#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на критически важную инфраструктуру Канады, использовала приманки в формате PDF для кражи учетных данных пользователей, что привело к компрометации почти 300 сотрудников в таких секторах, как энергетика и строительство. Атака повышает риски будущих серьезных угроз, включая программы-вымогатели и слежку, что подчеркивает необходимость проявлять бдительность во время национальных праздников.
-----

В День Канады киберпреступники запустили масштабную фишинговую кампанию, нацеленную на жизненно важные сектора канадской инфраструктуры, в частности на строительство, энергетику, сантехнику и коммунальные услуги. Эта атака была выявлена ранним утром и характеризовалась использованием приманки в формате PDF, предназначенной для сбора учетных данных электронной почты пользователей. Кампания включала в себя серию электронных писем, созданных с помощью социальных сетей, которые выдавали себя за уведомления об услугах, обновления учетной записи и запросы на вход в систему, чтобы обманом заставить пользователей предоставить конфиденциальную информацию.

Масштаб атаки был значительным: более 900 пользователей по всему миру стали жертвами кражи учетных данных, из которых почти 300, как было подтверждено, были из Канады. Среди этих людей были сотрудники критически важных инфраструктурных секторов, муниципальных служб и частных подрядчиков, что подчеркивало серьезность угрозы для всех основных служб. Среди уязвимых групп были строительные и инжиниринговые фирмы, отвечающие за региональное развитие, поставщики энергии, связанные с производством и распределением электроэнергии, а также службы сантехники и кондиционирования воздуха, имеющие решающее значение для поддержания эксплуатационной целостности зданий и общественных объектов.

Последствия такой скоординированной фишинговой кампании ужасны. Успешные взломы могут привести к несанкционированному доступу к внутренним системам, нарушению предоставления услуг и нарушению операций технического обслуживания. Кроме того, эта атака может подготовить почву для более серьезных угроз, включая внедрение программ-вымогателей, взлом цепочки поставок или масштабные операции по наблюдению за критически важными службами.

Этот инцидент подчеркивает настойчивый характер хакеров, предполагая, что злоумышленники используют национальные праздники для совершения своих атак. Таким образом, это подчеркивает необходимость постоянной бдительности и принятия упреждающих мер для защиты инфраструктуры от новых хакеров.

#ParsedReport #CompletenessHigh
12-07-2025

OCTALYN STEALER UNMASKED

https://www.cyfirma.com/research/octalyn-stealer-unmasked/

Report completeness: High

Threats:
Octalyn

Industry:
Entertainment

TTPs:
Tactics: 8
Technics: 18

IOCs:
File: 6
Url: 1
Registry: 1
Hash: 7

Soft:
Telegram, Discord, Google Chrome, Chrome, Microsoft Edge, Opera, Windows shell, winlogon, Windows Registry, Instagram, have more...

Wallets:
metamask, tronlink

Crypto:
bitcoin, ethereum, litecoin, monero, binance

Algorithms:
zip, base64

Win API:
GetTempPathA, ShellExecuteA

Languages:
powershell, delphi

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
table: 2, code: 4, filemanager: 4, windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Octalyn Forensic Toolkit - это инструмент для кражи учетных данных на C++, который извлекает конфиденциальные данные через Telegram, нацеливаясь на пароли браузера, токены аутентификации и данные о криптовалюте. Он обеспечивает постоянство с помощью изменений в реестре, использует обфускацию и может загружать дополнительные угрозы, что создает значительный риск утечки данных.
-----

Octalyn Forensic Toolkit, доступный на GitHub, представляет собой инструмент для кражи учетных данных на языке C++, замаскированный под исследовательскую утилиту. Он оснащен пользовательским интерфейсом, созданным на Delphi, который позволяет пользователям, в том числе с ограниченными навыками, создавать вредоносные программы, способные извлекать конфиденциальную информацию. Для настройки требуется только токен Telegram-бота и идентификатор чата, что облегчает кражу данных в режиме реального времени с помощью Telegram.

Инструментарий работает как похититель учетных данных, нацеленный на различные типы данных, такие как пароли браузера, файлы cookie, данные автозаполнения, токены аутентификации в Discord и Telegram, данные игрового аккаунта и информация о криптовалютном кошельке. После запуска его полезная нагрузка незаметно устанавливает постоянство как с помощью папки запуска Windows, так и с помощью изменений в реестре, гарантируя автоматический запуск после перезагрузки системы. Скрытый характер инструментария усиливается благодаря использованию методов обфускации и модульной конструкции, позволяющей развертывать дополнительные вредоносные компоненты.

Ключевая функциональность включает в себя развертывание основного исполняемого файла с именем TelegramBuild.exe, который собирает украденные данные и упорядочивает их по структурированным папкам во временном каталоге, обозначенном как %TEMP%/0ctalyn. Затем эти данные сжимаются в ZIP-файл и передаются злоумышленнику через Telegram с использованием сильно запутанной команды, выполняемой в скрытом режиме для сохранения секретности в процессе передачи. Примечательно, что инструментарий также использует PowerShell-скрипт в кодировке Base64 для загрузки дополнительных угроз, таких как исполняемый файл с именем winlogon.exe, что расширяет его возможности.

Структурированная организация удаленных файлов включает подпапки, в которых хранится конфиденциальная информация, относящаяся к криптовалютам, игровым аккаунтам и учетным записям в социальных сетях. Процесс сбора данных включает в себя получение токенов сеанса и файлов cookie из нескольких браузеров посредством установленных зашифрованных сообщений с помощью Telegram API, что затрудняет обнаружение для защиты сети.

Несмотря на то, что Octalyn toolkit маскируется под образовательный инструмент, его технические возможности указывают на явный злой умысел, особенно в отношении нацеливания на финансовые активы и постоянных стратегий компрометации. Его простота в использовании в сочетании с возможностью организовывать масштабные утечки учетных данных пользователей на различных платформах делает его серьезной угрозой при использовании за пределами контролируемых исследовательских сред.

#ParsedReport #CompletenessHigh
12-07-2025

BlackSuit: A Hybrid Approach with Data Exfiltration and Encryption

https://www.cybereason.com/blog/blacksuit-data-exfil

Report completeness: High

Threats:
Blacksuit_ransomware
Royal_ransomware
Cobalt_strike_tool
Rclone_tool
Conti
Vssadmin_tool
Credential_dumping_technique
Mimikatz_tool
Crebandit_tool
Shadow_copies_delete_technique

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 18
IP: 5
Command: 3
Path: 3
Url: 2
Domain: 8
Hash: 2

Soft:
psexec, TOR browser

Crypto:
bitcoin

Algorithms:
sha256

Functions:
Procedure, CreateMutex

Win Services:
webclient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей BlackSuit, потенциально являющаяся ответвлением Royal, использует передовые тактики, такие как Cobalt Strike для C2 и rclone для утечки данных. Примечательно, что они удаляют данные перед шифрованием, что повышает скорость работы и позволяет избежать несанкционированного доступа. Их методы включают в себя боковое перемещение с помощью команд PsExec, RDP и PowerShell, что усложняет обнаружение и требует принятия надежных мер безопасности.
-----

Недавний анализ, проведенный Cybereason Security Services, подробно описал атаку программ-вымогателей, приписываемую группе BlackSuit, которая появилась в середине 2023 года как потенциальное ответвление Royal ransomware. BlackSuit использует сложные тактики, методы и процедуры (TTP), основанные на таких известных инструментах, как Cobalt Strike для операций командования и контроля и rclone для фильтрации данных. Эта группа особенно выделяется своей стратегией извлечения и удаления фрагментов данных перед шифрованием оставшихся файлов, что отличается от традиционных методов вымогателей. Такой подход не только ускоряет процесс атаки, но и уменьшает объем данных, подлежащих шифрованию, тем самым повышая эффективность работы.

Известно, что во время наблюдаемых атак BlackSuit использует такие инструменты, как PsExec, RDP и процессы Windows, такие как vssadmin, для облегчения горизонтального перемещения внутри сети. Cobalt Strike считается ключевым инструментом для группы, позволяющим устанавливать маяки для подключения C2 и горизонтального перемещения по системам. Использование флага -nomutex при запуске программы-вымогателя BlackSuit позволяет выполнять одновременные действия, что еще раз демонстрирует гибкость тактики группы, направленной на обход механизмов обнаружения, обычно используемых для ограничения операций программ-вымогателей.

Группа BlackSuit демонстрирует постоянную способность использовать команды PowerShell для взаимодействия с серверами управления, о чем свидетельствуют прямые подключения к определенным IP-адресам для загрузки вредоносной полезной нагрузки. Операции вредоносного ПО включали в себя переименование распространенных инструментов, что приводило к трудностям в обнаружении, поскольку законные действия сочетались с вредоносным поведением. Важным аспектом атаки было использование переименованных экземпляров rclone для извлечения примерно 60 ГБ данных.

Учитывая двойное действие BlackSuit - шифрование и удаление данных, - он представляет собой уникальную угрозу, позволяющую злоумышленникам выборочно шифровать данные. Эта возможность исключать определенные типы файлов из-под действия шифрования усиливает тактику обхода, подчеркивая необходимость в надежных системах безопасности, включая сегментацию сети и мониторинг в режиме реального времени для выявления злоупотреблений законными программными средствами. Учитывая, что требования о выкупе составляют от 1 до 10 миллионов долларов, BlackSuit group нуждается в проактивной защите, чтобы противостоять таким продвинутым и эволюционирующим хакерам.

#ParsedReport #CompletenessLow
12-07-2025

Threat Insight: Cybercriminals Abusing Vercel to Deliver Remote Access Malware

https://blog.cyberarmor.tech/threat-insight-cybercriminals-abusing-vercel-to-deliver-remote-access-malware/

Report completeness: Low

Threats:
Logmein_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1219, T1566.002

IOCs:
File: 1
Hash: 6
Domain: 27

Algorithms:
md5, sha256, sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания использует Vercel для распространения вредоносного варианта LogMeIn, маскирующегося под программу для просмотра Adobe PDF. Пользователей обманом заставляют загружать его, предоставляя злоумышленникам удаленный доступ к своим системам и избегая обнаружения благодаря легитимности LogMeIn.
-----

CyberArmor сообщила о фишинговой кампании, в рамках которой используется Vercel, легальная платформа для хостинга веб-сайтов, для распространения вредоносного варианта LogMeIn, широко известного инструмента удаленного доступа. Эта тактика заключается в том, что киберпреступники рассылают фишинговые электронные письма, содержащие ссылки, перенаправляющие получателей на вредоносную веб-страницу, размещенную на платформе Vercel. Страница умело маскируется под программу просмотра Adobe PDF и предлагает пользователям загрузить файл, который оказывается исполняемым файлом, замаскированным под законный документ.

После запуска загруженное приложение само устанавливается в систему жертвы и подключается к серверу LogMeIn. Это подключение предоставляет киберпреступникам полный удаленный доступ и контроль над скомпрометированным устройством, что фактически позволяет им использовать его в вредоносных целях. Использование доменов Vercel делает попытки фишинга правдоподобными, усиливая доверие, которое пользователи связывают с хорошо известными платформами.

Природа вредоносного ПО снижает риск обнаружения, поскольку LogMeIn является законным инструментом, часто используемым для удаленного обслуживания и поддержки. Эта особенность позволяет вредоносному ПО обходить меры безопасности, которые могут указывать на неожиданное или незнакомое программное обеспечение, что обеспечивает более беспрепятственное проникновение. Кроме того, эффективность этой фишинговой схемы зависит от методов социальной инженерии, при которых жертвы убеждены в подлинности получаемой ими поддержки, что заставляет их добровольно устанавливать вредоносное ПО.

Кампания демонстрирует стратегическое сочетание злоупотреблений законной платформой, социальной инженерии и использования законного программного обеспечения для обхода обнаружения, подчеркивая меняющийся ландшафт угроз, в котором злоумышленники умело манипулируют надежными ресурсами для выполнения своих операций. Использование Vercel для хостинга отражает то, как злоумышленники могут использовать законную инфраструктуру для повышения доверия к себе, поэтому пользователям и организациям крайне важно сохранять бдительность в отношении такой изощренной тактики в продолжающейся борьбе с хакерами.

#ParsedReport #CompletenessLow
03-07-2025

Iran's Intelligence Group 13

https://dti.domaintools.com/irans-intelligence-group-13/

Report completeness: Low

Actors/Campaigns:
Shell_crew (motivation: disinformation, government_sponsored, sabotage, cyber_espionage, propaganda)
Irgc (motivation: government_sponsored, disinformation, propaganda, sabotage)
Cyber_av3ngers (motivation: disinformation, propaganda)
I-soon_leak
Chengdu_404_leak
Nemesis_kitten
Fox_kitten
Tortoiseshell

Threats:
Credential_harvesting_technique
Iocontrol
Echo_chamber_technique

Victims:
Critical infrastructure operators, Industrial control system operators, Water treatment facilities, Fuel distribution systems, Israeli control networks, U.s. water systems, Israeli electrical grids, U.s. election organizations, Hezbollah, Unitronics plcs, have more...

Industry:
Military, Ics, Critical_infrastructure, Petroleum, Telco

Geo:
Iraq, Iranian, Russia, Usa, Iran, China, Kurdistan, Syria, Israel, Chinese, Israeli, Lebanon

ChatGPT TTPs:
do not use without manual check
T1040, T1070.004, T1071.001, T1078, T1190, T1195.002, T1204.002, T1485, T1491, T1499, have more...

IOCs:
Domain: 1
Url: 1

Soft:
confluence, Telegram, Instagram

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Разведывательная группа 13, входящая в состав КСИР Ирана, проводит агрессивные кибероперации, нацеленные на критически важную инфраструктуру, используя такие тактики, как предварительное размещение вредоносных программ и инсайдерских угроз. Они сочетают кибератаки с психологической войной, примером чего служит их пропагандистское подразделение CyberAveng3rs, чтобы манипулировать информацией и сеять страх. Их способность адаптироваться через дочерние компании позволяет проводить тайные операции под видом законного бизнеса, повышая их наступательные возможности.
-----

Разведывательная группа 13 действует при Корпусе стражей исламской революции (КСИР) и специализируется на тактических кибероперациях, включая шпионаж и промышленный саботаж. Группа сосредоточена на критически важной инфраструктуре и нацелена на системы водоснабжения США и израильские сети. Она использует агрессивные методы цифрового возмездия, особенно в геополитических конфликтах. Группа тесно сотрудничает с другими подразделениями киберкомандования КСИР, получая ресурсы для проведения наступательных операций с правдоподобным опровержением. Ее операциями руководят такие ключевые фигуры, как Хамидреза Лашгариан и Реза Саларванд. Разведывательная группа 13 использует сложные тактические приемы, такие как предварительное размещение вредоносных программ и инсайдерских угроз, нацеленных, в частности, на промышленные системы управления (ICS) и SCADA-системы, с акцентом на ПЛК Unitronics и водоочистные сооружения. Их операции дополняются использованием CyberAveng3rs, подразделения психологической войны, которое распространяет информацию и демонстрирует вторжения через социальные сети. КСИР действует через сеть дочерних компаний, которые маскируются под поставщиков услуг в области кибербезопасности, что способствует проведению тайных операций, сохраняя при этом правдоподобное отрицание. Ожидается, что будущая деятельность будет сосредоточена как на кибератаках, так и на психологических операциях по дестабилизации критически важной инфраструктуры и манипулированию общественным мнением.

#ParsedReport #CompletenessHigh
18-06-2025

Filch Stealer: A new infostealer leveraging old techniques

https://www.rapid7.com/blog/post/filch-stealer-a-new-infostealer-leveraging-old-techniques/

Report completeness: High

Threats:
Filch_stealer
Process_hollowing_technique
Clickfix_technique
Fakecaptcha_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 2
Technics: 15

IOCs:
File: 24
Path: 3
Domain: 1
Hash: 6
Url: 1
IP: 2

Soft:
TradingView, Windows Defender, Chrome

Wallets:
metamask, coinbase, ledgerlive, exodus_wallet, keplr, bybit, solflare_wallet, bitget_wallet, auro_wallet, coin98, have more...

Crypto:
binance

Algorithms:
base64, sha256, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
08-07-2025

Inside a Red Bull-themed recruitment phishing campaign

https://evalian.co.uk/inside-a-red-bull-themed-recruitment-phishing-campaign/

Report completeness: Medium

Threats:
Spear-phishing_technique

Industry:
Telco, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1199, T1204.002, T1557.003, T1566.002, T1585.001, T1608.004

IOCs:
Email: 1
Url: 2
IP: 2
Domain: 13

Soft:
SendGrid, Ubuntu, nginx

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавней фишинговой кампании использовалась поддельная страница входа в Facebook для сбора учетных данных, что позволило избежать обнаружения с помощью надежных сервисов и защиты по протоколу HTTPS. Злоумышленники использовали сложную тактику, включая механизмы задержки и многоразовые фишинговые наборы, что указывает на эволюцию методов фишинга, позволяющих обойти стандартные меры безопасности.
-----

Фишинг по-прежнему остается высокоэффективной тактикой, применяемой хакерами, поскольку они постоянно совершенствуют методы обхода мер безопасности. Недавняя фишинговая кампания, выявленная Оперативным центром безопасности Evalian, иллюстрирует эту тенденцию, демонстрируя, как злоумышленники могут успешно применять сложные стратегии, позволяющие обойти стандартные средства защиты предприятия. Кампания использовала поддельную страницу входа в Facebook для сбора учетных данных пользователей, используя дружелюбный тон для привлечения жертв, скрывая при этом злой умысел.

Дизайн электронного письма позволил ему обойти обычные спам-фильтры, достигнув уровня достоверности, равного 1, благодаря использованию надежных сервисов, таких как Mailgun и SendGrid. Подобная практика использования надежных инфраструктур становится все более распространенной в попытках фишинга, позволяя злоумышленникам отправлять вредоносные ссылки, не задействуя базовые протоколы безопасности. Примечательным аспектом этой конкретной кампании было намеренное создание задержек в ответах сервера, о чем свидетельствует ошибка тайм-аута шлюза 504. Эта тактика разработана для того, чтобы избежать обнаружения с помощью изолированных систем и автоматических сканеров, которые часто преждевременно завершают анализ.

Фишинговая страница была отправлена по протоколу HTTPS с использованием действительного сертификата TLS от Let's Encrypt, который не требует тщательной проверки владения доменом, что позволяет хакерам легко создать видимость законности. Инфраструктура этой кампании была тщательно организована: серверы, размещенные на виртуальных частных серверах с низким уровнем доверия (VPS), и несколько доменов были быстро развернуты, чтобы помочь в борьбе с фишингом. Детальное расследование выявило общие характеристики фишинговых доменов, что указывает на скоординированный подход, вероятно, связанный с использованием многоразового набора для фишинга, используемого одними и теми же злоумышленниками.

Исходное фишинговое электронное письмо, предназначенное для одной организации, потенциально могло быть нацелено на другие, что представляло более высокий риск для нескольких жертв. Стратегия хакера включала в себя сложные уровни обмана, включая имитацию законных организаций в брендинге и контенте, использование средств автоматизации и внедрение методов уклонения от наблюдения, таких как рабочие формы reCAPTCHA. Это свидетельствует о значительном прогрессе в фишинговых операциях, который позволил выйти за рамки элементарных атак, характеризующихся очевидными ошибками.

Оперативный анализ этой кампании подчеркивает важность оценки фишинговых сообщений электронной почты, выходящей за рамки базовых проверок подлинности электронной почты (SPF, DKIM, DMARC), поскольку эти меры не гарантируют общей безопасности. Вместо этого для обнаружения таких угроз требуется всесторонний анализ взаимодействий с пользователями, подозрительных URL-адресов и структур инфраструктуры, задействованных в атаке. Злоумышленники используют передовые тактики и используют установленные механизмы доверия больше, чем когда-либо, повышая ставки для организаций, которые должны усилить свою защиту от таких развивающихся угроз.