#ParsedReport #CompletenessMedium
14-07-2025

Contagious Interview Campaign Escalates With 67 Malicious npm Packages and New Malware Loader

https://socket.dev/blog/contagious-interview-campaign-escalates-67-malicious-npm-packages

Report completeness: Medium

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)

Threats:
Xorindex
Beavertail
Invisibleferret
Hexeval
Supply_chain_technique

Victims:
Developers, Job seekers, Individuals with cryptocurrency or sensitive credentials, Smaller organizations, Individuals

Geo:
North korean

TTPs:

IOCs:
Url: 7
IP: 1
File: 14
Email: 32

Soft:
Outlook, Node.js, macOS, Linux, Chrome, Chrome, Firefox, Opera

Wallets:
metamask, coinbase, tronlink, exodus_wallet, keplr

Crypto:
solana

Algorithms:
xor, zip, exhibit

Functions:
eval, Function

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры развернули 67 вредоносных пакетов npm с помощью загрузчика XORIndex, что облегчает удаленное выполнение кода путем обращения к жестко запрограммированному серверу C2. Загрузчик это связано с расфокусированный обеспечением, которое собирает конфиденциальные данные, в частности, с криптовалютных кошельков, и может привести к InvisibleFerret заднюю дверь. Несмотря на усилия демонтаж, многие пакеты остаются активными, выделяя актеров гибкость и постоянную угрозу Node.js экосистемы.
-----

Северокорейские хакеры недавно внедрили 67 вредоносных пакетов npm, используя недавно идентифицированный загрузчик вредоносных программ, известный как XORIndex. Этот загрузчик связан с предыдущими операциями, получившими название Contagious Interview, о чем, в частности, свидетельствуют шаблоны именования пакетов и использование вредоносного ПО BeaverTail. Загрузчик XORIndex облегчает удаленное выполнение кода, автоматически связываясь с жестко запрограммированным сервером управления (C2) после установки и выполняя извлекаемый им код JavaScript. Примечательно, что в ранних версиях XORIndex отсутствуют некоторые расширенные функции, такие как запутывание строк и сбор метаданных хоста, но все еще сохраняются важные функциональные возможности, позволяющие выполнять полный удаленный код.

Исследовательская группа Socket Threat обнаружила, что эти вредоносные пакеты были загружены в большом количестве, при этом новая волна включала 39 пакетов загрузки HexEval и 28 пакетов загрузки XORIndex, что в общей сложности превысило 17 000 загрузок. Несмотря на попытки удалить эти пакеты из реестра npm, 27 из них остаются активными. Этот инцидент иллюстрирует динамику "взлома", при которой северокорейские хакеры быстро реагируют на попытки удаления пакетов, загружая новые варианты.

XORIndex демонстрирует эволюцию возможностей вредоносного ПО, переходя от проверки концепции к более сложному загрузчику, использующему обфускацию строк на основе XOR, ротацию с несколькими конечными точками и надежное профилирование хоста. Каждый вредоносный пакет npm связан с жестко запрограммированной инфраструктурой C2, которая обеспечивает определенные обратные вызовы. Например, пакет eth-auditlog собирает данные локальной телеметрии и отправляет их на определенные конечные точки C2, впоследствии загружая вредоносное ПО BeaverTail. Эта полезная нагрузка второго этапа позволяет собирать конфиденциальную информацию, в частности, из криптовалютных кошельков и расширений браузера, и упаковывать ее для отправки на удаленные серверы.

Более того, вредоносная программа BeaverTail служит ступенькой к бэкдору InvisibleFerret, демонстрируя четкую цепочку внедрения вредоносного ПО. Загрузчик XORIndex разработан так, чтобы не зависеть от платформы, и в первую очередь ориентирован на экосистему Node.js, в то же время уделяя особое внимание разработчикам и частным лицам, имеющим учетные данные, связанные с криптовалютой. Ожидается, что хакеры продолжат использовать свои существующие вредоносные инструменты, одновременно внедряя новые методы обфускации.

#ParsedReport #CompletenessLow
15-07-2025

Threat Actor Intelligence Report: 1ucif3r / Lucifer

https://www.notion.so/stealthmole-intelligence-hub/Threat-Actor-Intelligence-Report-1ucif3r-Lucifer-230e52810ca980b0ba3bde25c1fb5e14

Report completeness: Low

Threats:
D4rk4rmy
Lucifer

Victims:
Uae police, South korea military, Vietnam government, Pwc, Uberhub, Russian crypto entities, Twitter, Unspecified government infrastructure

Industry:
Military, Government

Geo:
Iraq, Russian, Korea, Abu dhabi, Vietnam

ChatGPT TTPs:
do not use without manual check
T1005, T1071, T1078, T1087, T1190, T1555, T1566, T1583, T1585, T1586, have more...

IOCs:
Email: 1
File: 2

Soft:
Telegram, Twitter, Discord, Gmail, ProtonMail

Crypto:
monero

Languages:
golang, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступник 1ucif3r атакует высокопоставленные правительственные и военные структуры для взлома данных, используя навыки работы с HTML, JavaScript и Golang. Работая на таких платформах, как Telegram и Discord, они уделяют первостепенное внимание репутации в сообществе киберпреступников, что привело к заметным инцидентам, включая утечки из правоохранительных органов ОАЭ и южнокорейских военных. Их деятельность характеризуется кражей учетных данных и появлением угрозы, которая предполагает потенциальную эскалацию в будущем.
-----

В отчете подробно описывается деятельность киберпреступника, известного под псевдонимом 1ucif3r, или Люцифер, который начал свое цифровое присутствие в 2021 году. Используя платформу StealthMole для анализа, она объединяет информацию об утечках исторических данных, взаимодействиях на форумах, инфраструктуре даркнета и разведданных с открытым исходным кодом. Этот игрок нацелился на высокопоставленные правительственные и военные структуры, чтобы усилить свое влияние и признание в подпольном сообществе. Значительные нарушения, связанные с 1ucif3r, включают утечку данных из правоохранительных органов ОАЭ, вооруженных сил Южной Кореи и правительства Вьетнама, а также утечки, связанные с различными базами данных и крупномасштабными данными с таких платформ, как Twitter.

1ucif3r сочетает в себе андеграундную идентичность с подобием опыта разработчика, в частности, благодаря портфолио на GitHub, включающему такие языки, как HTML, JavaScript и Golang. Бренд DARKARMY предполагает попытку создать идентичность, потенциально связывающую с известными группами вымогателей, хотя однозначные ссылки по-прежнему отсутствуют. Эта стратегия брендинга и соответствующие публичные коммуникации указывают на приоритетность узнаваемости в экосистеме киберпреступников.

Помимо личных сайтов и проектов на GitHub, 1ucif3r активно использует различные каналы коммуникации в Telegram и Discord, часто используя несколько псевдонимов. Расследования выявляют связи между этими аккаунтами и значительными утечками данных, что укрепляет уверенность в том, что дальнейшие действия будут приписываться этому человеку. Более тщательное изучение утекших учетных данных указывает на частое использование определенных паролей и личных адресов электронной почты, которые ведут к школе, что позволяет предположить, что 1ucif3r может быть молодым актером, возможно, все еще обучающимся.

Представление о 1ucif3r как о средне- или высокой угрозе оправдано их оперативной ориентацией на кражу учетных данных и многонациональные утечки в сочетании со стратегиями олицетворения, направленными на повышение репутации в кругах киберпреступников. Несмотря на отсутствие связей с известными сетями программ-вымогателей, сочетание технических навыков, участия в крупных утечках данных и усилий по созданию имиджа делают 1ucif3r заметной фигурой в современных подпольных сообществах. Предположения, связанные с их возрастом и потенциальной возможностью дальнейшего расширения их хакерских возможностей, заслуживают постоянного внимания.

#ParsedReport #CompletenessLow
15-07-2025

Malware in DNS

https://dti.domaintools.com/malware-in-dns/

Report completeness: Low

Threats:
Joke_screenmate
Screenmate
Covenant_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.004, T1074, T1105, T1140, T1568.002

IOCs:
Hash: 2
Domain: 4

Algorithms:
exhibit, sha256

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Файлы изображений могут быть скрыты в текстовых записях DNS с помощью шестнадцатеричного преобразования, что позволяет использовать нетрадиционное хранение данных. Аналитики обнаружили хэши SHA256, связанные с вредоносной программой Joke Screenmate, которая нарушает контроль пользователей, и обнаружили вредоносные сценарии PowerShell в записях TXT для подключения к серверам C2 для доставки полезной нагрузки.
-----

Недавние исследования выявили метод, с помощью которого файлы изображений могут быть скрыты в текстовых записях DNS, что позволяет эффективно сохранять их и извлекать с помощью DNS-запросов. Этот метод включает разбиение файлов на разделы, преобразование их в шестнадцатеричный формат и запись в записи, которые могут оставаться нетронутыми до тех пор, пока DNS-сервер не удалит или не обновит их, что представляет собой нетрадиционную форму хранения данных.

Поводом для исследования послужили отчеты, в которых подробно описывается, как файлы изображений могут быть встроены в записи DNS. Аналитики использовали шаблоны регулярных выражений для идентификации сигнатур конкретных файлов в шестнадцатеричном представлении записей DNS TXT из базы данных DNSDB Scout. Этот поиск привел к обнаружению хэшей файлов SHA256, связанных с экземплярами вредоносной программы Joke Screenmate, известной своими функциями для розыгрышей. После запуска эта вредоносная программа имитирует деструктивные действия, отображая ложные сообщения об ошибках, создает помехи в управлении пользователем, представляет нежелательный контент и потребляет системные ресурсы, что потенциально может привести к проблемам с производительностью.

Кроме того, анализ вышел за рамки файлового хранилища и выявил наличие вредоносных команд, встроенных в текстовые записи. Был проведен анализ домена drsmitty.com, в котором текстовая запись определенного поддомена содержала закодированный сценарий PowerShell. Этот скрипт используется в качестве промежуточного, устанавливающего соединение с другим доменом (cspg.pw), который служит сервером управления (C2) для доставки последующих полезных данных. Чтобы сценарий, хранящийся в текстовой записи DNS, оказал влияние, для его выполнения в скомпрометированной системе должна быть выполнена последовательность действий.

#ParsedReport #CompletenessMedium
16-07-2025

New SSA-themed phishing campaign installs trojanized ScreenConnect

https://www.cloudflare.com/en-au/threat-intelligence/research/report/new-ssa-themed-phishing-campaign-installs-trojanized-screenconnect/

Report completeness: Medium

Threats:
Screenconnect_tool

Victims:
Individuals, Organizations

Industry:
Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1056.001, T1071.001, T1078.003, T1110.001, T1114.002, T1204.002, T1210, T1219, T1539, have more...

IOCs:
Url: 22
File: 3
Domain: 1
Hash: 1

Soft:
Gmail, Outlook, WordPress, macOS, Android, Microsoft Defender

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Участились фишинговые кампании, нацеленные на администрацию социального обеспечения, в ходе которых основное внимание уделяется сбору учетных данных и установке троянских инструментов RMM, таких как ScreenConnect. Злоумышленники используют скомпрометированные серверы и законные домены для обхода системы безопасности, создавая срочность с помощью неприятных тем и маскируясь под официальные сообщения. Методы включают перенаправление жертв со взломанных сайтов WordPress на вредоносные домены и побуждение к загрузке замаскированных вредоносных исполняемых файлов, что приводит к росту краж личных данных и значительным финансовым потерям.
-----

Участились фишинговые кампании, связанные с Управлением социального обеспечения (SSA), в которых основное внимание уделяется сбору учетных данных и установке троянских инструментов удаленного мониторинга и управления (RMM), таких как ScreenConnect. Злоумышленники предлагают жертвам установить приложение Microsoft Phone Link для упрощения фильтрации данных и получения кодов двухфакторной аутентификации. В попытках фишинга используются взломанные серверы и законные домены для обхода системы безопасности. В сообщениях часто говорится о неотложных проблемах с системой социального обеспечения, используются вызывающие беспокойство темы и официальные логотипы SSA. Взломанные сайты WordPress используются для перенаправления жертв на вредоносные домены, на которых размещаются инструменты сбора учетных данных или полезные приложения для удаленного доступа. Злоумышленники регистрируют похожие домены для маскировки и распространяют троянскую версию ScreenConnect с таких доменов, как pulseriseglobal.com. Вредоносные исполняемые файлы также маскируются под пакеты для macOS. В результате фишинга было получено более 1,1 миллиона сообщений о краже личных данных, что привело к значительным убыткам, в том числе 502 миллиона долларов в результате инцидентов, связанных с фишингом. В среднем на рассмотрение дел о краже личных данных, связанных с налогообложением, уходит 676 дней. Стратегии защиты включают в себя отказ от непроверенных ссылок, постоянное обновление программного обеспечения и отключение макросов Office. Расширенные меры безопасности электронной почты позволяют перехватывать попытки фишинга до того, как они дойдут до пользователей, используя механизмы обнаружения для олицетворения SSA. Такие инструменты, как Microsoft Defender XDR или CrowdStrike Falcon, могут отслеживать использование инструментов RMM. Регулярное резервное копирование данных имеет решающее значение для защиты от фишинговых атак, а модели машинного обучения улучшают обнаружение вредоносных электронных писем, анализируя содержимое и метаданные на предмет аномалий.

#ParsedReport #CompletenessMedium
16-07-2025

DNS: A Small but Effective C2 system

https://blogs.infoblox.com/security/dns-a-small-but-effective-c2-system/

Report completeness: Medium

Actors/Campaigns:
Emissary_panda

Threats:
Dns_tunneling_technique
Cobalt_strike_tool
Dnscat2_tool
Sliver_c2_tool
Pupy_rat
Decoy_dog
Metasploit_tool

Victims:
Government entities, Corporate entities, Businesses, Enterprises, Customer networks

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1041, T1071.004, T1090.003, T1095, T1568.002, T1572

IOCs:
Domain: 12
File: 4
IP: 1

Soft:
Sudo

Algorithms:
base64

Platforms:
intel, cross-platform

Links:
https://github.com/iagox86/dnscat2
https://github.com/Arno0x/DNSExfiltrator
https://github.com/BishopFox/sliver
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Туннелирование DNS использует запросы DNS для скрытой связи, позволяя киберпреступникам извлекать данные и выполнять команды, обходя меры безопасности. Такие инструменты, как Cobalt Strike и DNSCat2, облегчают это, используя различные типы записей DNS для обмена данными. Обнаружение таких действий требует упреждающего мониторинга и передовых систем обнаружения угроз с использованием машинного обучения.
-----

Туннелирование DNS - это технология скрытой связи, которая позволяет киберпреступникам кодировать данные в DNS-запросах и ответах, эффективно создавая канал для командно-контрольных операций (C2) и утечки данных в обход традиционных мер безопасности. Это особенно важно, поскольку DNS-трафик обычно проходит через корпоративные брандмауэры с минимальным контролем. Злоумышленники создают инфраструктуру DNS C2, получая контроль над авторитетным сервером имен для домена, что позволяет вредоносному ПО в скомпрометированных системах периодически просматривать этот домен. Затем вредоносная программа может выполнять команды на основе данных ответа DNS, которые могут содержать закодированную информацию о жертве или инструкции.

Несколько инструментов облегчают туннелирование DNS, включая Cobalt Strike, DNSCat2, Yodome и другие. Эти инструменты используют различные типы записей DNS, такие как A, AAAA, TXT, CNAME и MX, для выполнения туннелирования. Например, Cobalt Strike использует запросы в шестнадцатеричном коде для своего модуля C2 и использует записи A для создания маяков. DNSCat2 поддерживает зашифрованные туннели DNS и может использовать несколько типов записей для обмена данными. Кроме того, большие данные могут быть отфильтрованы небольшими порциями, что позволяет использовать гибкость записей DNS.

Специалистам по безопасности необходимо активно отслеживать DNS-трафик и управлять им, чтобы выявлять такие методы туннелирования и предотвращать их. Передовые системы обнаружения угроз, такие как Threat Insight от Infoblox, используют алгоритмы машинного обучения для выявления подозрительных действий DNS, часто в течение нескольких секунд после запуска туннелирования. Такое быстрое обнаружение имеет решающее значение, учитывая, что при многих операциях по прокладке туннелей могут использоваться уникальные сигнатуры, позволяющие идентифицировать их благодаря тщательному анализу соответствующих запросов и ответов.

Изучение туннелирования DNS выявило различные семейства программного обеспечения и фреймворков для туннелирования, что подчеркивает эволюцию тактики, используемой как злоумышленниками, так и специалистами по безопасности. Следует также отметить, что, хотя некоторые участники используют инструменты с открытым исходным кодом для своих целей, различие между законным и вредоносным поведением зависит от понимания природы DNS-коммуникаций. Поскольку злоумышленники все чаще комбинируют методы эксфильтрации DNS с вводящими в заблуждение доменными именами, постоянная бдительность и инновационные стратегии обнаружения остаются необходимыми для защиты сетей от этих скрытых хакеров.

#ParsedReport #CompletenessHigh
16-07-2025

Talos IR ransomware engagements and the significance of timeliness in incident response

https://blog.talosintelligence.com/talos-ir-ransomware-engagements-and-the-significance-of-timeliness-in-incident-response/

Report completeness: High

Threats:
Chaos_ransomware
Microsoft_quick_assist_tool
Lolbin_technique
Impacket_tool
Nltest_tool
Anydesk_tool
Optitune_tool
Screenconnect_tool
Splashtop_tool
Rclone_tool
Medusa_ransomware
Simplehelp_tool
Brc4_tool
Shadow_copies_delete_technique
Betruger
Syncro_tool
Win.ransomware.medusa_note-10033532-0
Angry_ip_scanner_tool

Industry:
Education

CVEs:
CVE-2024-57727 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1021.002, T1047, T1059.001, T1059.003, T1070.004, T1078, T1105, T1110, T1133, have more...

IOCs:
File: 7
Path: 6
Hash: 26
IP: 6
Domain: 1

Soft:
Microsoft Teams, Task Scheduler, Active Directory, OpenSSH, ESXi, JWrapper, macOS, Linux, PsExec, Unix, have more...

Algorithms:
aes

Win API:
Getnativesysteminfo, Bcryptgeneratesymmetrickey

Languages:
java, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два инцидента с программами-вымогателями демонстрируют критическую роль своевременного реагирования на инциденты: быстрое взаимодействие предотвратило шифрование файлов, в то время как запоздалое реагирование привело к масштабному шифрованию сети. Злоумышленники использовали социальную инженерию, автономные двоичные файлы (LoLBins) и уязвимости, такие как устаревший PowerShell 1.0, для получения доступа и выполнения команд, подчеркивая необходимость быстрого вмешательства.
-----

Был проведен анализ двух инцидентов, связанных с программами-вымогателями, который показал важность своевременного реагирования на инциденты. В первом случае немедленное взаимодействие с Talos предотвратило полное шифрование файлов; в отличие от этого, отложенное реагирование позволило обеспечить масштабное шифрование сети. Современные программы-вымогатели сокращают время ожидания, требуя более быстрого реагирования. В обоих инцидентах использовались схожие инструменты и методы атаки, но оперативное вмешательство позволило улучшить анализ журналов. Злоумышленники-вымогатели Chaos получали первоначальный доступ с помощью социальной инженерии, рассылая спам-сообщения по электронной почте, что приводило жертв к вредоносной странице входа в систему во время сеансов Microsoft Teams. Злоумышленники использовали автономные двоичные файлы (LoLBins) и утилиты командной строки для удаленного выполнения и исследования сети. Они устанавливали исходящие соединения с контролируемыми IP-адресами с помощью защищенных инструментов и поддерживали доступ с помощью приложений удаленного мониторинга. В другом случае с программой-вымогателем Medusa злоумышленники использовали аналогичные методы, используя инструмент SimpleHelp для несанкционированного доступа. У обеих жертв были критические уязвимости, включая устаревшую версию PowerShell 1.0, которая позволяла выполнять неконтролируемые скрипты. Время взаимодействия с Talos сильно повлияло на серьезность воздействия программы-вымогателя.