#ParsedReport #CompletenessHigh
09-07-2025

BERT Ransomware Group Targets Asia and Europe on Multiple Platforms

https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html

Report completeness: High

Threats:
Bert_ransomware
Revil
Babuk
Conti
Defendercontrol_tool
Process_hacker_tool
Ransom.msil
Powload
Ransom.linux

Industry:
Healthcare

Geo:
Russian, Asia, Russia

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 2
IP: 1
Hash: 7
Url: 1

Soft:
Linux, ESXi, Windows Defender, esxcli

Algorithms:
base64, aes

Functions:
Set-NetFirewallProfile

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BERT, группа программ-вымогателей, действующая в Европе, Азии и США, нацелена на здравоохранение и технический сектор, используя для выполнения загрузчики на базе PowerShell. Их двойные варианты ориентированы на повышение привилегий, быстрое шифрование файлов и защиту от обнаружения, а вариант Linux поддерживает многопоточное шифрование и вывод из строя виртуальных машин ESXi. Примечательно, что операции BERT включают в себя отключение функций безопасности, что указывает на возможную связь с российской инфраструктурой и раскрывает эволюционирующую тактику повышения эффективности атак.
-----

BERT, также известная как Water Pombero, - это недавно появившаяся группа программ-вымогателей, которая активно атакует организации в Европе, Азии и Соединенных Штатах, особенно в сфере здравоохранения, технологий и обслуживания мероприятий. Группа использует загрузчики на базе PowerShell для выполнения, используя простую структуру кода в ее Windows-варианте. Их тактика включает повышение привилегий и одновременное шифрование файлов, что позволяет быстро выполнять атаки, избегая обнаружения. Windows-версия BERT использует определенные совпадения строк для завершения процессов, в то время как Linux-версия поддерживает до 50 потоков для ускорения шифрования и имеет возможность принудительного завершения работы виртуальных машин ESXi, что затрудняет восстановление.

Группа продемонстрировала признаки изменения своей тактики, разработав варианты с улучшенными методами шифрования. Например, более ранние образцы собирали пути к файлам перед выполнением многопоточного шифрования, в то время как более новые версии запускают шифрование, как только файлы идентифицируются, что повышает эффективность. В своей работе BERT использует скрипт PowerShell, известный как "start.ps1", который выполняет функцию загрузчика основной полезной нагрузки программы-вымогателя. Этот скрипт отключает основные функции безопасности, такие как защитник Windows, брандмауэр и контроль учетных записей пользователей (UAC), и настроен на загрузку программы-вымогателя с определенного удаленного IP-адреса, связанного с российской инфраструктурой. Хотя это не позволяет окончательно установить причастность к делу российских хакеров, это наводит на мысль о потенциальной связи.

Версия BERT для Linux, представленная в мае, содержит конфигурации, встроенные в формат JSON, который включает открытый ключ для шифрования, уведомление о требовании выкупа и расширения файлов для зашифрованных файлов. Этот формат отражает тенденции, наблюдаемые в современных программах-вымогателях, повышая адаптивность и настраиваемость кампаний. BERT имеет сходство с Linux-версией REvil, известной своей ориентацией на серверы ESXi, что позволяет предположить, что некоторый код, возможно, был переработан из ныне расформированной группы REvil. Эволюция возможностей BERT свидетельствует о постоянном совершенствовании ее методов, что указывает на постоянную угрозу для различных секторов и сигнализирует о необходимости принятия бдительных мер защиты от их быстро меняющейся тактики.

#ParsedReport #CompletenessHigh
09-07-2025

GoldMelodys Hidden Chords: Initial Access Broker In-Memory IIS Modules Revealed

https://unit42.paloaltonetworks.com/initial-access-broker-exploits-leaked-machine-keys/

Report completeness: High

Actors/Campaigns:
Prophet_spider (motivation: financially_motivated)

Threats:
Txportmap_tool
Godpotato_tool
Nltest_tool

Industry:
Transport, Logistic, Healthcare, Retail

Geo:
Australia, India, Japan, Middle east, Asia

TTPs:
Tactics: 2
Technics: 14

IOCs:
File: 10
Hash: 11
Command: 4
Path: 6
Url: 1
IP: 10

Soft:
ASP.NET, Linux, curl, ASP.NET and .NET

Algorithms:
gzip, xor, base64

Languages:
golang

Links:
https://github.com/NotSoSecure/Blacklist3r/blob/master/MachineKey/AspDotNetWrapper/AspDotNetWrapper/Resource/MachineKeys.txt
https://github.com/pwntester/ysoserial.net/blob/master/ysoserial/Plugins/ViewStatePlugin.cs
have more...
https://github.com/4dogs-cn/TXPortMap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TGR-CRI-0045 выступает в качестве посредника начального доступа, используя уязвимости IIS и ASP.NET, в частности, уязвимости, связанные с утечкой машинных ключей, для выполнения вредоносной полезной нагрузки в памяти сервера. Их тактика включает десериализацию данных о состоянии просмотра и использование таких инструментов, как ysoserial.net для создания полезной нагрузки, обеспечения возможности несанкционированного выполнения команд и передачи данных. Учитывая их упрощенный подход и сосредоточенность на этих уязвимостях, организации должны усилить мониторинг и принять рекомендации Microsoft по устранению уязвимостей для снижения рисков.
-----

Группа, идентифицированная как TGR-CRI-0045, недавно стала основным посредником доступа, использующим уязвимости в IIS и ASP.NET приложениях, в частности, для борьбы с утечкой машинных ключей. Эти криптографические ключи играют важную роль в процессе десериализации данных о состоянии просмотра в ASP.NET приложениях. Технология эксплуатации обеспечивает несанкционированный доступ к ресурсам сервера путем выполнения вредоносных программ непосредственно в памяти сервера, тем самым сводя к минимуму угрозу обнаружения и оставляя ограниченное количество криминалистических следов.

В TGR-CRI-0045 были использованы методы, которые используют десериализацию уязвимых параметров состояния просмотра, которые являются внутренними состояниями приложения, поддерживаемыми с помощью ASP.NET. Эти параметры включены в HTTP-запросы и могут быть изменены, если злоумышленник обладает правильным машинным ключом. Процесс эксплуатации значительно облегчается с помощью таких инструментов, как ysoserial.net, который генерирует вредоносные программы десериализации, которые обходят встроенные средства защиты путем создания действительных криптографических подписей. Затем злоумышленник может выполнить произвольный код в контексте рабочего процесса IIS сервера.

Оперативная инфраструктура этой группы была связана с оппортунистическими атаками на различные секторы, включая финансовые услуги и высокие технологии, как в Европе, так и в США. Примечательно, что TGR-CRI-0045 продемонстрировал схему использования специфических методов выполнения команд, таких как вызов `cmd.exe ` через `cmd /c` для выполнения команд и передачи файлов, включая потенциально вредоносные исполняемые файлы. Они также использовали инструмент под названием TxPortMap для обнаружения сетевых служб, чтобы определить потенциальные цели в скомпрометированных внутренних сетях.

Полезные данные, используемые в этих атаках, такие как `updf.exe" или двоичный код ELF "atm", свидетельствуют о продолжающейся разработке и служат различным вредоносным целям. Двоичный файл "updf" реализует эксплойт GodPotato для получения доступа на системном уровне, выдавая себя за привилегированную службу, в то время как исполняемый файл "atm", по-видимому, помогает выполнять команды в среде Linux, если достигается боковое перемещение.

Несмотря на отсутствие традиционной веб снарядов, ТГР-ЦНИИ-0045 сохранила легкий, конъюнктурный подход, который придает особую остроту риска, связанного с их опорой на IIS и уязвимостей ASP.NET . Организациям настоятельно рекомендуется принять рекомендации корпорации Майкрософт по выявлению и устранению несанкционированного доступа к машинным ключам и повысить уровень безопасности за счет улучшения ведения журнала и мониторинга ASP.NET журналов событий, в частности, для выявления сбоев десериализации. Современные методы группы требуют тщательной защиты, поскольку их атаки могут происходить без явных признаков взлома, что усиливает острую необходимость в комплексных мерах безопасности для защиты от таких постоянных угроз.

#ParsedReport #CompletenessMedium
09-07-2025

Atomic macOS Stealer now includes a backdoor for persistent access

https://www.infostealers.com/article/atomic-macos-stealer-now-includes-a-backdoor-for-persistent-access/

Report completeness: Medium

Threats:
Amos_stealer
Spear-phishing_technique
Traffer_technique
Allakore_rat
Lumma_stealer
Meduza
Meta_stealer
Raccoon_stealer
Redline_stealer
Stealc
Vidar_stealer

Victims:
Apple users, Artists, Freelancers, Large crypto owners, High-value individuals, Macos users

Industry:
Financial

Geo:
Dprk, United kingdom, Russia, France, Canada, North korean, Italy

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1059.002, T1059.004, T1071.001, T1087.001, T1105, T1204.001, T1204.002, have more...

IOCs:
File: 1
IP: 5
Url: 10
Hash: 6

Soft:
macOS, Gatekeeper, Ledger Live, sudo, curl, QEMU

Algorithms:
sha256, zip

Languages:
python, applescript

Platforms:
apple, intel

#ParsedReport #ExtractedSchema

Classified images:
code: 3, schema: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа Atomic macOS Stealer (AMOS) была усовершенствована и включает в себя встроенный бэкдор, позволяющий злоумышленникам сохранять постоянный доступ, выполнять команды и красть данные из зараженных систем macOS. Он распространяется через сайты с пиратским программным обеспечением и с помощью фишинга, используя троянские файлы DMG и социальную инженерию для обхода системы безопасности. Его постоянное присутствие обеспечивается за счет создания файлов PLIST и выполнения команд через сервер управления, что указывает на тревожную тенденцию к усложнению вредоносных программ, нацеленных на пользователей macOS.
-----

Программа Atomic macOS Stealer (AMOS) была обновлена и включает в себя встроенный бэкдор, повышающий уровень угрозы за счет обеспечения постоянного доступа к зараженным системам. Теперь эта вредоносная программа позволяет злоумышленникам удаленно выполнять произвольные команды и получать расширенный контроль над взломанными компьютерами Mac. Первоначально AMOS сосредоточился на извлечении данных из инструментов, связанных с криптовалютой, и расширений браузера, но перешел к активному таргетингу на владельцев криптовалют. Он распространяется с помощью троянских файлов DMG с веб-сайтов с пиратским программным обеспечением и фишинговых кампаний. Вредоносная программа использует скрипты AppleScript и bash для сохранения работоспособности, создавая файл PLIST, который сохраняется после перезагрузки системы. После установки AMOS взаимодействует с сервером командно-диспетчерского управления (C2) для выполнения команд командной строки и облегчения фильтрации данных с помощью HTTP POST-запросов. Включение уникальных идентификационных переменных улучшает взаимодействие с C2, что указывает на переход к более сложным операциям. Двойственная природа AMOS, сочетающая кражу данных с постоянным доступом, значительно повышает риск для пользователей macOS.

#ParsedReport #CompletenessLow
09-07-2025

Chinese Threat: NFC-Enabled Fraud in the Philippines Financial Sector

https://www.resecurity.com/blog/article/chinese-threat-nfc-enabled-fraud-in-the-philippines-financial-sector

Report completeness: Low

Actors/Campaigns:
Smishing_triad (motivation: cyber_criminal)

Threats:
Smishing_technique
Panda_shop_tool
Z-nfc_tool
X-nfc_tool
Supercard
Track2nfc_tool

Victims:
Gcash, Maya philippines, Gotyme, Bdo mobile pay, Local digital banks, Neobanks, E-wallets, Regional banks, Financial service providers, Restaurant chains, have more...

Industry:
Government, Retail, Financial

Geo:
Asia, Thailand, Indonesia, Malaysia, Taiwan, Korea, Hong kong, Philippines, Chinese, Canada, Mexico, Indo-pacific, Singapore, New zealand, Philippine, Australia, China

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1071.001, T1078, T1110, T1192, T1566.001, T1583.003

Soft:
Telegram, WeChat

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники на Филиппинах используют технологию NFC, и рост цифрового мошенничества на 148% связан с тем, что китайские субъекты используют автоматизированных ботов и такие инструменты, как Z-NFC, для клонирования транзакций. Местная организованная преступность способствует этим мошенничествам, что усложняет их обнаружение, особенно в условиях распространения цифровых кошельков. Мошеннические POS-терминалы могут имитировать транзакции, что позволяет осуществлять значительную незаконную финансовую деятельность.
-----

Киберпреступники на Филиппинах все активнее используют технологию ближней связи (NFC), на которую в значительной степени влияет деятельность китайских киберпреступников. В стране зафиксирован ошеломляющий рост числа подозреваемых в цифровом мошенничестве на 148%, при этом мошенничество с электронной почтой, телефонными звонками или текстовыми сообщениями затрагивает более 74% населения, а средний финансовый ущерб составляет 44 700 филиппинских песо на жертву. Активность китайских хакеров в Даркнете, нацеленных на Филиппины, за год возросла почти на 230%, выявив сеть из тысяч независимых участников, осуществляющих мошеннические схемы. Они используют сложные инструменты, предназначенные для имитации законных бесконтактных транзакций с украденными данными карт, что свидетельствует о большом интересе к рынку Филиппин, который включает в себя такие системы, как GCash, Maya Philippines, GoTyme и BDO Mobile Pay.

Китайские киберпреступники, используя автоматизированных ботов Telegram, расширяют возможности продажи и проверки украденной информации о кредитных картах, усложняя механизмы обнаружения. Такие сервисы, как "Panda Shop", известный тем, что использует множество каналов Telegram, расширяют спектр угроз, особенно с помощью тактики СМС-фишинга. Интересно, что характер общения позволяет предположить, что китайские преступники сотрудничают с местной организованной преступностью для содействия этим мошенническим действиям, используя местных жителей в качестве перевозчиков денег для оказания помощи в операциях по отмыванию денег. Это партнерство увеличивает число попыток мошенничества, поскольку местные преступные сети помогают создавать более сложные цепочки отмывания денег.

На подпольных форумах доступны различные инструменты, в том числе Z-NFC и Track2NFC, позволяющие злоумышленникам клонировать данные карты и выполнять несанкционированные транзакции NFC. Такие атаки, особенно на рынках с растущим внедрением бесконтактных платежей и часто обходом проверки PIN-кода для транзакций с низкой стоимостью, трудно отследить. Юго-Восточная Азия с ее растущими цифровыми кошельками и инфраструктурами бесконтактных платежей стала испытательным полигоном, что вызвало тревогу у финансовых учреждений региона.

Мошеннические действия могут быть связаны с размещением вредоносного программного обеспечения на POS-терминалах, которые предварительно настроены для самостоятельной имитации законных транзакций. Эти терминалы потенциально могут способствовать незаконным транзакциям на сумму от 25 000 до 80 000 долларов в день, особенно при использовании в заведениях, не вызывающих подозрений, таких как рестораны. Сочетание этих мошеннических методов с законными финансовыми операциями значительно усложняет работу по их выявлению. Случаи использования местных ресторанов и торговых точек для мошенничества с использованием технологии NFC свидетельствуют о сложном характере существующих угроз.

По мере того как злоумышленники совершенствуют свои инструменты и тактику, финансовый сектор Филиппин сталкивается с растущими проблемами, что требует более продуманного подхода к обеспечению безопасности платежей. Заинтересованные стороны должны усилить свою координацию и возможности по выявлению угроз, чтобы усилить защиту от этого меняющегося ландшафта мошенничества, сохраняя целостность и доверие к цифровым платежным системам в стране.

#ParsedReport #CompletenessLow
09-07-2025

New BUBBAS GATE Malware Advertised on Telegram Boasts SmartScreen and AV/EDR Bypass

https://gbhackers.com/new-bubbas-gate-malware-advertised-on-telegram/

Report completeness: Low

Threats:
Bubbas_gate
Phemedrone
Darkgate

ChatGPT TTPs:
do not use without manual check
T1027, T1055.006, T1057, T1553.005, T1562.001

IOCs:
File: 1

Soft:
Telegram, Twitter, WhatsApp, Windows Defender

Algorithms:
aes

Languages:
rust

Platforms:
x64, intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"BUBBAS GATE" - это новый загрузчик вредоносных программ, использующий передовые методы обхода таких мер безопасности, как Microsoft SmartScreen и AV-решения. Он поддерживает архитектуры x64 / x86 и двоичные файлы .NET / Rust, используя непрямые системные вызовы и обходной путь PEB, чтобы избежать обнаружения, что отражает растущую тенденцию в разработке вредоносных программ, ориентированных на методы защиты от обнаружения.
-----

На подпольных форумах и Telegram-каналах появился новый вредоносный загрузчик, известный как "BUBBAS GATE", привлекший внимание благодаря своим предполагаемым передовым методам обхода, предназначенным для обхода таких мер безопасности, как Microsoft SmartScreen и современные решения AV / EDR. Загрузчик использует множество сложных методов, включая непрямые системные вызовы с помощью модифицированного векторного обработчика исключений (VEH), и отказывается от стандартных API Windows. Кроме того, он использует блокировку среды обработки (PEB), а также пользовательскую логику стека, направленную на устранение типичных механизмов обнаружения безопасности.

Заявление, касающееся SmartScreen evasion, особенно важно, поскольку оно отражает тенденцию, наблюдавшуюся в недавних кампаниях по распространению вредоносных программ, таких как DarkGate и Phemedrone Stealer, которые использовали уязвимости в SmartScreen. Хотя конкретные механизмы, с помощью которых, как утверждает BUBBAS GATE, удается обойти SmartScreen, остаются непроверенными, рекламные материалы предполагают, что это соответствует растущему спросу на черном рынке на инструменты, которые могут обойти обнаружение.

BUBBAS GATE поддерживает архитектуры x64 и x86, а также исполняемые файлы, скомпилированные в .NET (версии 2.0-4.0) и Rust, что указывает на широкий диапазон совместимости. Кроме того, он поддерживает двоичные файлы с поддержкой TLS и CRT. В рекламе Telegram указан надежный набор функций для загрузчика по цене 200 долларов за сборку, а также "15-дневная гарантия на защитник Windows" - тактика, обычно используемая продавцами вредоносных программ для привлечения клиентов, обещая незаметную работу.

Появление BUBBAS GATE иллюстрирует продолжающийся конфликт между создателями вредоносных программ и поставщиками средств кибербезопасности, в котором особое внимание уделяется тактике обхода и функциям антианализа. Организациям рекомендуется сохранять бдительность и обеспечивать надежное управление исправлениями известных уязвимостей в системах SmartScreen и EDR, а также следить за появляющимися загрузчиками, связанными с этой новой угрозой, поскольку она набирает обороты в среде вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
09-07-2025

Digging Gold with a Spoon Resurgence of Monero-mining Malware

https://www.gdatasoftware.com/blog/2025/07/38228-monero-malware-xmrig-resurgence

Report completeness: Medium

Threats:
Xmrig_miner
Coinminer
Lolbas_technique
Dosvc

Geo:
Greece, Azerbaijan, Uzbekistan, China, Russia, Belgium

TTPs:

IOCs:
File: 13
Domain: 1
Path: 1
Registry: 1
Hash: 3

Soft:
Windows Defender, Windows Update Service, Windows Update Medic Service

Crypto:
bitcoin, monero, ethereum

Win Services:
Wuauserv, BITS, UsoSvc, WaaSMedicSvc

Languages:
powershell

Links:
https://github.com/xmrig/xmrig

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С появлением XMRig cryptominer используются передовые технологии, включая LOLBAS и PowerShell, позволяющие избежать обнаружения. Он выполняет многоэтапные операции с помощью пакетных файлов для поддержания постоянства, изменения настроек реестра и загрузки майнера, демонстрируя низкую частоту обнаружения из-за минимальной запутанности.
-----

Возрождение криптоминера XMRig в середине апреля 2023 года знаменует собой значительный сдвиг в деятельности киберпреступников, в первую очередь из-за заметного роста стоимости Monero наряду с громкими кражами криптовалют. Предположительно, в США была проведена масштабная атака, в ходе которой украденный биткоин был конвертирован в Monero, что побудило киберпреступников снова использовать XMRig, который является инструментом майнинга с открытым исходным кодом. В этом конкретном варианте используются передовые технологии, в том числе автономные двоичные файлы и скрипты (LOLBA), а также законные инструменты Windows, такие как PowerShell, для облегчения работы и предотвращения обнаружения.

Угроза XMRig использует многоэтапный подход, который начинается с выполнения пакетного файла с именем 1.cmd, который запускается процессом с именем svchost.exe. Этот пакетный файл проверяет наличие маркерного файла для предотвращения множественных заражений и изменяет параметры реестра, чтобы исключить проверку системы защитником Windows. После этого он загружает другой пакетный файл, S2.bat, через PowerShell, запускает его с повышенными привилегиями и устанавливает запланированную задачу для сохранения. S2.bat аналогичным образом проверяет наличие предыдущих заражений и манипулирует службами Windows, в частности, отключает службу обновления Windows для сохранения контроля.

По ходу рабочего процесса S2.bat подключается к домену, маскирующемуся под законный сайт майнинга, чтобы загрузить вредоносный майнер XMRig, который после запуска устанавливает свою копию для обеспечения сохраняемости с помощью записи в реестре. Кроме того, он удаляет драйвер WinRing0, легальный компонент, который облегчает повышение привилегий и внесение изменений в реестр, иногда помеченный случайными именами файлов для обфускации. Майнер XMRig обладает такими характеристиками, как использование заметных путей к файлам и минимальное запутывание, что приводит к низкому уровню обнаружения среди антивирусных решений.

Этот вариант вредоносного ПО нацелен на более широкий круг стран по сравнению с предыдущими версиями и демонстрирует хорошо скоординированные усилия по вовлечению в криптодобычу. Это подчеркивает эффективность простых, но продуманных методов написания сценариев, которые, несмотря на отсутствие сложности, позволяют обойти многие защитные механизмы. Решения для постоянного мониторинга и обнаружения угроз, такие как те, которые могут идентифицировать необычное поведение, связанное с методами LOLBAS, имеют решающее значение для смягчения последствий таких заражений криптомайнингом. Заинтересованным сторонам в области кибербезопасности рекомендуется сохранять бдительность и быть в курсе возможных признаков, указывающих на такие заражения, используя эвристические и поведенческие стратегии обнаружения, чтобы усилить свою защиту от этих развивающихся угроз.

#ParsedReport #CompletenessLow
09-07-2025

Millions of people spied on by malicious browser extensions in Chrome and Edge

https://www.malwarebytes.com/blog/news/2025/07/millions-of-people-spied-on-by-malicious-browser-extensions-in-chrome-and-edge

Report completeness: Low

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1086, T1176, T1505.003, T1566.002

IOCs:
Coin: 4
File: 2
Domain: 10

Soft:
Chrome, Zoom, Discord, TikTok, Flash Player