#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование выявило девять активных серверов C2 в Японии, включая многочисленные случаи сбоя Cobalt Strike, что указывает на продолжающиеся хакерские атаки и злоупотребление этим инструментом хакерами в злонамеренных целях.
-----

В ходе расследования, проведенного с 30 июня по 6 июля 2025 года, с помощью функции поиска Censys был проведен анализ использования инфраструктуры командования и контроля (C2) в Японии. Этот анализ выявил в общей сложности девять серверов C2, которые работали в течение этого периода. Примечательно, что расследование подтвердило, что на этих серверах были активны многочисленные экземпляры Cobalt Strike, что указывает на наличие этого хорошо известного инструмента тестирования на проникновение, который часто используется хакерами для совершения вредоносных действий. Идентификация этих серверов C2 свидетельствует о том, что в регионе постоянно действуют хакеры, что подчеркивает важность бдительности в отношении потенциального использования таких инфраструктур для организации атак.

#ParsedReport #CompletenessLow
12-07-2025

Evolving Tactics of SLOW#TEMPEST: A Deep Dive Into Advanced Malware Techniques

https://unit42.paloaltonetworks.com/slow-tempest-malware-obfuscation/

Report completeness: Low

Actors/Campaigns:
Slow_tempest

Threats:
Dll_sideloading_technique
Unicorn_tool

Geo:
Japan, Middle east, Australia, India, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1055.001, T1106, T1204.002, T1574.002

IOCs:
Hash: 3
File: 2

Soft:
DingTalk

Algorithms:
sha256

Functions:
Windows

Win API:
GlobalMemoryStatusEx

Languages:
python

Links:
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/emu\_call\_rax\_idapython.py
https://github.com/PaloAltoNetworks/Unit42-Threat-Intelligence-Article-Information/blob/main/emu\_jmp\_rax\_idapython.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносного ПО, связанный с кампанией SLOW#TEMPEST, использует сложные методы обфускации, используя формат файла ISO, чтобы избежать обнаружения. В нем есть две вредоносные библиотеки DLL, одна из которых использует стороннюю загрузку DLL через DingTalk.exe. Вредоносная программа использует запутывание графика потока управления и косвенные вызовы функций, что усложняет традиционные методы обнаружения и подчеркивает необходимость использования передовых методов динамического анализа.
-----

В конце 2024 года был обнаружен вариант вредоносного ПО, связанного с кампанией SLOW#TEMPEST, который выявил сложные методы обфускации, используемые его авторами. Это вредоносное ПО распространяется в формате ISO-файла, что обычно используется для объединения нескольких компонентов, чтобы избежать первоначального обнаружения. ISO содержит 11 файлов, два из которых являются вредоносными: DLL-файл загрузчика с именем zlibwapi.dll, который расшифровывает и выполняет встроенную полезную нагрузку, и ipc_core.dll - целевой файл, содержащий фактическую полезную нагрузку, добавленную в конце. Библиотека DLL-загрузчика запускается с помощью метода, известного как боковая загрузка библиотеки DLL, при этом для загрузки вредоносной библиотеки DLL используется законный исполняемый файл с подписью DingTalk.exe. Такое отделение полезной нагрузки от загрузчика усложняет усилия по обнаружению, поскольку для выполнения вредоносного кода должны присутствовать оба компонента.

Вредоносная программа использует обфускацию графов потоков управления (CFG) для изменения порядка выполнения инструкций, что значительно затрудняет как статический, так и динамический методы анализа. Традиционные средства обнаружения, основанные на предсказуемом потоке управления, становятся неэффективными; злоумышленники скрывают вредоносные операции, вводя в заблуждение пути выполнения. В ходе анализа также было обнаружено, что вредоносная программа использует косвенные вызовы функций, при которых адреса функций динамически вычисляются во время выполнения, что усложняет идентификацию фактического вредоносного поведения во время статической оценки.

Эти эволюционирующие тактики подчеркивают острую необходимость для специалистов по безопасности использовать передовые методы динамического анализа, такие как эмуляция, параллельно с традиционным статическим анализом для эффективного выявления и понимания современных вредоносных программ. Как показала кампания SLOW#TEMPEST, такие методы обфускации усложняют обнаружение угроз и их устранение, что напрямую влияет на безопасность организации. Всестороннее понимание этих методов необходимо для разработки надежных правил обнаружения, которые могут противодействовать продвинутым вредоносным программам.

#ParsedReport #CompletenessLow
12-07-2025

Phishing Attack Targets Canadian Infrastructure on Canada Day

https://blog.cyberarmor.tech/phishing-attack-targets-canadian-infrastructure-on-canada-day/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Critical infrastructure personnel, Municipal services, Private contractors, Construction and engineering firms, Energy providers, Plumbing and hvac services, Infrastructure contractors

Industry:
Critical_infrastructure, Energy

Geo:
Canada, Canadian, Quebec

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1566.001

IOCs:
Domain: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на критически важную инфраструктуру Канады, использовала приманки в формате PDF для кражи учетных данных пользователей, что привело к компрометации почти 300 сотрудников в таких секторах, как энергетика и строительство. Атака повышает риски будущих серьезных угроз, включая программы-вымогатели и слежку, что подчеркивает необходимость проявлять бдительность во время национальных праздников.
-----

В День Канады киберпреступники запустили масштабную фишинговую кампанию, нацеленную на жизненно важные сектора канадской инфраструктуры, в частности на строительство, энергетику, сантехнику и коммунальные услуги. Эта атака была выявлена ранним утром и характеризовалась использованием приманки в формате PDF, предназначенной для сбора учетных данных электронной почты пользователей. Кампания включала в себя серию электронных писем, созданных с помощью социальных сетей, которые выдавали себя за уведомления об услугах, обновления учетной записи и запросы на вход в систему, чтобы обманом заставить пользователей предоставить конфиденциальную информацию.

Масштаб атаки был значительным: более 900 пользователей по всему миру стали жертвами кражи учетных данных, из которых почти 300, как было подтверждено, были из Канады. Среди этих людей были сотрудники критически важных инфраструктурных секторов, муниципальных служб и частных подрядчиков, что подчеркивало серьезность угрозы для всех основных служб. Среди уязвимых групп были строительные и инжиниринговые фирмы, отвечающие за региональное развитие, поставщики энергии, связанные с производством и распределением электроэнергии, а также службы сантехники и кондиционирования воздуха, имеющие решающее значение для поддержания эксплуатационной целостности зданий и общественных объектов.

Последствия такой скоординированной фишинговой кампании ужасны. Успешные взломы могут привести к несанкционированному доступу к внутренним системам, нарушению предоставления услуг и нарушению операций технического обслуживания. Кроме того, эта атака может подготовить почву для более серьезных угроз, включая внедрение программ-вымогателей, взлом цепочки поставок или масштабные операции по наблюдению за критически важными службами.

Этот инцидент подчеркивает настойчивый характер хакеров, предполагая, что злоумышленники используют национальные праздники для совершения своих атак. Таким образом, это подчеркивает необходимость постоянной бдительности и принятия упреждающих мер для защиты инфраструктуры от новых хакеров.

#ParsedReport #CompletenessHigh
12-07-2025

OCTALYN STEALER UNMASKED

https://www.cyfirma.com/research/octalyn-stealer-unmasked/

Report completeness: High

Threats:
Octalyn

Industry:
Entertainment

TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 6
Url: 1
Registry: 1
Hash: 7

Soft:
Telegram, Discord, Google Chrome, Chrome, Microsoft Edge, Opera, Windows shell, winlogon, Windows Registry, Instagram, have more...

Wallets:
metamask, tronlink

Crypto:
bitcoin, ethereum, litecoin, monero, binance

Algorithms:
zip, base64

Win API:
GetTempPathA, ShellExecuteA

Languages:
powershell, delphi

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 2, code: 4, filemanager: 4, windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Octalyn Forensic Toolkit - это инструмент для кражи учетных данных на C++, который извлекает конфиденциальные данные через Telegram, нацеливаясь на пароли браузера, токены аутентификации и данные о криптовалюте. Он обеспечивает постоянство с помощью изменений в реестре, использует обфускацию и может загружать дополнительные угрозы, что создает значительный риск утечки данных.
-----

Octalyn Forensic Toolkit, доступный на GitHub, представляет собой инструмент для кражи учетных данных на языке C++, замаскированный под исследовательскую утилиту. Он оснащен пользовательским интерфейсом, созданным на Delphi, который позволяет пользователям, в том числе с ограниченными навыками, создавать вредоносные программы, способные извлекать конфиденциальную информацию. Для настройки требуется только токен Telegram-бота и идентификатор чата, что облегчает кражу данных в режиме реального времени с помощью Telegram.

Инструментарий работает как похититель учетных данных, нацеленный на различные типы данных, такие как пароли браузера, файлы cookie, данные автозаполнения, токены аутентификации в Discord и Telegram, данные игрового аккаунта и информация о криптовалютном кошельке. После запуска его полезная нагрузка незаметно устанавливает постоянство как с помощью папки запуска Windows, так и с помощью изменений в реестре, гарантируя автоматический запуск после перезагрузки системы. Скрытый характер инструментария усиливается благодаря использованию методов обфускации и модульной конструкции, позволяющей развертывать дополнительные вредоносные компоненты.

Ключевая функциональность включает в себя развертывание основного исполняемого файла с именем TelegramBuild.exe, который собирает украденные данные и упорядочивает их по структурированным папкам во временном каталоге, обозначенном как %TEMP%/0ctalyn. Затем эти данные сжимаются в ZIP-файл и передаются злоумышленнику через Telegram с использованием сильно запутанной команды, выполняемой в скрытом режиме для сохранения секретности в процессе передачи. Примечательно, что инструментарий также использует PowerShell-скрипт в кодировке Base64 для загрузки дополнительных угроз, таких как исполняемый файл с именем winlogon.exe, что расширяет его возможности.

Структурированная организация удаленных файлов включает подпапки, в которых хранится конфиденциальная информация, относящаяся к криптовалютам, игровым аккаунтам и учетным записям в социальных сетях. Процесс сбора данных включает в себя получение токенов сеанса и файлов cookie из нескольких браузеров посредством установленных зашифрованных сообщений с помощью Telegram API, что затрудняет обнаружение для защиты сети.

Несмотря на то, что Octalyn toolkit маскируется под образовательный инструмент, его технические возможности указывают на явный злой умысел, особенно в отношении нацеливания на финансовые активы и постоянных стратегий компрометации. Его простота в использовании в сочетании с возможностью организовывать масштабные утечки учетных данных пользователей на различных платформах делает его серьезной угрозой при использовании за пределами контролируемых исследовательских сред.

#ParsedReport #CompletenessHigh
12-07-2025

BlackSuit: A Hybrid Approach with Data Exfiltration and Encryption

https://www.cybereason.com/blog/blacksuit-data-exfil

Report completeness: High

Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Rclone_tool
Conti
Vssadmin_tool
Credential_dumping_technique
Mimikatz_tool
Crebandit_tool
Shadow_copies_delete_technique

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 18
IP: 5
Command: 3
Path: 3
Url: 2
Domain: 8
Hash: 2

Soft:
psexec, TOR browser

Crypto:
bitcoin

Algorithms:
sha256

Functions:
Procedure, CreateMutex

Win Services:
webclient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей BlackSuit, потенциально являющаяся ответвлением Royal, использует передовые тактики, такие как Cobalt Strike для C2 и rclone для утечки данных. Примечательно, что они удаляют данные перед шифрованием, что повышает скорость работы и позволяет избежать несанкционированного доступа. Их методы включают в себя боковое перемещение с помощью команд PsExec, RDP и PowerShell, что усложняет обнаружение и требует принятия надежных мер безопасности.
-----

Недавний анализ, проведенный Cybereason Security Services, подробно описал атаку программ-вымогателей, приписываемую группе BlackSuit, которая появилась в середине 2023 года как потенциальное ответвление Royal ransomware. BlackSuit использует сложные тактики, методы и процедуры (TTP), основанные на таких известных инструментах, как Cobalt Strike для операций командования и контроля и rclone для фильтрации данных. Эта группа особенно выделяется своей стратегией извлечения и удаления фрагментов данных перед шифрованием оставшихся файлов, что отличается от традиционных методов вымогателей. Такой подход не только ускоряет процесс атаки, но и уменьшает объем данных, подлежащих шифрованию, тем самым повышая эффективность работы.

Известно, что во время наблюдаемых атак BlackSuit использует такие инструменты, как PsExec, RDP и процессы Windows, такие как vssadmin, для облегчения горизонтального перемещения внутри сети. Cobalt Strike считается ключевым инструментом для группы, позволяющим устанавливать маяки для подключения C2 и горизонтального перемещения по системам. Использование флага -nomutex при запуске программы-вымогателя BlackSuit позволяет выполнять одновременные действия, что еще раз демонстрирует гибкость тактики группы, направленной на обход механизмов обнаружения, обычно используемых для ограничения операций программ-вымогателей.

Группа BlackSuit демонстрирует постоянную способность использовать команды PowerShell для взаимодействия с серверами управления, о чем свидетельствуют прямые подключения к определенным IP-адресам для загрузки вредоносной полезной нагрузки. Операции вредоносного ПО включали в себя переименование распространенных инструментов, что приводило к трудностям в обнаружении, поскольку законные действия сочетались с вредоносным поведением. Важным аспектом атаки было использование переименованных экземпляров rclone для извлечения примерно 60 ГБ данных.

Учитывая двойное действие BlackSuit - шифрование и удаление данных, - он представляет собой уникальную угрозу, позволяющую злоумышленникам выборочно шифровать данные. Эта возможность исключать определенные типы файлов из-под действия шифрования усиливает тактику обхода, подчеркивая необходимость в надежных системах безопасности, включая сегментацию сети и мониторинг в режиме реального времени для выявления злоупотреблений законными программными средствами. Учитывая, что требования о выкупе составляют от 1 до 10 миллионов долларов, BlackSuit group нуждается в проактивной защите, чтобы противостоять таким продвинутым и эволюционирующим хакерам.

#ParsedReport #CompletenessLow
12-07-2025

Threat Insight: Cybercriminals Abusing Vercel to Deliver Remote Access Malware

https://blog.cyberarmor.tech/threat-insight-cybercriminals-abusing-vercel-to-deliver-remote-access-malware/

Report completeness: Low

Threats:
Logmein_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1219, T1566.002

IOCs:
File: 1
Hash: 6
Domain: 27

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует Vercel для распространения вредоносного варианта LogMeIn, маскирующегося под программу для просмотра Adobe PDF. Пользователей обманом заставляют загружать его, предоставляя злоумышленникам удаленный доступ к своим системам и избегая обнаружения благодаря легитимности LogMeIn.
-----

CyberArmor сообщила о фишинговой кампании, в рамках которой используется Vercel, легальная платформа для хостинга веб-сайтов, для распространения вредоносного варианта LogMeIn, широко известного инструмента удаленного доступа. Эта тактика заключается в том, что киберпреступники рассылают фишинговые электронные письма, содержащие ссылки, перенаправляющие получателей на вредоносную веб-страницу, размещенную на платформе Vercel. Страница умело маскируется под программу просмотра Adobe PDF и предлагает пользователям загрузить файл, который оказывается исполняемым файлом, замаскированным под законный документ.

После запуска загруженное приложение само устанавливается в систему жертвы и подключается к серверу LogMeIn. Это подключение предоставляет киберпреступникам полный удаленный доступ и контроль над скомпрометированным устройством, что фактически позволяет им использовать его в вредоносных целях. Использование доменов Vercel делает попытки фишинга правдоподобными, усиливая доверие, которое пользователи связывают с хорошо известными платформами.

Природа вредоносного ПО снижает риск обнаружения, поскольку LogMeIn является законным инструментом, часто используемым для удаленного обслуживания и поддержки. Эта особенность позволяет вредоносному ПО обходить меры безопасности, которые могут указывать на неожиданное или незнакомое программное обеспечение, что обеспечивает более беспрепятственное проникновение. Кроме того, эффективность этой фишинговой схемы зависит от методов социальной инженерии, при которых жертвы убеждены в подлинности получаемой ими поддержки, что заставляет их добровольно устанавливать вредоносное ПО.

Кампания демонстрирует стратегическое сочетание злоупотреблений законной платформой, социальной инженерии и использования законного программного обеспечения для обхода обнаружения, подчеркивая меняющийся ландшафт угроз, в котором злоумышленники умело манипулируют надежными ресурсами для выполнения своих операций. Использование Vercel для хостинга отражает то, как злоумышленники могут использовать законную инфраструктуру для повышения доверия к себе, поэтому пользователям и организациям крайне важно сохранять бдительность в отношении такой изощренной тактики в продолжающейся борьбе с хакерами.

#ParsedReport #CompletenessLow
03-07-2025

Iran's Intelligence Group 13

https://dti.domaintools.com/irans-intelligence-group-13/

Report completeness: Low

Actors/Campaigns:
Shell_crew (motivation: disinformation, government_sponsored, sabotage, cyber_espionage, propaganda)
Irgc (motivation: government_sponsored, disinformation, propaganda, sabotage)
Cyber_av3ngers (motivation: disinformation, propaganda)
I-soon_leak
Chengdu_404_leak
Nemesis_kitten
Fox_kitten
Tortoiseshell

Threats:
Credential_harvesting_technique
Iocontrol
Echo_chamber_technique

Victims:
Critical infrastructure operators, Industrial control system operators, Water treatment facilities, Fuel distribution systems, Israeli control networks, U.s. water systems, Israeli electrical grids, U.s. election organizations, Hezbollah, Unitronics plcs, have more...

Industry:
Military, Ics, Critical_infrastructure, Petroleum, Telco

Geo:
Iraq, Iranian, Russia, Usa, Iran, China, Kurdistan, Syria, Israel, Chinese, Israeli, Lebanon

ChatGPT TTPs:
do not use without manual check
T1040, T1070.004, T1071.001, T1078, T1190, T1195.002, T1204.002, T1485, T1491, T1499, have more...

IOCs:
Domain: 1
Url: 1

Soft:
confluence, Telegram, Instagram

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4