#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Defendnot, разработанный участником es3n1n, отключает Microsoft Defender, используя API Windows Security Center, что позволяет скрытно обходить меры безопасности. Он регистрируется как сторонний антивирус, что позволяет Defender отключать сам себя, и представляет собой прогресс в разработке вредоносных программ, повышающий скрытность после их использования. Аналитики создали правило YARA для обнаружения defendnot, которое помогает отслеживать угрозы и обеспечивает видимость.
-----

Defendnot - это инструмент, разработанный хакером es3n1n, предназначенный для отключения защитника Microsoft путем использования API Windows Security Center (WSC), который является менее известным механизмом в операционной системе Windows. Эта утилита, изначально размещенная на GitHub, представляет собой сложную технику, используемую злоумышленниками, которые ищут скрытые методы обхода встроенных мер безопасности. Вместо использования явных методов, таких как завершение процессов Defender или изменение разделов реестра — подходов, которые могут вызывать предупреждения от систем обнаружения конечных точек и реагирования (EDR), — defendnot регистрирует себя как сторонний антивирус через WSC. Эта регистрация приводит к добровольному отключению Defender, основанному на предположении системы о том, что при наличии другого антивирусного решения Microsoft Defender не нужен.

Важным аспектом defendnot является его прямое взаимодействие с недокументированным WSC API, что демонстрирует прогресс по сравнению с предыдущими инструментами, такими как no-defender, которые для достижения аналогичных целей использовали существующий сторонний антивирусный код. Скрытный характер этого метода имеет значительные последствия для практики последующей эксплуатации, а также для разработки общего вредоносного ПО, поскольку он менее навязчив и с меньшей вероятностью вызовет срабатывание охранной сигнализации во многих операционных средах.

Чтобы помочь в выявлении и анализе двоичных файлов defendnot, аналитики разработали правило YARA, использующее конкретные строки и артефакты кода, уникальные для общедоступной сборки инструмента. Это правило полезно для обнаружения поэтапного использования инструментов или остатков действий после взлома. Информация, полученная в результате внедрения этого правила YARA, позволяет мгновенно выявлять потенциальные угрозы, обеспечивая быстрый подход к мониторингу коллекций файлов и повторному поиску артефактов в наборах данных, связанных с этим инструментом. Используя такую платформу, как Stairwell, организации могут эффективно применять это правило, что обеспечивает охват всего предприятия и расширяет возможности обнаружения угроз.

#ParsedReport #CompletenessLow
14-07-2025

Stealthy PHP Malware Uses ZIP Archive to Redirect WordPress Visitors

https://blog.sucuri.net/2025/07/stealthy-php-malware-uses-zip-archive-to-redirect-wordpress-visitors.html

Report completeness: Low

Threats:
Seo_poisoning_technique

Victims:
Wordpress website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1105, T1190, T1497.001, T1505.003, T1518.001, T1565.002

IOCs:
File: 6
Domain: 3

Soft:
WordPress

Algorithms:
zip

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа на WordPress использует wp-settings.php для отравления поисковой системы и внедрения несанкционированного контента, используя ZIP-файлы и запутанные PHP-скрипты. Она адаптирует свой сервер C2 в зависимости от трафика и избегает обнаружения, отключая действия во время обхода поисковой системы, манипулируя SEO путем изменения важных файлов, таких как robots.txt.
-----

Недавнее расследование постоянных перенаправлений на веб-сайте WordPress выявило сложную вредоносную программу, глубоко внедренную в основные файлы сайта, направленную на отравление поисковой системы и внедрение несанкционированного контента. Вредоносная программа была обнаружена по изменениям в файле critical wp-settings.php, в результате чего был обнаружен подозрительный код, предназначенный для манипулирования заголовками HTTP и извлечения вредоносных файлов из ZIP-архива с использованием PHP-оболочки zip://. Это позволило вредоносной программе включить PHP-скрипт, названный в честь скомпрометированного домена, эффективно скрывая свои операции в, казалось бы, безобидном ZIP-файле.

При извлечении PHP-файл был сильно запутан, и его первоначальной функцией было декодирование и выполнение вредоносной полезной нагрузки. Эта вредоносная программа была разработана для создания среды выполнения, адаптации к защищенным соединениям и динамического выбора сервера управления (C2) на основе URL-адреса, к которому осуществляется доступ. Такая адаптивность повысила его устойчивость к попыткам удаления и затруднила полную блокировку, позволяя злоумышленнику предоставлять индивидуальный вредоносный контент в соответствии с посещаемостью веб-сайта.

Чтобы избежать обнаружения, вредоносная программа внедрила меры по отключению своей вредоносной активности в присутствии сканеров поисковых систем, что могло бы предотвратить индексацию скомпрометированного контента. Она выполняла запросы POST для связи с C2, предположительно для отправки информации о состоянии сайта. Основной целью было использование ранжирования в поисковых системах путем манипулирования файлами, связанными с SEO. В частности, были перехвачены запросы на проверку для Google Search Console, что позволило злоумышленнику получить контроль над настройками SEO и перенаправить поисковый трафик на спам-контент, размещенный на взломанном сайте.

Вредоносная программа также изменила важные файлы, такие как robots.txt, и внедрила директиву sitemap, указывающую на контролируемые злоумышленником URL-адреса, что еще больше упростило манипулирование результатами поиска. Сочетание использования ZIP-файлов для включения кода, многоуровневой обфускации и сложных стратегий борьбы с ботами создало серьезную проблему для владельцев сайтов, пытающихся обнаружить и устранить угрозу.

#technique

Помните про картинки в TXT-записях?

А вот и повеселее штука
https://dti.domaintools.com/malware-in-dns/

#ParsedReport #CompletenessMedium
15-07-2025

Unmasking AsyncRAT: Navigating the labyrinth of forks

https://www.welivesecurity.com/en/eset-research/unmasking-asyncrat-navigating-labyrinth-forks/

Report completeness: Medium

Threats:
Asyncrat
Noneuclid_rat
Jasonrat
Xiebrorat
3loshrat
Dcrat
Venomrat
Borat_rat
Lmteamrat
Phoenixrat
Echorat
Password_spray_technique
Quasar_rat
Santarat
Cobalt_strike_tool
Mimikatz_tool
Sharpwifigrabber_tool

Geo:
Ukraine, Chinese

TTPs:
Tactics: 5
Technics: 11

IOCs:
File: 10
Hash: 16

Soft:
Windows service, Discord, SharpUnhooker

Algorithms:
md5, sha256, base64, aes-256

Functions:
InitializeSettings, SetSound

Win API:
pie

Win Services:
MsMpEng

Languages:
javascript

Links:
https://github.com/NYAN-x-CAT
have more...
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp
https://github.com/quasar/Quasar

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, code: 6, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AsyncRAT, асинхронный троян для удаленного доступа, выпущенный в 2019 году, обладает функциями кейлоггинга, захвата экрана и кражи учетных данных. Его модульная архитектура позволяет создавать различные продвинутые версии, такие как DcRat и VenomRAT, которые используют такие методы, как AMSI и ETW-исправления для уклонения. Последние версии включают плагины для кражи учетных данных и USB-эксплойтов, что подчеркивает риски, связанные с доступными платформами вредоносного ПО с открытым исходным кодом.
-----

AsyncRAT, или троян асинхронного удаленного доступа, стал важным игроком на рынке вредоносных программ с момента его публичного выпуска на GitHub в 2019 году. Разработанный на C#, AsyncRAT включает в себя широкий спектр функциональных возможностей, типичных для RATs, таких как ведение кейлогга, захват экрана и кража учетных данных. Его открытый исходный код позволил широко адаптировать его, что привело к появлению многочисленных форков, каждый из которых содержит изменения и усовершенствования, которые бросают вызов возможностям обнаружения. Несмотря на то, что он имеет модульную архитектуру, что делает его настраиваемым, влияние оригинального AsyncRAT заметно в таких вариантах, как DcRat и VenomRAT, которые интегрировали более продвинутые технологии.

AsyncRAT имеет некоторое сходство с Quasar RAT, более ранним проектом с похожими основами, особенно в его классах криптографии. Однако AsyncRAT полностью переработан со значительными улучшениями, повышающими его эффективность в борьбе с вредоносными операциями. Центральное место в его развертывании занимают такие варианты, как DcRat, который использует передовые технологии передачи данных с помощью MessagePack и интегрирует методы обхода, такие как AMSI и исправление ETW. Это затрудняет для средств защиты выявление вредоносного поведения и реагирование на него. Среди его дополнительных функций - широкая инфраструктура плагинов, которая поддерживает такие возможности, как доступ к веб-камере, запись с микрофона и даже элементарную функцию вымогательства, использующую шифрование AES-256.

VenomRAT, еще один примечательный форк, по-видимому, черпает вдохновение из DcRat, объединяя в себе множество схожих функциональных возможностей. Хотя некоторые форки, такие как SantaRAT и BoratRAT, по-видимому, нацелены на новые виды использования, а не на реальные угрозы, их широкое распространение указывает на то, что даже забавные версии AsyncRAT могут привлечь внимание киберпреступников.

Анализ асинхронных форков включает в себя изучение их конфигураций, часто содержащих информацию о структуре управления (C&C), которая помогает идентифицировать их происхождение. Ключевые методы идентификации включают проверку того, как зашифрованы конфигурации и какие соглашения об именах используются в коде. В некоторых форках даже появились плагины, нацеленные на USB-устройства, демонстрирующие ряд вредоносных возможностей, встроенных в их дизайн. Например, плагин WormUsb.dll компрометирует исполняемые файлы, удаляя заглушку, содержащую вредоносный код под невинным видом.

Недавние результаты указывают на вариант, представленный в 2024 году, который демонстрирует отличительные соглашения по кодированию наряду со стратегиями локализации, такими как плагин для кражи учетных данных браузера и интеграция инструментов из различных проектов с открытым исходным кодом. Это подчеркивает тенденцию к адаптации, которая еще больше стирает границы между враждебными намерениями и творческим использованием в сфере вредоносных программ.

Распространение AsyncRAT и его форков иллюстрирует опасности, которые представляют доступные платформы вредоносных программ с открытым исходным кодом. По мере того, как киберпреступники используют эти инструменты, они становятся все более искусными в создании сложных атак с минимальными затратами ресурсов, что усиливает необходимость в надежных мерах кибербезопасности для противодействия этому меняющемуся ландшафту угроз.

#ParsedReport #CompletenessHigh
15-07-2025

Rainbow Hyena strikes again: new backdoor andshift intactics

https://bi.zone/eng/expertise/blog/rainbow-hyena-snova-atakuet-novyy-bekdor-i-smena-taktik/

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: financially_motivated, hacktivism, cyber_espionage)

Threats:
Spear-phishing_technique
Phantomremote
Polyglot_technique

Victims:
Healthcare organizations, It organizations

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 6
Technics: 0

IOCs:
Command: 6
File: 11
IP: 3
Hash: 11

Algorithms:
zip

Functions:
Sleep, EntryPoint

Win API:
GetComputerNameW, CoCreateGuid

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Rainbow Hyena провела фишинговую кампанию в сфере здравоохранения и информационных технологий в России, используя скомпрометированные электронные письма и изощренные методы уклонения. Они внедрили специальный бэкдор PhantomRemote, который собирает системную информацию и выполняет команды, маскируя свои действия, чтобы избежать обнаружения.
-----

Недавняя фишинговая кампания, организованная хакерской группой, известной как Rainbow Hyena cluster, была направлена против медицинских и IT-организаций в России. В ходе этой кампании были использованы взломанные учетные записи электронной почты законных организаций для распространения вредоносных фишинговых писем. Хакеры использовали сложные методы уклонения, в частности, файлы polyglot и LNK, которые маскировались под законные документы, что повышало их шансы избежать обнаружения системами безопасности.

В фишинговых электронных письмах содержались ссылки на хорошо известные контракты, что создавало видимость достоверности их злонамеренных намерений. В рамках этой кампании злоумышленники внедрили специально созданный бэкдор под названием PhantomRemote. Эта вредоносная программа, разработанная в виде библиотеки PE32+ DLL на C++, предназначена для сбора системной информации и выполнения произвольных команд через интерфейс командной строки (cmd.exe).

PhantomRemote устанавливает связь с сервером управления (C2) посредством HTTP-запросов GET и POST. Примечательно, что вредоносная программа скрывает свой рабочий код, внедряя его в функцию DllMain. Во время взаимодействия с сервером C2 PhantomRemote маскируется, используя заголовки User-Agent, которые имитируют заголовки из законных приложений, в частности YandexUpdate и MicrosoftAppStore. Кроме того, вредоносная программа создает рабочий каталог в папке %ProgramData%, который она называет по-разному, что еще больше способствует ее обманным действиям.

Что касается выполнения команд, то в PhantomRemote предусмотрены временные задержки, выполнение которых может длиться 10 секунд или 1 секунду в зависимости от того, были ли предыдущие команды выполнены успешно или нет. Эту тактику можно рассматривать как метод снижения вероятности обнаружения и снижения эксплуатационных затрат. В целом, кампания демонстрирует передовые методы фишинга, усиливая сохраняющиеся уязвимости, с которыми сталкиваются организации в таких чувствительных секторах, как здравоохранение и информационные технологии.

#ParsedReport #CompletenessMedium
15-07-2025

Threat Intelligence NodeSnake Malware Campaign

https://www.quorumcyber.com/wp-content/uploads/2025/06/20250416-Higher-Education-Sector-RAT.pdf

Report completeness: Medium

Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat

Victims:
Universities, Higher education organisations, Large organisations, High value organisations

Industry:
Education

Geo:
America

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 9
Hash: 4
Url: 1
File: 22
Path: 1

Soft:
Linux

Algorithms:
sha1, md5, sha256, xor

Functions:
Get-Service, Get-PSDrive

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года аналитическая служба Quorum Cyber проанализировала NodeSnake.A и NodeSnake.B - программы на основе JavaScript, нацеленные на высшее образование в Великобритании, с помощью NodeSnake.B обладает расширенными возможностями для выполнения команд в режиме реального времени, скрытности и динамического поведения. Обе программы RAT используют такие методы, как использование действительных учетных записей, команд JavaScript, сохранение реестра и обфускация, что связывает их с группой программ-вымогателей "Interlock", известной своим скрытым доступом и нацеленной на образовательные учреждения. Растущая сложность NodeSnake подчеркивает значительные угрозы кибербезопасности, что требует принятия эффективных контрмер.
-----

В начале 2025 года NodeSnake.A и NodeSnake.B, два троянца для удаленного доступа (RATs), были нацелены на высшие учебные заведения Великобритании. Оба RAT были разработаны на JavaScript и запущены с использованием NodeJS совместно с NodeSnake.B демонстрирует заметные улучшения. NodeSnake.B включает модульную полезную нагрузку, выполнение команд в режиме реального времени и динамическую настройку поведения. Основные методы атаки включают использование действительных учетных записей (T1078) и выполнение сценариев JavaScript (T1059.007). Вредоносная программа обеспечивает сохраняемость с помощью изменений реестра (T1547.001) и использует методы обфускации (T1027). Он также выполняет разведку системы (T1082) и использует протоколы прикладного уровня для эксфильтрации (T1071.001, T1041).

NodeSnake напрямую связан с группой программ-вымогателей "Interlock", которая участвует в кампаниях двойного вымогательства и работает без использования модели "Программа-вымогатель как услуга". Interlock использует методы скрытого доступа, такие как туннели Cloudflare, для обхода мер безопасности. NodeSnake поддерживает доступ с помощью рандомизированных записей в реестре и подключается к заранее определенным, замаскированным серверам C2. Вредоносная программа использует динамическую адаптацию, чтобы избежать обнаружения, включая случайные задержки и различные имена файлов. Ее способность поддерживать несколько типов полезной нагрузки повышает универсальность ее работы. Сектор образования все чаще становится мишенью этих изощренных угроз, что требует принятия более жестких мер кибербезопасности, таких как политика нулевого доверия и расширенное обучение пользователей.

#ParsedReport #CompletenessHigh
15-07-2025

GLOBAL GROUP: Emerging Ransomware-as-a-Service, Supporting AI Driven Negotiation and Mobile Control Panel for Their Affiliates

https://blog.eclecticiq.com/global-group-emerging-ransomware-as-a-service

Report completeness: High

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Eldorado_ransomware
Qtox_tool
Password_spray_technique

Victims:
Healthcare providers, Automotive services firm, Industrial machinery and precision engineering, Business process outsourcing and facilities management services, Law firm

Industry:
Healthcare, Bp_outsourcing, Transport

Geo:
United kingdom, Brazil, Australia, Russia

ChatGPT TTPs:
do not use without manual check
T1001, T1021.002, T1059, T1078, T1105, T1110.003, T1136, T1190, T1210, T1486, have more...

IOCs:
Domain: 2
IP: 1
Hash: 5

Soft:
Microsoft Outlook, Windows service, Linux, macOS, ESXi, SAP NetWeaver, Outlook, Remote Desktop Web Access

Algorithms:
chacha20-poly1305

Languages:
golang

Platforms:
cross-platform

YARA: Found

Links:
https://gist.github.com/whichbuffer/e9c298008395e5dc18fbc4f8180dec58

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLOBAL GROUP, новая программа-вымогатель, вероятно, переименованная из Black Lock RaaS, нацелена на сектора здравоохранения, используя сложные методы через посредников начального доступа, и использует уязвимости в популярных сетевых устройствах. Вредоносная программа, представляющая собой модифицированный вариант Mamona, использует современное шифрование и заявляет о своей необнаруживаемости решениями EDR, предназначенными для крупных утечек данных.
-----

2 июня 2025 года была обнаружена новая группа программ-вымогателей, известная как GLOBAL GROUP, продвигаемая хакером под псевдонимом "$$$" на форуме Ramp4u. Аналитики EclecticIQ полагают, что эта группа, скорее всего, является ребрендингом более ранней операции Black Lock Ransomware-as-a-Service (RaaS), направленной на восстановление доверия и расширение партнерской сети, предлагая партнерам высокий процент выплат выкупа. GLOBAL GROUP управляет специализированным сайтом для утечек данных в сети Tor, связанным с российским VPS-провайдером, ранее связанным с бандой Мамоны Раас, и уже перечислила несколько жертв, в основном в сфере здравоохранения в США, Австралии и Великобритании.

GLOBAL GROUP зарекомендовала себя в экосистеме программ-вымогателей, используя брокеров начального доступа (IAB) для получения доступа к скомпрометированным сетям. Эти брокеры используют различные методы, включая использование уязвимостей в устройствах Fortinet, Palo Alto и Cisco, а также атаки методом "грубой силы" на порталы Microsoft Outlook и RDWeb для получения первоначального доступа. Подход группы к атакам отличается тем, что она использует передовые технологии, в том числе управляемые искусственным интеллектом инструменты ведения переговоров о выкупе, что значительно повышает оперативную эффективность и психологическое давление на жертв. Эта технология позволяет требовать высокий выкуп с целью получения прибыли.

Вредоносная программа, используемая GLOBAL GROUP, представляет собой модифицированный вариант программы-вымогателя Mamona, который обладает расширенными функциональными возможностями для широкого распространения программ-вымогателей по сетям с помощью автоматизированных процессов. Образец программы-вымогателя демонстрирует современные методы шифрования, используя алгоритм ChaCha20-Poly1305, и написан на языке Go, что облегчает быстрое шифрование данных в нескольких операционных системах. Компания EDR solutions позиционирует RaaS как необнаруживаемый, что привлекает потенциальных партнеров в сообществе киберпреступников.

Кроме того, оперативная стратегия предполагает использование связей с другими киберпреступными организациями, такими как IAB под названием "HuanEbashes", которая предлагает RDP-доступ к ценным объектам и инструментам для автоматизации атак методом перебора на VPN. Это партнерство демонстрирует совместный и предпринимательский характер современных программ-вымогателей, ориентированных на крупные центры обработки данных, юридические лица и надежные институциональные сети.

Подводя итог, можно сказать, что появление GLOBAL GROUP как сложного продукта, предлагающего программы-вымогатели как услугу, подчеркивает эволюцию хакерской среды, в которой ребрендинг, партнерские сети и использование технологий объединяются для создания более рациональных и эффективных средств проведения атак с использованием программ-вымогателей. Последствия для кибербезопасности значительны, что требует повышенной бдительности, усовершенствованной сетевой защиты и упреждающего анализа угроз для противодействия этим организованным и технологически продвинутым враждебным операциям.

#ParsedReport #CompletenessLow
15-07-2025

Fake Android Money Transfer App Targeting Bengali-Speaking Users

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-money-transfer-app-targeting-bengali-speaking-users/

Report completeness: Low

Victims:
Bengali-speaking users, Bangladeshi expatriates

Industry:
E-commerce, Financial

Geo:
Oman, India, Saudi arabia, Bangladesh, Canada, Asia, Maldives, Arab emirates, United arab emirates, Malaysia

ChatGPT TTPs:
do not use without manual check
T1071, T1078, T1204, T1566, T1583.006, T1584.001, T1589

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4