#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Rainbow Hyena провела фишинговую кампанию в сфере здравоохранения и информационных технологий в России, используя скомпрометированные электронные письма и изощренные методы уклонения. Они внедрили специальный бэкдор PhantomRemote, который собирает системную информацию и выполняет команды, маскируя свои действия, чтобы избежать обнаружения.
-----

Недавняя фишинговая кампания, организованная хакерской группой, известной как Rainbow Hyena cluster, была направлена против медицинских и IT-организаций в России. В ходе этой кампании были использованы взломанные учетные записи электронной почты законных организаций для распространения вредоносных фишинговых писем. Хакеры использовали сложные методы уклонения, в частности, файлы polyglot и LNK, которые маскировались под законные документы, что повышало их шансы избежать обнаружения системами безопасности.

В фишинговых электронных письмах содержались ссылки на хорошо известные контракты, что создавало видимость достоверности их злонамеренных намерений. В рамках этой кампании злоумышленники внедрили специально созданный бэкдор под названием PhantomRemote. Эта вредоносная программа, разработанная в виде библиотеки PE32+ DLL на C++, предназначена для сбора системной информации и выполнения произвольных команд через интерфейс командной строки (cmd.exe).

PhantomRemote устанавливает связь с сервером управления (C2) посредством HTTP-запросов GET и POST. Примечательно, что вредоносная программа скрывает свой рабочий код, внедряя его в функцию DllMain. Во время взаимодействия с сервером C2 PhantomRemote маскируется, используя заголовки User-Agent, которые имитируют заголовки из законных приложений, в частности YandexUpdate и MicrosoftAppStore. Кроме того, вредоносная программа создает рабочий каталог в папке %ProgramData%, который она называет по-разному, что еще больше способствует ее обманным действиям.

Что касается выполнения команд, то в PhantomRemote предусмотрены временные задержки, выполнение которых может длиться 10 секунд или 1 секунду в зависимости от того, были ли предыдущие команды выполнены успешно или нет. Эту тактику можно рассматривать как метод снижения вероятности обнаружения и снижения эксплуатационных затрат. В целом, кампания демонстрирует передовые методы фишинга, усиливая сохраняющиеся уязвимости, с которыми сталкиваются организации в таких чувствительных секторах, как здравоохранение и информационные технологии.

#ParsedReport #CompletenessMedium
15-07-2025

Threat Intelligence NodeSnake Malware Campaign

https://www.quorumcyber.com/wp-content/uploads/2025/06/20250416-Higher-Education-Sector-RAT.pdf

Report completeness: Medium

Threats:
Nodesnake
Interlock
Xworm_rat
Asyncrat
Venomrat

Victims:
Universities, Higher education organisations, Large organisations, High value organisations

Industry:
Education

Geo:
America

TTPs:
Tactics: 8
Technics: 7

IOCs:
Domain: 9
Hash: 4
Url: 1
File: 22
Path: 1

Soft:
Linux

Algorithms:
sha1, md5, sha256, xor

Functions:
Get-Service, Get-PSDrive

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года аналитическая служба Quorum Cyber проанализировала NodeSnake.A и NodeSnake.B - программы на основе JavaScript, нацеленные на высшее образование в Великобритании, с помощью NodeSnake.B обладает расширенными возможностями для выполнения команд в режиме реального времени, скрытности и динамического поведения. Обе программы RAT используют такие методы, как использование действительных учетных записей, команд JavaScript, сохранение реестра и обфускация, что связывает их с группой программ-вымогателей "Interlock", известной своим скрытым доступом и нацеленной на образовательные учреждения. Растущая сложность NodeSnake подчеркивает значительные угрозы кибербезопасности, что требует принятия эффективных контрмер.
-----

В начале 2025 года NodeSnake.A и NodeSnake.B, два троянца для удаленного доступа (RATs), были нацелены на высшие учебные заведения Великобритании. Оба RAT были разработаны на JavaScript и запущены с использованием NodeJS совместно с NodeSnake.B демонстрирует заметные улучшения. NodeSnake.B включает модульную полезную нагрузку, выполнение команд в режиме реального времени и динамическую настройку поведения. Основные методы атаки включают использование действительных учетных записей (T1078) и выполнение сценариев JavaScript (T1059.007). Вредоносная программа обеспечивает сохраняемость с помощью изменений реестра (T1547.001) и использует методы обфускации (T1027). Он также выполняет разведку системы (T1082) и использует протоколы прикладного уровня для эксфильтрации (T1071.001, T1041).

NodeSnake напрямую связан с группой программ-вымогателей "Interlock", которая участвует в кампаниях двойного вымогательства и работает без использования модели "Программа-вымогатель как услуга". Interlock использует методы скрытого доступа, такие как туннели Cloudflare, для обхода мер безопасности. NodeSnake поддерживает доступ с помощью рандомизированных записей в реестре и подключается к заранее определенным, замаскированным серверам C2. Вредоносная программа использует динамическую адаптацию, чтобы избежать обнаружения, включая случайные задержки и различные имена файлов. Ее способность поддерживать несколько типов полезной нагрузки повышает универсальность ее работы. Сектор образования все чаще становится мишенью этих изощренных угроз, что требует принятия более жестких мер кибербезопасности, таких как политика нулевого доверия и расширенное обучение пользователей.

#ParsedReport #CompletenessHigh
15-07-2025

GLOBAL GROUP: Emerging Ransomware-as-a-Service, Supporting AI Driven Negotiation and Mobile Control Panel for Their Affiliates

https://blog.eclecticiq.com/global-group-emerging-ransomware-as-a-service

Report completeness: High

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Eldorado_ransomware
Qtox_tool
Password_spray_technique

Victims:
Healthcare providers, Automotive services firm, Industrial machinery and precision engineering, Business process outsourcing and facilities management services, Law firm

Industry:
Healthcare, Bp_outsourcing, Transport

Geo:
United kingdom, Brazil, Australia, Russia

ChatGPT TTPs:
do not use without manual check
T1001, T1021.002, T1059, T1078, T1105, T1110.003, T1136, T1190, T1210, T1486, have more...

IOCs:
Domain: 2
IP: 1
Hash: 5

Soft:
Microsoft Outlook, Windows service, Linux, macOS, ESXi, SAP NetWeaver, Outlook, Remote Desktop Web Access

Algorithms:
chacha20-poly1305

Languages:
golang

Platforms:
cross-platform

YARA: Found

Links:
https://gist.github.com/whichbuffer/e9c298008395e5dc18fbc4f8180dec58

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GLOBAL GROUP, новая программа-вымогатель, вероятно, переименованная из Black Lock RaaS, нацелена на сектора здравоохранения, используя сложные методы через посредников начального доступа, и использует уязвимости в популярных сетевых устройствах. Вредоносная программа, представляющая собой модифицированный вариант Mamona, использует современное шифрование и заявляет о своей необнаруживаемости решениями EDR, предназначенными для крупных утечек данных.
-----

2 июня 2025 года была обнаружена новая группа программ-вымогателей, известная как GLOBAL GROUP, продвигаемая хакером под псевдонимом "$$$" на форуме Ramp4u. Аналитики EclecticIQ полагают, что эта группа, скорее всего, является ребрендингом более ранней операции Black Lock Ransomware-as-a-Service (RaaS), направленной на восстановление доверия и расширение партнерской сети, предлагая партнерам высокий процент выплат выкупа. GLOBAL GROUP управляет специализированным сайтом для утечек данных в сети Tor, связанным с российским VPS-провайдером, ранее связанным с бандой Мамоны Раас, и уже перечислила несколько жертв, в основном в сфере здравоохранения в США, Австралии и Великобритании.

GLOBAL GROUP зарекомендовала себя в экосистеме программ-вымогателей, используя брокеров начального доступа (IAB) для получения доступа к скомпрометированным сетям. Эти брокеры используют различные методы, включая использование уязвимостей в устройствах Fortinet, Palo Alto и Cisco, а также атаки методом "грубой силы" на порталы Microsoft Outlook и RDWeb для получения первоначального доступа. Подход группы к атакам отличается тем, что она использует передовые технологии, в том числе управляемые искусственным интеллектом инструменты ведения переговоров о выкупе, что значительно повышает оперативную эффективность и психологическое давление на жертв. Эта технология позволяет требовать высокий выкуп с целью получения прибыли.

Вредоносная программа, используемая GLOBAL GROUP, представляет собой модифицированный вариант программы-вымогателя Mamona, который обладает расширенными функциональными возможностями для широкого распространения программ-вымогателей по сетям с помощью автоматизированных процессов. Образец программы-вымогателя демонстрирует современные методы шифрования, используя алгоритм ChaCha20-Poly1305, и написан на языке Go, что облегчает быстрое шифрование данных в нескольких операционных системах. Компания EDR solutions позиционирует RaaS как необнаруживаемый, что привлекает потенциальных партнеров в сообществе киберпреступников.

Кроме того, оперативная стратегия предполагает использование связей с другими киберпреступными организациями, такими как IAB под названием "HuanEbashes", которая предлагает RDP-доступ к ценным объектам и инструментам для автоматизации атак методом перебора на VPN. Это партнерство демонстрирует совместный и предпринимательский характер современных программ-вымогателей, ориентированных на крупные центры обработки данных, юридические лица и надежные институциональные сети.

Подводя итог, можно сказать, что появление GLOBAL GROUP как сложного продукта, предлагающего программы-вымогатели как услугу, подчеркивает эволюцию хакерской среды, в которой ребрендинг, партнерские сети и использование технологий объединяются для создания более рациональных и эффективных средств проведения атак с использованием программ-вымогателей. Последствия для кибербезопасности значительны, что требует повышенной бдительности, усовершенствованной сетевой защиты и упреждающего анализа угроз для противодействия этим организованным и технологически продвинутым враждебным операциям.

#ParsedReport #CompletenessLow
15-07-2025

Fake Android Money Transfer App Targeting Bengali-Speaking Users

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/fake-android-money-transfer-app-targeting-bengali-speaking-users/

Report completeness: Low

Victims:
Bengali-speaking users, Bangladeshi expatriates

Industry:
E-commerce, Financial

Geo:
Oman, India, Saudi arabia, Bangladesh, Canada, Asia, Maldives, Arab emirates, United arab emirates, Malaysia

ChatGPT TTPs:
do not use without manual check
T1071, T1078, T1204, T1566, T1583.006, T1584.001, T1589

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа для Android, получившая название Android / FakeApp, нацелена на бенгальскоязычных экспатриантов, маскируясь под законные финансовые приложения. Она крадет конфиденциальную личную информацию через фишинговые веб-сайты и не обеспечивает безопасность сервера C2, что приводит к потенциальной краже личных данных.
-----

Недавнее открытие, сделанное исследовательской группой McAfee по мобильным технологиям, выявило масштабную и активную кампанию вредоносных программ для Android, специально предназначенных для бенгальскоязычных пользователей, преимущественно выходцев из Бангладеш. Вредоносное ПО маскируется под законные финансовые приложения, включая TapTap Send и AlimaPay, и распространяется в основном через фишинговые веб-сайты и обманчивые страницы Facebook. Эта угроза характеризуется способностью похищать конфиденциальную личную и финансовую информацию пользователей, используя в своих интересах зависимость сообщества от сервисов мобильных платежей для осуществления денежных переводов и проверки личности.

Сервер управления (C2), связанный с этим вредоносным ПО, все еще работает, подключенный к многочисленным изменяющимся доменам, что указывает на продолжающуюся адаптивную кампанию. Хотя методы, использованные при этой атаке, не являются новаторскими, культурная специфика кампании демонстрирует эволюцию тактики киберпреступников, позволяющую им эффективно использовать доверие бенгальской диаспоры. McAfee классифицировала вредоносное ПО под названием Android/FakeApp для обнаружения.

Вредоносное ПО функционирует с помощью тщательно разработанных процедур регистрации, которые запрашивают у пользователей личную информацию, включая имена, адреса электронной почты, номера телефонов и официальные удостоверения личности, такие как паспорта. Приложение имитирует законные финансовые операции, предлагая пользователям подтвердить свою личность и создать учетные данные учетной записи. Для этого в нем представлен пользовательский интерфейс, напоминающий настоящие финансовые приложения, с пиктограммами для различных банковских функций. Такой имитированный интерфейс вселяет уверенность в пользователей, повышая их готовность раскрывать конфиденциальную информацию.

Критическим аспектом кампании является недостаточная защищенность сервера C2, на котором хранятся все собранные данные без применения элементарных мер защиты. Это позволяет получить несанкционированный доступ к собранным персональным данным, что увеличивает вероятность кражи личных данных и мошенничества. Примечательно, что данные телеметрии указывают на сосредоточенность операций в регионах с большим количеством бангладешцев, таких как Саудовская Аравия, Малайзия и ОАЭ, что подчеркивает намерение атаки использовать экономическую и цифровую активность бангладешского сообщества экспатриантов.

По мере развития этой кампании появляются новые варианты и тактика фишинга доменов. Пользователи из этой демографической группы все чаще становятся мишенью для атак через социальные сети, такие как Facebook, где злоумышленники используют знакомый бренд и связи в сообществах, чтобы завоевать доверие. Следовательно, при использовании финансовых услуг онлайн важно проявлять бдительность. Пользователям рекомендуется загружать приложения исключительно из авторитетных источников, таких как Google Play Store, и проявлять осторожность при предоставлении личной или финансовой информации.

#ParsedReport #CompletenessMedium
15-07-2025

Silver Fox Intelligence Sharing Issue 1 \| Sharing the latest active techniques and tactics from the perspective of Att&CK

https://mp.weixin.qq.com/s/5Eyf5u7HF8f-GmKvfc6P3A

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Watering_hole_technique
Dll_hijacking_technique
Poolparty
Steganography_technique
Byovd_technique
Teamviewer_tool
Ghostdriver_tool

Victims:
Corporate, Individual, Key personnel in finance, Taxation, Human resources, Operation and maintenance

Industry:
Financial

Geo:
China

TTPs:
Tactics: 5
Technics: 14

IOCs:
File: 32
IP: 1
Command: 1
Registry: 11
Path: 7

Soft:
Youdao, Telegram, DeepSeek, Feishu, Sogou, Windows Defender Application Control, Windows Defender, WeChat

Algorithms:
exhibit

Functions:
Set-MpPreference

Languages:
powershell, lua

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакеры Silver Fox атакуют корпоративные данные и отдельные системы, используя фишинг и социальную инженерию для установки вредоносных программ. Они используют такие методы, как атаки с использованием подпольных источников, захват библиотек DLL, внедрение памяти, а также используют уязвимости, чтобы избежать обнаружения и сохранить контроль над скомпрометированными системами, занимаясь кражей данных и финансовым мошенничеством.
-----

Хакеры Silver Fox атакуют корпоративные информационные ресурсы и отдельные системы с помощью изощренных методов кражи данных. Они используют методы социальной инженерии, чтобы манипулировать жертвами и заставлять их загружать вредоносное ПО через фишинговые электронные письма и поддельные веб-сайты. Основные направления атак включают в себя атаки на подпольные сети и размещение вредоносного ПО в сторонних приложениях. Они используют такие темы социальной инженерии, как финансы и налогообложение, чтобы увеличить вероятность успешного проникновения.

Их тактика включает в себя уклонение от обнаружения, установление постоянного контроля над скомпрометированными системами и использование известных уязвимостей. Известные методы включают интеграцию руткитов и уникальный метод сопоставления устройств, а также механизм PendingFileRenameOperations для обхода программного обеспечения безопасности.

Вредоносные программы часто маскируются под безобидные приложения, используя законные подписи для обмана пользователей. Конкретные стратегии включают захват библиотек DLL и использование надежных приложений для внедрения вредоносного кода. Silver Fox использует внедрение памяти для запуска вредоносного кода в рамках законных процессов и использует стеганографию для сокрытия полезной нагрузки в неисполняемых файлах.

Они постоянно модифицируют свои методы, чтобы избежать обнаружения, создавая множество вариантов и используя различные облачные инфраструктуры для обмена данными между командами и управляющими устройствами. Методы сокрытия включают внедрение процессов в надежные приложения, создание вредоносных записей в реестре и использование уязвимостей на уровне ядра с помощью тактики BYOVD.

Silver Fox может удаленно управлять компьютерами жертв для осуществления схем финансового мошенничества и извлечения конфиденциальной информации, сохраняя при этом невидимость благодаря многоуровневому подходу. Их постоянные и инновационные стратегии создают серьезные проблемы для кибербезопасности.

#ParsedReport #CompletenessMedium
14-07-2025

Contagious Interview Campaign Escalates With 67 Malicious npm Packages and New Malware Loader

https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages

Report completeness: Medium

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)

Threats:
Xorindex
Beavertail
Invisibleferret
Hexeval
Supply_chain_technique

Victims:
Developers, Job seekers, Individuals with cryptocurrency or sensitive credentials, Smaller organizations, Individuals

Geo:
North korean

TTPs:

IOCs:
Url: 7
IP: 1
File: 14
Email: 32

Soft:
Outlook, Node.js, macOS, Linux, Chrome, Chrome, Firefox, Opera

Wallets:
metamask, coinbase, tronlink, exodus_wallet, keplr

Crypto:
solana

Algorithms:
xor, zip, exhibit

Functions:
eval, Function

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры развернули 67 вредоносных пакетов npm с помощью загрузчика XORIndex, что облегчает удаленное выполнение кода путем обращения к жестко запрограммированному серверу C2. Загрузчик это связано с расфокусированный обеспечением, которое собирает конфиденциальные данные, в частности, с криптовалютных кошельков, и может привести к InvisibleFerret заднюю дверь. Несмотря на усилия демонтаж, многие пакеты остаются активными, выделяя актеров гибкость и постоянную угрозу Node.js экосистемы.
-----

Северокорейские хакеры недавно внедрили 67 вредоносных пакетов npm, используя недавно идентифицированный загрузчик вредоносных программ, известный как XORIndex. Этот загрузчик связан с предыдущими операциями, получившими название Contagious Interview, о чем, в частности, свидетельствуют шаблоны именования пакетов и использование вредоносного ПО BeaverTail. Загрузчик XORIndex облегчает удаленное выполнение кода, автоматически связываясь с жестко запрограммированным сервером управления (C2) после установки и выполняя извлекаемый им код JavaScript. Примечательно, что в ранних версиях XORIndex отсутствуют некоторые расширенные функции, такие как запутывание строк и сбор метаданных хоста, но все еще сохраняются важные функциональные возможности, позволяющие выполнять полный удаленный код.

Исследовательская группа Socket Threat обнаружила, что эти вредоносные пакеты были загружены в большом количестве, при этом новая волна включала 39 пакетов загрузки HexEval и 28 пакетов загрузки XORIndex, что в общей сложности превысило 17 000 загрузок. Несмотря на попытки удалить эти пакеты из реестра npm, 27 из них остаются активными. Этот инцидент иллюстрирует динамику "взлома", при которой северокорейские хакеры быстро реагируют на попытки удаления пакетов, загружая новые варианты.

XORIndex демонстрирует эволюцию возможностей вредоносного ПО, переходя от проверки концепции к более сложному загрузчику, использующему обфускацию строк на основе XOR, ротацию с несколькими конечными точками и надежное профилирование хоста. Каждый вредоносный пакет npm связан с жестко запрограммированной инфраструктурой C2, которая обеспечивает определенные обратные вызовы. Например, пакет eth-auditlog собирает данные локальной телеметрии и отправляет их на определенные конечные точки C2, впоследствии загружая вредоносное ПО BeaverTail. Эта полезная нагрузка второго этапа позволяет собирать конфиденциальную информацию, в частности, из криптовалютных кошельков и расширений браузера, и упаковывать ее для отправки на удаленные серверы.

Более того, вредоносная программа BeaverTail служит ступенькой к бэкдору InvisibleFerret, демонстрируя четкую цепочку внедрения вредоносного ПО. Загрузчик XORIndex разработан так, чтобы не зависеть от платформы, и в первую очередь ориентирован на экосистему Node.js, в то же время уделяя особое внимание разработчикам и частным лицам, имеющим учетные данные, связанные с криптовалютой. Ожидается, что хакеры продолжат использовать свои существующие вредоносные инструменты, одновременно внедряя новые методы обфускации.

#ParsedReport #CompletenessLow
15-07-2025

Threat Actor Intelligence Report: 1ucif3r / Lucifer

https://www.notion.so/stealthmole-intelligence-hub/Threat-Actor-Intelligence-Report-1ucif3r-Lucifer-230e52810ca980b0ba3bde25c1fb5e14

Report completeness: Low

Threats:
D4rk4rmy
Lucifer

Victims:
Uae police, South korea military, Vietnam government, Pwc, Uberhub, Russian crypto entities, Twitter, Unspecified government infrastructure

Industry:
Military, Government

Geo:
Iraq, Russian, Korea, Abu dhabi, Vietnam

ChatGPT TTPs:
do not use without manual check
T1005, T1071, T1078, T1087, T1190, T1555, T1566, T1583, T1585, T1586, have more...

IOCs:
Email: 1
File: 2

Soft:
Telegram, Twitter, Discord, Gmail, ProtonMail

Crypto:
monero

Languages:
golang, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступник 1ucif3r атакует высокопоставленные правительственные и военные структуры для взлома данных, используя навыки работы с HTML, JavaScript и Golang. Работая на таких платформах, как Telegram и Discord, они уделяют первостепенное внимание репутации в сообществе киберпреступников, что привело к заметным инцидентам, включая утечки из правоохранительных органов ОАЭ и южнокорейских военных. Их деятельность характеризуется кражей учетных данных и появлением угрозы, которая предполагает потенциальную эскалацию в будущем.
-----

В отчете подробно описывается деятельность киберпреступника, известного под псевдонимом 1ucif3r, или Люцифер, который начал свое цифровое присутствие в 2021 году. Используя платформу StealthMole для анализа, она объединяет информацию об утечках исторических данных, взаимодействиях на форумах, инфраструктуре даркнета и разведданных с открытым исходным кодом. Этот игрок нацелился на высокопоставленные правительственные и военные структуры, чтобы усилить свое влияние и признание в подпольном сообществе. Значительные нарушения, связанные с 1ucif3r, включают утечку данных из правоохранительных органов ОАЭ, вооруженных сил Южной Кореи и правительства Вьетнама, а также утечки, связанные с различными базами данных и крупномасштабными данными с таких платформ, как Twitter.

1ucif3r сочетает в себе андеграундную идентичность с подобием опыта разработчика, в частности, благодаря портфолио на GitHub, включающему такие языки, как HTML, JavaScript и Golang. Бренд DARKARMY предполагает попытку создать идентичность, потенциально связывающую с известными группами вымогателей, хотя однозначные ссылки по-прежнему отсутствуют. Эта стратегия брендинга и соответствующие публичные коммуникации указывают на приоритетность узнаваемости в экосистеме киберпреступников.

Помимо личных сайтов и проектов на GitHub, 1ucif3r активно использует различные каналы коммуникации в Telegram и Discord, часто используя несколько псевдонимов. Расследования выявляют связи между этими аккаунтами и значительными утечками данных, что укрепляет уверенность в том, что дальнейшие действия будут приписываться этому человеку. Более тщательное изучение утекших учетных данных указывает на частое использование определенных паролей и личных адресов электронной почты, которые ведут к школе, что позволяет предположить, что 1ucif3r может быть молодым актером, возможно, все еще обучающимся.

Представление о 1ucif3r как о средне- или высокой угрозе оправдано их оперативной ориентацией на кражу учетных данных и многонациональные утечки в сочетании со стратегиями олицетворения, направленными на повышение репутации в кругах киберпреступников. Несмотря на отсутствие связей с известными сетями программ-вымогателей, сочетание технических навыков, участия в крупных утечках данных и усилий по созданию имиджа делают 1ucif3r заметной фигурой в современных подпольных сообществах. Предположения, связанные с их возрастом и потенциальной возможностью дальнейшего расширения их хакерских возможностей, заслуживают постоянного внимания.

#ParsedReport #CompletenessLow
15-07-2025

Malware in DNS

https://dti.domaintools.com/malware-in-dns/

Report completeness: Low

Threats:
Joke_screenmate
Screenmate
Covenant_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.004, T1074, T1105, T1140, T1568.002

IOCs:
Hash: 2
Domain: 4

Algorithms:
exhibit, sha256

Languages:
powershell