#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-55 (Kimsuky), северокорейская APT-группа, недавно атаковала учреждения Южной Кореи, используя вредоносный установщик, замаскированный под Bandizip, для развертывания скрытого троянца HappyDoor. В этой атаке использовался "regsvr32" для запуска библиотеки DLL, обеспечивающей удаленный доступ и сбор данных, а также расширенную защиту от обфускации, чтобы избежать обнаружения.
-----

APT-C-55, известная как Kimsuky, является северокорейской группой APT (АПТ), имеющей опыт нападений на южнокорейские учреждения, включая аналитические центры, правительственные учреждения и средства массовой информации. Первоначально раскрытая Касперским в 2013 году, их деятельность с тех пор расширилась и включала цели в Соединенных Штатах, России и Европе, в первую очередь направленные на сбор разведданных и шпионаж. Несмотря на повышенное внимание и разоблачение их тактики исследователями в области кибербезопасности, Kimsuky продолжает совершенствовать свои методы, используя различные способы атаки, в частности вредоносные файлы, замаскированные под законные документы.

Недавно в Южной Корее была выявлена заметная атака Kimsuky, в ходе которой группа использовала вредоносный установочный пакет, замаскированный под Bandizip. Этот установщик не только предоставлял пользователю законно выглядящее приложение, но и облегчал удаленное выполнение скрытого вредоносного кода. Атака включала поэтапную загрузку скриптов, которые в конечном итоге запустили троянскую программу HappyDoor с оболочкой VMP, предназначенную для захвата конфиденциальных данных. Процесс начался с запуска пользователем программы установки, которая без проблем установила программу Bandizip, одновременно извлекая и выполняя несколько уровней вредоносных скриптов в фоновом режиме.

В ходе атаки использовался "regsvr32" для регистрации вредоносной библиотеки DLL "ut_happy(x64).dll", которая функционирует как программа удаленного управления. Выполнение библиотеки DLL проходило в несколько этапов: операция “install” для настройки исходного бэкдора, за которой следовали операции “init” и “run”, которые выполняли различные этапы загрузки. Этот бэкдор способен собирать критически важную системную информацию и пользовательские данные, а также предоставлять функции удаленного управления, такие как автоматическое завершение работы и регистрация библиотеки DLL.

Анализ вредоносного ПО показал, что его код был значительно искажен, что усложняло традиционные методы реверс-инжиниринга. Использование VMProtect для защиты основных функциональных возможностей бэкдора предполагало попытку избежать обнаружения с помощью мер безопасности. Прошлые действия Kimsuky включали использование аналогичных полезных функций, а структуры доменных имен для управления (C2) также соответствовали тем, которые были связаны с предыдущими атаками, что подтверждает доказательства, связывающие эту операцию с группой APT.

Подводя итог, можно сказать, что недавние атаки, приписываемые APT-C-55, подчеркивают их непрерывную эволюцию и адаптацию с использованием различных направлений атак при одновременном использовании социальной инженерии и передовых методов обфускации. Эта ситуация подчеркивает важность тщательного информирования о безопасности и предостережения от запуска непроверенных приложений, поскольку Kimsuky остается активной угрозой, проводя кампании против различных секторов.

#technique #llm #ai

MGC: A Compiler Framework Exploiting Compositional Blindness in Aligned LLMs for Malware Generation

https://arxiv.org/html/2507.02057v1

Новое направление в жанре фантастики

Психанули и решили заказать парочку экземпляров.
Как приедут, придумаем как разыграть :)

#ParsedReport #CompletenessLow
09-07-2025

Anatsa Targets North America; Uses Proven Mobile Campaign Process

https://www.threatfabric.com/blogs/anatsa-targets-north-america-uses-proven-mobile-campaign-process

Report completeness: Low

Threats:
Anatsa

Victims:
Mobile banking users, Financial institutions

Industry:
Financial

Geo:
American, Canada, America

ChatGPT TTPs:
do not use without manual check
T1407, T1409, T1410, T1411, T1475

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троянец Anatsa для Android нацелен на североамериканских пользователей, используя легальные приложения через Google Play Store для кражи учетных данных и мошеннических транзакций. Используя кейлоггинг, оверлеи и дистанционное управление, он маскируется под безобидное "обновление PDF" в приложении для чтения файлов, выявляя новые угрозы безопасности мобильного банкинга.
-----

Исследователи ThreatFabric обнаружили новую кампанию, в которой задействован Android-банковский троян Anatsa, который в настоящее время активно атакует пользователей в Северной Америке, что стало, по меньшей мере, третьей попыткой создания угроз для мобильного банкинга в Соединенных Штатах и Канаде. Anatsa распространяется через официальный магазин Google Play, что представляет собой серьезную проблему для обеспечения безопасности мобильных устройств. Этот троянец относится к категории сложных вредоносных программ для захвата устройств, предоставляющих своим операторам широкие возможности, включая кражу учетных данных с помощью методов наложения и кейлоггинга, а также выполнение мошеннических транзакций непосредственно со взломанных устройств с помощью функций удаленного управления.

ThreatFabric отслеживает Anatsa с 2020 года и признает ее одним из самых заметных игроков на рынке мобильных вредоносных программ, а недавние кампании демонстрируют повышенное внимание к финансовым учреждениям Северной Америки. Операционная методология Anatsa предполагает системный подход, при котором злоумышленники загружают изначально легитимные приложения — часто такие, как программы для чтения PDF—файлов, файловые менеджеры или утилиты - в магазины приложений. После привлечения значительного числа пользователей приложение обновляется, чтобы включить вредоносный код, который облегчает загрузку и установку троянца Anatsa на устройство жертвы. Эта вредоносная программа получает цели со своего командно-контрольного сервера, что позволяет динамически обновлять стратегию поиска.

Кампания демонстрирует эволюционирующую стратегию таргетинга, о чем свидетельствует недавняя рассылка, замаскированная под "обновление PDF" в приложении для чтения файлов, которое получило широкую известность в американском магазине Google Play. Это приложение-дроппер было загружено более чем 50 000 раз до его удаления, и примерно через шесть недель после запуска оно соответствовало схеме Anatsa по превращению законного приложения во вредоносное. Операция проводилась с 24 по 30 июня и характеризовалась расширением списка целевых клиентов, который включал различные мобильные банковские приложения по всему региону.

Важная тактика, используемая Anatsa, заключается в отображении вводящего в заблуждение сообщения о наложении для пользователей, пытающихся получить доступ к своим банковским приложениям. Это наложение предназначено для сокрытия вредоносной активности и предотвращения обращения пользователей в службу поддержки, что эффективно задерживает обнаружение мошеннических действий. Поскольку кампании Anatsa все больше ориентированы на североамериканских пользователей, особенно на тех, кто использует мобильные банковские приложения, организациям финансового сектора рекомендуется тщательно изучить свои средства защиты и оценить потенциальные уязвимости, которые могут повлиять на их операции или безопасность клиентов.

#ParsedReport #CompletenessHigh
09-07-2025

Tracking Scattered Spider Through Identity Attacks and Token Theft

https://www.picussecurity.com/resource/blog/tracking-scattered-spider-through-identity-attacks-and-token-theft

Report completeness: High

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)

Threats:
Sim_swapping_technique
Aitm_technique
Spectre_rat
Evilginx_tool
Anydesk_tool
Lolbin_technique
Blackcat
Ransomhub
Credential_dumping_technique
Spear-phishing_technique

Industry:
Retail, Telco

TTPs:
Tactics: 7
Technics: 12

IOCs:
File: 5
Domain: 2
Command: 1
Path: 1
Registry: 1

Soft:
Sysinternals, HubSpot, Chromium, Active Directory, PsExec

Algorithms:
7zip, xor, base64

Functions:
get_user_folder_paths, get_config_filename

Win API:
CreateToolhelp32Snapshot, Process32First, Process32Next

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider - это хакерская группа, нацеленная на телекоммуникационный и финансовый секторы с помощью атак, ориентированных на идентификацию, с использованием продвинутого фишинга, подмены SIM-карт и олицетворения службы поддержки. Их Spectre RAT, модульный троян для удаленного доступа, выполняет команды, извлекает данные, используя методы скрытности, и взаимодействует с C2, используя запутанные протоколы. Их тактика заключается в перемещении по сетям, что приводит к атакам программ-вымогателей, в частности, использующих уязвимости в облаках.
-----

Scattered Spider, группа финансовых хакеров, действующая с 2022 года, в основном проводит атаки, ориентированные на идентификацию, нацеленные на телекоммуникационные, SaaS, облачные и финансовые сервисы. Их методы работы включают агрессивную социальную инженерию и использование передовых методов фишинга для перехвата идентификационных данных пользователей, часто в обход многофакторной аутентификации (MFA) с помощью таких методов, как замена SIM-карты и олицетворение службы поддержки. Они внедряют сложные фишинговые наборы, которые могут быть нацелены на поставщиков идентификационных данных, таких как Okta и Duo, и используют такие методы, как фишинг "противник посередине" (AiTM), для получения действительных учетных данных и токенов доступа.

Ключевым компонентом инструментария Scattered Spider является Spectre RAT, пользовательский троян для удаленного доступа (RAT), впервые появившийся в сентябре 2020 года. Разработанный с использованием модульной архитектуры, Spectre RAT предлагает широкие возможности, включая удаленное выполнение команд и фильтрацию данных. Вредоносное ПО запускается с помощью фишинговых атак, часто с помощью документов с поддержкой макросов или скриптов, которые обманом заставляют пользователей выполнять вредоносную полезную нагрузку. После активации он собирает конфиденциальную информацию, такую как учетные данные и скриншоты, сохраняя при этом постоянный доступ с использованием скрытых методов, включая обфускацию кода и использование законных исполняемых файлов, чтобы соответствовать обычному поведению администратора. Недавние усовершенствования Spectre RAT привели к усовершенствованию методов обфускации и распространения, что сделало его более адаптируемым и трудным для обнаружения.

Spectre RAT взаимодействует со своей инфраструктурой управления (C2), используя пользовательский протокол HTTP, используя методы обфускации, такие как XOR-кодирование и Base64. Это позволяет вредоносному ПО собирать информацию о профилировании системы с помощью различных команд и сводит к минимуму риски обнаружения за счет использования законных системных инструментов. RAT может выполнять разведку с учетом окружающей среды, выявляя запущенные процессы и установки программного обеспечения непосредственно из скомпрометированных систем, не вызывая тревоги, и продемонстрировал возможности динамической настройки своих коммуникаций C2.

Фишинговые операции Scattered Spider превратились в изощренные кампании, которые не только компрометируют учетные записи, но и облегчают перемещение в уязвимых средах, что часто приводит к развертыванию программ-вымогателей. Они используют захваченные токены и учетные данные для доступа к облачным сервисам, обеспечения постоянства и использования уязвимостей в облачных инфраструктурах. Было замечено, что группа переходит к внедрению программ-вымогателей, в частности, нацеленных на корпоративные среды с помощью различных тактик проникновения, таких как использование консолей vSphere и использование скриптовых инструментов для внутренней доставки полезной нагрузки.

#ParsedReport #CompletenessMedium
09-07-2025

Deploying NetSupport RAT via WordPress & ClickFix

https://www.cybereason.com/blog/net-support-rat-wordpress-clickfix

Report completeness: Medium

Threats:
Netsupportmanager_rat
Clickfix_technique
Fakecaptcha_technique

Industry:
Entertainment

Geo:
Moldova

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1059.001, T1059.003, T1059.007, T1070.004, T1071.001, T1087.001, T1105, T1132.001, have more...

IOCs:
File: 22
Domain: 7
IP: 10
Hash: 5

Soft:
WordPress, Curl, Windows Registry

Algorithms:
md5, zip

Languages:
javascript, powershell, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры используют взломанные сайты WordPress для распространения вредоносного варианта NetSupport Manager RAT с помощью фишинга и манипуляций с JavaScript. Скрипт под названием j.js загружает и запускает RAT, который собирает данные и инициирует подключения на основе онлайн-статуса участника, а также использует поддельные страницы с капчей, чтобы обманом заставить пользователей выполнять вредоносные команды. Уязвимости в скомпрометированных серверах, особенно на хостинге, расположенном в Молдове, повышают риск, связанный с этой угрозой.
-----

В мае 2025 года оперативный центр глобальной безопасности Cybereason сообщил о появлении хакеров, использующих взломанные веб-сайты WordPress для распространения вредоносного варианта законного средства удаленного доступа NetSupport Manager (RAT). Атака использует различные методы, включая фишинг, веб-компрометацию и сложные манипуляции с JavaScript. Изначально жертвы получают ссылку на вредоносный сайт, где на взломанный веб-сайт вводится iframe, а объектная модель документа (DOM) изменяется для отображения поддельной страницы с капчей. Пользователей, введенных в заблуждение этим поддельным интерфейсом, обманом заставляют загружать вредоносную программу NetSupport RAT.

При посещении вредоносного веб-сайта встроенный JavaScript инициирует процесс доставки полезной нагрузки, запуская загрузку и выполнение удаленного скрипта с именем j.js. Поведение этого скрипта меняется в зависимости от статуса хакера в Сети; когда исполнитель находится в автономном режиме, он загружает пустой файл, в то время как измененная версия используется в периоды его активности. Вредоносный скрипт нацелен на операционные системы Windows и собирает различные данные, такие как название браузера и пользовательский агент, а также проверяет, находится ли пользователь на мобильном или настольном устройстве. Сохраняя информацию о посещении пользователем в локальном хранилище, он предотвращает повторную генерацию iframe для ранее посещенных посетителей, тем самым избегая обнаружения.

Атака продолжается с помощью функционала скрипта j.js, который загружает дополнительные вредоносные скрипты, в частности файл с именем select.js, который генерирует поддельную страницу с капчей. Эта страница не только вводит пользователей в заблуждение, но и выполняет манипуляции с буфером обмена для копирования вредоносной команды, предлагая пользователям запустить ее через диалоговое окно запуска Windows. Эта команда в конечном итоге облегчает загрузку и выполнение пакетного файла, содержащего клиент NetSupport.

Процесс включает в себя получение ZIP-архива и использование PowerShell для извлечения в каталог %AppData%\Roaming, где находится фактическое клиентское приложение NetSupport (client32.exe). Это приложение устанавливает исходящее соединение с указанным сервером подключения при запуске и поддерживает неактивное состояние до тех пор, пока хакер не подключится к нему.

NetSupport Manager, изначально предназначенный для удаленного управления системами, привлек внимание хакеров благодаря своим возможностям несанкционированного доступа и развертывания вредоносных программ. В 2024 году он был признан седьмой по распространенности угрозой, что отражает его использование во вредоносных целях. Файл конфигурации клиента, имеющий решающее значение для работы NetSupport, содержит адрес шлюза, который направляет клиента к системе управления через Интернет. Недавние расследования показали, что скомпрометированные серверы, выявленные в ходе этого вторжения, используют диапазон IP-адресов, принадлежащих хостинг-провайдеру из Молдовы, а открытые порты указывают на потенциальные уязвимости, что повышает риск попадания устройства в руки киберпреступников.

#ParsedReport #CompletenessHigh
09-07-2025

BERT Ransomware Group Targets Asia and Europe on Multiple Platforms

https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html

Report completeness: High

Threats:
Bert_ransomware
Revil
Babuk
Conti
Defendercontrol_tool
Process_hacker_tool
Ransom.msil
Powload
Ransom.linux

Industry:
Healthcare

Geo:
Russian, Asia, Russia

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 2
IP: 1
Hash: 7
Url: 1

Soft:
Linux, ESXi, Windows Defender, esxcli

Algorithms:
base64, aes

Functions:
Set-NetFirewallProfile

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BERT, группа программ-вымогателей, действующая в Европе, Азии и США, нацелена на здравоохранение и технический сектор, используя для выполнения загрузчики на базе PowerShell. Их двойные варианты ориентированы на повышение привилегий, быстрое шифрование файлов и защиту от обнаружения, а вариант Linux поддерживает многопоточное шифрование и вывод из строя виртуальных машин ESXi. Примечательно, что операции BERT включают в себя отключение функций безопасности, что указывает на возможную связь с российской инфраструктурой и раскрывает эволюционирующую тактику повышения эффективности атак.
-----

BERT, также известная как Water Pombero, - это недавно появившаяся группа программ-вымогателей, которая активно атакует организации в Европе, Азии и Соединенных Штатах, особенно в сфере здравоохранения, технологий и обслуживания мероприятий. Группа использует загрузчики на базе PowerShell для выполнения, используя простую структуру кода в ее Windows-варианте. Их тактика включает повышение привилегий и одновременное шифрование файлов, что позволяет быстро выполнять атаки, избегая обнаружения. Windows-версия BERT использует определенные совпадения строк для завершения процессов, в то время как Linux-версия поддерживает до 50 потоков для ускорения шифрования и имеет возможность принудительного завершения работы виртуальных машин ESXi, что затрудняет восстановление.

Группа продемонстрировала признаки изменения своей тактики, разработав варианты с улучшенными методами шифрования. Например, более ранние образцы собирали пути к файлам перед выполнением многопоточного шифрования, в то время как более новые версии запускают шифрование, как только файлы идентифицируются, что повышает эффективность. В своей работе BERT использует скрипт PowerShell, известный как "start.ps1", который выполняет функцию загрузчика основной полезной нагрузки программы-вымогателя. Этот скрипт отключает основные функции безопасности, такие как защитник Windows, брандмауэр и контроль учетных записей пользователей (UAC), и настроен на загрузку программы-вымогателя с определенного удаленного IP-адреса, связанного с российской инфраструктурой. Хотя это не позволяет окончательно установить причастность к делу российских хакеров, это наводит на мысль о потенциальной связи.

Версия BERT для Linux, представленная в мае, содержит конфигурации, встроенные в формат JSON, который включает открытый ключ для шифрования, уведомление о требовании выкупа и расширения файлов для зашифрованных файлов. Этот формат отражает тенденции, наблюдаемые в современных программах-вымогателях, повышая адаптивность и настраиваемость кампаний. BERT имеет сходство с Linux-версией REvil, известной своей ориентацией на серверы ESXi, что позволяет предположить, что некоторый код, возможно, был переработан из ныне расформированной группы REvil. Эволюция возможностей BERT свидетельствует о постоянном совершенствовании ее методов, что указывает на постоянную угрозу для различных секторов и сигнализирует о необходимости принятия бдительных мер защиты от их быстро меняющейся тактики.

#ParsedReport #CompletenessHigh
09-07-2025

GoldMelodys Hidden Chords: Initial Access Broker In-Memory IIS Modules Revealed

https://unit42.paloaltonetworks.com/initial-access-broker-exploits-leaked-machine-keys/

Report completeness: High

Actors/Campaigns:
Prophet_spider (motivation: financially_motivated)

Threats:
Txportmap_tool
Godpotato_tool
Nltest_tool

Industry:
Transport, Logistic, Healthcare, Retail

Geo:
Australia, India, Japan, Middle east, Asia

TTPs:
Tactics: 2
Technics: 14

IOCs:
File: 10
Hash: 11
Command: 4
Path: 6
Url: 1
IP: 10

Soft:
ASP.NET, Linux, curl, ASP.NET and .NET

Algorithms:
gzip, xor, base64

Languages:
golang

Links:
https://github.com/NotSoSecure/Blacklist3r/blob/master/MachineKey/AspDotNetWrapper/AspDotNetWrapper/Resource/MachineKeys.txt
https://github.com/pwntester/ysoserial.net/blob/master/ysoserial/Plugins/ViewStatePlugin.cs
have more...
https://github.com/4dogs-cn/TXPortMap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TGR-CRI-0045 выступает в качестве посредника начального доступа, используя уязвимости IIS и ASP.NET, в частности, уязвимости, связанные с утечкой машинных ключей, для выполнения вредоносной полезной нагрузки в памяти сервера. Их тактика включает десериализацию данных о состоянии просмотра и использование таких инструментов, как ysoserial.net для создания полезной нагрузки, обеспечения возможности несанкционированного выполнения команд и передачи данных. Учитывая их упрощенный подход и сосредоточенность на этих уязвимостях, организации должны усилить мониторинг и принять рекомендации Microsoft по устранению уязвимостей для снижения рисков.
-----

Группа, идентифицированная как TGR-CRI-0045, недавно стала основным посредником доступа, использующим уязвимости в IIS и ASP.NET приложениях, в частности, для борьбы с утечкой машинных ключей. Эти криптографические ключи играют важную роль в процессе десериализации данных о состоянии просмотра в ASP.NET приложениях. Технология эксплуатации обеспечивает несанкционированный доступ к ресурсам сервера путем выполнения вредоносных программ непосредственно в памяти сервера, тем самым сводя к минимуму угрозу обнаружения и оставляя ограниченное количество криминалистических следов.

В TGR-CRI-0045 были использованы методы, которые используют десериализацию уязвимых параметров состояния просмотра, которые являются внутренними состояниями приложения, поддерживаемыми с помощью ASP.NET. Эти параметры включены в HTTP-запросы и могут быть изменены, если злоумышленник обладает правильным машинным ключом. Процесс эксплуатации значительно облегчается с помощью таких инструментов, как ysoserial.net, который генерирует вредоносные программы десериализации, которые обходят встроенные средства защиты путем создания действительных криптографических подписей. Затем злоумышленник может выполнить произвольный код в контексте рабочего процесса IIS сервера.

Оперативная инфраструктура этой группы была связана с оппортунистическими атаками на различные секторы, включая финансовые услуги и высокие технологии, как в Европе, так и в США. Примечательно, что TGR-CRI-0045 продемонстрировал схему использования специфических методов выполнения команд, таких как вызов `cmd.exe ` через `cmd /c` для выполнения команд и передачи файлов, включая потенциально вредоносные исполняемые файлы. Они также использовали инструмент под названием TxPortMap для обнаружения сетевых служб, чтобы определить потенциальные цели в скомпрометированных внутренних сетях.

Полезные данные, используемые в этих атаках, такие как `updf.exe" или двоичный код ELF "atm", свидетельствуют о продолжающейся разработке и служат различным вредоносным целям. Двоичный файл "updf" реализует эксплойт GodPotato для получения доступа на системном уровне, выдавая себя за привилегированную службу, в то время как исполняемый файл "atm", по-видимому, помогает выполнять команды в среде Linux, если достигается боковое перемещение.

Несмотря на отсутствие традиционной веб снарядов, ТГР-ЦНИИ-0045 сохранила легкий, конъюнктурный подход, который придает особую остроту риска, связанного с их опорой на IIS и уязвимостей ASP.NET . Организациям настоятельно рекомендуется принять рекомендации корпорации Майкрософт по выявлению и устранению несанкционированного доступа к машинным ключам и повысить уровень безопасности за счет улучшения ведения журнала и мониторинга ASP.NET журналов событий, в частности, для выявления сбоев десериализации. Современные методы группы требуют тщательной защиты, поскольку их атаки могут происходить без явных признаков взлома, что усиливает острую необходимость в комплексных мерах безопасности для защиты от таких постоянных угроз.