#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
13-07-2025

Likely Belarus-Nexus Threat Actor Delivers Downloader to Poland

https://dmpdump.github.io/posts/Belarus-nexus_Threat_Actor_Target_Poland/

Report completeness: Low

Actors/Campaigns:
Ghostwriter

Threats:
Lolbin_technique

Geo:
Belarus, Germany, Lithuania, Poland, Latvia, Ukraine

ChatGPT TTPs:
do not use without manual check
T1005, T1059.003, T1106, T1202, T1204.002, T1218.010, T1218.011

IOCs:
File: 8
Domain: 1
Hash: 6
Url: 1

Soft:
Internet Explorer

Algorithms:
sha2, zip

Functions:
Click

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная технология доставки вредоносных программ использует CHM-файл для выполнения полезной нагрузки, используя iframe и устаревший тег "<bgsound>" для загрузки CAB-файла, содержащего DLL-библиотеку uNT32.dll. Этот метод включает в себя создание ActiveX-объекта для выполнения команд, используя двоичный файл "living-off-the-land", чтобы скрыть обнаружение, ориентируясь на определенные tmp-файлы в каталоге %temp%. Кампания привязана к домену rustyquill.top и приписывается хакеру FrostyNeighbor или UNC1151, с акцентом на конкретные европейские регионы.
-----

В анализе описан сложный метод доставки вредоносного ПО, использующий CHM (скомпилированный HTML) файл для выполнения вредоносной полезной нагрузки в целевой системе. Начальный шаг включает в себя создание iframe для загрузки ложного изображения и одновременную попытку загрузить аудиофайл с именем desktop.mp3 с помощью устаревшего тега "<bgsound>", который в первую очередь распознается Internet Explorer. Этот аудиофайл на самом деле является файлом CAB (cabinet), содержащим библиотеку DLL, известную как uNT32.dll, которая служит полезной нагрузкой вредоносной программы.

Чтобы облегчить выполнение полезной нагрузки, создается объект ActiveX с использованием определенного CLSID, связанного с элементом управления ActiveX HTML Help (hhctrl.ocx). Это подтверждается записями реестра, которые включают кнопку, настроенную с параметрами для выполнения команд при нажатии. Команда, выполняемая файлом CHM, запускает свернутую командную строку, которая переходит в каталог %temp%, используя утилиту Windows forfiles.exe — метод, идентифицируемый как "автономный" двоичный файл (LOLbin), который скрывает процесс выполнения и может препятствовать усилиям по обнаружению подозрительных файлов. модели активности.

Скрипт предназначен для поиска tmp-файлов в каталоге %temp%, в частности, для файлов размером 180738 байт, что соответствует размеру файла desktop.mp3. После подтверждения существования файла и его правильного размера встроенная библиотека DLL извлекается с помощью утилиты Windows expand utility. После этого библиотека DLL загружается в память с помощью rundll32.exe, в частности, вызывается экспортируемая функция.

Кампания связана с доменом rustyquill.top, который связан с предыдущими инцидентами, связанными с файлом CHM, предоставленным @MalwareHunterTeam, и приписывается хакеру, известному как FrostyNeighbor или UNC1151. Эта группа исторически нацеливалась на такие регионы, как Украина, Литва, Латвия, Польша и Германия, что говорит о целенаправленной геополитической повестке дня, соответствующей их оперативной тактике.

#ParsedReport #CompletenessMedium
08-07-2025

Pay2Keys Resurgence: Iranian Cyber Warfare Targets the West

https://www.morphisec.com/blog/pay2key-resurgence-iranian-cyber-warfare/

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Pay2key
Mimic_ransomware
Themida_tool
Timebomb_technique
Uac_bypass_technique

Victims:
Western organizations

Industry:
Petroleum, E-commerce

Geo:
Chinese, Iran, Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1486, T1489, T1490, T1583.006, T1584.001, T1587.001, T1588.002, have more...

IOCs:
File: 10
Path: 2
Hash: 18
Domain: 1

Soft:
Twitter, Telegram, Windows Defender, Linux, Microsoft Defender

Crypto:
monero

Algorithms:
xor, 7zip

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessLow
13-07-2025

Ransomware Delivered Through GitHub: A PowerShell-Powered Attack

https://www.sonicwall.com/blog/ransomware-delivered-through-github-a-powershell-powered-attack

Report completeness: Low

Threats:
Powershell_ransomware

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.001, T1105, T1140, T1204.002, T1486, T1566.001

IOCs:
File: 4
Url: 2
Coin: 1
Hash: 5

Crypto:
monero

Algorithms:
cbc, aes

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант программы-вымогателя использует PowerShell и GitHub для распространения через вредоносные файлы LNK в электронной почте. Он шифрует пользовательские файлы с помощью AES в режиме CBC, избегая определенных типов файлов, и создает запланированную задачу для сохранения, повышая ее скрытность и эффективность.
-----

Недавно выявленный вариант программы-вымогателя использует PowerShell и GitHub для распространения, в частности, используя домен raw.githubusercontent.com для размещения необходимых скриптов и исполняемых файлов. Заражение обычно начинается с того, что жертва получает по электронной почте архивный файл, содержащий вредоносный LNK (ярлык Windows). Этот ярлык, маскирующийся под файл блокнота, на самом деле указывает на powershell.exe с аргументами, настроенными для выполнения вредоносных команд.

После выполнения файл LNK извлекает скрытый скрипт PowerShell по указанному скрытому URL-адресу. Этот скрипт предназначен для шифрования файлов в различных подкаталогах профиля пользователя, таких как Рабочий стол, Загрузки и документы. Программа-вымогатель генерирует 16-байтовый ключ AES, который затем шифруется с помощью предопределенного открытого ключа RSA в сценарии PowerShell. Чтобы свести к минимуму сбои в работе системы, программа-вымогатель избегает шифрования критически важных типов файлов, включая .exe, .lnk, .dll и другие, а зашифрованные файлы получают новое расширение .ENCRYPT.

В процессе шифрования используется алгоритм AES в режиме CBC. Зашифрованные файлы содержат заголовок, в котором записано время выполнения, зашифрованный ключ AES, вектор инициализации и содержимое файла. Как часть заражения, в каталоге загрузок также создается текстовый файл-приманка, предназначенный для того, чтобы вводить пользователей в заблуждение, выдавая себя за доброкачественный. Чтобы поддерживать постоянство, программа-вымогатель устанавливает запланированную задачу с именем "RunDoBgTask", которая запускает выполнение PowerShell, обеспечивая одноразовое развертывание дополнительных полезных функций, таких как decryptor.exe. Такой подход позволяет использовать сложные методы распространения и шифрования, повышая эффективность вредоносного ПО и сводя к минимуму риск обнаружения.

#ParsedReport #CompletenessLow
10-07-2025

Where Everybody Knows Your Name: Observing Malice-Complicit Nameservers

https://dti.domaintools.com/where-everybody-knows-your-name-observing-malice-complicit-nameservers/

Report completeness: Low

Threats:
Fastflux_technique
Hyperion_tool

Victims:
Pokerdom, Vanilla gift card holders, Cs.money users, Atomic, Bluefish, Brex, Coinbase, Cortex, Defisaver, Dragonswap, have more...

Industry:
Biotechnology, E-commerce, Financial

Geo:
Indonesian, Russia, Turkish, Russian

ChatGPT TTPs:
do not use without manual check
T1071.004, T1204.001, T1557.002, T1566.002, T1568.002, T1583.001

IOCs:
Domain: 24
File: 1

Soft:
Nginx

Wallets:
coinbase, metamask, trezor, tron, rabby, safepal

Crypto:
uniswap, ethereum

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DDoS-защита защищает домены, в основном связанные с временными азартными играми, мошенничеством с криптовалютой и фишингом, используя такие тактики, как обфускация и поддомены, вводящие в заблуждение, чтобы избежать обнаружения. Текущие кампании нацелены на владельцев подарочных карт Vanilla и криптовалютные платформы, причем домены часто имеют короткий срок службы, но имеют активную инфраструктуру.
-----

DDoS-Guard, российский пуленепробиваемый хостинг-сервис, оказался в центре внимания недавних расследований вредоносной кибератаки. Анализ активности серверов имен с 13 мая по 11 июня 2025 года позволил получить существенное представление о типе доменов, размещенных на этой платформе, которые в основном делятся на три категории: временные сайты для азартных игр/ставок, домены, ориентированные на криптовалюту, и неопределенные домены. Временные домены для азартных игр характеризовались повторяющимися и числовыми названиями, многие из которых были недолговечными и преимущественно на языках, отличных от английского, в частности на индонезийском и турецком. В этот период также появилась заметная группа доменов, ориентированных на российский сайт азартных игр Pokerdom.

Дальнейшее расследование в отношении домена, bioservamerica.com который бездействовал в течение трех лет, выявило его недавнюю активацию в качестве прикрытия для индонезийского веб-сайта азартных игр. Этот домен продемонстрировал такие тактические приемы, как обфускация и перенаправление, чтобы скрыть свое истинное назначение, затрудняя усилия по обнаружению. Анализ показал, что этот домен был частью более крупной сети, использующей устаревшие домены для эффективной навигации по онлайн-показателям рисков.

В дополнение к деятельности, связанной с азартными играми, в отчете говорится о продолжающейся фишинговой кампании, нацеленной на владельцев подарочных карт Vanilla. Домены, созданные с помощью DDoS-Guard, часто использовали поддомены, имитирующие законные сайты, с целью обмана пользователей и раскрытия конфиденциальной информации. Другие домены, выявленные в ходе исследования, такие как csmoney.to, по-видимому, выдавали себя за законные торговые платформы в целях фишинга.

хакеры также проникли в сферу криптовалют, и было замечено множество доменов, нацеленных на различные криптовалютные протоколы и платформы. Несмотря на короткий срок службы — часто менее недели — эти домены демонстрировали активную инфраструктуру и были связаны с попытками эмулировать кошельки и биржи. Частые изменения в записях MX или NS указывают на потенциально вредоносные схемы использования, что говорит о предпочтении таких платформ, как DDoS-Guard и Cloudflare, для размещения этих угроз.

#ParsedReport #CompletenessLow
13-07-2025

PerfektBlue - critical vulnerabilities in OpenSynergy Blue SDK

https://pcacybersecurity.com/resources/advisory/perfekt-blue

Report completeness: Low

Threats:
Perfektblue_technique
Supply_chain_technique

Victims:
Opensynergy, Bluetooth special interest group, Automotive oems, Other vendors

Industry:
Transport, Software_development, Energy

CVEs:
CVE-2024-45431 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-45433 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-45432 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-45434 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1204

IOCs:
Registry: 1

Functions:
Function

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OpenSynergy BlueSDK содержит критические уязвимости CVE-2024-45431 и CVE-2024-45432, которые могут привести к несанкционированному доступу по Bluetooth и ошибкам в работе приложений. О появлении исправлений стало известно в сентябре 2024 года, но они были отложены для производителей оборудования до июня 2025 года, что повлияло на различные отрасли промышленности, в частности на автомобилестроение.
-----

В стеке протоколов Bluetooth OpenSynergy (BlueSDK) были обнаружены критические уязвимости, в частности CVE-2024-45431 и CVE-2024-45432. CVE-2024-45431 связан с неправильной проверкой идентификатора удаленного канала (CID) канала протокола управления логическим соединением и адаптации (L2CAP), что потенциально может привести к несанкционированному доступу или манипулированию связью Bluetooth. CVE-2024-45432 относится к вызову функции в протоколе RFCOMM, который использует неверные параметры, что может привести к ошибкам приложения или нарушениям безопасности.

BlueSDK - это встроенный модуль Bluetooth, который поддерживает широкий спектр профилей Bluetooth, включая Advanced Audio Distribution Profile (A2DP), профиль дистанционного управления аудио/видео (AVRCP) и ряд других, имеющих отношение к различным устройствам, особенно в автомобильном секторе. Его интеграция в различные операционные системы и совместимость как с базовой, так и с повышенной скоростью передачи данных (BR/EDR), а также с режимами работы с низким энергопотреблением делают его критически важным компонентом для многих устройств. Из-за его широкого использования в автомобильной промышленности многие производители автомобилей могут быть подвержены этим уязвимостям.

Компания OpenSynergy сообщила, что исправления для этих уязвимостей были внедрены к сентябрю 2024 года. Однако распространение обновлений среди производителей оригинального оборудования (OEM-производителей) было отложено, и некоторые из них получили необходимые исправления только в июне 2025 года. Такая задержка в распространении исправлений может быть объяснена сложностями цепочки поставок транспортных средств, что часто приводит к медленному реагированию на обновления программного обеспечения.

Потенциальное воздействие этих уязвимостей распространяется не только на автомобильный сектор, затрагивая широкий спектр поставщиков и продуктов, использующих BlueSDK. Это требует повышенной осведомленности и принятия упреждающих мер для снижения рисков, связанных с этими уязвимостями в устройствах с поддержкой Bluetooth, в различных отраслях промышленности.

#ParsedReport #CompletenessMedium
08-07-2025

Pay2Keys Resurgence: Iranian Cyber Warfare Targets the West

https://www.morphisec.com/blog/pay2key-resurgence-iranian-cyber-warfare/

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Pay2key
Mimic_ransomware
Themida_tool
Timebomb_technique
Uac_bypass_technique

Victims:
Western organizations

Industry:
Petroleum, E-commerce

Geo:
Chinese, Iran, Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1486, T1489, T1490, T1583.006, T1584.001, T1587.001, T1588.002, have more...

IOCs:
File: 10
Path: 2
Hash: 18
Domain: 1

Soft:
Twitter, Telegram, Windows Defender, Linux, Microsoft Defender

Crypto:
monero

Algorithms:
xor, 7zip

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessMedium
18-06-2025

Your Mobile App, Their Playground: The Dark side of the Virtualization

https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization

Report completeness: Medium

Threats:
Godfather
Fjordphantom
Process_injection_technique
Dead_drop_technique

Industry:
Financial, E-commerce, Foodtech, Retail

Geo:
America, Turkey, United kingdom, Spain, France, Canada, Italy, Germany, Turkish

TTPs:
Tactics: 9
Technics: 12

IOCs:
File: 7

Soft:
Android, Google play, Telegram

Algorithms:
exhibit, base64, zip

Functions:
build, getEnabledAccessibilityServiceList, getEnabledAccessilibityServiceList, setDuration

Languages:
java

Links:
https://github.com/rovo89/XposedBridge
https://github.com/asLody/VirtualApp/tree/master
https://github.com/rovo89/XposedInstaller
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
13-07-2025

GreyNoise Identifies New Scraper Botnet Concentrated in Taiwan

https://www.greynoise.io/blog/new-scraper-botnet-concentrated-in-taiwan

Report completeness: Low

Threats:
Hello-world_scraper_botnet

Geo:
United kingdom, Bulgaria, Taiwanese, Taiwan, Japan, France

ChatGPT TTPs:
do not use without manual check
T1071.001, T1119, T1190, T1583.001

IOCs:
IP: 10

Soft:
Slack

Links:
https://github.com/GreyNoise-Intelligence/gn-research-supplemental-data/tree/main/2025-07-09-hello-world-botnet-ips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появился новый вариант ботнета scraper, который можно идентифицировать по уникальному сетевому отпечатку, и 38% обнаруженных IP-адресов классифицируются как вредоносные. Повышенная активность на Тайване вызывает опасения по поводу уязвимостей в регионе. Защитные меры включают блокировку подозрительных IP-адресов и мониторинг внутреннего трафика для улучшения обнаружения.
-----

Был обнаружен недавно идентифицированный вариант ботнета scraper, который можно обнаружить с помощью уникального во всем мире сетевого отпечатка пальца, а не полагаться исключительно на простую и легко поддающуюся подделке строку пользовательского агента, идентифицированную как Hello-World/1.0. Истинной отличительной чертой этого варианта ботнета являются его поведенческие отпечатки, которые в совокупности создают метасигнатуру, отличающую его от других вредоносных объектов. Анализ показал, что значительная часть трафика, состоящая из 1359 из 3595 наблюдаемых IP-адресов (38%), классифицируется как вредоносный, в то время как еще 122 (3%) считаются подозрительными. Примечательно, что 2114 (59%) IP-адресов не связаны с какой-либо известной вредоносной активностью, и был обнаружен только один безобидный IP-адрес.

Инфраструктура, связанная с этим ботнетом, демонстрирует определенную концентрацию активности, исходящей из Тайваня, что вызывает опасения либо по поводу широкого распространения определенных технологий или сервисов в регионе, которые, возможно, были скомпрометированы, либо по поводу распространенности общей уязвимости среди устройств в этом регионе. Географическая ориентация на тайваньское IP-пространство предполагает наличие потенциально системной проблемы в этом регионе.

Для противодействия угрозам, исходящим от этого варианта ботнета-скрейпера, GreyNoise предлагает принять несколько защитных мер. Специалистам по безопасности рекомендуется блокировать все IP-адреса, которые демонстрируют признаки участия в ботнете, чтобы снизить риск автоматического скрейпинга. Кроме того, особое внимание уделяется мониторингу внутреннего трафика для любых устройств, взаимодействующих с этими идентифицированными IP-адресами. Специалистам также следует сосредоточиться на отслеживании связанных сигнатур JA4+, которые могут указывать на наличие аналогичных вариантов ботнета или скоординированных кампаний. Этот подход направлен на повышение эффективности обнаружения и смягчения угроз, связанных с этой и потенциально связанной с ней деятельностью ботнета scraper.

#ParsedReport #CompletenessMedium
14-07-2025

KongTuke FileFix Leads to New Interlock RAT Variant

https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/

Report completeness: Medium

Actors/Campaigns:
Landupdate808
Interlock

Threats:
Interlockrat
Kongtuke
Filefix_technique
Interlock
Nodesnake

IOCs:
Command: 12
File: 6
Url: 1
Registry: 1
Hash: 2
Domain: 7
IP: 2

Soft:
Node.js, trycloudflare, Windows Registry

Algorithms:
zip, sha256

Functions:
Write-Output

Win Services:
WebClient

Languages:
python, php, javascript, powershell

Platforms:
intel

Links:
https://github.com/The-DFIR-Report/scripts