обхода средств защиты, а также удаляют параметры восстановления системы после шифрования, чтобы помешать исправлению.

Сбор учетных данных предполагает прямой доступ к памяти с помощью таких инструментов, как Mimikatz, и нацеливание на базу данных Active Directory. Они используют такие инструменты, как AdFind, для обнаружения сети, а их инфраструктура командования и контроля работает через Cobalt Strike, отмеченную многочисленными уникальными IP-адресами, указывающими на структурированную операционную систему.

#ParsedReport #CompletenessMedium
06-07-2025

Golden-eyed Dog (APT-Q-27) The gang's recent stealing activities using the "Silver Fox" Trojan horse

https://www.secrss.com/articles/79443

Report completeness: Medium

Actors/Campaigns:
Golden_eyed_dog
Silver_fox
Miuuti

Threats:
Todesk_tool
Winos
Ollvm_tool

Victims:
People engaged in gambling, Dog promotion related personnel, Overseas chinese groups

Geo:
Asia, Chinese, China

ChatGPT TTPs:
do not use without manual check
T1027, T1027.004, T1053.005, T1055.001, T1056.001, T1059.001, T1059.003, T1071.001, T1072, T1082, have more...

IOCs:
File: 16
Hash: 10
IP: 10
Registry: 1
Url: 1
Domain: 1

Soft:
Kuailian VPN, windows defender, NET Framework, Android

Algorithms:
md5, zip

Languages:
delphi, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 15, table: 2, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, известная как Golden Eye Dog gang, нацелена на сектор азартных игр и продвижения собак в Юго-Восточной Азии, используя вредоносное ПО, замаскированное под легальное программное обеспечение, с помощью атак water hole. Их тактика включает внедрение троянца Winos 4.0 remote control в программу установки вредоносного по, выдающую себя за ToDesk, используя сложное кодирование, чтобы избежать обнаружения и сохранить работоспособность. Группа использует оптимизированные для SEO поддельные страницы с программным обеспечением для привлечения жертв, что приводит к значительным рискам для безопасности и разнообразной преступной деятельности.
-----

The Golden Eye Dog gang, также известная как APT-Q-27, - это киберпреступная группировка, целью которой являются лица, занимающиеся азартными играми и продвижением собак, в первую очередь в Юго-Восточной Азии, а также в зарубежных китайских общинах. В своей деятельности они используют сложные методы, которые включают распространение вредоносных программ, замаскированных под законное программное обеспечение, таких как Todesk и Kuailian VPN, с помощью атак на water hole. Известно, что банда размещает вредоносные установочные пакеты на веб-сайтах, оптимизированных для поисковых систем, что позволяет жертвам загружать вредоносное программное обеспечение.

Недавно выявленная процедура атаки включала в себя запуск вредоносного установочного пакета, маскирующегося под Todesk. После запуска этот пакет не только устанавливает законное программное обеспечение ToDesk, но и внедряет троянскую программу дистанционного управления Winos 4.0. Вредоносная программа отличается высокой сложностью и создана с использованием различных языков программирования, включая .NET, C++, Go и Delphi. Банда Golden Eye Dog использует троянскую программу "Silver Fox" для скрытой кражи данных, используя недавно внедренные бэкдоры с шелл-кодом и сложные средства противодействия обнаружению.

Исходный вредоносный файл с именем build.exe запускается вместе с законным установочным пакетом ToDesk. Этот файл, написанный на C++ и превышающий 30 МБ по размеру, устанавливает сетевое соединение с сервером управления (C2), идентифицированным как 120.89.71.226. Вредоносная программа использует ряд возможностей с помощью PowerShell и командной строки для выполнения дальнейших вредоносных действий, включая создание таких подпроцессов, как svchost.exe. Анализ поведения вредоносной программы выявил сетевые взаимодействия, которые осуществляются через несколько вредоносных портов.

Критически важные файлы, используемые вредоносной программой, такие как instect.exe, способны скрывать вредоносный код в рамках нормативных структур кода, загружать файлы конфигурации и реализовывать запутанные функции, препятствующие статическому анализу. Эта сложная операция позволяет вредоносному ПО сохранять постоянство в системе жертвы, создавая уникальные идентификаторы мьютекса и обходя решения безопасности, эффективно предотвращая обнаружение и удаление.

Принцип работы банды Golden Eye Dog заключается в создании поддельных страниц загрузки программного обеспечения, которые используют поисковую оптимизацию для повышения видимости, тем самым привлекая ничего не подозревающих пользователей, которые непреднамеренно загружают и устанавливают вредоносное ПО. Анализ угроз показывает, что эта банда является одной из наиболее часто наблюдаемых в Китае, с различными операционными областями, которые включают удаленное управление, добычу криптовалют, DDoS-атаки и другие действия, связанные с трафиком.

Пользователям рекомендуется проявлять постоянную бдительность в отношении фишинга и атак с использованием социальной инженерии, а также избегать загрузки файлов из ненадежных источников или перехода по неизвестным ссылкам. Пользователям рекомендуется применять такие меры безопасности, как своевременное резервное копирование и регулярные обновления своих систем, чтобы снизить риски, исходящие от этих изощренных хакеров.

#ParsedReport #CompletenessHigh
07-07-2025

HOUKEN. SEEKING A PATH BY LIVING ON THE EDGE WITH ZERO-DAYS

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-009.pdf

Report completeness: High

Actors/Campaigns:
Houken (motivation: hacktivism)
Unc5174 (motivation: hacktivism)
Hafnium
Dawn_calvary (motivation: hacktivism)

Threats:
Goreverse
Netcat_tool
Residential_proxy_technique
Behinder
Neo-regeorg_tool
Chinachopper
Proxylogon_exploit
Interactsh_tool
Landesk_tool
Screenconnect_tool
Vshell
Fscan_tool
Nmap_tool
Netspy
Ettercap_tool
Iox_tool
Earthworm_tool
Gohtran_tool
Reversesocks5_tool
Reversessh_tool
Spark_rat

Victims:
French entities, Ngos, Research and education institutions, Charities

Industry:
Financial, Telco, Education, Ngo

Geo:
Indonesia, French, Hong kong, Vietnam, France, Thailand, Chinese, America, Asia, China

CVEs:
CVE-2024-9380 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_cloud_services_appliance (<5.0.2)

CVE-2024-8190 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti cloud_services_appliance (4.6)

CVE-2021-26855 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2013, 2016, 2019)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2024-8963 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_cloud_services_appliance (4.6)

CVE-2023-46747 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le13.1.5, le14.1.5, le15.1.10, le16.1.4, le17.1.1)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1020, T1021.002, T1046, T1053, T1059.006, T1070.006, T1071.001, T1071.004, T1078, have more...

IOCs:
IP: 10
File: 13
Url: 1
Hash: 5

Soft:
ivanti, PostgreSQL, BIG-IP, sudo, curl, Microsoft Exchange Server, ASP.NET, Linux, Android

Algorithms:
base64

Languages:
php, python

YARA: Found

Links:
have more...
https://github.com/NHAS/reverse\_ssh
https://github.com/L-codes/Neo-reGeorg
https://github.com/rebeyond/Behinder

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года группой Houken были использованы уязвимости нулевого дня (CVE-2024-8190, CVE-2024-8963, CVE-2024-9380) в устройствах Ivanti CSA для удаленного выполнения кода, сбора учетных данных и постоянного доступа через веб-оболочки и руткиты. Злоумышленники использовали различные инструменты и методы, в том числе расшифровку учетных данных администратора из баз данных Postgres и перемещение по сетям целевых французских организаций, что позволяет предположить оперативные связи с Китаем.
-----

В сентябре 2024 года устройства Ivanti Cloud Service Appliance (CSA) были подвергнуты кибератаке с использованием уязвимостей нулевого дня CVE-2024-8190, CVE-2024-8963 и CVE-2024-9380. Злоумышленники получили удаленный доступ и выполнили произвольный код для сбора учетных данных и установления постоянного доступа, развернув веб-оболочку PHP и установив руткит. Злоумышленник "Houken" продемонстрировал методичный подход, изначально использовав скрипт на Python в кодировке base64 для расшифровки учетных данных администратора из баз данных PostgreSQL. Постоянство включало создание веб-оболочек из инструментов с открытым исходным кодом и модификацию допустимых PHP-скриптов. Операторы Houken использовали тактику обходных маневров против французских компаний в таких секторах, как правительство, телекоммуникации, СМИ, финансы и транспорт. Активность злоумышленников в течение 8 часов по UTC+ указывает на возможные связи с Китаем. ANSSI обнаружила бреши, с помощью которых злоумышленники использовали устройства Ivanti CSA и проникали во внутренние системы для сбора учетных данных. Операторами Houken использовались коммерческие VPN-сервисы для обеспечения анонимности и различные инфраструктуры, что предполагает наличие значительных ресурсов. Индикаторы включают развертывание модуля ядра и исполняемого файла в пользовательском пространстве в качестве руткита для перехвата входящего TCP-трафика и обеспечения выполнения команд с правами суперпользователя. Кампания использовала модификацию файлов скриптов и инструментов, таких как GOREVERSE и PHP webshells, в соответствии с тактикой известной группы UNC5174. Эти действия свидетельствуют о целенаправленных усилиях по использованию уязвимостей, созданию плацдарма и поддержанию устойчивости для кражи учетных данных и эксплуатации системы.

#ParsedReport #CompletenessMedium
07-07-2025

Datacarry Ransomware

https://www.ccitic.org/assets/reports/CCITIC_Report_TLP-White_DATACARRY.pdf

Report completeness: Medium

Actors/Campaigns:
Datacarry

Threats:
Datacarry
Chisel_tool
Conti

Victims:
Balcia insurance, Mammut sports group, Alx forex, Frontierco, Alles lgehus, Tude bordet, Executive jet support, La maison lige, Alliance healthcare it, V development, have more...

Industry:
Healthcare, Aerospace

Geo:
Turkey, United kingdom, Morocco, Belgium, Denmark, Lithuania, South africa, Italy, Greece, Switzerland, Spain

CVEs:
CVE-2023-48788 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet forticlient_enterprise_management_server (<7.0.11, <7.2.3)


TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 2
Hash: 6
Registry: 1
Command: 1

Soft:
Windows firewall, Windows registry

Algorithms:
sha256, md5

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Datacarry атаковала 11 организаций, используя уязвимость SQL-инъекции CVE-2023-48788 для удаленного выполнения кода. В их атаках использовался вариант программы-вымогателя Conti, использующий WebSocket для обеспечения сохраняемости и такие инструменты, как Chisel, для туннелирования. Рекомендуемые меры безопасности включают исправление уязвимостей, мониторинг подключений к WebSocket и улучшение сегментации сети.
-----

Группа программ-вымогателей Datacarry участвовала в серии целенаправленных атак на 11 европейских и международных организаций в период с июня 2024 по июнь 2025 года, причем первый инцидент произошел в страховой компании Balcia Insurance в Литве. Методы и оперативная тактика этой группы были задокументированы на основе общедоступных записей и анализа инцидентов.

Группа использовала общедоступные сервисы OSINT для разведки и выявления уязвимостей, таких как CVE-2023-48788, уязвимость SQL-инъекции в Fortinet EMS, которая позволяет удаленно выполнять код с помощью функции xp_cmdshell. Использование этой уязвимости позволило злоумышленникам установить контроль над системами жертв. Их инфраструктура включала в себя использование сменяющихся прокси-серверов и малоизвестных методов связи через WebSocket, что повышало их устойчивость в целевых средах. Особенно примечательным аспектом их настройки является использование Chisel, инструмента туннелирования TCP/UDP, работающего через HTTP/WebSocket, который был идентифицирован на их серверах управления (C2).

Были тщательно изучены варианты вредоносных программ, использовавшихся при атаках, в частности, версия программы-вымогателя Conti. Основной модуль, написанный на Go, продемонстрировал не только возможность обеспечения сохраняемости с помощью WebSocket, но и встроенные функции туннелирования и прокси-сервера. Были подтверждены конкретные показатели компрометации (IOCs), такие как хэши MD5 для вредоносного ПО и шаблоны, связанные с сетевыми коммуникациями группы, что указывает на наличие уникальных следов, которые должны отслеживать специалисты по безопасности.

График активности показал умеренный уровень атак с одной жертвой примерно в месяц с июня 2024 года по март 2025 года, за которым последовала эскалация, когда в течение трех месяцев с приближением весны 2025 года атакам подверглись пять организаций. Однако к концу июня 2025 года инфраструктура была значительно выведена из эксплуатации после того, как была подключена к сети Tor.

Для устранения рисков, связанных с этой группой, немедленные рекомендации по обеспечению безопасности включают исправление выявленного CVE, отключение ненужных функций на SQL-серверах и мониторинг необычно длинных подключений к WebSocket. Следует обратить особое внимание на дополнительные меры, такие как блокирование взаимодействия с определенными портами и улучшение ведения журнала для отслеживания изменений RDP и реестра. Более строгая сегментация сети и пересмотр политики управления исправлениями также имеют решающее значение для снижения потенциального воздействия таких сложных угроз.

#technique

BOFAMET stealer

https://github.com/ZolManStaff/BOFAMET_STEALER

#ParsedReport #CompletenessHigh
08-07-2025

Taking SHELLTER: a commercial evasion framework abused in-the-wild

http://www.elastic.co/security-labs/taking-shellter

Report completeness: High

Threats:
Shellter_tool
Seth_locker
Junk_code_technique
Polymorphism_technique
Rhadamanthys
Lumma_stealer
Procmon_tool
Sectop_rat
Sandbox_evasion_technique
Amsi_bypass_technique
Ghostpulse

Victims:
Content creators, Individuals with youtube channels, Shellter project

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 12
Domain: 2
IP: 2
Hash: 6

Soft:
Component Object Model, Active Template Library

Algorithms:
aes, aes-128, cbc, xor, lznt1, sha256

Functions:
GetCurrentDirectoryA

Win API:
VirtualAlloc, Getmodulehandlea, GetProcAddress, CreateFileMappingW, MapViewOfFile, NtCreateSection, NtMapViewOfSection, NtOpenSection, LoadLibraryExW, LdrLoadDll, have more...

Win Services:
BITS

Platforms:
x86

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_shellcode\_from\_unusual\_microsoft\_signed\_module.toml
https://github.com/elastic/protections-artifacts/blob/ff154ddf0762a4a030c8832eee7753cb19b950ff/behavior/rules/windows/defense\_evasion\_unbacked\_shellcode\_from\_unsigned\_module.toml
have more...
https://github.com/elastic/labs-releases/tree/main/tools/shellter

#ParsedReport #ExtractedSchema

Classified images:
dump: 6, code: 17, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют платформу SHELTER framework, в частности версию 11.0, для атак infostealer, используя ее передовые методы уклонения для обхода систем безопасности. Вредоносная программа использует полиморфную обфускацию, шифрование AES-128 и нацелена на создателей контента с помощью фишинговых электронных писем, связанных с вредоносными загрузками. Elastic Security Labs разработала динамический распаковщик для анализа двоичных файлов, защищенных SHELTER, хотя проблемы остаются из-за обширных возможностей этого инструмента.
-----

Платформа SHELTER framework используется хакерами для атак на infostealer с середины апреля 2025 года. Используется версия SHELTER Elite 11.0, выпущенная 16 апреля 2025 года. Она позволяет вредоносному ПО обходить антивирусные системы и системы защиты от несанкционированного доступа. Фреймворк использует самомодифицирующийся шелл-код с полиморфной обфускацией для предотвращения статического обнаружения. Он использует уникальный метод выделения памяти, отображающий свежую копию библиотеки ntdll.dll в память процесса, чтобы избежать перехвата API. Полезная информация шифруется с помощью AES-128 в режиме CBC с использованием ключей, которые могут быть встроены или получены с серверов, контролируемых злоумышленниками. Кампании нацелены на создателей контента с помощью фишинговых электронных писем, которые выдаются за спонсорские, и содержат ссылки на защищенные SHELTER исполняемые файлы в комплекте с рекламным контентом. Инфокрады, такие как LUMMA и RHADAMANTHYS, извлекают конфиденциальную информацию из взломанных систем. Первоначальные случаи заражения были связаны с видеороликами о взломе игр на YouTube, что привело к загрузке на такие сайты, как MediaFire. Elastic Security Labs разработала динамический распаковщик для двоичных файлов, защищенных SHELTER, но его эффективность зависит от сложности SHELTER. Неправильное использование программного обеспечения двойного назначения создает постоянные проблемы для кибербезопасности.

#ParsedReport #CompletenessLow
08-07-2025

Exclusive disclosure of the attack activities of the APT group NightEagle

https://raw.githubusercontent.com/RedDrip7/NightEagle_Disclose/36d0366a5d8d4cb2ee95b0276d0f5690e13e3f6e/Exclusive%20disclosure%20of%20the%20attack%20activities%20of%20the%20APT%20group%20NightEagle.pdf

Report completeness: Low

Actors/Campaigns:
Nighteagle (motivation: information_theft)

Threats:
Chisel_tool
Regeorg_tool

Victims:
Top companies, Institutions

Industry:
Military, Semiconductor_industry

Geo:
Malaysia, Netherlands, America, China

ChatGPT TTPs:
do not use without manual check
T1008, T1021.002, T1030, T1033, T1036, T1041, T1053.005, T1055.012, T1056.003, T1070.001, have more...

IOCs:
File: 21
Path: 3

Soft:
Slack, ASP.NET