#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TEAM FEARLESS - это группа хактивистов, проводящая DDoS-атаки против организаций, связанных с Израилем, с использованием ботнетов и методов усиления. Они также осуществляют сброс учетных данных и атаки на веб-приложения, используя уязвимости, такие как SQL-инъекции и XSS, для получения несанкционированного доступа и содействия утечке данных. Их координация с другими группами хактивистов повышает их оперативные возможности.
-----

TEAM FEARLESS - это хактивистская группа, специализирующаяся на проведении киберопераций, мотивированных политическими убеждениями, в частности, в поддержку Палестины. Их основная тактика - распределенные атаки типа "Отказ в обслуживании" (DDoS), нацеленные на ряд организаций, особенно связанных с Израилем. Они продемонстрировали оперативную активность в ходе многочисленных атак на различные секторы, включая государственные учреждения, транспортные узлы (в частности, аэропорты США), телекоммуникации, горнодобывающую промышленность и образовательные учреждения во Вьетнаме.

В основе их методологии лежат DDoS-атаки, использующие такие методы, как перегрузка серверов огромными объемами нелегального трафика, часто с помощью ботнетов или методов усиления. Эти операции могут вызвать временные перебои в работе, что может нанести ущерб репутации и финансовым потерям объектов. КОМАНДА FEARLESS продемонстрировала способность успешно работать с надежной инфраструктурой, обеспечивая доступ к значительным ресурсам.

В дополнение к DDoS-атакам, группа занимается сбросом учетных данных, что позволяет им получать конфиденциальные аутентификационные данные. Эта возможность расширяет возможности их операций, не ограничиваясь сбоями в работе и потенциально несанкционированным доступом к системам, способствуя утечке данных или продаже украденных учетных данных другим злоумышленникам. Сброс учетных данных часто использует уязвимости или использует ранее предоставленные данные, что служит их целям путем распространения информации об уязвимостях организаций, на которые они нацелены.

Группа также участвовала в атаках на веб-приложения, что свидетельствует о более высоком техническом уровне, позволяющем им использовать уязвимости в веб-сервисах. Распространенные методы, которые они могут использовать, включают внедрение SQL-кода, межсайтовый скриптинг (XSS) и использование небезопасных ссылок, что приводит к таким последствиям, как повреждение веб-сайта, кража данных и несанкционированный контроль над административными функциями.

КОМАНДА FEARLESS заключила союзы с другими группами хактивистов, такими как CyberVolk и YOGJASEC-XTEAM, что расширило их оперативный охват и возможности совместного использования ресурсов. Их общение в основном происходит через Telegram, где они координируют атаки, делятся обновлениями и продвигают свою идеологическую позицию. Группа также поддерживает свое присутствие в других социальных сетях и на форумах, обеспечивая широкое распространение своей деятельности и убеждений.

#ParsedReport #CompletenessLow
09-07-2025

Detailed Analysis of AiLock Ransomware

https://medium.com/s2wblog/detailed-analysis-of-ailock-ransomware-1d3263beff15

Report completeness: Low

Threats:
Ailock

TTPs:
Tactics: 5
Technics: 9

IOCs:
File: 2
Command: 1
IP: 1

Algorithms:
xor, chacha20, sha256, ntruencrypt

Functions:
SystemParameterInfoW

Win API:
LoadLibrary, GetProcAddress, IsProcessorFeaturePresent, GetSystemTime, SystemTimeToFileTime, GetSystemInfo, CryptGenRandom, SHEmptyRecycleBinA, ControlService, TerminateProcess, have more...

Languages:
c_language

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250704\_Detailed%20Analysis%20of%20AiLock%20Ransomware/IoC.md
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250704\_Detailed%20Analysis%20of%20AiLock%20Ransomware/AiLock.yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель AiLock, известная как RaaS, использует C/C++ для шифрования файлов с расширением .AiLock и угрожает утечкой данных. Он использует шифрование ChaCha20 с использованием NTRUEncrypt для метаданных и использует аргументы командной строки для выполнения своих функций, динамически разрешая вызовы API для скрытности. Программа-вымогатель выполняет тщательное сканирование в поисках целей, манипулирует настройками системной среды и регулярно адаптирует свою инфраструктуру.
-----

Программа-вымогатель AiLock, обнаруженная в марте 2025 года, действует как группа по борьбе с вымогательством как услуга (RaaS), которая ведет переговоры с жертвами через специальный сайт, угрожая раскрыть украденные данные на сайте утечки. Вредоносная программа, разработанная на C/C++, присваивает файлу расширение .К зашифрованным файлам добавляется блокировка и в соответствующие каталоги помещается записка с требованием выкупа под названием Readme.txt.

Программа—вымогатель использует сложный процесс шифрования файлов с использованием двух потоков — потока обхода пути и потока шифрования, что облегчает идентификацию и шифрование файлов. Поток обхода пути отвечает за поиск файлов для шифрования, в то время как поток шифрования выполняет шифрование на основе заданной структуры. Алгоритм шифрования ChaCha20 дополнен NTRUEncrypt для защиты метаданных. В зависимости от размера файлов используются различные стратегии шифрования: файлы размером менее 100 МБ шифруются полностью, в то время как файлы размером от 100 МБ до 1 ГБ подвергаются частичному шифрованию.

Для выполнения AiLock требуются определенные аргументы командной строки, такие как -full или -path, которые запускают его вредоносные функции. Кроме того, программа-вымогатель запутывает свои командные строки с помощью операции XOR с повторяющимся случайным 8-байтовым ключом, а все вызовы API динамически разрешаются для повышения скрытности. Вредоносная программа также может провести полное сканирование подключенных дисков на предмет целей шифрования с помощью API GetLogicalDrives(), и если используется аргумент -shares, она получает доступ к сетевым ресурсам, связанным с системой.

Чтобы усилить свое влияние, AiLock манипулирует системной средой, очищая корзину с помощью API SHEmptyRecycleBinA(), а когда файлы зашифрованы, он изменяет их значки через реестр, помещая временный файл значков в каталог %TEMP%. Программа-вымогатель продемонстрировала способность к адаптации, постоянно меняя свою инфраструктуру и разрабатывая новые места утечки, что свидетельствует о ее постоянном рабочем состоянии. Следовательно, для эффективного противодействия этой угрозе рекомендуется постоянный мониторинг и применение специальных правил обнаружения.

#ParsedReport #CompletenessHigh
09-07-2025

Coinminer attack exploiting GeoServer vulnerability

https://asec.ahnlab.com/ko/88874/

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Coinminer
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Netcat_tool
Xmrig_miner

Victims:
Geoserver users, Taiwanese government agencies

Industry:
Government

Geo:
Korea, Taiwanese

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.004, T1105, T1190, T1219, T1496, T1562.001

IOCs:
File: 1
Url: 5
Coin: 1
Hash: 5
IP: 1

Soft:
GeoServer, GeoServers, Linux

Crypto:
monero

Algorithms:
md5

Win Services:
WebClient

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют CVE-2024-36401 на незащищенных геосерверах для удаленного выполнения кода, внедряя вредоносные программы, такие как GOREVERSE и XMRig, для майнинга монет. Хакерская группа Earth Baxia нацелена на тайваньские агентства, использующие фишинг-атаки и скрипты PowerShell/Bash для управления скомпрометированными системами и добычи монет Monero.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил, что незащищенные геосерверы становятся активной мишенью злоумышленников, которые устанавливают майнеры монет после использования уязвимостей. Основное внимание уделяется CVE-2024-36401, опубликованному в 2024 году, который позволяет выполнять удаленный код без проверки подлинности. Злоумышленники используют эту уязвимость для распространения различного вредоносного программного обеспечения, включая такие вредоносные программы, как GOREVERSE, SideWalk, Mirai, Condi и CoinMiner.

Недавние атаки включали тактику хакеров, идентифицированных как Earth Baxia, которые нацеливались на правительственные учреждения Тайваня с помощью скрытого фишинга в сочетании с использованием CVE-2024-36401. В ходе внутренних инцидентов злоумышленники атаковали среды Windows, используя установки GeoServer, которые еще не были исправлены для устранения этой критической уязвимости. В процессе установки вредоносного ПО была выполнена команда PowerShell, которая инициировала загрузку скрипта с именем "adminc.ps1", а затем установила утилиту NetCat. Этот инструмент служит в качестве утилиты для передачи сетевых данных, часто используемой в качестве удаленной оболочки, позволяя злоумышленникам управлять скомпрометированной системой с командно-контрольного сервера (C&C).

Метод распространения вредоносного ПО продемонстрировал универсальность в различных операционных системах, используя как PowerShell для Windows, так и скрипт Bash для Linux для установки XMRig, программного обеспечения для майнинга монет. Скрипты предназначены для завершения процессов, связанных с конкурирующим программным обеспечением для майнинга, перед выполнением соответствующих команд для запуска XMRig. В случаях, связанных с отклонениями в работе Windows, загруженный скрипт PowerShell эффективно устанавливает XMRig, в то время как его аналог в Linux выполняет аналогичные задачи с помощью Bash. После установки эти майнеры используют ресурсы зараженной системы для добычи монет Monero для злоумышленников.

#ParsedReport #CompletenessLow
09-07-2025

Anatsa Banking Trojan Expands to North America via Google Play Dropper Apps

https://www.secureblink.com/cyber-security-news/anatsa-banking-trojan-expands-to-north-america-via-google-play-dropper-apps

Report completeness: Low

Threats:
Anatsa

Industry:
Retail, Transport, Financial

Geo:
American, Canadian, Canada, America

ChatGPT TTPs:
do not use without manual check
T1407, T1418, T1420, T1444, T1476, T1546

Soft:
Google Play, Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковский троян Anatsa (TeaBot) для Android нацелен на пользователей в США и Канаде с помощью вредоносных обновлений в, казалось бы, законных приложениях, кражи учетных данных с помощью оверлеев и перехвата SMS-сообщений 2FA. Он использует передовые методы уклонения от уплаты налогов и мошенничества с захватом устройств, расширяя охват различных финансовых учреждений Северной Америки.
-----

Банковский троян Anatsa для Android, также известный как TeaBot, нацелен на пользователей в США и Канаде с помощью вредоносных приложений. Он распространялся с помощью, казалось бы, законного приложения под названием "Программа просмотра документов - чтения файлов", которое было установлено около 90 000 раз до его удаления. Хакеры совершенствуют свою тактику проникновения в финансовые приложения Северной Америки с целью кражи учетных данных пользователей и автоматизации мошеннических транзакций.

Кампания перенесла акцент с Европы на финансовые учреждения США, используя усовершенствованные методы защиты от вредоносного ПО и периодические паузы в распространении, чтобы усовершенствовать свои вредоносные программы. Они создают профили надежных разработчиков, выпуская законные приложения, прежде чем отправлять вредоносные обновления.

Программа-дроппер с именем пакета com.stellarastra.maintainer.astracontrol_managerreadercleaner маскируется под средство просмотра файлов и запрашивает разрешения на доступ к сервису после обновления от 24 июня для автоматизации взаимодействия с пользователем. Он загружает DEX-файл второго этапа с сервера управления, загружая полную полезную нагрузку Anatsa в память.

Anatsa использует оверлейные экраны для имитации законных страниц входа в банк и может перехватывать коды двухфакторной аутентификации на основе SMS. Это позволяет осуществлять мошенничество с использованием устройств (DTO), облегчая прямые денежные переводы с устройства пользователя, избегая при этом поведенческой аналитики.

хакеры расширили свои цели, включив в них различные учреждения США, включая розничные банки и кредитные союзы. Исследования показывают, что 40% дропперов замаскированы под утилиты "Tools", которые запрашивают расширенные разрешения без предупреждения. Операторы Anatsa избегают проверки, сначала запуская чистые приложения, а затем внедряя обновления. Эффективность защиты App Store ставится под сомнение из-за такой адаптивной тактики вредоносных программ.

#ParsedReport #CompletenessMedium
10-07-2025

Code highlighting with Cursor AI for $500,000

https://securelist.com/open-source-package-for-cursor-ai-turned-into-a-crypto-heist/116908/

Report completeness: Medium

Threats:
Screenconnect_tool
Vmdetector
Quasar_rat
Purelogs

Victims:
Blockchain developer

Industry:
Financial

Geo:
Russia, Latin america

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1053.005, T1056.001, T1059.001, T1059.005, T1071.001, T1105, T1136.001, T1195.002, have more...

IOCs:
File: 6
Path: 1
Domain: 2
Url: 6
IP: 1
Hash: 6

Soft:
Visual Studio Code

Languages:
powershell, solidity

Links:
https://github.com/eclipse/openvsx/blob/master/server/src/main/java/org/eclipse/openvsx/search/RelevanceService.java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные пакеты с открытым исходным кодом, такие как скомпрометированное расширение Solidity, все чаще становятся мишенью разработчиков, позволяя злоумышленникам взламывать системы и выводить криптовалюты. Расширения часто используют тактику обфускации и имитируют законные пакеты, что повышает необходимость надежной проверки и бдительности пользователей.
-----

Атаки с использованием вредоносных пакетов с открытым исходным кодом становятся все более распространенными, и в таких репозиториях, как PyPI и npm, сообщается о многочисленных случаях заражения пакетов. Показательный случай произошел в июне 2025 года, когда российский разработчик блокчейна потерял около 500 000 долларов в виде криптоактивов после загрузки скомпрометированного расширения для языка Solidity, которое продавалось для разработки с использованием искусственного интеллекта в среде Cursor AI IDE. Несмотря на то, что разработчик недавно установил свою операционную систему и придерживался осторожного подхода к кибербезопасности, вредоносному расширению удалось обмануть его.

Плагин, известный как extension.js, якобы предоставлял такие функции, как подсветка синтаксиса, но на самом деле функционировал исключительно для загрузки и выполнения вредоносного кода. В частности, он загружал скрипт PowerShell с указанного веб-сервера, который дополнительно проверял наличие программного обеспечения для удаленного управления ScreenConnect. Если он отсутствовал, он загружал это программное обеспечение, что позволяло злоумышленникам получить контроль над компьютером разработчика. Злоумышленники использовали иерархию скриптов, используя методы обфускации, маскирующие истинное назначение каждой полезной нагрузки. В конечном счете, система была использована для перекачки криптовалюты через черный ход, и Касперский идентифицировал вредоносное ПО как HEUR:Trojan-PSW.MSIL.PureLogs.gen.

Появление вредоносного расширения можно объяснить его ранжированием в Открытом реестре VSX, где оно превзошло законный аналог из-за различных факторов, включая недавность публикации. Это вводящее в заблуждение позиционирование привело к тому, что разработчик установил поддельное расширение, приняв отсутствие функциональности за ошибку. После удаления расширения после обнаружения злоумышленники незамедлительно выпустили другой вредоносный пакет с тем же названием, что и у оригинала, что еще больше усугубило проблему для ничего не подозревающих пользователей.

В дополнение к расширениям Solidity были выявлены другие вредоносные пакеты, нацеленные на разработчиков блокчейна, в том числе вредоносный пакет npm под названием "solsafe", ответственный за поведение загрузки, аналогичное более ранним угрозам. Эта закономерность указывает на более широкую тенденцию, когда злоумышленники используют репозитории с открытым исходным кодом, используя распространенные методы управления пакетами для проведения сложных фишинговых кампаний и краж против разработчиков в криптопространстве.

Эта постоянная ситуация с угрозами подчеркивает необходимость проявлять бдительность при загрузке и внедрении инструментов и пакетов с открытым исходным кодом. Несмотря на то, что многие проекты полагаются на эти хранилища, они представляют значительный риск, если не будут приняты надлежащие меры проверки. Разработчикам крайне важно сохранять подозрительность в отношении любых аномалий в функциональности после установки и проверять исходный код любых загруженных пакетов, а также последовательно использовать комплексные решения в области кибербезопасности для защиты от подобных атак.

#ParsedReport #CompletenessMedium
10-07-2025

macOS.ZuRu Resurfaces \| Modified Khepri C2 Hides Inside Doctored Termius App

https://www.sentinelone.com/blog/macos-zuru-resurfaces-modified-khepri-c2-hides-inside-doctored-termius-app/

Report completeness: Medium

Threats:
Zuru
Khepri
Termius_tool
Securecrt_tool

Victims:
Developers, It professionals, Users of backend tools for ssh and remote connections

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1036.005, T1055.001, T1059.004, T1071.004, T1082, T1105, T1140, T1189, have more...

IOCs:
Domain: 3
Coin: 1
File: 1
Url: 3
IP: 2
Hash: 4

Soft:
macOS

Algorithms:
xor, md5

Functions:
_writePlistAndStartDaemon, _copySelfToShare, _LockManager, _checkFileAndDownloadIfNeeded, _startBackgroundProcess, _decryptData, runInBackground

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
macOS.ZuRu - это вредоносная программа-бэкдор, предназначенная для пользователей, которые ищут популярные приложения для macOS, и предоставляемая через испорченные результаты поиска. Она использует платформу Khepri C2 для управления, использует троянские приложения и обходит систему подписи кода macOS. Последние версии загружают двоичные файлы с сервера C2 и поддерживают постоянные механизмы, демонстрируя стратегическую направленность на разработку и ИТ-сектор.
-----

macOS.ZuRu - это вредоносная программа-бэкдор, которая была впервые обнаружена в июле 2021 года и распространялась через поддельные результаты поиска на Baidu, специально предназначенная для пользователей, которые ищут популярные приложения для macOS, такие как iTerm2, SecureCRT, Navicat и Microsoft Remote Desktop для Mac. Вредоносная программа со временем эволюционировала, в том числе благодаря использованию платформы Khepri C2 с открытым исходным кодом для управления в своих операциях. Исследователи из JAMF обнаружили новые варианты, которые продолжают использовать те же методы доставки троянских приложений, причем последние образцы были опубликованы в мае 2025 года, в частности, для SSH-клиента Termius.

Вредоносная полезная нагрузка распространяется в виде образа диска с расширением .dmg, который содержит модифицированную версию Termius.app. Размер допустимой версии составляет около 225 МБ, в то время как размер троянской версии составляет около 248 МБ, поскольку в нее встроены вредоносные двоичные файлы. Чтобы обойти требования к подписи кода macOS, злоумышленники заменяют исходную подпись кода разработчика специальной подписью. Во встроенное приложение Termius Helper.app добавлены два исполняемых файла; один из них запускает загрузчик вредоносного ПО и взаимодействует с Khepri, что приводит к дальнейшей утечке данных.

Основной компонент вредоносной программы с именем .localized загружает двоичный файл с сервера управления по адресу download.termius.info и сохраняет его во временном файле. Этот компонент также использует различные функции для управления его установкой и выполнением, включая настройку механизма блокировки для предотвращения одновременного запуска нескольких экземпляров и проверку обновления полезной нагрузки. Вредоносная программа использует определенный постоянный механизм через LaunchDaemon и запрашивает повышенные привилегии через устаревшие API.

Функции управления включают в себя радиомаяк Khepri C2, настроенный под троянскую программу Termius. Этот радиомаяк работает с расширенными функциями, такими как пятисекундный интервал действия и соединения, выполняемые с помощью DNS-запросов, которые выглядят легитимными. Вариант Khepri разработан таким образом, чтобы обеспечить быструю связь с C2, обеспечивая при этом скрытную работу.

Несмотря на развитие технологий, выбор атакующими приложений-мишеней и характеристики их инфраструктуры остаются неизменными, что указывает на устойчивую стратегию, ориентированную на пользователей в сфере разработки и ИТ. Устойчивое поведение вредоносного ПО, включая обработку файлов и обновления, свидетельствует о попытках сохранить эффективность решений для обеспечения безопасности. Организациям рекомендуется отслеживать конкретные технические показатели, связанные с macOS.ZuRu, чтобы усилить свою защиту от этой постоянной угрозы.

#ParsedReport #CompletenessHigh
10-07-2025

SafePay ransomware: The fast-rising threat targeting MSPs

https://www.acronis.com/en-us/tru/posts/safepay-ransomware-the-fast-rising-threat-targeting-msps/

Report completeness: High

Actors/Campaigns:
C0015

Threats:
Safepay
Lockbit
Shadow_copies_delete_technique
Lolbin_technique
Blackbyte
Sharefinder_tool
Emotet
Conti
Uac_bypass_technique

Victims:
Ingram micro, Msps, Smbs

Geo:
Russian, Azerbaijani, Armenia, Georgian, Ukrainian, Belarusian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1021.002, T1027, T1036.005, T1041, T1055.012, T1059.001, T1069.002, T1070.001, have more...

IOCs:
File: 10
Command: 1
Path: 1
Hash: 1
Url: 1
Email: 1

Soft:
Windows Defender, firefox, onenote, outlook, steam, thebat, wordpad, msexchange, bcdedit

Algorithms:
rsa-aes, aes, xor, sha256

Functions:
Windows, SetVolumeMountPoint, FindFirstFile, FindNextFile

Win API:
LoadLibrary, GetProcAddress, SetSecurityInfo, SeDebugPrivilege, ControlService, SHEmptyRecycleBinW, ShellExecuteW, GetVolumePathNamesForVolumeNameW, GetLogicalDrives, DeviceIoControl, have more...

Win Services:
ocssd, dbsnmp, synctime, agntsvc, isqlplussvc, xfssvccon, mydesktopservice, ocautoupds, encsvc, tbirdconfig, have more...

Links:
https://github.com/darkoperator/Veil-PowerView/blob/master/PowerView/functions/Invoke-ShareFinder.ps1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель SafePay, действующая с начала 2025 года, нацелена на поставщиков управляемых услуг и предприятия малого и среднего бизнеса, используя такие методы, как кража учетных данных, RDP-вторжения и методы "жизни за пределами земли". Поведение вредоносного ПО включает в себя двухуровневое шифрование AES/RSA, запутывание строк и ориентацию на конкретные языковые идентификаторы. SafePay работает без партнерской модели и имеет сходство с семейством программ-вымогателей LockBit 3.0, использующих стратегию двойного вымогательства для максимизации выплат выкупа.
-----

Программа-вымогатель SafePay появилась в первом квартале 2025 года и затронула более 200 жертв, включая поставщиков управляемых услуг и предприятия малого и среднего бизнеса. Группа осуществляет централизованное управление, избегая партнерской модели. Методы атаки включают кражу учетных данных, вторжения по протоколам RDP и VPN, повышение привилегий и методы "удаленного доступа", позволяющие осуществлять незамеченную навигацию по сетям жертвы. SafePay имеет сходство с семейством программ-вымогателей LockBit, особенно с версией 3.0 (LockBit Black), и использует формат библиотеки PE32 DLL с вводящей в заблуждение временной меткой компиляции. Вредоносная программа избегает обнаружения с помощью фиктивных функций и бессмысленных вызовов Windows API.

Инфраструктура командно-диспетчерского управления (C2) позволяет отключить такие меры безопасности, как защитник Windows, и упростить прямую загрузку файлов на серверы злоумышленников. SafePay использует механизм расшифровки строк с помощью операций XOR и проверяет идентификатор языка системы, чтобы ориентироваться на определенные локали, в частности на российские и украинские системы. После выполнения он изменяет списки контроля доступа и параметры реестра Windows для сохранения после перезагрузки.

Шифрование осуществляется на стационарных или съемных дисках с использованием двухуровневой стратегии с использованием AES и RSA. Для оптимизации скорости шифрования используется многопоточность, а файлы после шифрования переименовываются с расширением ".safepay". SafePay использует тактику двойного вымогательства, удаляя конфиденциальные файлы перед шифрованием данных. Основной способ доставки - через RDP-соединения, но способ получения учетных данных не указан. Для поиска общих сетевых ресурсов в доменах используются скрипты, подобные ShareFinder.ps1. После шифрования SafePay удаляет себя и связанные с ним инструменты из скомпрометированных систем, что усложняет процесс восстановления.

#ParsedReport #CompletenessMedium
10-07-2025

RENDERSHOCK: WEAPONIZING TRUST IN FILE RENDERING PIPELINES

https://www.cyfirma.com/research/rendershock-weaponizing-trust-in-file-rendering-pipelines/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Rendershock_technique
Clipboard_injection_technique
Polyglot_technique
Motw_bypass_technique
Passthehash_technique
Ntlmrelayx_tool
Dns_tunneling_technique
Aitm_technique
Process_injection_technique

Geo:
Ukraine

CVEs:
CVE-2025-24054 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...
CVE-2023-23397 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021)
- microsoft outlook (2013, 2016)

CVE-2024-44236 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple macos (<13.7.1, <14.7.1)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...
CVE-2025-30386 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (<16.0.18827.20000, 2016, 2019)
- microsoft office_long_term_servicing_channel (2021, 2024)

CVE-2017-8541 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft forefront_security (-)
- microsoft malware_protection_engine (le1.1.13704.0)
- microsoft windows_defender (-)


TTPs:
Tactics: 10
Technics: 14

IOCs:
File: 17
Command: 3
Url: 1
Domain: 1

Soft:
Windows Explorer, macOS, Outlook, Windows Search Indexer, Dropbox, sudo, Linux, SMB server, Windows File Explorer, Windows Search, have more...

Algorithms:
base64, zip

Functions:
FPDF, Workbook_Open, Chr, split, SMB

Win Services:
WebClient

Languages:
powershell, javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2