#ParsedReport #CompletenessLow
03-07-2025

Iran's Intelligence Group 13

https://dti.domaintools.com/irans-intelligence-group-13/

Report completeness: Low

Actors/Campaigns:
Shell_crew (motivation: disinformation, government_sponsored, sabotage, cyber_espionage, propaganda)
Irgc (motivation: government_sponsored, disinformation, propaganda, sabotage)
Cyber_av3ngers (motivation: disinformation, propaganda)
I-soon_leak
Chengdu_404_leak
Nemesis_kitten
Fox_kitten
Tortoiseshell

Threats:
Credential_harvesting_technique
Iocontrol
Echo_chamber_technique

Victims:
Critical infrastructure operators, Industrial control system operators, Water treatment facilities, Fuel distribution systems, Israeli control networks, U.s. water systems, Israeli electrical grids, U.s. election organizations, Hezbollah, Unitronics plcs, have more...

Industry:
Military, Ics, Critical_infrastructure, Petroleum, Telco

Geo:
Iraq, Iranian, Russia, Usa, Iran, China, Kurdistan, Syria, Israel, Chinese, Israeli, Lebanon

ChatGPT TTPs:
do not use without manual check
T1040, T1070.004, T1071.001, T1078, T1190, T1195.002, T1204.002, T1485, T1491, T1499, have more...

IOCs:
Domain: 1
Url: 1

Soft:
confluence, Telegram, Instagram

Platforms:
arm

#ParsedReport #ExtractedSchema

Classified images:
schema: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Разведывательная группа 13, входящая в состав КСИР Ирана, проводит агрессивные кибероперации, нацеленные на критически важную инфраструктуру, используя такие тактики, как предварительное размещение вредоносных программ и инсайдерских угроз. Они сочетают кибератаки с психологической войной, примером чего служит их пропагандистское подразделение CyberAveng3rs, чтобы манипулировать информацией и сеять страх. Их способность адаптироваться через дочерние компании позволяет проводить тайные операции под видом законного бизнеса, повышая их наступательные возможности.
-----

Разведывательная группа 13 действует при Корпусе стражей исламской революции (КСИР) и специализируется на тактических кибероперациях, включая шпионаж и промышленный саботаж. Группа сосредоточена на критически важной инфраструктуре и нацелена на системы водоснабжения США и израильские сети. Она использует агрессивные методы цифрового возмездия, особенно в геополитических конфликтах. Группа тесно сотрудничает с другими подразделениями киберкомандования КСИР, получая ресурсы для проведения наступательных операций с правдоподобным опровержением. Ее операциями руководят такие ключевые фигуры, как Хамидреза Лашгариан и Реза Саларванд. Разведывательная группа 13 использует сложные тактические приемы, такие как предварительное размещение вредоносных программ и инсайдерских угроз, нацеленных, в частности, на промышленные системы управления (ICS) и SCADA-системы, с акцентом на ПЛК Unitronics и водоочистные сооружения. Их операции дополняются использованием CyberAveng3rs, подразделения психологической войны, которое распространяет информацию и демонстрирует вторжения через социальные сети. КСИР действует через сеть дочерних компаний, которые маскируются под поставщиков услуг в области кибербезопасности, что способствует проведению тайных операций, сохраняя при этом правдоподобное отрицание. Ожидается, что будущая деятельность будет сосредоточена как на кибератаках, так и на психологических операциях по дестабилизации критически важной инфраструктуры и манипулированию общественным мнением.

#ParsedReport #CompletenessHigh
18-06-2025

Filch Stealer: A new infostealer leveraging old techniques

https://www.rapid7.com/blog/post/filch-stealer-a-new-infostealer-leveraging-old-techniques/

Report completeness: High

Threats:
Filch_stealer
Process_hollowing_technique
Clickfix_technique
Fakecaptcha_technique
Process_injection_technique

Industry:
Financial

TTPs:
Tactics: 2
Technics: 15

IOCs:
File: 24
Path: 3
Domain: 1
Hash: 6
Url: 1
IP: 2

Soft:
TradingView, Windows Defender, Chrome

Wallets:
metamask, coinbase, ledgerlive, exodus_wallet, keplr, bybit, solflare_wallet, bitget_wallet, auro_wallet, coin98, have more...

Crypto:
binance

Algorithms:
base64, sha256, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
08-07-2025

Inside a Red Bull-themed recruitment phishing campaign

https://evalian.co.uk/inside-a-red-bull-themed-recruitment-phishing-campaign/

Report completeness: Medium

Threats:
Spear-phishing_technique

Industry:
Telco, Education

TTPs:

ChatGPT TTPs:
do not use without manual check
T1071.001, T1199, T1204.002, T1557.003, T1566.002, T1585.001, T1608.004

IOCs:
Email: 1
Url: 2
IP: 2
Domain: 13

Soft:
SendGrid, Ubuntu, nginx

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В недавней фишинговой кампании использовалась поддельная страница входа в Facebook для сбора учетных данных, что позволило избежать обнаружения с помощью надежных сервисов и защиты по протоколу HTTPS. Злоумышленники использовали сложную тактику, включая механизмы задержки и многоразовые фишинговые наборы, что указывает на эволюцию методов фишинга, позволяющих обойти стандартные меры безопасности.
-----

Фишинг по-прежнему остается высокоэффективной тактикой, применяемой хакерами, поскольку они постоянно совершенствуют методы обхода мер безопасности. Недавняя фишинговая кампания, выявленная Оперативным центром безопасности Evalian, иллюстрирует эту тенденцию, демонстрируя, как злоумышленники могут успешно применять сложные стратегии, позволяющие обойти стандартные средства защиты предприятия. Кампания использовала поддельную страницу входа в Facebook для сбора учетных данных пользователей, используя дружелюбный тон для привлечения жертв, скрывая при этом злой умысел.

Дизайн электронного письма позволил ему обойти обычные спам-фильтры, достигнув уровня достоверности, равного 1, благодаря использованию надежных сервисов, таких как Mailgun и SendGrid. Подобная практика использования надежных инфраструктур становится все более распространенной в попытках фишинга, позволяя злоумышленникам отправлять вредоносные ссылки, не задействуя базовые протоколы безопасности. Примечательным аспектом этой конкретной кампании было намеренное создание задержек в ответах сервера, о чем свидетельствует ошибка тайм-аута шлюза 504. Эта тактика разработана для того, чтобы избежать обнаружения с помощью изолированных систем и автоматических сканеров, которые часто преждевременно завершают анализ.

Фишинговая страница была отправлена по протоколу HTTPS с использованием действительного сертификата TLS от Let's Encrypt, который не требует тщательной проверки владения доменом, что позволяет хакерам легко создать видимость законности. Инфраструктура этой кампании была тщательно организована: серверы, размещенные на виртуальных частных серверах с низким уровнем доверия (VPS), и несколько доменов были быстро развернуты, чтобы помочь в борьбе с фишингом. Детальное расследование выявило общие характеристики фишинговых доменов, что указывает на скоординированный подход, вероятно, связанный с использованием многоразового набора для фишинга, используемого одними и теми же злоумышленниками.

Исходное фишинговое электронное письмо, предназначенное для одной организации, потенциально могло быть нацелено на другие, что представляло более высокий риск для нескольких жертв. Стратегия хакера включала в себя сложные уровни обмана, включая имитацию законных организаций в брендинге и контенте, использование средств автоматизации и внедрение методов уклонения от наблюдения, таких как рабочие формы reCAPTCHA. Это свидетельствует о значительном прогрессе в фишинговых операциях, который позволил выйти за рамки элементарных атак, характеризующихся очевидными ошибками.

Оперативный анализ этой кампании подчеркивает важность оценки фишинговых сообщений электронной почты, выходящей за рамки базовых проверок подлинности электронной почты (SPF, DKIM, DMARC), поскольку эти меры не гарантируют общей безопасности. Вместо этого для обнаружения таких угроз требуется всесторонний анализ взаимодействий с пользователями, подозрительных URL-адресов и структур инфраструктуры, задействованных в атаке. Злоумышленники используют передовые тактики и используют установленные механизмы доверия больше, чем когда-либо, повышая ставки для организаций, которые должны усилить свою защиту от таких развивающихся угроз.

#ParsedReport #CompletenessLow
08-07-2025

SparkKitty Trojan Targets Mobile Users with Cross-Platform Espionage

https://blog.polyswarm.io/sparkkitty-trojan-targets-mobile-users-with-cross-platform-espionage

Report completeness: Low

Threats:
Sparkkitty
Sparkcat

Industry:
Entertainment

Geo:
Chinese, China, Asian, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1412, T1430, T1437, T1444

IOCs:
File: 1
Hash: 7

Soft:
android, Google Play, TikTok

Algorithms:
base64, aes-256

Languages:
objective_c, java, kotlin

Platforms:
cross-platform, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SparkKitty - это универсальная вредоносная программа, предназначенная для Android и iOS, которая крадет все изображения из галереи посредством распространения законных и вредоносных приложений. Он использует передовые технологии, такие как корпоративная инициализация на iOS и вредоносные модули Xposed на Android, чтобы избежать обнаружения, отправляя конфиденциальные данные на сервер C2 и используя облачные сервисы для доставки полезной нагрузки.
-----

SparkKitty - это сложная вредоносная программа, которая распространяется как через легальные магазины приложений, так и через вредоносные веб-сайты, особенно нацеленная на приложения, связанные с криптовалютой. В отличие от своего предшественника, SparkCat, который выборочно удалял изображения, SparkKitty крадет все изображения из галереи, повышая риск раскрытия конфиденциальных данных. Вредоносная программа нацелена как на платформы Android, так и на iOS, используя такие языки программирования, как Java, Kotlin и Objective-C, для создания цепочек заражения, зависящих от конкретной платформы.

В iOS SparkKitty избегает проверки app Store, используя корпоративные профили обеспечения, что позволяет распространять вредоносные приложения в обход обычного процесса проверки. Он часто встраивается в мошеннические платформы, имитирующие установленные библиотеки, о чем свидетельствует его доставка через приложение coin, которое отслеживает криптовалюты. Вредоносная программа использует функцию автоматической загрузки классов Objective-C, которая активируется во время запуска приложения, в частности, для выбора `+ AFImageDownloader load`. Таким образом, как только пользователь открывает зараженное приложение, оно выполняет проверку подлинности по Info.plist приложения, чтобы предотвратить выполнение в нетипичных средах. После проверки он расшифровывает данные конфигурации, закодированные в Base64, с помощью AES-256 в режиме ECB для доступа к изображениям из фотогалереи и их передачи на сервер управления и контроля (C2).

Android-версии SparkKitty, написанные на Java и Kotlin, выполняются аналогичным образом, при этом некоторые из них используют вредоносные модули Xposed для внедрения кода в надежные приложения. Вредоносное ПО в основном активируется при запуске приложения или при определенных действиях пользователя. Программа извлекает удаленные настройки и запрашивает разрешения на хранение для доступа к изображениям. Примечательно, что SparkKitty отфильтровывает все доступные фотографии, а не выборочно выбирает конкретные, что повышает вероятность получения конфиденциальных данных, таких как финансовые документы или документы, удостоверяющие личность. Кроме того, вредоносная программа поддерживает локальную базу данных для отслеживания загруженных изображений и отслеживает галерею на предмет любых новых дополнений к exfiltrate.

Инфраструктура кампании использует AWS S3 и Alibaba OSS для доставки полезной нагрузки, что повышает ее устойчивость к попыткам демонтажа. SparkKitty, в частности, появляется в приложениях, связанных с высокорискованными отраслями, такими как криптовалюта, азартные игры и контент для взрослых, включая модифицированные версии популярных приложений, таких как TikTok. В первую очередь он ориентирован на пользователей в Юго-Восточной Азии и Китае, но обладает технической базой, которая не имеет региональных ограничений. Пользователям рекомендуется избегать хранения конфиденциальной информации в своих галереях и с осторожностью относиться к источникам, из которых они загружают приложения, подчеркивая важность бдительности, учитывая возможности SparkKitty по проникновению на надежные платформы.

#ParsedReport #CompletenessMedium
20-05-2025

Sarcoma Ransomware Unveiled: Anatomy of a Double Extortion Gang

https://www.tinextacyber.com/wp-content/uploads/2025/05/Sarcoma-Ransomware.pdf

Report completeness: Medium

Threats:
Sarcoma
Cryptopp_tool
Antidebugging_technique
Conti
Lockbit
Revil

Victims:
Smart media group, Unimicron, Tma group, The toolshed

Industry:
Ics

Geo:
Armenia, Spain, Kyrgyzstan, Australia, Russian, Moscow, Canada, Taiwan, Tajikistan, Azerbaijan, Bulgaria, Usa, New zealand, Kazakhstan, United kingdom, Brazil, Russia, Belarus, Italy, Uzbekistan

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1036.005, T1047, T1059.001, T1070.004, T1071.001, T1078, T1082, have more...

IOCs:
Hash: 2
Command: 1
File: 12

Soft:
Linux, MySQL, SQLAGENT, SQLbrowser, Microsoft SQL Server, tor browser, PostgreSQL

Algorithms:
exhibit, chacha20-poly1305, prng, chacha20

Functions:
Remove-Item

Win API:
GetKeyboardLayout, WinExec, deCOmPRESs, LogonUserA

Languages:
powershell

Platforms:
x86, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
12-07-2025

Crypto Wallets Continue to be Drained in Elaborate Social Media Scam

https://www.darktrace.com/blog/crypto-wallets-continue-to-be-drained-in-elaborate-social-media-scam

Report completeness: High

Actors/Campaigns:
Mp-6
Crazy_evil

Threats:
Meeten
Realst
Amos_stealer
Traffer_technique
Rclone_tool
Nmap_tool
Akira_ransomware
Sim_swapping_technique
Bec_technique

Victims:
Cryptocurrency users, Influencers, Defi professionals, Gaming communities, Cloud service customers, Corporate users, Saas users, Microsoft 365 users, Google workspace users

Industry:
Entertainment, Financial, E-commerce

Geo:
Middle east, Africa, Emea, Italian

TTPs:
Tactics: 5
Technics: 0

IOCs:
Url: 8
Hash: 11
Domain: 6
File: 2
IP: 6

Soft:
Twitter, macOS, Telegram, Discord, Electron, QEMU, Office365, Dropbox

Algorithms:
xor, zip, base64

Languages:
python, objective_c, swift, javascript, applescript

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, table: 1, code: 7, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Meeten нацелена на пользователей криптовалюты с помощью поддельных компаний-стартапов, что приводит к загрузке программы Realst, которая похищает информацию, замаскированную под законное программное обеспечение. Вредоносное ПО собирает конфиденциальные данные и обменивается данными с серверами C2 для дальнейшей загрузки. Кроме того, группа "CrazyEvil" проводит аналогичные операции, используя скомпрометированные учетные данные для проникновения в облачные среды и эксфильтрации данных.
-----

Кампания социальной инженерии нацелена на пользователей криптовалюты путем создания поддельных компаний-стартапов. Кампания выдает себя за компании в сфере искусственного интеллекта, игр и Web3, используя поддельные аккаунты в социальных сетях и законные платформы для размещения документации. В кампании Meeten используется фиктивное программное обеспечение для проведения собраний, которое распространяет программу для кражи информации под названием Realst, замаскированную под программное обеспечение для видеоконференций. Криптовалютные кошельки жертв опустошаются после установки программного обеспечения. хакеры создают профессионально выглядящие веб-сайты и используют взломанные аккаунты в социальных сетях для повышения доверия. К жертвам обращаются через сообщения на таких платформах, как X, Telegram или Discord. Процесс загрузки включает в себя получение регистрационного кода по ссылке компании, ведущей к двоичным файлам для Windows или macOS. Вредоносная программа использует приложение Windows Electron, которое собирает системную информацию и взаимодействует с сервером C2 для загрузки дополнительных полезных данных. Скрипты на Python выполняют команды с серверов C2. Для macOS файл DMG с запутанным сценарием bash обеспечивает сохранение данных с помощью AppleScript. К этим операциям причастна группа "CrazyEvil", которая направляет пользователей к вредоносному программному обеспечению через взломанные веб-сайты. Они получают доход за счет мошенничества с социальной инженерией, нацеленного на инвесторов в криптовалюту. Кроме того, злоумышленники использовали украденные учетные данные для проникновения в облачные среды, создавая вредоносные виртуальные машины для утечки данных, в частности, в AWS и Azure. Это указывает на уязвимости в защите данных, которые не удается обнаружить системам ручного обнаружения.

#ParsedReport #CompletenessLow
08-07-2025

Threat Actor Activity Related to the Iran Conflict

https://www.nozominetworks.com/blog/threat-actor-activity-related-to-the-iran-conflict

Report completeness: Low

Actors/Campaigns:
Void_manticore
Muddywater
Apt33
Oilrig
Cyberav3nger (motivation: cyber_espionage, politically_motivated)
Fox_kitten (motivation: cyber_espionage)

Threats:
Iocontrol
Spear-phishing_technique

Victims:
Us companies, Government entities, Telecommunications organizations, Energy organizations, Aerospace organizations, Petrochemical organizations, Financial organizations, Critical infrastructure organizations, Private organizations, Albanian government infrastructure, have more...

Industry:
Transport, Telco, Aerospace, Government, Critical_infrastructure, Iot, Energy

Geo:
United arab emirates, Middle east, Iranian, Iraq, Iran, Albanian, Arab emirates, Saudi arabia, Turkey, Qatar

ChatGPT TTPs:
do not use without manual check
T1046, T1071, T1192, T1204, T1566, T1587, T1588, T1589, T1591

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакерские группировки, в частности MuddyWater и APT33, значительно активизировали кибератаки, нацеленные на транспортный и производственный секторы США, причем с мая по июнь было отмечено увеличение активности на 133%. MuddyWater атаковал по меньшей мере пять компаний в США, в то время как CyberAv3ngers использует вредоносное ПО OrpaCrab специально для операционных технологий. Организациям необходимо усилить меры безопасности против этих развивающихся угроз.
-----

Недавние наблюдения Nozomi Networks Labs указывают на значительную эскалацию кибератак, приписываемых иранским хакерским группам, в частности, нацеленных на американские организации в транспортном и производственном секторах. В период с мая по июнь было отмечено увеличение активности на 133%, и за этот период было зарегистрировано в общей сложности 28 нападений по сравнению с 12 в предыдущие два месяца. В число основных вовлеченных сторон входят MuddyWater, APT33, OilRig, CyberAv3ngers, Fox Kitten и Homeland Justice.

MuddyWater, наиболее активная из этих группировок, нацелена на правительство и важнейшие секторы экономики и успешно атаковала по меньшей мере пять американских компаний. APT33 также проявила заметную активность, проведя атаки на три американские компании, в основном занимающиеся аэрокосмической и нефтехимической промышленностью. Другие группировки, такие как OilRig, CyberAv3ngers, Fox Kitten и Homeland Justice, совершили атаки против двух американских фирм, что еще раз подчеркивает их концентрацию на транспорте и производстве.

Группа CyberAv3ngers, в частности, повторно использовала IP-адрес, полученный в результате предыдущей атаки, используя вредоносное ПО OrpaCrab, которое специально разработано для операционных технологических сред. Постоянный мониторинг этих участников свидетельствует о постоянной угрозе, которую они представляют не только для целевых объектов, но и для различных операционных областей, включая IT, IoT и OT.

Компания MuddyWater, также известная как SeedWorm, исторически нацеливалась на страны Ближнего Востока и государственные образования. APT33, известная как Elfin, была связана с кибершпионажем, направленным на кражу конфиденциальной информации из отраслей, имеющих решающее значение для государственных интересов Ирана, включая аэрокосмическую и энергетическую отрасли. Группа OilRig (или APT34) преследует аналогичные цели, активно используя фишинг-атаки и пользовательские вредоносные программы, которые действуют как минимум с 2014 года.

CyberAv3ngers отличается своими политически мотивированными операциями, используя методы APT, в то время как Fox Kitten занимается шпионажем, уделяя особое внимание сохранению доступа к критически важным системам для потенциальной подрывной деятельности. Министерство юстиции выступило в качестве спонсируемого государством субъекта, стоящего за разрушительными кибератаками, в частности, против инфраструктуры Албании в 2022 году.

По мере развития ситуации с угрозами организациям настоятельно рекомендуется повышать уровень своей безопасности в свете этих изменений, поскольку хакеры постоянно совершенствуют свои стратегии и инструменты для использования уязвимостей в критически важных секторах инфраструктуры.