CTT Report Hub
#ParsedReport #CompletenessMedium 15-07-2025 Unmasking AsyncRAT: Navigating the labyrinth of forks https://www.welivesecurity.com/en/eset-research/unmasking-asyncrat-navigating-labyrinth-forks/ Report completeness: Medium Threats: Asyncrat Noneuclid_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AsyncRAT, асинхронный троян для удаленного доступа, выпущенный в 2019 году, обладает функциями кейлоггинга, захвата экрана и кражи учетных данных. Его модульная архитектура позволяет создавать различные продвинутые версии, такие как DcRat и VenomRAT, которые используют такие методы, как AMSI и ETW-исправления для уклонения. Последние версии включают плагины для кражи учетных данных и USB-эксплойтов, что подчеркивает риски, связанные с доступными платформами вредоносного ПО с открытым исходным кодом.
-----
AsyncRAT, или троян асинхронного удаленного доступа, стал важным игроком на рынке вредоносных программ с момента его публичного выпуска на GitHub в 2019 году. Разработанный на C#, AsyncRAT включает в себя широкий спектр функциональных возможностей, типичных для RATs, таких как ведение кейлогга, захват экрана и кража учетных данных. Его открытый исходный код позволил широко адаптировать его, что привело к появлению многочисленных форков, каждый из которых содержит изменения и усовершенствования, которые бросают вызов возможностям обнаружения. Несмотря на то, что он имеет модульную архитектуру, что делает его настраиваемым, влияние оригинального AsyncRAT заметно в таких вариантах, как DcRat и VenomRAT, которые интегрировали более продвинутые технологии.
AsyncRAT имеет некоторое сходство с Quasar RAT, более ранним проектом с похожими основами, особенно в его классах криптографии. Однако AsyncRAT полностью переработан со значительными улучшениями, повышающими его эффективность в борьбе с вредоносными операциями. Центральное место в его развертывании занимают такие варианты, как DcRat, который использует передовые технологии передачи данных с помощью MessagePack и интегрирует методы обхода, такие как AMSI и исправление ETW. Это затрудняет для средств защиты выявление вредоносного поведения и реагирование на него. Среди его дополнительных функций - широкая инфраструктура плагинов, которая поддерживает такие возможности, как доступ к веб-камере, запись с микрофона и даже элементарную функцию вымогательства, использующую шифрование AES-256.
VenomRAT, еще один примечательный форк, по-видимому, черпает вдохновение из DcRat, объединяя в себе множество схожих функциональных возможностей. Хотя некоторые форки, такие как SantaRAT и BoratRAT, по-видимому, нацелены на новые виды использования, а не на реальные угрозы, их широкое распространение указывает на то, что даже забавные версии AsyncRAT могут привлечь внимание киберпреступников.
Анализ асинхронных форков включает в себя изучение их конфигураций, часто содержащих информацию о структуре управления (C&C), которая помогает идентифицировать их происхождение. Ключевые методы идентификации включают проверку того, как зашифрованы конфигурации и какие соглашения об именах используются в коде. В некоторых форках даже появились плагины, нацеленные на USB-устройства, демонстрирующие ряд вредоносных возможностей, встроенных в их дизайн. Например, плагин WormUsb.dll компрометирует исполняемые файлы, удаляя заглушку, содержащую вредоносный код под невинным видом.
Недавние результаты указывают на вариант, представленный в 2024 году, который демонстрирует отличительные соглашения по кодированию наряду со стратегиями локализации, такими как плагин для кражи учетных данных браузера и интеграция инструментов из различных проектов с открытым исходным кодом. Это подчеркивает тенденцию к адаптации, которая еще больше стирает границы между враждебными намерениями и творческим использованием в сфере вредоносных программ.
Распространение AsyncRAT и его форков иллюстрирует опасности, которые представляют доступные платформы вредоносных программ с открытым исходным кодом. По мере того, как киберпреступники используют эти инструменты, они становятся все более искусными в создании сложных атак с минимальными затратами ресурсов, что усиливает необходимость в надежных мерах кибербезопасности для противодействия этому меняющемуся ландшафту угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AsyncRAT, асинхронный троян для удаленного доступа, выпущенный в 2019 году, обладает функциями кейлоггинга, захвата экрана и кражи учетных данных. Его модульная архитектура позволяет создавать различные продвинутые версии, такие как DcRat и VenomRAT, которые используют такие методы, как AMSI и ETW-исправления для уклонения. Последние версии включают плагины для кражи учетных данных и USB-эксплойтов, что подчеркивает риски, связанные с доступными платформами вредоносного ПО с открытым исходным кодом.
-----
AsyncRAT, или троян асинхронного удаленного доступа, стал важным игроком на рынке вредоносных программ с момента его публичного выпуска на GitHub в 2019 году. Разработанный на C#, AsyncRAT включает в себя широкий спектр функциональных возможностей, типичных для RATs, таких как ведение кейлогга, захват экрана и кража учетных данных. Его открытый исходный код позволил широко адаптировать его, что привело к появлению многочисленных форков, каждый из которых содержит изменения и усовершенствования, которые бросают вызов возможностям обнаружения. Несмотря на то, что он имеет модульную архитектуру, что делает его настраиваемым, влияние оригинального AsyncRAT заметно в таких вариантах, как DcRat и VenomRAT, которые интегрировали более продвинутые технологии.
AsyncRAT имеет некоторое сходство с Quasar RAT, более ранним проектом с похожими основами, особенно в его классах криптографии. Однако AsyncRAT полностью переработан со значительными улучшениями, повышающими его эффективность в борьбе с вредоносными операциями. Центральное место в его развертывании занимают такие варианты, как DcRat, который использует передовые технологии передачи данных с помощью MessagePack и интегрирует методы обхода, такие как AMSI и исправление ETW. Это затрудняет для средств защиты выявление вредоносного поведения и реагирование на него. Среди его дополнительных функций - широкая инфраструктура плагинов, которая поддерживает такие возможности, как доступ к веб-камере, запись с микрофона и даже элементарную функцию вымогательства, использующую шифрование AES-256.
VenomRAT, еще один примечательный форк, по-видимому, черпает вдохновение из DcRat, объединяя в себе множество схожих функциональных возможностей. Хотя некоторые форки, такие как SantaRAT и BoratRAT, по-видимому, нацелены на новые виды использования, а не на реальные угрозы, их широкое распространение указывает на то, что даже забавные версии AsyncRAT могут привлечь внимание киберпреступников.
Анализ асинхронных форков включает в себя изучение их конфигураций, часто содержащих информацию о структуре управления (C&C), которая помогает идентифицировать их происхождение. Ключевые методы идентификации включают проверку того, как зашифрованы конфигурации и какие соглашения об именах используются в коде. В некоторых форках даже появились плагины, нацеленные на USB-устройства, демонстрирующие ряд вредоносных возможностей, встроенных в их дизайн. Например, плагин WormUsb.dll компрометирует исполняемые файлы, удаляя заглушку, содержащую вредоносный код под невинным видом.
Недавние результаты указывают на вариант, представленный в 2024 году, который демонстрирует отличительные соглашения по кодированию наряду со стратегиями локализации, такими как плагин для кражи учетных данных браузера и интеграция инструментов из различных проектов с открытым исходным кодом. Это подчеркивает тенденцию к адаптации, которая еще больше стирает границы между враждебными намерениями и творческим использованием в сфере вредоносных программ.
Распространение AsyncRAT и его форков иллюстрирует опасности, которые представляют доступные платформы вредоносных программ с открытым исходным кодом. По мере того, как киберпреступники используют эти инструменты, они становятся все более искусными в создании сложных атак с минимальными затратами ресурсов, что усиливает необходимость в надежных мерах кибербезопасности для противодействия этому меняющемуся ландшафту угроз.
#ParsedReport #CompletenessHigh
15-07-2025
Rainbow Hyena strikes again: new backdoor andshift intactics
https://bi.zone/eng/expertise/blog/rainbow-hyena-snova-atakuet-novyy-bekdor-i-smena-taktik/
Report completeness: High
Actors/Campaigns:
Head_mare (motivation: financially_motivated, hacktivism, cyber_espionage)
Threats:
Spear-phishing_technique
Phantomremote
Polyglot_technique
Victims:
Healthcare organizations, It organizations
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 6
Technics: 0
IOCs:
Command: 6
File: 11
IP: 3
Hash: 11
Algorithms:
zip
Functions:
Sleep, EntryPoint
Win API:
GetComputerNameW, CoCreateGuid
Languages:
powershell
15-07-2025
Rainbow Hyena strikes again: new backdoor andshift intactics
https://bi.zone/eng/expertise/blog/rainbow-hyena-snova-atakuet-novyy-bekdor-i-smena-taktik/
Report completeness: High
Actors/Campaigns:
Head_mare (motivation: financially_motivated, hacktivism, cyber_espionage)
Threats:
Spear-phishing_technique
Phantomremote
Polyglot_technique
Victims:
Healthcare organizations, It organizations
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 6
Technics: 0
IOCs:
Command: 6
File: 11
IP: 3
Hash: 11
Algorithms:
zip
Functions:
Sleep, EntryPoint
Win API:
GetComputerNameW, CoCreateGuid
Languages:
powershell
BI.ZONE
Rainbow Hyena strikes again: new backdoor and shift in tactics
A new phishing campaign targeted healthcare and IT organizations. The hacktivists were using polyglot and LNK files mimicking legitimate documents to evade detection
CTT Report Hub
#ParsedReport #CompletenessHigh 15-07-2025 Rainbow Hyena strikes again: new backdoor andshift intactics https://bi.zone/eng/expertise/blog/rainbow-hyena-snova-atakuet-novyy-bekdor-i-smena-taktik/ Report completeness: High Actors/Campaigns: Head_mare (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Rainbow Hyena провела фишинговую кампанию в сфере здравоохранения и информационных технологий в России, используя скомпрометированные электронные письма и изощренные методы уклонения. Они внедрили специальный бэкдор PhantomRemote, который собирает системную информацию и выполняет команды, маскируя свои действия, чтобы избежать обнаружения.
-----
Недавняя фишинговая кампания, организованная хакерской группой, известной как Rainbow Hyena cluster, была направлена против медицинских и IT-организаций в России. В ходе этой кампании были использованы взломанные учетные записи электронной почты законных организаций для распространения вредоносных фишинговых писем. Хакеры использовали сложные методы уклонения, в частности, файлы polyglot и LNK, которые маскировались под законные документы, что повышало их шансы избежать обнаружения системами безопасности.
В фишинговых электронных письмах содержались ссылки на хорошо известные контракты, что создавало видимость достоверности их злонамеренных намерений. В рамках этой кампании злоумышленники внедрили специально созданный бэкдор под названием PhantomRemote. Эта вредоносная программа, разработанная в виде библиотеки PE32+ DLL на C++, предназначена для сбора системной информации и выполнения произвольных команд через интерфейс командной строки (cmd.exe).
PhantomRemote устанавливает связь с сервером управления (C2) посредством HTTP-запросов GET и POST. Примечательно, что вредоносная программа скрывает свой рабочий код, внедряя его в функцию DllMain. Во время взаимодействия с сервером C2 PhantomRemote маскируется, используя заголовки User-Agent, которые имитируют заголовки из законных приложений, в частности YandexUpdate и MicrosoftAppStore. Кроме того, вредоносная программа создает рабочий каталог в папке %ProgramData%, который она называет по-разному, что еще больше способствует ее обманным действиям.
Что касается выполнения команд, то в PhantomRemote предусмотрены временные задержки, выполнение которых может длиться 10 секунд или 1 секунду в зависимости от того, были ли предыдущие команды выполнены успешно или нет. Эту тактику можно рассматривать как метод снижения вероятности обнаружения и снижения эксплуатационных затрат. В целом, кампания демонстрирует передовые методы фишинга, усиливая сохраняющиеся уязвимости, с которыми сталкиваются организации в таких чувствительных секторах, как здравоохранение и информационные технологии.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Rainbow Hyena провела фишинговую кампанию в сфере здравоохранения и информационных технологий в России, используя скомпрометированные электронные письма и изощренные методы уклонения. Они внедрили специальный бэкдор PhantomRemote, который собирает системную информацию и выполняет команды, маскируя свои действия, чтобы избежать обнаружения.
-----
Недавняя фишинговая кампания, организованная хакерской группой, известной как Rainbow Hyena cluster, была направлена против медицинских и IT-организаций в России. В ходе этой кампании были использованы взломанные учетные записи электронной почты законных организаций для распространения вредоносных фишинговых писем. Хакеры использовали сложные методы уклонения, в частности, файлы polyglot и LNK, которые маскировались под законные документы, что повышало их шансы избежать обнаружения системами безопасности.
В фишинговых электронных письмах содержались ссылки на хорошо известные контракты, что создавало видимость достоверности их злонамеренных намерений. В рамках этой кампании злоумышленники внедрили специально созданный бэкдор под названием PhantomRemote. Эта вредоносная программа, разработанная в виде библиотеки PE32+ DLL на C++, предназначена для сбора системной информации и выполнения произвольных команд через интерфейс командной строки (cmd.exe).
PhantomRemote устанавливает связь с сервером управления (C2) посредством HTTP-запросов GET и POST. Примечательно, что вредоносная программа скрывает свой рабочий код, внедряя его в функцию DllMain. Во время взаимодействия с сервером C2 PhantomRemote маскируется, используя заголовки User-Agent, которые имитируют заголовки из законных приложений, в частности YandexUpdate и MicrosoftAppStore. Кроме того, вредоносная программа создает рабочий каталог в папке %ProgramData%, который она называет по-разному, что еще больше способствует ее обманным действиям.
Что касается выполнения команд, то в PhantomRemote предусмотрены временные задержки, выполнение которых может длиться 10 секунд или 1 секунду в зависимости от того, были ли предыдущие команды выполнены успешно или нет. Эту тактику можно рассматривать как метод снижения вероятности обнаружения и снижения эксплуатационных затрат. В целом, кампания демонстрирует передовые методы фишинга, усиливая сохраняющиеся уязвимости, с которыми сталкиваются организации в таких чувствительных секторах, как здравоохранение и информационные технологии.
#ParsedReport #CompletenessMedium
15-07-2025
Threat Intelligence NodeSnake Malware Campaign
https://www.quorumcyber.com/wp-content/uploads/2025/06/20250416-Higher-Education-Sector-RAT.pdf
Report completeness: Medium
Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat
Victims:
Universities, Higher education organisations, Large organisations, High value organisations
Industry:
Education
Geo:
America
TTPs:
Tactics: 8
Technics: 7
IOCs:
Domain: 9
Hash: 4
Url: 1
File: 22
Path: 1
Soft:
Linux
Algorithms:
sha1, md5, sha256, xor
Functions:
Get-Service, Get-PSDrive
Languages:
javascript, powershell
15-07-2025
Threat Intelligence NodeSnake Malware Campaign
https://www.quorumcyber.com/wp-content/uploads/2025/06/20250416-Higher-Education-Sector-RAT.pdf
Report completeness: Medium
Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat
Victims:
Universities, Higher education organisations, Large organisations, High value organisations
Industry:
Education
Geo:
America
TTPs:
Tactics: 8
Technics: 7
IOCs:
Domain: 9
Hash: 4
Url: 1
File: 22
Path: 1
Soft:
Linux
Algorithms:
sha1, md5, sha256, xor
Functions:
Get-Service, Get-PSDrive
Languages:
javascript, powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 15-07-2025 Threat Intelligence NodeSnake Malware Campaign https://www.quorumcyber.com/wp-content/uploads/2025/06/20250416-Higher-Education-Sector-RAT.pdf Report completeness: Medium Threats: Nodesnake Interlock Xworm_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2025 года аналитическая служба Quorum Cyber проанализировала NodeSnake.A и NodeSnake.B - программы на основе JavaScript, нацеленные на высшее образование в Великобритании, с помощью NodeSnake.B обладает расширенными возможностями для выполнения команд в режиме реального времени, скрытности и динамического поведения. Обе программы RAT используют такие методы, как использование действительных учетных записей, команд JavaScript, сохранение реестра и обфускация, что связывает их с группой программ-вымогателей "Interlock", известной своим скрытым доступом и нацеленной на образовательные учреждения. Растущая сложность NodeSnake подчеркивает значительные угрозы кибербезопасности, что требует принятия эффективных контрмер.
-----
В начале 2025 года NodeSnake.A и NodeSnake.B, два троянца для удаленного доступа (RATs), были нацелены на высшие учебные заведения Великобритании. Оба RAT были разработаны на JavaScript и запущены с использованием NodeJS совместно с NodeSnake.B демонстрирует заметные улучшения. NodeSnake.B включает модульную полезную нагрузку, выполнение команд в режиме реального времени и динамическую настройку поведения. Основные методы атаки включают использование действительных учетных записей (T1078) и выполнение сценариев JavaScript (T1059.007). Вредоносная программа обеспечивает сохраняемость с помощью изменений реестра (T1547.001) и использует методы обфускации (T1027). Он также выполняет разведку системы (T1082) и использует протоколы прикладного уровня для эксфильтрации (T1071.001, T1041).
NodeSnake напрямую связан с группой программ-вымогателей "Interlock", которая участвует в кампаниях двойного вымогательства и работает без использования модели "Программа-вымогатель как услуга". Interlock использует методы скрытого доступа, такие как туннели Cloudflare, для обхода мер безопасности. NodeSnake поддерживает доступ с помощью рандомизированных записей в реестре и подключается к заранее определенным, замаскированным серверам C2. Вредоносная программа использует динамическую адаптацию, чтобы избежать обнаружения, включая случайные задержки и различные имена файлов. Ее способность поддерживать несколько типов полезной нагрузки повышает универсальность ее работы. Сектор образования все чаще становится мишенью этих изощренных угроз, что требует принятия более жестких мер кибербезопасности, таких как политика нулевого доверия и расширенное обучение пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В начале 2025 года аналитическая служба Quorum Cyber проанализировала NodeSnake.A и NodeSnake.B - программы на основе JavaScript, нацеленные на высшее образование в Великобритании, с помощью NodeSnake.B обладает расширенными возможностями для выполнения команд в режиме реального времени, скрытности и динамического поведения. Обе программы RAT используют такие методы, как использование действительных учетных записей, команд JavaScript, сохранение реестра и обфускация, что связывает их с группой программ-вымогателей "Interlock", известной своим скрытым доступом и нацеленной на образовательные учреждения. Растущая сложность NodeSnake подчеркивает значительные угрозы кибербезопасности, что требует принятия эффективных контрмер.
-----
В начале 2025 года NodeSnake.A и NodeSnake.B, два троянца для удаленного доступа (RATs), были нацелены на высшие учебные заведения Великобритании. Оба RAT были разработаны на JavaScript и запущены с использованием NodeJS совместно с NodeSnake.B демонстрирует заметные улучшения. NodeSnake.B включает модульную полезную нагрузку, выполнение команд в режиме реального времени и динамическую настройку поведения. Основные методы атаки включают использование действительных учетных записей (T1078) и выполнение сценариев JavaScript (T1059.007). Вредоносная программа обеспечивает сохраняемость с помощью изменений реестра (T1547.001) и использует методы обфускации (T1027). Он также выполняет разведку системы (T1082) и использует протоколы прикладного уровня для эксфильтрации (T1071.001, T1041).
NodeSnake напрямую связан с группой программ-вымогателей "Interlock", которая участвует в кампаниях двойного вымогательства и работает без использования модели "Программа-вымогатель как услуга". Interlock использует методы скрытого доступа, такие как туннели Cloudflare, для обхода мер безопасности. NodeSnake поддерживает доступ с помощью рандомизированных записей в реестре и подключается к заранее определенным, замаскированным серверам C2. Вредоносная программа использует динамическую адаптацию, чтобы избежать обнаружения, включая случайные задержки и различные имена файлов. Ее способность поддерживать несколько типов полезной нагрузки повышает универсальность ее работы. Сектор образования все чаще становится мишенью этих изощренных угроз, что требует принятия более жестких мер кибербезопасности, таких как политика нулевого доверия и расширенное обучение пользователей.
#ParsedReport #CompletenessHigh
15-07-2025
GLOBAL GROUP: Emerging Ransomware-as-a-Service, Supporting AI Driven Negotiation and Mobile Control Panel for Their Affiliates
https://blog.eclecticiq.com/global-group-emerging-ransomware-as-a-service
Report completeness: High
Actors/Campaigns:
Huanebashes
Threats:
Global-group-raas
Mamona
Eldorado_ransomware
Qtox_tool
Password_spray_technique
Victims:
Healthcare providers, Automotive services firm, Industrial machinery and precision engineering, Business process outsourcing and facilities management services, Law firm
Industry:
Healthcare, Bp_outsourcing, Transport
Geo:
United kingdom, Brazil, Australia, Russia
ChatGPT TTPs:
T1001, T1021.002, T1059, T1078, T1105, T1110.003, T1136, T1190, T1210, T1486, have more...
IOCs:
Domain: 2
IP: 1
Hash: 5
Soft:
Microsoft Outlook, Windows service, Linux, macOS, ESXi, SAP NetWeaver, Outlook, Remote Desktop Web Access
Algorithms:
chacha20-poly1305
Languages:
golang
Platforms:
cross-platform
YARA: Found
Links:
15-07-2025
GLOBAL GROUP: Emerging Ransomware-as-a-Service, Supporting AI Driven Negotiation and Mobile Control Panel for Their Affiliates
https://blog.eclecticiq.com/global-group-emerging-ransomware-as-a-service
Report completeness: High
Actors/Campaigns:
Huanebashes
Threats:
Global-group-raas
Mamona
Eldorado_ransomware
Qtox_tool
Password_spray_technique
Victims:
Healthcare providers, Automotive services firm, Industrial machinery and precision engineering, Business process outsourcing and facilities management services, Law firm
Industry:
Healthcare, Bp_outsourcing, Transport
Geo:
United kingdom, Brazil, Australia, Russia
ChatGPT TTPs:
do not use without manual checkT1001, T1021.002, T1059, T1078, T1105, T1110.003, T1136, T1190, T1210, T1486, have more...
IOCs:
Domain: 2
IP: 1
Hash: 5
Soft:
Microsoft Outlook, Windows service, Linux, macOS, ESXi, SAP NetWeaver, Outlook, Remote Desktop Web Access
Algorithms:
chacha20-poly1305
Languages:
golang
Platforms:
cross-platform
YARA: Found
Links:
https://gist.github.com/whichbuffer/e9c298008395e5dc18fbc4f8180dec58Eclecticiq
GLOBAL GROUP: Emerging Ransomware-as-a-Service, supporting AI driven negotiation and mobile control panel for their affiliates
Discover GLOBAL GROUP, a new Ransomware-as-a-Service (RaaS) threat emerging in 2025. With AI-powered negotiations and a mobile control panel for affiliates, this rebranded operation expands its reach across the U.S. and Europe. Learn about their tactics,…
CTT Report Hub
#ParsedReport #CompletenessHigh 15-07-2025 GLOBAL GROUP: Emerging Ransomware-as-a-Service, Supporting AI Driven Negotiation and Mobile Control Panel for Their Affiliates https://blog.eclecticiq.com/global-group-emerging-ransomware-as-a-service Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GLOBAL GROUP, новая программа-вымогатель, вероятно, переименованная из Black Lock RaaS, нацелена на сектора здравоохранения, используя сложные методы через посредников начального доступа, и использует уязвимости в популярных сетевых устройствах. Вредоносная программа, представляющая собой модифицированный вариант Mamona, использует современное шифрование и заявляет о своей необнаруживаемости решениями EDR, предназначенными для крупных утечек данных.
-----
2 июня 2025 года была обнаружена новая группа программ-вымогателей, известная как GLOBAL GROUP, продвигаемая хакером под псевдонимом "$$$" на форуме Ramp4u. Аналитики EclecticIQ полагают, что эта группа, скорее всего, является ребрендингом более ранней операции Black Lock Ransomware-as-a-Service (RaaS), направленной на восстановление доверия и расширение партнерской сети, предлагая партнерам высокий процент выплат выкупа. GLOBAL GROUP управляет специализированным сайтом для утечек данных в сети Tor, связанным с российским VPS-провайдером, ранее связанным с бандой Мамоны Раас, и уже перечислила несколько жертв, в основном в сфере здравоохранения в США, Австралии и Великобритании.
GLOBAL GROUP зарекомендовала себя в экосистеме программ-вымогателей, используя брокеров начального доступа (IAB) для получения доступа к скомпрометированным сетям. Эти брокеры используют различные методы, включая использование уязвимостей в устройствах Fortinet, Palo Alto и Cisco, а также атаки методом "грубой силы" на порталы Microsoft Outlook и RDWeb для получения первоначального доступа. Подход группы к атакам отличается тем, что она использует передовые технологии, в том числе управляемые искусственным интеллектом инструменты ведения переговоров о выкупе, что значительно повышает оперативную эффективность и психологическое давление на жертв. Эта технология позволяет требовать высокий выкуп с целью получения прибыли.
Вредоносная программа, используемая GLOBAL GROUP, представляет собой модифицированный вариант программы-вымогателя Mamona, который обладает расширенными функциональными возможностями для широкого распространения программ-вымогателей по сетям с помощью автоматизированных процессов. Образец программы-вымогателя демонстрирует современные методы шифрования, используя алгоритм ChaCha20-Poly1305, и написан на языке Go, что облегчает быстрое шифрование данных в нескольких операционных системах. Компания EDR solutions позиционирует RaaS как необнаруживаемый, что привлекает потенциальных партнеров в сообществе киберпреступников.
Кроме того, оперативная стратегия предполагает использование связей с другими киберпреступными организациями, такими как IAB под названием "HuanEbashes", которая предлагает RDP-доступ к ценным объектам и инструментам для автоматизации атак методом перебора на VPN. Это партнерство демонстрирует совместный и предпринимательский характер современных программ-вымогателей, ориентированных на крупные центры обработки данных, юридические лица и надежные институциональные сети.
Подводя итог, можно сказать, что появление GLOBAL GROUP как сложного продукта, предлагающего программы-вымогатели как услугу, подчеркивает эволюцию хакерской среды, в которой ребрендинг, партнерские сети и использование технологий объединяются для создания более рациональных и эффективных средств проведения атак с использованием программ-вымогателей. Последствия для кибербезопасности значительны, что требует повышенной бдительности, усовершенствованной сетевой защиты и упреждающего анализа угроз для противодействия этим организованным и технологически продвинутым враждебным операциям.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GLOBAL GROUP, новая программа-вымогатель, вероятно, переименованная из Black Lock RaaS, нацелена на сектора здравоохранения, используя сложные методы через посредников начального доступа, и использует уязвимости в популярных сетевых устройствах. Вредоносная программа, представляющая собой модифицированный вариант Mamona, использует современное шифрование и заявляет о своей необнаруживаемости решениями EDR, предназначенными для крупных утечек данных.
-----
2 июня 2025 года была обнаружена новая группа программ-вымогателей, известная как GLOBAL GROUP, продвигаемая хакером под псевдонимом "$$$" на форуме Ramp4u. Аналитики EclecticIQ полагают, что эта группа, скорее всего, является ребрендингом более ранней операции Black Lock Ransomware-as-a-Service (RaaS), направленной на восстановление доверия и расширение партнерской сети, предлагая партнерам высокий процент выплат выкупа. GLOBAL GROUP управляет специализированным сайтом для утечек данных в сети Tor, связанным с российским VPS-провайдером, ранее связанным с бандой Мамоны Раас, и уже перечислила несколько жертв, в основном в сфере здравоохранения в США, Австралии и Великобритании.
GLOBAL GROUP зарекомендовала себя в экосистеме программ-вымогателей, используя брокеров начального доступа (IAB) для получения доступа к скомпрометированным сетям. Эти брокеры используют различные методы, включая использование уязвимостей в устройствах Fortinet, Palo Alto и Cisco, а также атаки методом "грубой силы" на порталы Microsoft Outlook и RDWeb для получения первоначального доступа. Подход группы к атакам отличается тем, что она использует передовые технологии, в том числе управляемые искусственным интеллектом инструменты ведения переговоров о выкупе, что значительно повышает оперативную эффективность и психологическое давление на жертв. Эта технология позволяет требовать высокий выкуп с целью получения прибыли.
Вредоносная программа, используемая GLOBAL GROUP, представляет собой модифицированный вариант программы-вымогателя Mamona, который обладает расширенными функциональными возможностями для широкого распространения программ-вымогателей по сетям с помощью автоматизированных процессов. Образец программы-вымогателя демонстрирует современные методы шифрования, используя алгоритм ChaCha20-Poly1305, и написан на языке Go, что облегчает быстрое шифрование данных в нескольких операционных системах. Компания EDR solutions позиционирует RaaS как необнаруживаемый, что привлекает потенциальных партнеров в сообществе киберпреступников.
Кроме того, оперативная стратегия предполагает использование связей с другими киберпреступными организациями, такими как IAB под названием "HuanEbashes", которая предлагает RDP-доступ к ценным объектам и инструментам для автоматизации атак методом перебора на VPN. Это партнерство демонстрирует совместный и предпринимательский характер современных программ-вымогателей, ориентированных на крупные центры обработки данных, юридические лица и надежные институциональные сети.
Подводя итог, можно сказать, что появление GLOBAL GROUP как сложного продукта, предлагающего программы-вымогатели как услугу, подчеркивает эволюцию хакерской среды, в которой ребрендинг, партнерские сети и использование технологий объединяются для создания более рациональных и эффективных средств проведения атак с использованием программ-вымогателей. Последствия для кибербезопасности значительны, что требует повышенной бдительности, усовершенствованной сетевой защиты и упреждающего анализа угроз для противодействия этим организованным и технологически продвинутым враждебным операциям.
#ParsedReport #CompletenessLow
15-07-2025
Fake Android Money Transfer App Targeting Bengali-Speaking Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-money-transfer-app-targeting-bengali-speaking-users/
Report completeness: Low
Victims:
Bengali-speaking users, Bangladeshi expatriates
Industry:
E-commerce, Financial
Geo:
Oman, India, Saudi arabia, Bangladesh, Canada, Asia, Maldives, Arab emirates, United arab emirates, Malaysia
ChatGPT TTPs:
T1071, T1078, T1204, T1566, T1583.006, T1584.001, T1589
Soft:
Android, Google Play
15-07-2025
Fake Android Money Transfer App Targeting Bengali-Speaking Users
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-money-transfer-app-targeting-bengali-speaking-users/
Report completeness: Low
Victims:
Bengali-speaking users, Bangladeshi expatriates
Industry:
E-commerce, Financial
Geo:
Oman, India, Saudi arabia, Bangladesh, Canada, Asia, Maldives, Arab emirates, United arab emirates, Malaysia
ChatGPT TTPs:
do not use without manual checkT1071, T1078, T1204, T1566, T1583.006, T1584.001, T1589
Soft:
Android, Google Play
McAfee Blog
Fake Android Money Transfer App Targeting Bengali-Speaking Users | McAfee Blog
Authored by Dexter Shin McAfee’s Mobile Research Team discovered a new and active Android malware campaign targeting Bengali-speaking users, mainly
CTT Report Hub
#ParsedReport #CompletenessLow 15-07-2025 Fake Android Money Transfer App Targeting Bengali-Speaking Users https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-money-transfer-app-targeting-bengali-speaking-users/ Report completeness: Low Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая вредоносная программа для Android, получившая название Android / FakeApp, нацелена на бенгальскоязычных экспатриантов, маскируясь под законные финансовые приложения. Она крадет конфиденциальную личную информацию через фишинговые веб-сайты и не обеспечивает безопасность сервера C2, что приводит к потенциальной краже личных данных.
-----
Недавнее открытие, сделанное исследовательской группой McAfee по мобильным технологиям, выявило масштабную и активную кампанию вредоносных программ для Android, специально предназначенных для бенгальскоязычных пользователей, преимущественно выходцев из Бангладеш. Вредоносное ПО маскируется под законные финансовые приложения, включая TapTap Send и AlimaPay, и распространяется в основном через фишинговые веб-сайты и обманчивые страницы Facebook. Эта угроза характеризуется способностью похищать конфиденциальную личную и финансовую информацию пользователей, используя в своих интересах зависимость сообщества от сервисов мобильных платежей для осуществления денежных переводов и проверки личности.
Сервер управления (C2), связанный с этим вредоносным ПО, все еще работает, подключенный к многочисленным изменяющимся доменам, что указывает на продолжающуюся адаптивную кампанию. Хотя методы, использованные при этой атаке, не являются новаторскими, культурная специфика кампании демонстрирует эволюцию тактики киберпреступников, позволяющую им эффективно использовать доверие бенгальской диаспоры. McAfee классифицировала вредоносное ПО под названием Android/FakeApp для обнаружения.
Вредоносное ПО функционирует с помощью тщательно разработанных процедур регистрации, которые запрашивают у пользователей личную информацию, включая имена, адреса электронной почты, номера телефонов и официальные удостоверения личности, такие как паспорта. Приложение имитирует законные финансовые операции, предлагая пользователям подтвердить свою личность и создать учетные данные учетной записи. Для этого в нем представлен пользовательский интерфейс, напоминающий настоящие финансовые приложения, с пиктограммами для различных банковских функций. Такой имитированный интерфейс вселяет уверенность в пользователей, повышая их готовность раскрывать конфиденциальную информацию.
Критическим аспектом кампании является недостаточная защищенность сервера C2, на котором хранятся все собранные данные без применения элементарных мер защиты. Это позволяет получить несанкционированный доступ к собранным персональным данным, что увеличивает вероятность кражи личных данных и мошенничества. Примечательно, что данные телеметрии указывают на сосредоточенность операций в регионах с большим количеством бангладешцев, таких как Саудовская Аравия, Малайзия и ОАЭ, что подчеркивает намерение атаки использовать экономическую и цифровую активность бангладешского сообщества экспатриантов.
По мере развития этой кампании появляются новые варианты и тактика фишинга доменов. Пользователи из этой демографической группы все чаще становятся мишенью для атак через социальные сети, такие как Facebook, где злоумышленники используют знакомый бренд и связи в сообществах, чтобы завоевать доверие. Следовательно, при использовании финансовых услуг онлайн важно проявлять бдительность. Пользователям рекомендуется загружать приложения исключительно из авторитетных источников, таких как Google Play Store, и проявлять осторожность при предоставлении личной или финансовой информации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Новая вредоносная программа для Android, получившая название Android / FakeApp, нацелена на бенгальскоязычных экспатриантов, маскируясь под законные финансовые приложения. Она крадет конфиденциальную личную информацию через фишинговые веб-сайты и не обеспечивает безопасность сервера C2, что приводит к потенциальной краже личных данных.
-----
Недавнее открытие, сделанное исследовательской группой McAfee по мобильным технологиям, выявило масштабную и активную кампанию вредоносных программ для Android, специально предназначенных для бенгальскоязычных пользователей, преимущественно выходцев из Бангладеш. Вредоносное ПО маскируется под законные финансовые приложения, включая TapTap Send и AlimaPay, и распространяется в основном через фишинговые веб-сайты и обманчивые страницы Facebook. Эта угроза характеризуется способностью похищать конфиденциальную личную и финансовую информацию пользователей, используя в своих интересах зависимость сообщества от сервисов мобильных платежей для осуществления денежных переводов и проверки личности.
Сервер управления (C2), связанный с этим вредоносным ПО, все еще работает, подключенный к многочисленным изменяющимся доменам, что указывает на продолжающуюся адаптивную кампанию. Хотя методы, использованные при этой атаке, не являются новаторскими, культурная специфика кампании демонстрирует эволюцию тактики киберпреступников, позволяющую им эффективно использовать доверие бенгальской диаспоры. McAfee классифицировала вредоносное ПО под названием Android/FakeApp для обнаружения.
Вредоносное ПО функционирует с помощью тщательно разработанных процедур регистрации, которые запрашивают у пользователей личную информацию, включая имена, адреса электронной почты, номера телефонов и официальные удостоверения личности, такие как паспорта. Приложение имитирует законные финансовые операции, предлагая пользователям подтвердить свою личность и создать учетные данные учетной записи. Для этого в нем представлен пользовательский интерфейс, напоминающий настоящие финансовые приложения, с пиктограммами для различных банковских функций. Такой имитированный интерфейс вселяет уверенность в пользователей, повышая их готовность раскрывать конфиденциальную информацию.
Критическим аспектом кампании является недостаточная защищенность сервера C2, на котором хранятся все собранные данные без применения элементарных мер защиты. Это позволяет получить несанкционированный доступ к собранным персональным данным, что увеличивает вероятность кражи личных данных и мошенничества. Примечательно, что данные телеметрии указывают на сосредоточенность операций в регионах с большим количеством бангладешцев, таких как Саудовская Аравия, Малайзия и ОАЭ, что подчеркивает намерение атаки использовать экономическую и цифровую активность бангладешского сообщества экспатриантов.
По мере развития этой кампании появляются новые варианты и тактика фишинга доменов. Пользователи из этой демографической группы все чаще становятся мишенью для атак через социальные сети, такие как Facebook, где злоумышленники используют знакомый бренд и связи в сообществах, чтобы завоевать доверие. Следовательно, при использовании финансовых услуг онлайн важно проявлять бдительность. Пользователям рекомендуется загружать приложения исключительно из авторитетных источников, таких как Google Play Store, и проявлять осторожность при предоставлении личной или финансовой информации.
#ParsedReport #CompletenessMedium
15-07-2025
Silver Fox Intelligence Sharing Issue 1 \| Sharing the latest active techniques and tactics from the perspective of Att&CK
https://mp.weixin.qq.com/s/5Eyf5u7HF8f-GmKvfc6P3A
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Watering_hole_technique
Dll_hijacking_technique
Poolparty
Steganography_technique
Byovd_technique
Teamviewer_tool
Ghostdriver_tool
Victims:
Corporate, Individual, Key personnel in finance, Taxation, Human resources, Operation and maintenance
Industry:
Financial
Geo:
China
TTPs:
Tactics: 5
Technics: 14
IOCs:
File: 32
IP: 1
Command: 1
Registry: 11
Path: 7
Soft:
Youdao, Telegram, DeepSeek, Feishu, Sogou, Windows Defender Application Control, Windows Defender, WeChat
Algorithms:
exhibit
Functions:
Set-MpPreference
Languages:
powershell, lua
Platforms:
intel
15-07-2025
Silver Fox Intelligence Sharing Issue 1 \| Sharing the latest active techniques and tactics from the perspective of Att&CK
https://mp.weixin.qq.com/s/5Eyf5u7HF8f-GmKvfc6P3A
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Watering_hole_technique
Dll_hijacking_technique
Poolparty
Steganography_technique
Byovd_technique
Teamviewer_tool
Ghostdriver_tool
Victims:
Corporate, Individual, Key personnel in finance, Taxation, Human resources, Operation and maintenance
Industry:
Financial
Geo:
China
TTPs:
Tactics: 5
Technics: 14
IOCs:
File: 32
IP: 1
Command: 1
Registry: 11
Path: 7
Soft:
Youdao, Telegram, DeepSeek, Feishu, Sogou, Windows Defender Application Control, Windows Defender, WeChat
Algorithms:
exhibit
Functions:
Set-MpPreference
Languages:
powershell, lua
Platforms:
intel
CTT Report Hub
#ParsedReport #CompletenessMedium 15-07-2025 Silver Fox Intelligence Sharing Issue 1 \| Sharing the latest active techniques and tactics from the perspective of Att&CK https://mp.weixin.qq.com/s/5Eyf5u7HF8f-GmKvfc6P3A Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакеры Silver Fox атакуют корпоративные данные и отдельные системы, используя фишинг и социальную инженерию для установки вредоносных программ. Они используют такие методы, как атаки с использованием подпольных источников, захват библиотек DLL, внедрение памяти, а также используют уязвимости, чтобы избежать обнаружения и сохранить контроль над скомпрометированными системами, занимаясь кражей данных и финансовым мошенничеством.
-----
Хакеры Silver Fox атакуют корпоративные информационные ресурсы и отдельные системы с помощью изощренных методов кражи данных. Они используют методы социальной инженерии, чтобы манипулировать жертвами и заставлять их загружать вредоносное ПО через фишинговые электронные письма и поддельные веб-сайты. Основные направления атак включают в себя атаки на подпольные сети и размещение вредоносного ПО в сторонних приложениях. Они используют такие темы социальной инженерии, как финансы и налогообложение, чтобы увеличить вероятность успешного проникновения.
Их тактика включает в себя уклонение от обнаружения, установление постоянного контроля над скомпрометированными системами и использование известных уязвимостей. Известные методы включают интеграцию руткитов и уникальный метод сопоставления устройств, а также механизм PendingFileRenameOperations для обхода программного обеспечения безопасности.
Вредоносные программы часто маскируются под безобидные приложения, используя законные подписи для обмана пользователей. Конкретные стратегии включают захват библиотек DLL и использование надежных приложений для внедрения вредоносного кода. Silver Fox использует внедрение памяти для запуска вредоносного кода в рамках законных процессов и использует стеганографию для сокрытия полезной нагрузки в неисполняемых файлах.
Они постоянно модифицируют свои методы, чтобы избежать обнаружения, создавая множество вариантов и используя различные облачные инфраструктуры для обмена данными между командами и управляющими устройствами. Методы сокрытия включают внедрение процессов в надежные приложения, создание вредоносных записей в реестре и использование уязвимостей на уровне ядра с помощью тактики BYOVD.
Silver Fox может удаленно управлять компьютерами жертв для осуществления схем финансового мошенничества и извлечения конфиденциальной информации, сохраняя при этом невидимость благодаря многоуровневому подходу. Их постоянные и инновационные стратегии создают серьезные проблемы для кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакеры Silver Fox атакуют корпоративные данные и отдельные системы, используя фишинг и социальную инженерию для установки вредоносных программ. Они используют такие методы, как атаки с использованием подпольных источников, захват библиотек DLL, внедрение памяти, а также используют уязвимости, чтобы избежать обнаружения и сохранить контроль над скомпрометированными системами, занимаясь кражей данных и финансовым мошенничеством.
-----
Хакеры Silver Fox атакуют корпоративные информационные ресурсы и отдельные системы с помощью изощренных методов кражи данных. Они используют методы социальной инженерии, чтобы манипулировать жертвами и заставлять их загружать вредоносное ПО через фишинговые электронные письма и поддельные веб-сайты. Основные направления атак включают в себя атаки на подпольные сети и размещение вредоносного ПО в сторонних приложениях. Они используют такие темы социальной инженерии, как финансы и налогообложение, чтобы увеличить вероятность успешного проникновения.
Их тактика включает в себя уклонение от обнаружения, установление постоянного контроля над скомпрометированными системами и использование известных уязвимостей. Известные методы включают интеграцию руткитов и уникальный метод сопоставления устройств, а также механизм PendingFileRenameOperations для обхода программного обеспечения безопасности.
Вредоносные программы часто маскируются под безобидные приложения, используя законные подписи для обмана пользователей. Конкретные стратегии включают захват библиотек DLL и использование надежных приложений для внедрения вредоносного кода. Silver Fox использует внедрение памяти для запуска вредоносного кода в рамках законных процессов и использует стеганографию для сокрытия полезной нагрузки в неисполняемых файлах.
Они постоянно модифицируют свои методы, чтобы избежать обнаружения, создавая множество вариантов и используя различные облачные инфраструктуры для обмена данными между командами и управляющими устройствами. Методы сокрытия включают внедрение процессов в надежные приложения, создание вредоносных записей в реестре и использование уязвимостей на уровне ядра с помощью тактики BYOVD.
Silver Fox может удаленно управлять компьютерами жертв для осуществления схем финансового мошенничества и извлечения конфиденциальной информации, сохраняя при этом невидимость благодаря многоуровневому подходу. Их постоянные и инновационные стратегии создают серьезные проблемы для кибербезопасности.
#ParsedReport #CompletenessMedium
14-07-2025
Contagious Interview Campaign Escalates With 67 Malicious npm Packages and New Malware Loader
https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages
Report completeness: Medium
Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)
Threats:
Xorindex
Beavertail
Invisibleferret
Hexeval
Supply_chain_technique
Victims:
Developers, Job seekers, Individuals with cryptocurrency or sensitive credentials, Smaller organizations, Individuals
Geo:
North korean
TTPs:
IOCs:
Url: 7
IP: 1
File: 14
Email: 32
Soft:
Outlook, Node.js, macOS, Linux, Chrome, Chrome, Firefox, Opera
Wallets:
metamask, coinbase, tronlink, exodus_wallet, keplr
Crypto:
solana
Algorithms:
xor, zip, exhibit
Functions:
eval, Function
Languages:
javascript
14-07-2025
Contagious Interview Campaign Escalates With 67 Malicious npm Packages and New Malware Loader
https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages
Report completeness: Medium
Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)
Threats:
Xorindex
Beavertail
Invisibleferret
Hexeval
Supply_chain_technique
Victims:
Developers, Job seekers, Individuals with cryptocurrency or sensitive credentials, Smaller organizations, Individuals
Geo:
North korean
TTPs:
IOCs:
Url: 7
IP: 1
File: 14
Email: 32
Soft:
Outlook, Node.js, macOS, Linux, Chrome, Chrome, Firefox, Opera
Wallets:
metamask, coinbase, tronlink, exodus_wallet, keplr
Crypto:
solana
Algorithms:
xor, zip, exhibit
Functions:
eval, Function
Languages:
javascript
Socket
Contagious Interview Campaign Escalates With 67 Malicious np...
North Korean threat actors deploy 67 malicious npm packages using the newly discovered XORIndex malware loader.