#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RenderShock - это платформа для атаки с нулевым щелчком мыши, которая использует пассивную обработку файлов в операционной системе и корпоративных средах, используя механизмы доверия, такие как предварительный просмотр файлов, для бесшумного выполнения вредоносных действий. В нем используются такие методы, как встраивание вредоносных элементов в метаданные файлов и использование функций предварительного просмотра для облегчения поиска, фильтрации данных и удаленного выполнения кода без участия пользователя. Злоумышленники могут манипулировать различными типами файлов, использовать удаленные внедрения шаблонов и использовать ошибки форматирования, чтобы избежать обнаружения и выполнять полезную нагрузку, оказывающую значительное влияние на безопасность.
-----

RenderShock - это платформа для атак с нулевым щелчком мыши, использующая пассивную обработку файлов в операционных системах. Она использует встроенные механизмы доверия для выполнения вредоносных действий без участия пользователя. Вредоносные элементы встроены в метаданные файлов, что позволяет выполнять такие действия, как разведка, эксфильтрация данных и удаленное выполнение кода.

В методологии атаки используются цепочки уязвимостей, использующие пассивные рабочие поверхности, такие как обработчики предварительного просмотра документов и агенты индексации, включая панель предварительного просмотра в проводнике Windows и macOS Quick Look. Простой процесс выбора файла может запустить вредоносные процессы, такие как удаленная загрузка содержимого или утечка хэша NTLM.

Злонамеренный.файлы lnk могут привести к загрузке значков Windows с удаленных серверов, что может привести к утечке учетных данных. Методы включают встраивание макросов в файлы DOCX/XLSM, которые выполняются во время предварительного просмотра, и использование файлов ZIP и ISO со встроенными ярлыками для обхода сканеров вложений.

RenderShock также использует многоязычные форматы файлов, чтобы запутать механизмы сканирования и избежать обнаружения. Он запускает действия, связанные с отравлением метаданных и ошибками форматирования при работе с файлами. Удаленные внедрения шаблонов позволяют выполнять код при предварительном просмотре документов, минуя традиционные методы обнаружения макросов.

Это воздействие включает в себя перечисление пользователей и хостов, снятие отпечатков пальцев операционной системы и сбор токенов NTLMv2 с помощью обратных вызовов SMB во время предварительного просмотра. Меры безопасности должны включать мониторинг аномального поведения, связанного с предварительным просмотром файлов, сопоставление сетевой активности с файловыми событиями и оповещение о неожиданных запросах из внешней сети.

#ParsedReport #CompletenessLow
10-07-2025

Dark Web Profile: Arkana Ransomware

https://socradar.io/dark-web-profile-arkana-ransomware/

Report completeness: Low

Threats:
Arkana
Qilin_ransomware
Ransomhub
Shinyhunters
Anydesk_tool
Cobalt_strike_tool

Victims:
Wideopenwest, Ticketmaster, Uk mining firm, Uk financial company

Industry:
Energy, Healthcare, Education, Government, Telco

Geo:
United kingdom

ChatGPT TTPs:
do not use without manual check
T1021.002, T1071, T1078, T1105, T1486, T1529, T1555, T1566, T1570

Soft:
PsExec

Languages:
rust, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Arkana, связанная с сетью Qilin, нацелена на интернет-провайдеров с помощью тактики вымогательства, а не традиционных программ-вымогателей. Они используют кражу учетных данных для получения доступа, оказывая психологическое давление на жертв. Рекомендации по защите сосредоточены на надежном управлении учетными данными и выявлении фишинговых действий.
-----

Программа-вымогатель Arkana появилась в марте 2025 года, проведя заметную атаку на WideOpenWest (ВАУ!), американского интернет-провайдера. Эта группа утверждала, что похитила значительные базы данных, содержащие приблизительно 403 000 записей и 2,2 миллиона записей о клиентах, и получила контроль над серверными системами, такими как AppianCloud и Symphonica. Считается, что Arkana связана с сетью Qilin Network, программой-вымогателем как услуга (RaaS) от Qilin Ransomware, одной из самых активных киберпреступных организаций 2025 года. Их деятельность характеризуется тактикой вымогательства, маскирующейся под услугу "тестирования после проникновения" и использующей украденные данные для получения финансовой выгоды.

Arkana работает через темный веб-сайт под названием "Arkana Security", где они демонстрируют образцы украденных данных и перечисляют жертв по таким категориям, как выкуп, продажа и утечка. Присутствие кириллицы в сообщениях на русском языке указывает на потенциальную принадлежность к русскоязычным компаниям, хотя их точное происхождение остается неясным. Обращает на себя внимание визуальная привлекательность бренда Qilin на сайте Arkana, что подразумевает возможность совместного использования инфраструктуры или операционной деятельности без какого-либо официального слияния или публичных заявлений. Несмотря на растущую популярность программ-вымогателей, Arkana еще не выпустила новые вредоносные программы, но продолжает проявлять активность, перечисляя крупные нарушения, включая инциденты, связанные с британской горнодобывающей фирмой и финансовым учреждением.

Принцип работы Arkana в основном заключается в краже учетных данных, что позволяет им получить доступ к внутренним системам, таким как платформы выставления счетов и администрирования. В некоторых случаях они использовали взломанные компьютеры сотрудников для сбора регистрационных данных, что облегчало перемещение по сетям с помощью таких инструментов, как PsExec, и программного обеспечения удаленного доступа, такого как Citrix и AnyDesk. Стратегия Arkana направлена на оказание психологического давления на жертв посредством потенциального публичного раскрытия скомпрометированных данных, а не прямого внедрения программ-вымогателей, что приближает их к вымогательству данных, а не к традиционной тактике программ-вымогателей.

В отличие от этого, Qilin ransomware group предоставляет своим партнерам специальные возможности для вымогательства, позволяющие использовать настраиваемые методы шифрования и получения выкупа. Они используют различные методы проникновения, включая фишинг, использование уязвимых сервисов и развертывание таких инструментов, как Cobalt Strike и PowerShell loaders. Операции Qilin структурированы и охватывают широкий спектр отраслей, в частности, здравоохранение и государственный сектор, с акцентом как на утечку данных, так и на системное шифрование, что позволяет оказывать двойное давление на жертв.

Защитные меры как против Arkana, так и против Qilin основаны на предотвращении кражи учетных данных и их перемещения в другие страны. Организациям рекомендуется внедрять строгие правила использования паролей и многофакторную аутентификацию (MFA) для критически важных систем. Осведомленность сотрудников о тактике фишинга и внедрение передовых решений для обнаружения средств, обычно используемых этими группами, также могут значительно укрепить стратегии защиты. Мониторинг утечек учетных данных на рынках "темного интернета" может дать важную информацию для раннего обнаружения угроз.

#ParsedReport #CompletenessMedium
11-07-2025

Mahacao (APT-Q-36) commits a stealing operation by counterfeiting university domain names

https://www.ctfiot.com/261089.html

Report completeness: Medium

Actors/Campaigns:
Dropping_elephant (motivation: cyber_espionage)

Threats:
Protego
Quasar_rat
Santarat

Victims:
Universities, Scientific research institutions, Government organizations, Military organizations, Electricity companies, Industrial organizations, Diplomacy organizations, Economic organizations, Researchers in power and energy industries

Industry:
Military, Energy, Government, Education

Geo:
Asia, Asian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1036.005, T1041, T1053.005, T1071.001, T1105, T1112, T1204.002, have more...

IOCs:
Domain: 4
File: 1
Hash: 11
Url: 2
IP: 5

Soft:
Android, WeChat

Algorithms:
md5, zip

Win API:
CreateThread

Languages:
php, c_language, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Mahaca, занимающаяся APT с 2009 года, занимается кибершпионажем в Азии, используя вредоносные файлы LNK для загрузки поддельных PDF-файлов. Это приводит к созданию загрузчика на основе Rust, Winver.exe который развертывает троянскую программу на C# под названием Protego для сбора конфиденциальных данных, используя такие методы, как подмена университетских доменов и интеграция различных инструментов с открытым исходным кодом для расширения функциональности.
-----

Группа Mahaca, также известная как Patchwork или Dropping Elephant, - это организация APT, которая, как полагают, имеет южноазиатское происхождение и действует по меньшей мере с ноября 2009 года. Эта группа в основном занимается кибершпионажем, нацеленным на различные секторы, включая правительственные, военные, энергетические и научные круги, особенно в Азии.

Недавний анализ, проведенный Центром анализа угроз Qi'anxin, выявил кампанию с использованием вредоносных файлов LNK, которые использовались для загрузки поддельных документов, выдаваемых за учебные материалы, в частности, в энергетическом секторе. Механизм атаки начинается с загрузки вредоносного файла LNK в формате PDF с поддельного университетского домена (jlu-edu.org), предназначенного для маскировки атаки под законную. Затем этот документ запускает полезную нагрузку, которая представляет собой загрузчик на основе Rust с именем Winver.exe. Этот загрузчик работает скрытно, маскируясь под системную программу, предназначенную для сбора информации о версии, в то время как на самом деле он настраивает сохранение запланированных задач в системе.

После запуска загрузчик расшифровывает и обнаруживает троянца на C# под названием Protego, который собирает конфиденциальную информацию, такую как имя хоста, пользовательские данные и UUID устройства. Троянец устанавливает соединение с сервером управления (C2) в два этапа. Первый этап отправляет зашифрованные идентификаторы на C2, в то время как второй этап собирает экспортный IP-адрес зараженного устройства и отправляет собранные данные обратно на сервер. Соединение становится полностью работоспособным, когда сервер отвечает сообщением определенного содержания, что позволяет троянцу получать и выполнять дальнейшие инструкции.

В дополнение к основному троянцу на C#, Mahaca интегрировала различные платформы для троянцев с открытым исходным кодом, включая Quasar RAT, для расширения своих возможностей в области кражи разведывательных данных. Последовательное использование аналогичных архитектур троянцев на C# и множество функций удаленного управления во время своих кампаний по атакам свидетельствует о надежной и развивающейся стратегии. Более того, тактика группы по подделке университетских доменов указывает на постоянные попытки скрыть свои вредоносные сообщения и действия под прикрытием законности.

Эксперты по безопасности советуют пользователям проявлять осторожность в отношении фишинговых атак, особенно в отношении ссылок и вложений из неизвестных источников. Регулярное обновление и исправление систем, своевременное создание резервных копий важных файлов и использование аналитических инструментов для неизвестных приложений также рекомендуются в качестве превентивных мер против таких угроз.

#ParsedReport #CompletenessMedium
10-07-2025

GitHub Abused to Spread Malware Disguised as Free VPN

https://www.cyfirma.com/research/github-abused-to-spread-malware-disguised-as-free-vpn/

Report completeness: Medium

Threats:
Dll_sideloading_technique
Process_injection_technique
Lumma_stealer

Victims:
Organizations, Individuals, Users seeking free software

Geo:
French

TTPs:
Tactics: 8
Technics: 17

IOCs:
Domain: 9
File: 10
Hash: 2

Algorithms:
sha256, zip, exhibit, md5, base64

Functions:
GetBase64String, SinCosMath, GetLocalError, GetMarked, GetGameData, NtCreateThreadEx

Win API:
LoadLibrary, GetProcAddress, FreeLibrary, CloseHandle, WaitForSingleObject, IsDebuggerPresent, VirtualAlloc, NtWriteVirtualMemory, NtGetContextThread, CreateProcessW, have more...

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания на GitHub маскирует вредоносную нагрузку под законные инструменты, доставляя Lumma Stealer с помощью программы-перехватчика с именем Launch.exe. В ней используются такие методы, как внедрение процессов и дополнительная загрузка DLL-файлов, а также законные процессы Windows, позволяющие избежать обнаружения и обеспечить постоянство. Связь с сервером C2 через explorationmsn.store указывает на наличие ссылок на инфраструктуру Lumma Stealer, что свидетельствует о растущем злоупотреблении платформами для распространения вредоносных программ.
-----

Недавний анализ, проведенный CYFIRMA, выявил появляющуюся вредоносную кампанию, размещенную на GitHub, где хакеры маскируют вредоносные программы под законные инструменты, такие как "Бесплатный VPN для ПК" и "Средство смены скинов Minecraft". Основной полезной нагрузкой является вредоносная программа-дроппер под названием Launch.exe, которая использует различные методы, включая внедрение процессов, стороннюю загрузку библиотек DLL и скрытое выполнение, для доставки Lumma Stealer, вредоносного ПО для кражи информации. Вредоносная программа распространяется через репозитории GitHub с поддельными проектами, которые содержат подробные инструкции и защищенные паролем ZIP-файлы для обхода мер безопасности.

Вредоносная кампания использует DLL-файл с кодировкой Base64 и обфускацией, который динамически доставляется и выполняется в памяти. В рамках своей стратегии обхода вредоносное ПО использует легитимные процессы Windows, в частности MSBuild.exe и aspnet_regiis.exe, для обхода типичных средств контроля безопасности. Наличие бессмысленных метаданных сборки, которые не соотносятся ни с одним известным программным обеспечением или организацией, наводит на мысль об использовании разработчика вредоносного ПО для сокрытия его происхождения и уклонения от попыток обнаружения.

Технические индикаторы показывают, что вредоносная программа использует P/Invoke для вызова различных функций Windows API, позволяя выполнять такие вредоносные действия, как динамическая загрузка библиотек DLL и управление потоком выполнения. После выполнения Launch.exe вредоносная программа удаляет DLL-файл msvcp110.dll из каталога AppData пользователя и использует метод декодирования и маскировки его полезной нагрузки, скрывая данные Base64 за бессмысленным текстом. Вредоносный код предназначен для поддержания постоянства работы путем вызова нескольких функций Windows, которые облегчают выделение памяти и контроль над продолжением выполнения.

Примечательно, что вредоносная программа также пытается установить связь с сервером управления через домен explorationmsn.store, который демонстрирует шаблоны, соответствующие известной инфраструктуре Lumma Stealer. Эта кампания подчеркивает растущее злоупотребление такими платформами, как GitHub, для распространения вредоносных программ и подчеркивает необходимость усовершенствованных решений для мониторинга для обнаружения и предотвращения таких угроз. Было разработано соответствующее правило YARA, помогающее идентифицировать экземпляры программы Lumma Stealer, замаскированной под законное программное обеспечение, на основе определенных доменов и хэшей файлов.

Хакер, стоящий за этими кампаниями, остается неустановленным, что демонстрирует проблемы с установлением авторства и подчеркивает важность тщательного поиска угроз в средах с открытым исходным кодом для снижения рисков, связанных с такими APT.

#ParsedReport #CompletenessMedium
10-07-2025

Wing FTP Server Remote Code Execution (CVE-2025-47812) Exploited in the Wild

https://www.huntress.com/blog/wing-ftp-server-remote-code-execution-cve-2025-47812-exploited-in-wild

Report completeness: Medium

Threats:
Screenconnect_tool
Trojan:win32/ceprolad.a

Victims:
Wing ftp server users

CVEs:
CVE-2025-47812 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1055, T1059.001, T1059.003, T1059.004, T1070.004, T1071.001, T1105, T1190, T1204.002, T1219, have more...

IOCs:
File: 10
Path: 16
Url: 4
Command: 12
Domain: 1
IP: 5
Hash: 2

Soft:
Linux, macOS, Microsoft Defender, curl

Algorithms:
sha256

Functions:
hx

Languages:
powershell, lua, python

Platforms:
x86

SIGMA: Found

Links:
https://github.com/huntresslabs/threat-intel/blob/main/2025/2025-07/WingFTP\_CVE-2025-47812/sigma/windows\_susp\_command\_shell\_from\_wingftp\_process.yml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-47812 - критическая уязвимость в FTP-сервере Wing до версии 7.4.4, позволяющая внедрять Lua-код с помощью неправильной обработки нулевых байт при вводе имени пользователя, что потенциально может привести к удаленному выполнению кода. Злоумышленники используют это, создавая имена пользователей, которые манипулируют данными сеанса, но многие попытки были пресечены мерами безопасности. Организациям рекомендуется обновиться до версии 7.4.4, чтобы снизить риски.
-----

CVE-2025-47812 - это критическая уязвимость, обнаруженная в FTP-сервере Wing до версии 7.4.4, затрагивающая несколько платформ, включая Windows, Linux и macOS. Уязвимость возникает из-за неправильной обработки нулевых байт при вводе имени пользователя во время процесса аутентификации, в частности, через конечную точку loginok.html. Используя этот недостаток, злоумышленники могут внедрить Lua-код, что может привести к удаленному выполнению кода с правами root или системного уровня.

Вектор атаки начинается, когда злоумышленник вводит имя пользователя, содержащее нулевой байт (%00), что позволяет ему нарушить ожидаемую обработку строки имени пользователя. После нулевого байта они добавляют символы, которые интерпретируются как код Lua, который манипулирует объектными файлами сеанса, в которых обычно хранится информация о пользователе, такая как текущий каталог и IP-адрес. Эта полезная информация заканчивается комментарием для сохранения синтаксиса, что позволяет эффективно внедрять вредоносные команды Lua.

Чтобы успешно воспользоваться этой уязвимостью, злоумышленник должен пройти аутентификацию, используя либо действительные учетные данные учетной записи, либо, если это разрешено, анонимную учетную запись, для которой не требуется пароль. После аутентификации злоумышленник может запустить выполнение введенного Lua-кода, заставив приложение десериализовать объектные файлы сеанса с помощью дополнительных запросов.

Наблюдаемое поведение злоумышленников, использующих эту уязвимость, свидетельствует о некоторой неопытности, поскольку некоторые команды не удалось выполнить из-за неправильного синтаксиса или вмешательства защитника Microsoft. Например, злоумышленник попытался использовать команду curl для загрузки дополнительных полезных данных, включая установщик программного обеспечения для удаленного доступа (ScreenConnect), но неправильно настроил команду. Эта неправильная настройка подчеркивает трудности, с которыми сталкиваются менее опытные хакеры при попытках взлома. В ходе своей деятельности злоумышленники использовали различные методы, включая попытки запуска Powershell и использование маячков, но им часто мешали существующие механизмы безопасности.

По состоянию на начало июля 2025 года, хотя использование CVE-2025-47812 было отмечено по крайней мере в одной клиентской системе, организациям, использующим уязвимые версии FTP-сервера Wing, необходимо проявлять бдительность. Настоятельно рекомендуется обновить все установки до версии 7.4.4, чтобы снизить риск дальнейшего использования этой уязвимости. Эти события показывают, что, несмотря на усилия злоумышленников, эффективные меры безопасности по-прежнему могут препятствовать успешным попыткам использования.

#ParsedReport #CompletenessLow
11-07-2025

Pre-Auth SQL Injection to RCE - Fortinet FortiWeb Fabric Connector (CVE-2025-25257)

https://labs.watchtowr.com/pre-auth-sql-injection-to-rce-fortinet-fortiweb-fabric-connector-cve-2025-25257/

Report completeness: Low

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2025-25257 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1071.001, T1105, T1190, T1505.003, T1565.001

IOCs:
File: 2

Soft:
MySQL

Functions:
SetHandler, UNHEX

Languages:
python

Links:
https://github.com/watchtowrlabs/watchTowr-vs-FortiWeb-CVE-2025-25257?ref=labs.watchtowr.com

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-25257 влияет на FortiWeb Fabric Connector, позволяя выполнять SQL-инъекцию через заголовок Authorization, что приводит к потенциальному удаленному выполнению команды (RCE) через инструкцию INTO OUTFILE в MySQL. Злоумышленники могут использовать скрипт Python в каталоге cgi-bin для выполнения команд, используя перехватчики конфигурации Python и разделенные на части полезные нагрузки с помощью UNHEX(), несмотря на ограничения на запись файлов.
-----

CVE-2025-25257 представляет собой уязвимость SQL-инъекции перед аутентификацией в FortiWeb Fabric Connector, позволяющую злоумышленникам манипулировать запросом MySQL с помощью специально созданных входных данных, передаваемых через заголовок Authorization. Уязвимая функция get_fabric_user_by_token встраивает управляемый пользователем ввод непосредственно в инструкцию MySQL, что делает ее уязвимой для методов SQL-инъекций, таких как classic ИЛИ 1=1.

Изучение возможностей SQL-инъекций приводит к возможности удаленного выполнения команд (RCE) за счет использования инструкции INTO OUTFILE в MySQL. Эта инструкция обычно ограничена правами доступа к файлам, поскольку она записывает файлы с привилегиями пользователя процесса MySQL — часто пользователя mysql. Существенным ограничением является то, что INTO OUTFILE требует, чтобы целевой файл не существовал заранее; в противном случае операция завершается неудачей, что создает проблему для злоумышленников.

Однако есть возможность использовать существующий файл Python в каталоге cgi-bin, который может быть запущен Apache как CGI-скрипт. Анализ строки shebang скрипта на Python показывает, что он работает под /bin/python при каждом обращении к нему. Эта модель выполнения позволяет использовать технологию, использующую специфичные для сайта настройки Python, поскольку она позволяет вставлять произвольные пути в путь поиска модуля Python. Создав файл .pth, наличие которого запускает выполнение встроенного кода Python, злоумышленник может использовать это для выполнения произвольных команд.

Несмотря на ограничение, согласно которому INTO OUTFILE разрешает запись только в новые файлы, обходной путь заключается в использовании функции UNHEX() в MySQL для обработки фрагментированных полезных данных. Этот метод позволяет злоумышленникам хранить полезную информацию в нескольких столбцах, где прямая запись в файл ограничена, а затем извлекать и выполнять эту полезную информацию. Однако отсутствие в MySQL поддержки перехода к исходящим файлам и относительным путям добавляет сложности. Вместо этого злоумышленники могут использовать текущий контекст рабочего каталога, из которого работает процесс MySQL, что позволяет им косвенно записывать полезные данные, которые могут выполняться в вышеупомянутой среде Python.

#ParsedReport #CompletenessLow
12-07-2025

Weekly Threat Infrastructure Investigation(Week27)

https://disconinja.hatenablog.com/entry/2025/07/12/161448

Report completeness: Low

Threats:
Cobalt_strike_tool
Brc4_tool
Sliver_c2_tool
Plugx_rat
Netsupportmanager_rat

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105

IOCs:
IP: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование выявило девять активных серверов C2 в Японии, включая многочисленные случаи сбоя Cobalt Strike, что указывает на продолжающиеся хакерские атаки и злоупотребление этим инструментом хакерами в злонамеренных целях.
-----

В ходе расследования, проведенного с 30 июня по 6 июля 2025 года, с помощью функции поиска Censys был проведен анализ использования инфраструктуры командования и контроля (C2) в Японии. Этот анализ выявил в общей сложности девять серверов C2, которые работали в течение этого периода. Примечательно, что расследование подтвердило, что на этих серверах были активны многочисленные экземпляры Cobalt Strike, что указывает на наличие этого хорошо известного инструмента тестирования на проникновение, который часто используется хакерами для совершения вредоносных действий. Идентификация этих серверов C2 свидетельствует о том, что в регионе постоянно действуют хакеры, что подчеркивает важность бдительности в отношении потенциального использования таких инфраструктур для организации атак.

#ParsedReport #CompletenessLow
12-07-2025

Evolving Tactics of SLOW#TEMPEST: A Deep Dive Into Advanced Malware Techniques

https://unit42.paloaltonetworks.com/slow-tempest-malware-obfuscation/

Report completeness: Low

Actors/Campaigns:
Slow_tempest

Threats:
Dll_sideloading_technique
Unicorn_tool

Geo:
Japan, Middle east, Australia, India, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1055.001, T1106, T1204.002, T1574.002

IOCs:
Hash: 3
File: 2

Soft:
DingTalk

Algorithms:
sha256

Functions:
Windows

Win API:
GlobalMemoryStatusEx

Languages:
python

Links:
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/emu\_call\_rax\_idapython.py
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/emu\_jmp\_rax\_idapython.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4