#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DDoS-защита защищает домены, в основном связанные с временными азартными играми, мошенничеством с криптовалютой и фишингом, используя такие тактики, как обфускация и поддомены, вводящие в заблуждение, чтобы избежать обнаружения. Текущие кампании нацелены на владельцев подарочных карт Vanilla и криптовалютные платформы, причем домены часто имеют короткий срок службы, но имеют активную инфраструктуру.
-----

DDoS-Guard, российский пуленепробиваемый хостинг-сервис, оказался в центре внимания недавних расследований вредоносной кибератаки. Анализ активности серверов имен с 13 мая по 11 июня 2025 года позволил получить существенное представление о типе доменов, размещенных на этой платформе, которые в основном делятся на три категории: временные сайты для азартных игр/ставок, домены, ориентированные на криптовалюту, и неопределенные домены. Временные домены для азартных игр характеризовались повторяющимися и числовыми названиями, многие из которых были недолговечными и преимущественно на языках, отличных от английского, в частности на индонезийском и турецком. В этот период также появилась заметная группа доменов, ориентированных на российский сайт азартных игр Pokerdom.

Дальнейшее расследование в отношении домена, bioservamerica.com который бездействовал в течение трех лет, выявило его недавнюю активацию в качестве прикрытия для индонезийского веб-сайта азартных игр. Этот домен продемонстрировал такие тактические приемы, как обфускация и перенаправление, чтобы скрыть свое истинное назначение, затрудняя усилия по обнаружению. Анализ показал, что этот домен был частью более крупной сети, использующей устаревшие домены для эффективной навигации по онлайн-показателям рисков.

В дополнение к деятельности, связанной с азартными играми, в отчете говорится о продолжающейся фишинговой кампании, нацеленной на владельцев подарочных карт Vanilla. Домены, созданные с помощью DDoS-Guard, часто использовали поддомены, имитирующие законные сайты, с целью обмана пользователей и раскрытия конфиденциальной информации. Другие домены, выявленные в ходе исследования, такие как csmoney.to, по-видимому, выдавали себя за законные торговые платформы в целях фишинга.

хакеры также проникли в сферу криптовалют, и было замечено множество доменов, нацеленных на различные криптовалютные протоколы и платформы. Несмотря на короткий срок службы — часто менее недели — эти домены демонстрировали активную инфраструктуру и были связаны с попытками эмулировать кошельки и биржи. Частые изменения в записях MX или NS указывают на потенциально вредоносные схемы использования, что говорит о предпочтении таких платформ, как DDoS-Guard и Cloudflare, для размещения этих угроз.

#ParsedReport #CompletenessLow
13-07-2025

PerfektBlue - critical vulnerabilities in OpenSynergy Blue SDK

https://pcacybersecurity.com/resources/advisory/perfekt-blue

Report completeness: Low

Threats:
Perfektblue_technique
Supply_chain_technique

Victims:
Opensynergy, Bluetooth special interest group, Automotive oems, Other vendors

Industry:
Transport, Software_development, Energy

CVEs:
CVE-2024-45431 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-45433 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-45432 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-45434 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1204

IOCs:
Registry: 1

Functions:
Function

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OpenSynergy BlueSDK содержит критические уязвимости CVE-2024-45431 и CVE-2024-45432, которые могут привести к несанкционированному доступу по Bluetooth и ошибкам в работе приложений. О появлении исправлений стало известно в сентябре 2024 года, но они были отложены для производителей оборудования до июня 2025 года, что повлияло на различные отрасли промышленности, в частности на автомобилестроение.
-----

В стеке протоколов Bluetooth OpenSynergy (BlueSDK) были обнаружены критические уязвимости, в частности CVE-2024-45431 и CVE-2024-45432. CVE-2024-45431 связан с неправильной проверкой идентификатора удаленного канала (CID) канала протокола управления логическим соединением и адаптации (L2CAP), что потенциально может привести к несанкционированному доступу или манипулированию связью Bluetooth. CVE-2024-45432 относится к вызову функции в протоколе RFCOMM, который использует неверные параметры, что может привести к ошибкам приложения или нарушениям безопасности.

BlueSDK - это встроенный модуль Bluetooth, который поддерживает широкий спектр профилей Bluetooth, включая Advanced Audio Distribution Profile (A2DP), профиль дистанционного управления аудио/видео (AVRCP) и ряд других, имеющих отношение к различным устройствам, особенно в автомобильном секторе. Его интеграция в различные операционные системы и совместимость как с базовой, так и с повышенной скоростью передачи данных (BR/EDR), а также с режимами работы с низким энергопотреблением делают его критически важным компонентом для многих устройств. Из-за его широкого использования в автомобильной промышленности многие производители автомобилей могут быть подвержены этим уязвимостям.

Компания OpenSynergy сообщила, что исправления для этих уязвимостей были внедрены к сентябрю 2024 года. Однако распространение обновлений среди производителей оригинального оборудования (OEM-производителей) было отложено, и некоторые из них получили необходимые исправления только в июне 2025 года. Такая задержка в распространении исправлений может быть объяснена сложностями цепочки поставок транспортных средств, что часто приводит к медленному реагированию на обновления программного обеспечения.

Потенциальное воздействие этих уязвимостей распространяется не только на автомобильный сектор, затрагивая широкий спектр поставщиков и продуктов, использующих BlueSDK. Это требует повышенной осведомленности и принятия упреждающих мер для снижения рисков, связанных с этими уязвимостями в устройствах с поддержкой Bluetooth, в различных отраслях промышленности.

#ParsedReport #CompletenessMedium
08-07-2025

Pay2Keys Resurgence: Iranian Cyber Warfare Targets the West

https://www.morphisec.com/blog/pay2key-resurgence-iranian-cyber-warfare/

Report completeness: Medium

Actors/Campaigns:
Fox_kitten

Threats:
Pay2key
Mimic_ransomware
Themida_tool
Timebomb_technique
Uac_bypass_technique

Victims:
Western organizations

Industry:
Petroleum, E-commerce

Geo:
Chinese, Iran, Russian, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1486, T1489, T1490, T1583.006, T1584.001, T1587.001, T1588.002, have more...

IOCs:
File: 10
Path: 2
Hash: 18
Domain: 1

Soft:
Twitter, Telegram, Windows Defender, Linux, Microsoft Defender

Crypto:
monero

Algorithms:
xor, 7zip

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #CompletenessMedium
18-06-2025

Your Mobile App, Their Playground: The Dark side of the Virtualization

https://zimperium.com/blog/your-mobile-app-their-playground-the-dark-side-of-the-virtualization

Report completeness: Medium

Threats:
Godfather
Fjordphantom
Process_injection_technique
Dead_drop_technique

Industry:
Financial, E-commerce, Foodtech, Retail

Geo:
America, Turkey, United kingdom, Spain, France, Canada, Italy, Germany, Turkish

TTPs:
Tactics: 9
Technics: 12

IOCs:
File: 7

Soft:
Android, Google play, Telegram

Algorithms:
exhibit, base64, zip

Functions:
build, getEnabledAccessibilityServiceList, getEnabledAccessilibityServiceList, setDuration

Languages:
java

Links:
https://github.com/rovo89/XposedBridge
https://github.com/asLody/VirtualApp/tree/master
https://github.com/rovo89/XposedInstaller
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
13-07-2025

GreyNoise Identifies New Scraper Botnet Concentrated in Taiwan

https://www.greynoise.io/blog/new-scraper-botnet-concentrated-in-taiwan

Report completeness: Low

Threats:
Hello-world_scraper_botnet

Geo:
United kingdom, Bulgaria, Taiwanese, Taiwan, Japan, France

ChatGPT TTPs:
do not use without manual check
T1071.001, T1119, T1190, T1583.001

IOCs:
IP: 10

Soft:
Slack

Links:
https://github.com/GreyNoise-Intelligence/gn-research-supplemental-data/tree/main/2025-07-09-hello-world-botnet-ips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появился новый вариант ботнета scraper, который можно идентифицировать по уникальному сетевому отпечатку, и 38% обнаруженных IP-адресов классифицируются как вредоносные. Повышенная активность на Тайване вызывает опасения по поводу уязвимостей в регионе. Защитные меры включают блокировку подозрительных IP-адресов и мониторинг внутреннего трафика для улучшения обнаружения.
-----

Был обнаружен недавно идентифицированный вариант ботнета scraper, который можно обнаружить с помощью уникального во всем мире сетевого отпечатка пальца, а не полагаться исключительно на простую и легко поддающуюся подделке строку пользовательского агента, идентифицированную как Hello-World/1.0. Истинной отличительной чертой этого варианта ботнета являются его поведенческие отпечатки, которые в совокупности создают метасигнатуру, отличающую его от других вредоносных объектов. Анализ показал, что значительная часть трафика, состоящая из 1359 из 3595 наблюдаемых IP-адресов (38%), классифицируется как вредоносный, в то время как еще 122 (3%) считаются подозрительными. Примечательно, что 2114 (59%) IP-адресов не связаны с какой-либо известной вредоносной активностью, и был обнаружен только один безобидный IP-адрес.

Инфраструктура, связанная с этим ботнетом, демонстрирует определенную концентрацию активности, исходящей из Тайваня, что вызывает опасения либо по поводу широкого распространения определенных технологий или сервисов в регионе, которые, возможно, были скомпрометированы, либо по поводу распространенности общей уязвимости среди устройств в этом регионе. Географическая ориентация на тайваньское IP-пространство предполагает наличие потенциально системной проблемы в этом регионе.

Для противодействия угрозам, исходящим от этого варианта ботнета-скрейпера, GreyNoise предлагает принять несколько защитных мер. Специалистам по безопасности рекомендуется блокировать все IP-адреса, которые демонстрируют признаки участия в ботнете, чтобы снизить риск автоматического скрейпинга. Кроме того, особое внимание уделяется мониторингу внутреннего трафика для любых устройств, взаимодействующих с этими идентифицированными IP-адресами. Специалистам также следует сосредоточиться на отслеживании связанных сигнатур JA4+, которые могут указывать на наличие аналогичных вариантов ботнета или скоординированных кампаний. Этот подход направлен на повышение эффективности обнаружения и смягчения угроз, связанных с этой и потенциально связанной с ней деятельностью ботнета scraper.

#ParsedReport #CompletenessMedium
14-07-2025

KongTuke FileFix Leads to New Interlock RAT Variant

https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/

Report completeness: Medium

Actors/Campaigns:
Landupdate808
Interlock

Threats:
Interlockrat
Kongtuke
Filefix_technique
Interlock
Nodesnake

IOCs:
Command: 12
File: 6
Url: 1
Registry: 1
Hash: 2
Domain: 7
IP: 2

Soft:
Node.js, trycloudflare, Windows Registry

Algorithms:
zip, sha256

Functions:
Write-Output

Win Services:
WebClient

Languages:
python, php, javascript, powershell

Platforms:
intel

Links:
https://github.com/The-DFIR-Report/scripts

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был идентифицирован новый PHP-вариант Interlock RAT, связанный с кластером угроз KongTuke, на котором представлены скомпрометированные веб-сайты, распространяющие вредоносное ПО с помощью HTML-инъекций. Этот вариант выполняет автоматическую разведку и устанавливает канал C2 с использованием URL-адресов Cloudflare, демонстрируя изощренность группы в разработке вредоносных программ.
-----

Исследователи из отчета DFIR и Proofpoint выявили новый вариант трояна для удаленного доступа (RAT) группы вымогателей Interlock, который значительно отличается от ранее идентифицированного варианта на основе JavaScript, известного как NodeSnake. Эта новая вредоносная программа, разработанная на PHP, развертывается в рамках масштабной кампании, связанной с кластерами угроз LandUpdate808 (также известной как KongTuke). Атака начинается со взломанных веб-сайтов, на которые внедряется скрытый скрипт в HTML, вводящий в заблуждение владельцев сайтов и пользователей. Этот скрипт использует жесткую фильтрацию IP-адресов для обработки полезной нагрузки, инициируя взаимодействие с пользователем посредством проверки captcha перед выполнением сценария PowerShell, который приводит к блокировке RAT.

Proofpoint отследил оба Node.js и PHP-варианты Interlock RAT, причем вариант PHP появится в кампаниях с июня 2025 года. Недавно веб-разработчик KongTuke перешел на новый вариант FileFix, который, как было замечено, предоставляет вариант PHP Interlock RAT, который также может использовать версию Node.js. При выполнении RAT-блокировка использует команду, которая генерирует PHP с подозрительными аргументами, в частности, нацеленную на конфигурационный файл из нестандартного расположения, и использует исполняемый файл PHP, расположенный в каталоге AppData\Roaming пользователя, с указанными директивами для активации расширения ZIP.

Вредоносная программа немедленно проводит автоматизированную разведку скомпрометированной системы, используя команды PowerShell, которые собирают и извлекают подробную системную информацию в формате JSON, включая системные спецификации, запущенные процессы, службы, подключенные диски и локальные сети. Он проверяет свой уровень привилегий, чтобы определить операционный контекст, выделяя интерактивный сеанс. Блокировщик RAT устанавливает надежный канал управления (C2), используя законные URL-адреса туннеля Cloudflare, чтобы скрыть свою инфраструктуру, и использует жестко запрограммированные резервные IP-адреса для поддержания связи.

Возможности вредоносной программы по выполнению команд и управлению ими являются всеобъемлющими, позволяя ей выполнять различные инструкции, такие как загрузка исполняемых файлов или библиотек с динамической компоновкой, настройка постоянства с помощью изменений реестра, выполнение произвольных команд оболочки и завершение работы при необходимости. Эта эволюция отражает растущую изощренность группы Interlock в разработке вредоносных программ, переходящей с Node.js на PHP для поддержания и расширения своей деятельности в сетях жертв.

#ParsedReport #CompletenessLow
13-07-2025

Hunting China-Nexus Threat Actor

https://0xch4s3.gitbook.io/0xch4s3-or-threat-research/adversary-hunting/hunting-china-nexus-threat-actor

Report completeness: Low

Actors/Campaigns:
Earth_alux
Dragonclone

Threats:
Cobalt_strike_tool
Vshell
Supershell
Havoc
Sliver_c2_tool
Brc4_tool

Industry:
Government, Telco, Logistic

Geo:
Apac, China, Latin america

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1583.006, T1588.002

IOCs:
IP: 69

Links:
https://github.com/0xCH4S3/Adversary-Infrastructure-Mapping/blob/main/EarthAlux/ips.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Earth Alux, связанная с китайской деятельностью APT, проводит целенаправленные кампании по утечке конфиденциальных данных с использованием вредоносного ПО Cobalt Strike. Недавние расследования выявили 69 соответствующих IP-адресов из более широкого набора данных, что указывает на их зависимость от серверов C2, привязанных к крупным китайским компаниям.
-----

Группа компаний Earth Alux, связанная с деятельностью APT в Китае, известна своими целенаправленными и устойчивыми кампаниями, направленными на достижение долгосрочных стратегических целей, в первую очередь на изъятие конфиденциальных данных. Эта группа ориентирована на такие важнейшие секторы, как государственное управление, технологии, логистика, производство, телекоммуникации и ИТ-услуги, и осуществляет значительную деятельность в Азиатско-Тихоокеанском регионе и Латинской Америке. В ходе недавних анализов с их кампанией DragonClone был связан известный IP-адрес 62.234.24.38, который был классифицирован исследователями безопасности как индикатор вредоносного ПО Cobalt Strike. Это послужило толчком для дальнейших исследований инфраструктуры Earth Alux.

Исследование показало, что группа полагалась на серверы командования и контроля (C2), в основном Cobalt Strike, и несколько дополнительных IP-адресов были помечены службами анализа угроз как вредоносные. Благодаря детальному изучению баннера, связанного с забастовкой Cobalt в порту 8082, исследователи обнаружили ключевые связи в рамках операционной системы Earth Alux. Анализ выявил 569 новых случаев, связанных с инфраструктурой группы, сузив перечень основных элементов, таких как связанные команды, страны и инфраструктура.

В более широком плане, выявленные серверы C2 демонстрируют значительное предпочтение платформам, подключенным к крупным китайским компаниям, включая Tencent, Alibaba и Huawei, что еще раз подчеркивает географическую направленность деятельности группы. В ходе расследования, продолжавшегося с января 2025 года, был составлен каталог различных серверов C2, в котором были обнаружены инфраструктуры Cobalt Strike, Havoc C2 и Sliver C2.

Чтобы расширить возможности обнаружения, был начат процесс стратегического поиска с целью выявления дополнительных элементов инфраструктуры Earth Alux. Хотя на этом этапе был собран обширный набор данных из 33 040 потенциальных результатов, усилия по уточнению этих результатов привели к тому, что удалось отфильтровать 69 IP-адресов, которые были сочтены подходящими для более целенаправленных исследований. Этот методологический подход направлен на сокращение числа ложных срабатываний и точное определение узлов, которые могут быть неотъемлемой частью операционной системы Earth Alux, что закладывает основу для более глубокого понимания ее деятельности и потенциальных уязвимостей.

#ParsedReport #CompletenessLow
14-07-2025

Forensic journey: Breaking down the UserAssist artifact structure

https://securelist.com/userassist-artifact-forensic-value-for-incident-response/116911/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1059, T1569.002

IOCs:
File: 6
Hash: 1

Soft:
Windows Explorer, Process Explorer, Sysinternals, PsExec, Chrome

Functions:
FireEvent

Links:
https://github.com/PacktPublishing/Learning-Python-for-Forensics/blob/master/Chapter%206/userassist\_parser.py
https://github.com/Awad93/Userassist\_parser

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UserAssist - это криминалистический артефакт, который отслеживает использование приложения и может выявлять враждебные действия с помощью регистрации параметров выполнения. Анализ выявляет роль значения UEME_CTLSESSION в представлении пользовательских данных и идентифицирует неизвестную структуру данных, которая помогает различать поведение доброкачественного и вредоносного программного обеспечения на основе количества запусков и методов выполнения.
-----

UserAssist - это ценный криминалистический инструмент, используемый в кибер-расследованиях, в частности, для отслеживания враждебных действий и выявления вредоносных программ. Несмотря на его значимость, UserAssist изучался ограниченно, что привело к пробелам в понимании его интерпретации данных, условий ведения журнала и триггеров. Этот анализ углубляется в UserAssist, проясняя его представление данных и процессы, связанные с его созданием и обновлением. В нем особо подчеркивается значение UEME_CTLSESSION и его роль в регистрации данных UserAssist, а также представлена ранее неизвестная структура данных UserAssist.

Записи UserAssist содержат различные параметры. В первом сценарии используются четыре параметра: количество запусков, количество фокусов, время фокусировки и время последнего выполнения, которые обычно указывают на приложение с графическим интерфейсом, запускаемое обычными способами, такими как двойной щелчок в проводнике Windows. Второй сценарий характеризуется записями, содержащими только количество запусков и время последнего выполнения, указывающими на программу, запущенную двойным щелчком по ярлыку LNK, или программу установки, которая переключает фокус на другой графический интерфейс. В качестве примера можно привести выполнение копии calc.exe, где отображаемый графический интерфейс был приложением UWP для калькулятора, а не ожидаемым настольным приложением.

В третьем сценарии присутствуют записи, содержащие только количество фокусов и время фокусировки, когда программа с графическим интерфейсом выполняется с помощью нестандартных средств, таких как командная строка. Например, при выполнении копии Process Explorer с помощью cmd записываются только количество фокусов и время фокусировки. Кроме того, проверка с помощью whoami.exe через PsExec показала, что инструмент появился как дочерний процесс, удовлетворяющий определенным условиям, необходимым для регистрации в UserAssist.

Класс CUASession, расположенный в shell32.dll, управляет статистикой, относящейся к сеансам ведения журнала UserAssist, включая общее количество выполненных сеансов и количество фокусов. Свойства CUASession заключены в значение UEME_CTLSESSION. Часто появляющиеся программы с большим количеством запусков указывают на предпочтения пользователей, в то время как программы с низким или нулевым количеством запусков предполагают отказ от них. Это различие служит не только для оценки опыта пользователей, но и помогает в поиске угроз, поскольку позволяет идентифицировать потенциально вредоносное программное обеспечение, которое может быть упущено из виду. Программы, отнесенные к категории с высоким значением -1, как правило, являются новыми, что указывает на отсутствие сброшенных данных в течение двух дней после взаимодействия с пользователем. Подробное изучение записей пользователей может облегчить расследование поведения как доброкачественных, так и вредоносных программ.

#ParsedReport #CompletenessLow
14-07-2025

Behind the Clouds: Attackers Targeting Governments in Southeast Asia Implement Novel Covert C2 Communication

https://unit42.paloaltonetworks.com/windows-backdoor-for-novel-c2-communication/

Report completeness: Low

Actors/Campaigns:
Cl-sta-1020

Threats:
Dll_sideloading_technique
Hazybeacon

Victims:
Governmental entities, Government agencies

Industry:
Government

Geo:
Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036.005, T1071.001, T1071.004, T1074.001, T1082, T1105, T1543.003, T1567.002, T1573.001, have more...

IOCs:
Path: 8
File: 7
Hash: 7

Soft:
Dropbox, Windows service

Algorithms:
sha256, zip

#ParsedReport #GeneratedSchema
Generated with GPT-4