#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Участились фишинговые кампании, нацеленные на администрацию социального обеспечения, в ходе которых основное внимание уделяется сбору учетных данных и установке троянских инструментов RMM, таких как ScreenConnect. Злоумышленники используют скомпрометированные серверы и законные домены для обхода системы безопасности, создавая срочность с помощью неприятных тем и маскируясь под официальные сообщения. Методы включают перенаправление жертв со взломанных сайтов WordPress на вредоносные домены и побуждение к загрузке замаскированных вредоносных исполняемых файлов, что приводит к росту краж личных данных и значительным финансовым потерям.
-----

Участились фишинговые кампании, связанные с Управлением социального обеспечения (SSA), в которых основное внимание уделяется сбору учетных данных и установке троянских инструментов удаленного мониторинга и управления (RMM), таких как ScreenConnect. Злоумышленники предлагают жертвам установить приложение Microsoft Phone Link для упрощения фильтрации данных и получения кодов двухфакторной аутентификации. В попытках фишинга используются взломанные серверы и законные домены для обхода системы безопасности. В сообщениях часто говорится о неотложных проблемах с системой социального обеспечения, используются вызывающие беспокойство темы и официальные логотипы SSA. Взломанные сайты WordPress используются для перенаправления жертв на вредоносные домены, на которых размещаются инструменты сбора учетных данных или полезные приложения для удаленного доступа. Злоумышленники регистрируют похожие домены для маскировки и распространяют троянскую версию ScreenConnect с таких доменов, как pulseriseglobal.com. Вредоносные исполняемые файлы также маскируются под пакеты для macOS. В результате фишинга было получено более 1,1 миллиона сообщений о краже личных данных, что привело к значительным убыткам, в том числе 502 миллиона долларов в результате инцидентов, связанных с фишингом. В среднем на рассмотрение дел о краже личных данных, связанных с налогообложением, уходит 676 дней. Стратегии защиты включают в себя отказ от непроверенных ссылок, постоянное обновление программного обеспечения и отключение макросов Office. Расширенные меры безопасности электронной почты позволяют перехватывать попытки фишинга до того, как они дойдут до пользователей, используя механизмы обнаружения для олицетворения SSA. Такие инструменты, как Microsoft Defender XDR или CrowdStrike Falcon, могут отслеживать использование инструментов RMM. Регулярное резервное копирование данных имеет решающее значение для защиты от фишинговых атак, а модели машинного обучения улучшают обнаружение вредоносных электронных писем, анализируя содержимое и метаданные на предмет аномалий.

#ParsedReport #CompletenessMedium
16-07-2025

DNS: A Small but Effective C2 system

https://blogs.infoblox.com/security/dns-a-small-but-effective-c2-system/

Report completeness: Medium

Actors/Campaigns:
Emissary_panda

Threats:
Dns_tunneling_technique
Cobalt_strike_tool
Dnscat2_tool
Sliver_c2_tool
Pupy_rat
Decoy_dog
Metasploit_tool

Victims:
Government entities, Corporate entities, Businesses, Enterprises, Customer networks

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1041, T1071.004, T1090.003, T1095, T1568.002, T1572

IOCs:
Domain: 12
File: 4
IP: 1

Soft:
Sudo

Algorithms:
base64

Platforms:
intel, cross-platform

Links:
https://github.com/iagox86/dnscat2
https://github.com/Arno0x/DNSExfiltrator
https://github.com/BishopFox/sliver
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Туннелирование DNS использует запросы DNS для скрытой связи, позволяя киберпреступникам извлекать данные и выполнять команды, обходя меры безопасности. Такие инструменты, как Cobalt Strike и DNSCat2, облегчают это, используя различные типы записей DNS для обмена данными. Обнаружение таких действий требует упреждающего мониторинга и передовых систем обнаружения угроз с использованием машинного обучения.
-----

Туннелирование DNS - это технология скрытой связи, которая позволяет киберпреступникам кодировать данные в DNS-запросах и ответах, эффективно создавая канал для командно-контрольных операций (C2) и утечки данных в обход традиционных мер безопасности. Это особенно важно, поскольку DNS-трафик обычно проходит через корпоративные брандмауэры с минимальным контролем. Злоумышленники создают инфраструктуру DNS C2, получая контроль над авторитетным сервером имен для домена, что позволяет вредоносному ПО в скомпрометированных системах периодически просматривать этот домен. Затем вредоносная программа может выполнять команды на основе данных ответа DNS, которые могут содержать закодированную информацию о жертве или инструкции.

Несколько инструментов облегчают туннелирование DNS, включая Cobalt Strike, DNSCat2, Yodome и другие. Эти инструменты используют различные типы записей DNS, такие как A, AAAA, TXT, CNAME и MX, для выполнения туннелирования. Например, Cobalt Strike использует запросы в шестнадцатеричном коде для своего модуля C2 и использует записи A для создания маяков. DNSCat2 поддерживает зашифрованные туннели DNS и может использовать несколько типов записей для обмена данными. Кроме того, большие данные могут быть отфильтрованы небольшими порциями, что позволяет использовать гибкость записей DNS.

Специалистам по безопасности необходимо активно отслеживать DNS-трафик и управлять им, чтобы выявлять такие методы туннелирования и предотвращать их. Передовые системы обнаружения угроз, такие как Threat Insight от Infoblox, используют алгоритмы машинного обучения для выявления подозрительных действий DNS, часто в течение нескольких секунд после запуска туннелирования. Такое быстрое обнаружение имеет решающее значение, учитывая, что при многих операциях по прокладке туннелей могут использоваться уникальные сигнатуры, позволяющие идентифицировать их благодаря тщательному анализу соответствующих запросов и ответов.

Изучение туннелирования DNS выявило различные семейства программного обеспечения и фреймворков для туннелирования, что подчеркивает эволюцию тактики, используемой как злоумышленниками, так и специалистами по безопасности. Следует также отметить, что, хотя некоторые участники используют инструменты с открытым исходным кодом для своих целей, различие между законным и вредоносным поведением зависит от понимания природы DNS-коммуникаций. Поскольку злоумышленники все чаще комбинируют методы эксфильтрации DNS с вводящими в заблуждение доменными именами, постоянная бдительность и инновационные стратегии обнаружения остаются необходимыми для защиты сетей от этих скрытых хакеров.

#ParsedReport #CompletenessHigh
16-07-2025

Talos IR ransomware engagements and the significance of timeliness in incident response

https://blog.talosintelligence.com/talos-ir-ransomware-engagements-and-the-significance-of-timeliness-in-incident-response/

Report completeness: High

Threats:
Chaos_ransomware
Microsoft_quick_assist_tool
Lolbin_technique
Impacket_tool
Nltest_tool
Anydesk_tool
Optitune_tool
Screenconnect_tool
Splashtop_tool
Rclone_tool
Medusa_ransomware
Simplehelp_tool
Brc4_tool
Shadow_copies_delete_technique
Betruger
Syncro_tool
Win.ransomware.medusa_note-10033532-0
Angry_ip_scanner_tool

Industry:
Education

CVEs:
CVE-2024-57727 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- simple-help simplehelp (<5.5.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1021.002, T1047, T1059.001, T1059.003, T1070.004, T1078, T1105, T1110, T1133, have more...

IOCs:
File: 7
Path: 6
Hash: 26
IP: 6
Domain: 1

Soft:
Microsoft Teams, Task Scheduler, Active Directory, OpenSSH, ESXi, JWrapper, macOS, Linux, PsExec, Unix, have more...

Algorithms:
aes

Win API:
Getnativesysteminfo, Bcryptgeneratesymmetrickey

Languages:
java, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Два инцидента с программами-вымогателями демонстрируют критическую роль своевременного реагирования на инциденты: быстрое взаимодействие предотвратило шифрование файлов, в то время как запоздалое реагирование привело к масштабному шифрованию сети. Злоумышленники использовали социальную инженерию, автономные двоичные файлы (LoLBins) и уязвимости, такие как устаревший PowerShell 1.0, для получения доступа и выполнения команд, подчеркивая необходимость быстрого вмешательства.
-----

Был проведен анализ двух инцидентов, связанных с программами-вымогателями, который показал важность своевременного реагирования на инциденты. В первом случае немедленное взаимодействие с Talos предотвратило полное шифрование файлов; в отличие от этого, отложенное реагирование позволило обеспечить масштабное шифрование сети. Современные программы-вымогатели сокращают время ожидания, требуя более быстрого реагирования. В обоих инцидентах использовались схожие инструменты и методы атаки, но оперативное вмешательство позволило улучшить анализ журналов. Злоумышленники-вымогатели Chaos получали первоначальный доступ с помощью социальной инженерии, рассылая спам-сообщения по электронной почте, что приводило жертв к вредоносной странице входа в систему во время сеансов Microsoft Teams. Злоумышленники использовали автономные двоичные файлы (LoLBins) и утилиты командной строки для удаленного выполнения и исследования сети. Они устанавливали исходящие соединения с контролируемыми IP-адресами с помощью защищенных инструментов и поддерживали доступ с помощью приложений удаленного мониторинга. В другом случае с программой-вымогателем Medusa злоумышленники использовали аналогичные методы, используя инструмент SimpleHelp для несанкционированного доступа. У обеих жертв были критические уязвимости, включая устаревшую версию PowerShell 1.0, которая позволяла выполнять неконтролируемые скрипты. Время взаимодействия с Talos сильно повлияло на серьезность воздействия программы-вымогателя.

#ParsedReport #CompletenessHigh
16-07-2025

UNG0002: Regional Threat Operations Tracked Across Multiple Asian Jurisdictions

https://www.seqrite.com/blog/ung0002-espionage-campaigns-south-asia/

Report completeness: High

Actors/Campaigns:
Ung0002 (motivation: cyber_espionage)
Cobalt_whisper
Ambermist

Threats:
Cobalt_strike_tool
Metasploit_tool
Blister
Fakecaptcha_technique
Clickfix_technique
Dll_sideloading_technique
Spear-phishing_technique
Lolbin_technique
Dllsearchorder_hijacking_technique
Junk_code_technique

Industry:
Healthcare, Education, Software_development, Maritime, Energy, Entertainment, Aerospace

Geo:
Asia, Asian, Pakistan, South-east asia, China, Hong kong

TTPs:
Tactics: 11
Technics: 21

IOCs:
Path: 1
Hash: 15
Domain: 1
File: 6

Algorithms:
aes, zip

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNG0002, APT, ориентированный на шпионаж, использует файлы LNK, VBScript и RATS, такие как Shadow RAT и INET RAT, в различных секторах. В их кампаниях, включая Operation Cobalt Whisper и AmberMist, используются такие методы, как поддельная КАПЧА, для развертывания вредоносных программ и использования дополнительной загрузки библиотек DLL, чтобы избежать обнаружения.
-----

APT-команда Seqrite Labs выявила и отслеживала хакера, известного как UNG0002, или Неизвестная группа 0002, которая занимается шпионажем в нескольких азиатских регионах, включая Китай, Гонконг и Пакистан. Эта группа постоянно отдает предпочтение использованию файлов быстрого доступа (LNK), VBScript и инструментам последующей эксплуатации, таким как Cobalt Strike и Metasploit. Для их операций характерно использование документов-приманек в виде резюме, предназначенных для привлечения жертв.

Мероприятия UNG0002 в основном подразделяются на две важные кампании: операцию "Кобальтовый шепот", которая проводилась с мая по сентябрь 2024 года, и операцию "АмберМист", которая проводилась с января по май 2025 года. В ходе предыдущей операции было обнаружено 20 различных цепочек заражения, нацеленных на такие отрасли, как оборона, электротехническое машиностроение и гражданская авиация. Более поздняя кампания AmberMist перенесла акцент на игровой сектор, разработку программного обеспечения и академическую сферу, внедрив легкие имплантаты, такие как Shadow RAT, Blister DLL Implant и INET RAT. Примечательно, что UNG0002 применил метод ClickFix во время AmberMist, используя поддельные страницы проверки CAPTCHA, чтобы манипулировать жертвами, заставляя их запускать вредоносные сценарии PowerShell.

В своей методологии UNG0002 использует многоэтапные атаки с использованием комбинации вредоносных файлов LNK, VBScript, пакетных сценариев и PowerShell для развертывания пользовательских средств удаленного доступа (RAT), таких как Shadow RAT и INET RAT. Их использование дополнительной загрузки библиотек DLL особенно очевидно; они используют законные приложения Windows, такие как Rasphone и Node-Webkit, для выполнения вредоносной полезной нагрузки, пытаясь избежать усилий по обнаружению.

Устойчивая инфраструктура этой группы была отмечена последовательной схемой именования и оперативными методами, которые применялись в ходе различных кампаний в течение последнего года. Они систематически нацелены на широкий спектр отраслей, включая оборону, инженерное дело, научные круги и игровой сектор, что предполагает организованную стратегию, направленную на сбор разведывательной информации.

Были обнаружены примечательные технические артефакты, указывающие на среды разработки, связанные с пользовательским вредоносным ПО, которые дают информацию о потенциальных кодовых названиях, таких как "Mustang" и "ShockWave". Продолжающаяся эволюция их тактики свидетельствует о высокой адаптивности и техническом мастерстве UNG0002, а также о склонности имитировать методы других хакеров, что затрудняет поиск виновных. Seqrite Labs с высокой степенью уверенности полагает, что эта группа, скорее всего, действует в Юго-Восточной Азии и занимается шпионажем. Будущие результаты будут дополнять и уточнять наше понимание их операций и методов.

#technique #llm

Интересная техника, направленная на inject промта в почтовые сообщения, которые потом обрабатывает AI-агент.

Hidden HTML Hack Turns Google Gemini Into a Phishing Machine

https://www.secureblink.com/cyber-security-news/hidden-html-hack-turns-google-gemini-into-a-phishing-machine

Ну и вдогонку прилетает привет всем, кто пакует модельки в контейнеры

NVIDIAScape - Critical NVIDIA AI Vulnerability: A Three-Line Container Escape in NVIDIA Container Toolkit (CVE-2025-23266)

https://www.wiz.io/blog/nvidia-ai-vulnerability-cve-2025-23266-nvidiascape

Какая интересная галлюцинация у ChatGPT.
Умеет же он испортить и отчет и настроение.

#ParsedReport #CompletenessHigh
17-07-2025

Katz Stealer \| Powerful MaaS On the Prowl for Credentials and Crypto Assets

https://www.sentinelone.com/blog/katz-stealer-powerful-maas-on-the-prowl-for-credentials-and-crypto-assets/

Report completeness: High

Threats:
Katz_stealer
Process_hollowing_technique
Katz_loader
Steganography_technique
Stego_loader
Uac_bypass_technique
Credential_harvesting_technique
Chromekatz_tool
Process_injection_technique
Qtox_tool

Industry:
Entertainment

Geo:
Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1036.005, T1055.012, T1056.001, T1059.001, T1059.007, T1070.004, T1071.001, have more...

IOCs:
File: 7
Command: 1
Hash: 41
IP: 5
Domain: 6

Soft:
Telegram, Discord, Windows registry, VirtualBox, Chrome, Firefox, Steam, Outlook, Foxmail

Wallets:
exodus_wallet, coinomi, metamask

Crypto:
dogecoin, litecoin, monero, bitcoin, ethereum, binance

Algorithms:
base64, sha1

Languages:
javascript, powershell

Links:
https://github.com/Meckazin/ChromeKatz

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Katz Stealer - это сложный инфокрад, который использует многоэтапный процесс заражения с использованием фишинга и запутанного JavaScript для доставки своей полезной информации, получая повышенные привилегии с помощью обхода контроля учетных записей. Он может собирать конфиденциальную информацию в различных приложениях, включая веб-браузеры и криптовалютные кошельки, и обмениваться данными с жестко запрограммированными IP-адресами C2 для фильтрации данных в режиме реального времени.
-----

Katz Stealer - это сложный инфокрад, работающий как вредоносное ПО как услуга (MaaS), известный своей способностью красть широкий спектр конфиденциальной информации, включая пароли, криптовалютные ключи и токены для обмена личными сообщениями. После развертывания Katz Stealer использует многоэтапный процесс заражения, который начинается с вредоносных архивных файлов, обычно доставляемых с помощью фишинговых электронных писем или троянских загрузок, содержащих запутанный JavaScript-дроппер. Этот JavaScript выполняет команду PowerShell для загрузки файла с изображением оружия, который скрывает полезную нагрузку в кодировке base64 с использованием стеганографии. Полезная нагрузка, извлеченная из памяти, использует метод обхода контроля учетных записей пользователей (UAC) с использованием законной утилиты Windows cmstp.exe, что позволяет ей получить повышенные привилегии.

После выполнения Katz Stealer устанавливает постоянство, создавая запланированную задачу, которая запускается при перезапуске системы, при этом основной модуль запускается в привилегированном пространстве памяти MSBuild.exe посредством удаления процесса. Такая архитектура предоставляет Katz Stealer доступ на системном уровне, что позволяет ему работать без обнаружения стандартными средствами безопасности. Его возможности по краже данных распространяются на различные приложения, в частности веб-браузеры, где он использует сохраненные учетные данные, данные автозаполнения и токены сеанса, не взаимодействуя с активными пользовательскими сеансами. Вредоносная программа использует автономный режим для запуска целевых браузеров, внедряя специализированную библиотеку DLL для беспрепятственного доступа к конфиденциальным данным.

Katz Stealer поддерживает широкий спектр приложений, использующих данные из почтовых клиентов, программного обеспечения FTP, VPN и игровых платформ. Он тщательно собирает сохраненную информацию, способен делать снимки экрана, аудио, видео и отслеживать действия в буфере обмена, чтобы извлекать конфиденциальные строки, такие как пароли или криптовалюты. Архитектура вредоносного ПО спроектирована таким образом, чтобы работать как с современными мерами безопасности браузера, так и со сложными типами криптовалютных кошельков, используя методы обхода барьеров шифрования и сбора конфиденциальной информации о кошельках.

Коммуникационная структура Katz Stealer основана на жестко запрограммированных командно-контрольных IP-адресах (C2) для постоянного подключения, использующих протоколы HTTP/HTTPS для фильтрации данных. Он поддерживает непрерывную передачу данных, отправляя учетные данные и токены на серверы C2 в режиме реального времени по мере обновления скомпрометированных систем. После успешного сбора данных операторы могут инициировать процедуры очистки, чтобы устранить следы своей деятельности.

Katz Stealer демонстрирует сочетание традиционной социальной инженерии с передовыми современными технологиями вредоносного ПО, подчеркивая острую необходимость в надежных мерах защиты от операций по краже данных, подчеркивая, что успешные атаки по-прежнему требуют взаимодействия с пользователем для первоначального компрометации.

#ParsedReport #CompletenessLow
17-07-2025

Konfety Returns: Classic Mobile Threat with New Evasion Techniques

https://zimperium.com/blog/konfety-returns-classic-mobile-threat-with-new-evasion-techniques

Report completeness: Low

Actors/Campaigns:
Konfety

Threats:
Eviltwin_technique
Dead_drop_technique

Victims:
Mobile users

TTPs:
Tactics: 3
Technics: 10

IOCs:
File: 1

Soft:
APKTool, Android, Google Play

Algorithms:
zip, bzip

Links:
https://github.com/Zimperium/IOC/tree/master/2025-07-Konfety

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4