#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Telemancon, нацеленная на российские промышленные организации, использует пользовательские вредоносные программы TMCDROPPER и TMCSHELL для обмена данными C2 через Telegra.ph. TMCDROPPER выполняет системные проверки и развертывает бэкдор для удаленного выполнения сценариев PowerShell, демонстрируя расширенные операционные возможности и устойчивость.
-----

В феврале 2025 года специалистами F6 была выявлена ранее непризнанная хакерская группа под названием Telemancon. Самая ранняя документально подтвержденная деятельность Telemancon относится к февралю 2023 года и была направлена против российских промышленных организаций, особенно в инженерном секторе. Примечательно, что группа использовала самостоятельно разработанные dropper и backdoor, которые называются TMCDROPPER и TMCSHELL соответственно. Эти инструменты используют инфраструктуру, использующую сервис https://telegra.ph для получения адресов управления (C2).

Операции Telemancon включали в себя доставку вредоносных исполняемых файлов, таких как "20250203_5_161.SCR", сотрудникам производителей военной техники. Программа dropper TMCDROPPER, написанная на C++, выполняет предварительную проверку среды отладки перед развертыванием TMCSHELL. После запуска TMCDROPPER сохраняет полезную нагрузку в системе как "%userprofile%\Contacts\Vyecs.aozwu" и вносит изменения в реестр Windows для обеспечения возможности автоматического запуска через PowerShell. И наоборот, TMCSHELL извлекает адрес C2 из службы Telegra.ph, используя TCP-соединения через порт 2022 и применяя привязку сертификата для проверки подлинности сервера.

Изначально злоумышленники разрабатывали TMCDROPPER на C++, но позже перешли на версию на C#, сохранив идентичную функциональность. После запуска TMCDROPPER расшифровывает и запускает четыре модуля в памяти, используя шифрование AES-256 в режиме CBC, с уникальными ключами для каждой версии. Бэкдор TMCSHELL предназначен для получения произвольных сценариев PowerShell с сервера C2 и выполнения их на зараженных устройствах, возвращая результаты, закодированные в base64.

Взаимодействие с сервером C2 включает циклические запросы для сбора новых адресов и команд, зависящие от определенных условий, включая обнаружение диспетчера Windows и время, прошедшее с момента выполнения скрипта. Такой уровень настойчивости и адаптивности может указывать на стратегические намерения, стоящие за атаками, и наблюдения показывают параллели с поведением других известных хакерских групп, таких как Core Werewolf и Gamardon, хотя и с использованием различных методологий.

Использование сервиса Telegra.ph для хранения адресов C2 означает эволюцию методов атаки, которые способствуют анонимности и обходят традиционные методы обнаружения, что отражает потенциально сложные операционные возможности Telemancon. В то время как первоначальные предположения связывали деятельность Telemancon с другими объектами-угрозами, окончательное определение их принадлежности остается нерешенным, что требует постоянного мониторинга их новых тактик и методов.

#ParsedReport #CompletenessLow
08-07-2025

NordDragonScan: Quiet Data-Harvester on Windows

https://www.fortinet.com/blog/threat-research/norddragonscan-quiet-data-harvester-on-windows

Report completeness: Low

Threats:
Norddragonscan

Geo:
Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1049, T1059.001, T1071.001, T1082, T1083, T1113, T1135, T1140, have more...

IOCs:
File: 7
Domain: 2
Url: 2
Hash: 9

Soft:
Chrome, Firefox

Algorithms:
xor

Functions:
LNK

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NordDragonScan - это вредоносная программа-инфокрад, использующая HTA-скрипты для взлома системы с помощью сокращенных URL-адресов, ведущих к загрузке вредоносных программ. Она использует методы обфускации, собирает сведения о системе и сети, делает снимки экрана и отправляет данные на сервер C2. Вредоносная программа использует ярлыки LNK для скрытого распространения, что требует осторожности в отношении фишинга и заражения вредоносными программами.
-----

Компания FortiGuard Labs выявила активную угрозу, связанную с вредоносным ПО infostealer, известным как "NordDragonScan", которое использует HTA-скрипт для взлома систем жертв. Злоумышленники используют сокращенные URL-адреса для перенаправления потенциальных жертв на сайт загрузки, где они запускают загрузку вредоносного RAR-архива, содержащего файл быстрого доступа. Этот ярлык выполняется mshta.exe для запуска вредоносной HTA-нагрузки, размещенной на сервере злоумышленника. HTA-файл маскируется под законный исполняемый файл PowerShell, копируя его в общедоступный каталог, а затем загружает и декодирует закодированный TXT-файл, который служит документом-приманкой.

Документ-приманка, хотя и является безобидным, отвлекает пользователей, поскольку HTA-скрипт выполняет скрытую полезную нагрузку с именем "adblocker.exe" во временном каталоге жертвы. NordDragonScan использует уникальную технологию обфускации, используя операции XOR и замену байтов, чтобы скрыть свои строки от статического анализа. При запуске программа проверяет наличие рабочего каталога и создает его, если необходимо, для облегчения хранения данных перед удалением. Вредоносная программа взаимодействует со своим сервером управления (C2) "kpuszkiev.com", используя определенные HTTP-заголовки, которые включают MAC-адрес жертвы. Основная цель этого первоначального подключения - получить динамический URL-адрес для передачи украденных данных.

После установки NordDragonScan проводит тщательную локальную разведку, собирая важную информацию о компьютере жертвы с помощью вызовов WMI, такую как имя компьютера, версия операционной системы и сведения об активном сетевом адаптере, включая основной IPv4-адрес. Программа проверяет локальную сеть на наличие доступных хостов, одновременно делая снимки экрана и сохраняя их во временном каталоге. Программа также сканирует общие файловые каталоги и просматривает документы с определенными расширениями (.docx, .pdf и т.д.) для извлечения ценной информации. После компиляции украденных данных он готовится к удалению, отправляя POST-запросы на сервер C2 с пользовательскими заголовками, указывающими на характер передаваемых данных.

Общий механизм распространения NordDragonScan разработан таким образом, чтобы быть незаметным и эффективным, используя преимущества ярлыков LNK и сжатых архивов, чтобы обойти бдительность пользователей. Компаниям и частным лицам настоятельно рекомендуется проявлять осторожность при обращении с такими файлами и применять надежные меры безопасности для снижения рисков, связанных с фишингом и проникновением вредоносных программ.

#ParsedReport #CompletenessLow
08-07-2025

Introduction

http://mrd0x.com/filefix-part-2/

Report completeness: Low

Threats:
Filefix_technique
Clickfix_technique
Motw_bypass_technique

ChatGPT TTPs:
do not use without manual check
T1204.002, T1218.005, T1553.005

IOCs:
Path: 1
File: 6

Soft:
Chrome

Algorithms:
base64

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Один из вариантов атаки FileFix использует современное поведение браузера, позволяя злоумышленникам создавать фишинговые HTML-файлы без веб-маркировки, используя определенные типы MIME, что облегчает выполнение вредоносных файлов.
-----

Недавний анализ выявил разновидность атаки FileFix, адаптацию ранее известной технологии ClickFix. Эта разновидность использует функциональность современных веб-браузеров, таких как Chrome и Microsoft Edge, при сохранении содержимого HTML. Когда пользователь сохраняет веб-страницу и выбирает такие форматы, как "Веб-страница, отдельный файл" или "Веб-страница, полная", результирующие файлы не содержат метки Web (MOTW), если MIME-тип веб-страницы - text/html или application/xhtml+xml. Такое поведение критически важно, поскольку оно может быть использовано в злонамеренных целях, особенно если защитники отслеживают имена файлов, заканчивающиеся на расширение .hta.

Злоумышленники могут создавать HTML-фишинговые файлы, в которых отсутствует элемент title, и переименовывать их, чтобы использовать расширение .hta. Благодаря тому, что сервер отправляет заголовок Content-Type с параметром text/html, когда жертвы сохраняют веб-страницу, имя файла по умолчанию может скрывать его истинную природу, облегчая выполнение hta-файла без пометки MOTW. Кроме того, в анализе отмечается, что URI данных с типом MIME text/html аналогичным образом могут быть сохранены без MOTW, что представляет собой еще один вектор для эффективных атак социальной инженерии.

#ParsedReport #CompletenessMedium
08-07-2025

Analysis of HappyDoor backdoor attack based on VMP strong shell of APT-C-55 (Kimsuky) organization

https://www.ctfiot.com/260600.html

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: information_theft, cyber_espionage)

Threats:
Happydoor
Vmprotect_tool

Victims:
Think tanks, Government departments, Diplomacy organizations, News organizations, Educational organizations, Academic organizations

Industry:
Government

Geo:
North korea, Korea, Korean, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1027, T1027.002, T1059.007, T1071.001, T1071.001, T1105, T1112, T1112, have more...

IOCs:
Hash: 5
File: 5
Url: 7
Registry: 2

Soft:
WeChat

Algorithms:
md5, xor

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-55 (Kimsuky), северокорейская APT-группа, недавно атаковала учреждения Южной Кореи, используя вредоносный установщик, замаскированный под Bandizip, для развертывания скрытого троянца HappyDoor. В этой атаке использовался "regsvr32" для запуска библиотеки DLL, обеспечивающей удаленный доступ и сбор данных, а также расширенную защиту от обфускации, чтобы избежать обнаружения.
-----

APT-C-55, известная как Kimsuky, является северокорейской группой APT (АПТ), имеющей опыт нападений на южнокорейские учреждения, включая аналитические центры, правительственные учреждения и средства массовой информации. Первоначально раскрытая Касперским в 2013 году, их деятельность с тех пор расширилась и включала цели в Соединенных Штатах, России и Европе, в первую очередь направленные на сбор разведданных и шпионаж. Несмотря на повышенное внимание и разоблачение их тактики исследователями в области кибербезопасности, Kimsuky продолжает совершенствовать свои методы, используя различные способы атаки, в частности вредоносные файлы, замаскированные под законные документы.

Недавно в Южной Корее была выявлена заметная атака Kimsuky, в ходе которой группа использовала вредоносный установочный пакет, замаскированный под Bandizip. Этот установщик не только предоставлял пользователю законно выглядящее приложение, но и облегчал удаленное выполнение скрытого вредоносного кода. Атака включала поэтапную загрузку скриптов, которые в конечном итоге запустили троянскую программу HappyDoor с оболочкой VMP, предназначенную для захвата конфиденциальных данных. Процесс начался с запуска пользователем программы установки, которая без проблем установила программу Bandizip, одновременно извлекая и выполняя несколько уровней вредоносных скриптов в фоновом режиме.

В ходе атаки использовался "regsvr32" для регистрации вредоносной библиотеки DLL "ut_happy(x64).dll", которая функционирует как программа удаленного управления. Выполнение библиотеки DLL проходило в несколько этапов: операция “install” для настройки исходного бэкдора, за которой следовали операции “init” и “run”, которые выполняли различные этапы загрузки. Этот бэкдор способен собирать критически важную системную информацию и пользовательские данные, а также предоставлять функции удаленного управления, такие как автоматическое завершение работы и регистрация библиотеки DLL.

Анализ вредоносного ПО показал, что его код был значительно искажен, что усложняло традиционные методы реверс-инжиниринга. Использование VMProtect для защиты основных функциональных возможностей бэкдора предполагало попытку избежать обнаружения с помощью мер безопасности. Прошлые действия Kimsuky включали использование аналогичных полезных функций, а структуры доменных имен для управления (C2) также соответствовали тем, которые были связаны с предыдущими атаками, что подтверждает доказательства, связывающие эту операцию с группой APT.

Подводя итог, можно сказать, что недавние атаки, приписываемые APT-C-55, подчеркивают их непрерывную эволюцию и адаптацию с использованием различных направлений атак при одновременном использовании социальной инженерии и передовых методов обфускации. Эта ситуация подчеркивает важность тщательного информирования о безопасности и предостережения от запуска непроверенных приложений, поскольку Kimsuky остается активной угрозой, проводя кампании против различных секторов.

#technique #llm #ai

MGC: A Compiler Framework Exploiting Compositional Blindness in Aligned LLMs for Malware Generation

https://arxiv.org/html/2507.02057v1

Новое направление в жанре фантастики

Психанули и решили заказать парочку экземпляров.
Как приедут, придумаем как разыграть :)

#ParsedReport #CompletenessLow
09-07-2025

Anatsa Targets North America; Uses Proven Mobile Campaign Process

https://www.threatfabric.com/blogs/anatsa-targets-north-america-uses-proven-mobile-campaign-process

Report completeness: Low

Threats:
Anatsa

Victims:
Mobile banking users, Financial institutions

Industry:
Financial

Geo:
American, Canada, America

ChatGPT TTPs:
do not use without manual check
T1407, T1409, T1410, T1411, T1475

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троянец Anatsa для Android нацелен на североамериканских пользователей, используя легальные приложения через Google Play Store для кражи учетных данных и мошеннических транзакций. Используя кейлоггинг, оверлеи и дистанционное управление, он маскируется под безобидное "обновление PDF" в приложении для чтения файлов, выявляя новые угрозы безопасности мобильного банкинга.
-----

Исследователи ThreatFabric обнаружили новую кампанию, в которой задействован Android-банковский троян Anatsa, который в настоящее время активно атакует пользователей в Северной Америке, что стало, по меньшей мере, третьей попыткой создания угроз для мобильного банкинга в Соединенных Штатах и Канаде. Anatsa распространяется через официальный магазин Google Play, что представляет собой серьезную проблему для обеспечения безопасности мобильных устройств. Этот троянец относится к категории сложных вредоносных программ для захвата устройств, предоставляющих своим операторам широкие возможности, включая кражу учетных данных с помощью методов наложения и кейлоггинга, а также выполнение мошеннических транзакций непосредственно со взломанных устройств с помощью функций удаленного управления.

ThreatFabric отслеживает Anatsa с 2020 года и признает ее одним из самых заметных игроков на рынке мобильных вредоносных программ, а недавние кампании демонстрируют повышенное внимание к финансовым учреждениям Северной Америки. Операционная методология Anatsa предполагает системный подход, при котором злоумышленники загружают изначально легитимные приложения — часто такие, как программы для чтения PDF—файлов, файловые менеджеры или утилиты - в магазины приложений. После привлечения значительного числа пользователей приложение обновляется, чтобы включить вредоносный код, который облегчает загрузку и установку троянца Anatsa на устройство жертвы. Эта вредоносная программа получает цели со своего командно-контрольного сервера, что позволяет динамически обновлять стратегию поиска.

Кампания демонстрирует эволюционирующую стратегию таргетинга, о чем свидетельствует недавняя рассылка, замаскированная под "обновление PDF" в приложении для чтения файлов, которое получило широкую известность в американском магазине Google Play. Это приложение-дроппер было загружено более чем 50 000 раз до его удаления, и примерно через шесть недель после запуска оно соответствовало схеме Anatsa по превращению законного приложения во вредоносное. Операция проводилась с 24 по 30 июня и характеризовалась расширением списка целевых клиентов, который включал различные мобильные банковские приложения по всему региону.

Важная тактика, используемая Anatsa, заключается в отображении вводящего в заблуждение сообщения о наложении для пользователей, пытающихся получить доступ к своим банковским приложениям. Это наложение предназначено для сокрытия вредоносной активности и предотвращения обращения пользователей в службу поддержки, что эффективно задерживает обнаружение мошеннических действий. Поскольку кампании Anatsa все больше ориентированы на североамериканских пользователей, особенно на тех, кто использует мобильные банковские приложения, организациям финансового сектора рекомендуется тщательно изучить свои средства защиты и оценить потенциальные уязвимости, которые могут повлиять на их операции или безопасность клиентов.

#ParsedReport #CompletenessHigh
09-07-2025

Tracking Scattered Spider Through Identity Attacks and Token Theft

https://www.picussecurity.com/resource/blog/tracking-scattered-spider-through-identity-attacks-and-token-theft

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)

Threats:
Sim_swapping_technique
Aitm_technique
Spectre_rat
Evilginx_tool
Anydesk_tool
Lolbin_technique
Blackcat
Ransomhub
Credential_dumping_technique
Spear-phishing_technique

Industry:
Retail, Telco

TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 5
Domain: 2
Command: 1
Path: 1
Registry: 1

Soft:
Sysinternals, HubSpot, Chromium, Active Directory, PsExec

Algorithms:
7zip, xor, base64

Functions:
get_user_folder_paths, get_config_filename

Win API:
CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider - это хакерская группа, нацеленная на телекоммуникационный и финансовый секторы с помощью атак, ориентированных на идентификацию, с использованием продвинутого фишинга, подмены SIM-карт и олицетворения службы поддержки. Их Spectre RAT, модульный троян для удаленного доступа, выполняет команды, извлекает данные, используя методы скрытности, и взаимодействует с C2, используя запутанные протоколы. Их тактика заключается в перемещении по сетям, что приводит к атакам программ-вымогателей, в частности, использующих уязвимости в облаках.
-----

Scattered Spider, группа финансовых хакеров, действующая с 2022 года, в основном проводит атаки, ориентированные на идентификацию, нацеленные на телекоммуникационные, SaaS, облачные и финансовые сервисы. Их методы работы включают агрессивную социальную инженерию и использование передовых методов фишинга для перехвата идентификационных данных пользователей, часто в обход многофакторной аутентификации (MFA) с помощью таких методов, как замена SIM-карты и олицетворение службы поддержки. Они внедряют сложные фишинговые наборы, которые могут быть нацелены на поставщиков идентификационных данных, таких как Okta и Duo, и используют такие методы, как фишинг "противник посередине" (AiTM), для получения действительных учетных данных и токенов доступа.

Ключевым компонентом инструментария Scattered Spider является Spectre RAT, пользовательский троян для удаленного доступа (RAT), впервые появившийся в сентябре 2020 года. Разработанный с использованием модульной архитектуры, Spectre RAT предлагает широкие возможности, включая удаленное выполнение команд и фильтрацию данных. Вредоносное ПО запускается с помощью фишинговых атак, часто с помощью документов с поддержкой макросов или скриптов, которые обманом заставляют пользователей выполнять вредоносную полезную нагрузку. После активации он собирает конфиденциальную информацию, такую как учетные данные и скриншоты, сохраняя при этом постоянный доступ с использованием скрытых методов, включая обфускацию кода и использование законных исполняемых файлов, чтобы соответствовать обычному поведению администратора. Недавние усовершенствования Spectre RAT привели к усовершенствованию методов обфускации и распространения, что сделало его более адаптируемым и трудным для обнаружения.

Spectre RAT взаимодействует со своей инфраструктурой управления (C2), используя пользовательский протокол HTTP, используя методы обфускации, такие как XOR-кодирование и Base64. Это позволяет вредоносному ПО собирать информацию о профилировании системы с помощью различных команд и сводит к минимуму риски обнаружения за счет использования законных системных инструментов. RAT может выполнять разведку с учетом окружающей среды, выявляя запущенные процессы и установки программного обеспечения непосредственно из скомпрометированных систем, не вызывая тревоги, и продемонстрировал возможности динамической настройки своих коммуникаций C2.

Фишинговые операции Scattered Spider превратились в изощренные кампании, которые не только компрометируют учетные записи, но и облегчают перемещение в уязвимых средах, что часто приводит к развертыванию программ-вымогателей. Они используют захваченные токены и учетные данные для доступа к облачным сервисам, обеспечения постоянства и использования уязвимостей в облачных инфраструктурах. Было замечено, что группа переходит к внедрению программ-вымогателей, в частности, нацеленных на корпоративные среды с помощью различных тактик проникновения, таких как использование консолей vSphere и использование скриптовых инструментов для внутренней доставки полезной нагрузки.

#ParsedReport #CompletenessMedium
09-07-2025

Deploying NetSupport RAT via WordPress & ClickFix

https://www.cybereason.com/blog/net-support-rat-wordpress-clickfix

Report completeness: Medium

Threats:
Netsupportmanager_rat
Clickfix_technique
Fakecaptcha_technique

Industry:
Entertainment

Geo:
Moldova

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1059.001, T1059.003, T1059.007, T1070.004, T1071.001, T1087.001, T1105, T1132.001, have more...

IOCs:
File: 22
Domain: 7
IP: 10
Hash: 5

Soft:
WordPress, Curl, Windows Registry

Algorithms:
md5, zip

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 2, windows: 1