#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранские хакерские группировки, в частности MuddyWater и APT33, значительно активизировали кибератаки, нацеленные на транспортный и производственный секторы США, причем с мая по июнь было отмечено увеличение активности на 133%. MuddyWater атаковал по меньшей мере пять компаний в США, в то время как CyberAv3ngers использует вредоносное ПО OrpaCrab специально для операционных технологий. Организациям необходимо усилить меры безопасности против этих развивающихся угроз.
-----

Недавние наблюдения Nozomi Networks Labs указывают на значительную эскалацию кибератак, приписываемых иранским хакерским группам, в частности, нацеленных на американские организации в транспортном и производственном секторах. В период с мая по июнь было отмечено увеличение активности на 133%, и за этот период было зарегистрировано в общей сложности 28 нападений по сравнению с 12 в предыдущие два месяца. В число основных вовлеченных сторон входят MuddyWater, APT33, OilRig, CyberAv3ngers, Fox Kitten и Homeland Justice.

MuddyWater, наиболее активная из этих группировок, нацелена на правительство и важнейшие секторы экономики и успешно атаковала по меньшей мере пять американских компаний. APT33 также проявила заметную активность, проведя атаки на три американские компании, в основном занимающиеся аэрокосмической и нефтехимической промышленностью. Другие группировки, такие как OilRig, CyberAv3ngers, Fox Kitten и Homeland Justice, совершили атаки против двух американских фирм, что еще раз подчеркивает их концентрацию на транспорте и производстве.

Группа CyberAv3ngers, в частности, повторно использовала IP-адрес, полученный в результате предыдущей атаки, используя вредоносное ПО OrpaCrab, которое специально разработано для операционных технологических сред. Постоянный мониторинг этих участников свидетельствует о постоянной угрозе, которую они представляют не только для целевых объектов, но и для различных операционных областей, включая IT, IoT и OT.

Компания MuddyWater, также известная как SeedWorm, исторически нацеливалась на страны Ближнего Востока и государственные образования. APT33, известная как Elfin, была связана с кибершпионажем, направленным на кражу конфиденциальной информации из отраслей, имеющих решающее значение для государственных интересов Ирана, включая аэрокосмическую и энергетическую отрасли. Группа OilRig (или APT34) преследует аналогичные цели, активно используя фишинг-атаки и пользовательские вредоносные программы, которые действуют как минимум с 2014 года.

CyberAv3ngers отличается своими политически мотивированными операциями, используя методы APT, в то время как Fox Kitten занимается шпионажем, уделяя особое внимание сохранению доступа к критически важным системам для потенциальной подрывной деятельности. Министерство юстиции выступило в качестве спонсируемого государством субъекта, стоящего за разрушительными кибератаками, в частности, против инфраструктуры Албании в 2022 году.

По мере развития ситуации с угрозами организациям настоятельно рекомендуется повышать уровень своей безопасности в свете этих изменений, поскольку хакеры постоянно совершенствуют свои стратегии и инструменты для использования уязвимостей в критически важных секторах инфраструктуры.

#ParsedReport #CompletenessHigh
09-07-2025

ClickFix Chaos: A Deep Dive into Rhadamanthys Infostealer s Stealth and Steal Tactics

https://darkatlas.io/blog/clickfix-chaos-a-deep-dive-into-rhadamanthys-infostealers-stealth-and-steal-tactics

Report completeness: High

Threats:
Clickfix_technique
Rhadamanthys
Typosquatting_technique
Process_injection_technique
Teamviewer_tool
Securecrt_tool
Lolbin_technique

Industry:
Entertainment

TTPs:
Tactics: 2
Technics: 2

IOCs:
Url: 4
Command: 1
File: 37
IP: 1
Registry: 1

Soft:
WinDump, Authy, KeePass, Pidgin, Discord, Telegram, Steam

Wallets:
metamask, electrum

Win API:
getsockopt, getaddrinfo

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Домен hxxps://ypp-studio.com связан с фишингом и выполняет вредоносные скрипты с использованием PowerShell с использованием тактики скрытности. Rhadamanthys Stealer, развивающийся инфокрад, который теперь использует новый URL-адрес dropper, использует методы антианализа, извлекает конфиденциальные данные и использует прямые IP-соединения для связи C2, что свидетельствует об изменении методов доставки вредоносных программ.
-----

Анализ подозрительного домена hxxps://ypp-studio.com указывает на его причастность к фишинговой деятельности. Он использует PowerShell с несколькими параметрами для скрытого выполнения скриптов. Набор команд включает в себя "-w hidden", чтобы скрыть окно PowerShell, "-ep bypass", чтобы обойти политики выполнения, и "-nop", чтобы избежать загрузки профилей пользователей для более быстрого и менее заметного выполнения. Особенно интересная реализация включает загрузку вредоносного контента с удаленного URL-адреса (hxxps://ypp-studio.com/update.txt) и выполнение его в памяти с использованием "Invoke-Expression", что характеризует атаку без использования файлов.

Исследование выявило заметные изменения в механизме распространения Rhadamanthys Stealer, модульного и развивающегося инфокрада, который адаптировал свой дроппер к новому URL-адресу (http://62.60.226.74/PTRFHDGS.msi). Первоначально обнаруженный в 2022 году, Rhadamanthys Stealer позиционируется как вредоносное ПО как услуга (MaaS) на подпольных платформах и использует сложные методы уклонения наряду с расширенными функциональными возможностями, такими как кража информации, включая учетные данные, данные браузера и информацию о криптовалютном кошельке. Вредоносная программа маскируется под легальное программное обеспечение, чтобы эксплуатировать пользователей, часто используя тактику фишинга, включая электронные письма с доменами, заполненными опечатками, и вредоносные вложения.

В более ранних версиях Rhadamanthys постепенно внедрялись расширенные возможности, а в версии 0.7.0 появился искусственный интеллект для извлечения начальных фраз криптовалюты из изображений. Вредоносная программа использует множество методов антианализа, которые позволяют ей избегать обнаружения с помощью отладки или изолированной среды. Он выполняет перечисление процессов для проверки наличия известного программного обеспечения для анализа, стремясь определить контекст его выполнения.

Кроме того, эта вредоносная программа делает снимки экрана и обменивается данными с сервером управления (C2), используя прямые IP-соединения, что еще больше сводит к минимуму риски обнаружения, избегая идентификации на основе DNS. Используемый сервер C2 идентифицирован как 193.109.85.136. Вредоносная программа систематически извлекает конфиденциальные данные из скомпрометированных систем, собирая информацию, связанную с конфигурацией системы, веб-браузерами (включая сохраненные учетные данные и данные автозаполнения), электронной почтой, криптовалютными кошельками и многим другим. Использование методологий взаимодействия с пользователем, таких как ClickFix Captcha, для доставки этого вредоносного по, иллюстрирует постоянно меняющиеся стратегии хакеров по обходу мер безопасности.

По мере развития Rhadamanthys все большее значение приобретают повышенная осведомленность пользователей и надежные протоколы безопасности для снижения рисков, связанных с такими изощренными методами доставки фишинга и вредоносных программ. Расследования в области безопасности должны быть сосредоточены на выявлении признаков компрометации, связанных с выполнением без использования файлов, и мониторинге подозрительного исходящего сетевого трафика.

#ParsedReport #CompletenessHigh
09-07-2025

From Click to Compromise: Unveiling the Sophisticated Attack of DoNot APT Group on Southern European Government Entities

https://www.trellix.com/blogs/research/from-click-to-compromise-unveiling-the-sophisticated-attack-of-donot-apt-group-on-southern-european-government-entities/

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage)

Threats:
Yty
Spear-phishing_technique
Loptikmod
Api_obfuscation_technique
Fragtor

Victims:
Government entity, Foreign ministry, Defense organization, Ngo, Diplomatic entity

Industry:
Military, Government, Ngo

Geo:
Bangladesh, Italy, Italian, India, Asian, Asia

TTPs:
Tactics: 7
Technics: 10

IOCs:
Email: 1
File: 10
Command: 1
Domain: 1
Url: 3
IP: 1
Hash: 2

Soft:
Gmail, Microsoft Office

Algorithms:
sha256, aes, base64

Win API:
WinExec

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа DoNot APT нацелена на правительственные учреждения Южной Азии и Европы, использующие пользовательские вредоносные программы для Windows, такие как LoptikMod, которые рассылаются по электронной почте с помощью фишинга. В их недавней кампании использовался вредоносный архив RAR, который обеспечивает сохраняемость и связывается с сервером C2, демонстрируя их способность избегать обнаружения.
-----

Группа DoNot APT, также известная как APT-C-35 или Mint Tempest под другими псевдонимами, действует по меньшей мере с 2016 года и связана с кибершпионажем, спонсируемым государством, с акцентом на геополитические интересы Южной Азии. Эта группа, как правило, нацелена на правительственные учреждения, оборонные организации и НПО в Южной Азии и Европе. DoNot APT известен тем, что использует пользовательские вредоносные программы для Windows, в том числе бэкдоры под названием YTY и GEdit, которые доставляются в основном с помощью фишинговых электронных писем или вредоносных документов.

Недавняя кампания, приписываемая DoNot APT, показала, что они по-прежнему уделяют особое внимание изощренной тактике. Целью этой кампании было министерство иностранных дел Европы, которое использовало фишинговое электронное письмо, отправленное с учетной записи Gmail, которая выдавала себя за европейских чиновников министерства обороны. В электронном письме с темой, связанной с дипломатическим визитом в Бангладеш, содержалась ссылка на вредоносный RAR-архив, размещенный на Google Диске, с именем SyClrLtr.rar. При извлечении архива был обнаружен исполняемый файл с именем notflog.exe, замаскированный под PDF, который связан с вредоносной программой LoptikMod, созданной группой.

Вредоносная программа запускает пакетный файл из архива RAR и устанавливает постоянство с помощью запланированной задачи под названием "PerformTaskMaintain", которая запускается каждые десять минут для поддержания связи со своим сервером управления (C2). Функциональность вредоносного ПО включает в себя сбор сведений о системе, шифрование данных с помощью AES и отправку их на сервер C2 по протоколу HTTPS. Примечательно, что вредоносная программа использует методы обфускации, чтобы избежать обнаружения, такие как строковое кодирование и методы антивируализации, предотвращающие анализ в изолированных средах.

Эта кампания демонстрирует адаптивность DoNot APT, поскольку она использует широко используемые платформы, такие как Google Drive, для развертывания вредоносных программ, тем самым пытаясь обойти фильтры безопасности. Эта операция означает потенциальное расширение сферы их деятельности на европейские дипломатические коммуникации, что указывает на растущий интерес, выходящий за рамки их традиционной сферы.

Для противодействия таким угрозам организациям, особенно в правительственном и дипломатическом секторах, рекомендуется повысить безопасность электронной почты с помощью эффективных решений для фильтрации и обучения сотрудников выявлению попыток фишинга. Кроме того, мониторинг сетевого трафика на предмет необычных исходящих подключений, развертывание решений для обнаружения конечных точек и реагирования на них (EDR), а также регулярное обновление операционной системы и приложений могут значительно снизить риски, связанные с этими изощренными злоумышленниками. Совместное использование аналитических данных об угрозах и блокирование известных индикаторов компрометации (IOC) на уровне брандмауэра и прокси-сервера являются дополнительными жизненно важными шагами для усиления защиты от меняющейся тактики таких групп, как DoNot APT.

#ParsedReport #CompletenessMedium
16-06-2025

Dissecting a Python Ransomware Distributed Through GitHub Repositories

https://www.tinextacyber.com/wp-content/uploads/2025/06/Dissecting-a-Python-Ransomware-distributed-through-GitHub-repositories-1.pdf

Report completeness: Medium

Threats:
Uac_bypass_technique
Lockbit
Shadow_copies_delete_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1105, T1112, T1218.012, T1486, T1490, T1547.001

IOCs:
Url: 1
File: 54
Command: 2
Path: 1
Email: 1
Registry: 2
Hash: 6

Soft:
PyInstaller, Windows registry, bcdedit

Algorithms:
sha256, zip, aes

Functions:
encrypt_files, encrypt_file

Languages:
python, visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
24-06-2025

CyberAv3ngers: From Infrastructure Hacks to Propaganda Machines in the Iran-Israel Cyber War

https://dti.domaintools.com/cyberav3ngers-from-infrastructure-hacks-to-propaganda-machines-in-the-iran-israel-cyber-war/

Report completeness: Low

Actors/Campaigns:
Cyberav3nger (motivation: propaganda, sabotage, psyop)
Cyber_avengers
Cyber_av3ngers
Mosesstaff (motivation: propaganda)
Charming_kitten (motivation: propaganda)
Apt33 (motivation: propaganda)
Irgc

Threats:
Iocontrol

Victims:
Dorad power station, Unitronics plcs, Municipal water utilities, Orpak terminals, Gasboy terminals, Israeli infrastructure, Israel

Industry:
Energy, Government, Transport, Petroleum, Foodtech, Critical_infrastructure, Ics

Geo:
Tehran, Iran, Iranian, Israel, Israeli

ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1132, T1491, T1499, T1583.001, T1584, T1587.001

IOCs:
Domain: 3

Soft:
Telegram, Twitter, Orpak, Gasboy

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, table: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
13-07-2025

Likely Belarus-Nexus Threat Actor Delivers Downloader to Poland

https://dmpdump.github.io/posts/Belarus-nexus_Threat_Actor_Target_Poland/

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Lolbin_technique

Geo:
Belarus, Germany, Lithuania, Poland, Latvia, Ukraine

ChatGPT TTPs:
do not use without manual check
T1005, T1059.003, T1106, T1202, T1204.002, T1218.010, T1218.011

IOCs:
File: 8
Domain: 1
Hash: 6
Url: 1

Soft:
Internet Explorer

Algorithms:
sha2, zip

Functions:
Click

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная технология доставки вредоносных программ использует CHM-файл для выполнения полезной нагрузки, используя iframe и устаревший тег "<bgsound>" для загрузки CAB-файла, содержащего DLL-библиотеку uNT32.dll. Этот метод включает в себя создание ActiveX-объекта для выполнения команд, используя двоичный файл "living-off-the-land", чтобы скрыть обнаружение, ориентируясь на определенные tmp-файлы в каталоге %temp%. Кампания привязана к домену rustyquill.top и приписывается хакеру FrostyNeighbor или UNC1151, с акцентом на конкретные европейские регионы.
-----

В анализе описан сложный метод доставки вредоносного ПО, использующий CHM (скомпилированный HTML) файл для выполнения вредоносной полезной нагрузки в целевой системе. Начальный шаг включает в себя создание iframe для загрузки ложного изображения и одновременную попытку загрузить аудиофайл с именем desktop.mp3 с помощью устаревшего тега "<bgsound>", который в первую очередь распознается Internet Explorer. Этот аудиофайл на самом деле является файлом CAB (cabinet), содержащим библиотеку DLL, известную как uNT32.dll, которая служит полезной нагрузкой вредоносной программы.

Чтобы облегчить выполнение полезной нагрузки, создается объект ActiveX с использованием определенного CLSID, связанного с элементом управления ActiveX HTML Help (hhctrl.ocx). Это подтверждается записями реестра, которые включают кнопку, настроенную с параметрами для выполнения команд при нажатии. Команда, выполняемая файлом CHM, запускает свернутую командную строку, которая переходит в каталог %temp%, используя утилиту Windows forfiles.exe — метод, идентифицируемый как "автономный" двоичный файл (LOLbin), который скрывает процесс выполнения и может препятствовать усилиям по обнаружению подозрительных файлов. модели активности.

Скрипт предназначен для поиска tmp-файлов в каталоге %temp%, в частности, для файлов размером 180738 байт, что соответствует размеру файла desktop.mp3. После подтверждения существования файла и его правильного размера встроенная библиотека DLL извлекается с помощью утилиты Windows expand utility. После этого библиотека DLL загружается в память с помощью rundll32.exe, в частности, вызывается экспортируемая функция.

Кампания связана с доменом rustyquill.top, который связан с предыдущими инцидентами, связанными с файлом CHM, предоставленным @MalwareHunterTeam, и приписывается хакеру, известному как FrostyNeighbor или UNC1151. Эта группа исторически нацеливалась на такие регионы, как Украина, Литва, Латвия, Польша и Германия, что говорит о целенаправленной геополитической повестке дня, соответствующей их оперативной тактике.

#ParsedReport #CompletenessMedium
08-07-2025

Pay2Keys Resurgence: Iranian Cyber Warfare Targets the West

https://www.morphisec.com/blog/pay2key-resurgence-iranian-cyber-warfare/

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Pay2key
Mimic_ransomware
Themida_tool
Timebomb_technique
Uac_bypass_technique

Victims:
Western organizations

Industry:
Petroleum, E-commerce

Geo:
Chinese, Iran, Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1486, T1489, T1490, T1583.006, T1584.001, T1587.001, T1588.002, have more...

IOCs:
File: 10
Path: 2
Hash: 18
Domain: 1

Soft:
Twitter, Telegram, Windows Defender, Linux, Microsoft Defender

Crypto:
monero

Algorithms:
xor, 7zip

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessLow
13-07-2025

Ransomware Delivered Through GitHub: A PowerShell-Powered Attack

https://www.sonicwall.com/blog/ransomware-delivered-through-github-a-powershell-powered-attack

Report completeness: Low

Threats:
Powershell_ransomware

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.001, T1105, T1140, T1204.002, T1486, T1566.001

IOCs:
File: 4
Url: 2
Coin: 1
Hash: 5

Crypto:
monero

Algorithms:
cbc, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант программы-вымогателя использует PowerShell и GitHub для распространения через вредоносные файлы LNK в электронной почте. Он шифрует пользовательские файлы с помощью AES в режиме CBC, избегая определенных типов файлов, и создает запланированную задачу для сохранения, повышая ее скрытность и эффективность.
-----

Недавно выявленный вариант программы-вымогателя использует PowerShell и GitHub для распространения, в частности, используя домен raw.githubusercontent.com для размещения необходимых скриптов и исполняемых файлов. Заражение обычно начинается с того, что жертва получает по электронной почте архивный файл, содержащий вредоносный LNK (ярлык Windows). Этот ярлык, маскирующийся под файл блокнота, на самом деле указывает на powershell.exe с аргументами, настроенными для выполнения вредоносных команд.

После выполнения файл LNK извлекает скрытый скрипт PowerShell по указанному скрытому URL-адресу. Этот скрипт предназначен для шифрования файлов в различных подкаталогах профиля пользователя, таких как Рабочий стол, Загрузки и документы. Программа-вымогатель генерирует 16-байтовый ключ AES, который затем шифруется с помощью предопределенного открытого ключа RSA в сценарии PowerShell. Чтобы свести к минимуму сбои в работе системы, программа-вымогатель избегает шифрования критически важных типов файлов, включая .exe, .lnk, .dll и другие, а зашифрованные файлы получают новое расширение .ENCRYPT.

В процессе шифрования используется алгоритм AES в режиме CBC. Зашифрованные файлы содержат заголовок, в котором записано время выполнения, зашифрованный ключ AES, вектор инициализации и содержимое файла. Как часть заражения, в каталоге загрузок также создается текстовый файл-приманка, предназначенный для того, чтобы вводить пользователей в заблуждение, выдавая себя за доброкачественный. Чтобы поддерживать постоянство, программа-вымогатель устанавливает запланированную задачу с именем "RunDoBgTask", которая запускает выполнение PowerShell, обеспечивая одноразовое развертывание дополнительных полезных функций, таких как decryptor.exe. Такой подход позволяет использовать сложные методы распространения и шифрования, повышая эффективность вредоносного ПО и сводя к минимуму риск обнаружения.

#ParsedReport #CompletenessLow
10-07-2025

Where Everybody Knows Your Name: Observing Malice-Complicit Nameservers

https://dti.domaintools.com/where-everybody-knows-your-name-observing-malice-complicit-nameservers/

Report completeness: Low

Threats:
Fastflux_technique
Hyperion_tool

Victims:
Pokerdom, Vanilla gift card holders, Cs.money users, Atomic, Bluefish, Brex, Coinbase, Cortex, Defisaver, Dragonswap, have more...

Industry:
Biotechnology, E-commerce, Financial

Geo:
Indonesian, Russia, Turkish, Russian

ChatGPT TTPs:
do not use without manual check
T1071.004, T1204.001, T1557.002, T1566.002, T1568.002, T1583.001

IOCs:
Domain: 24
File: 1

Soft:
Nginx

Wallets:
coinbase, metamask, trezor, tron, rabby, safepal

Crypto:
uniswap, ethereum