#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNG0002, APT, ориентированный на шпионаж, использует файлы LNK, VBScript и RATS, такие как Shadow RAT и INET RAT, в различных секторах. В их кампаниях, включая Operation Cobalt Whisper и AmberMist, используются такие методы, как поддельная КАПЧА, для развертывания вредоносных программ и использования дополнительной загрузки библиотек DLL, чтобы избежать обнаружения.
-----

APT-команда Seqrite Labs выявила и отслеживала хакера, известного как UNG0002, или Неизвестная группа 0002, которая занимается шпионажем в нескольких азиатских регионах, включая Китай, Гонконг и Пакистан. Эта группа постоянно отдает предпочтение использованию файлов быстрого доступа (LNK), VBScript и инструментам последующей эксплуатации, таким как Cobalt Strike и Metasploit. Для их операций характерно использование документов-приманек в виде резюме, предназначенных для привлечения жертв.

Мероприятия UNG0002 в основном подразделяются на две важные кампании: операцию "Кобальтовый шепот", которая проводилась с мая по сентябрь 2024 года, и операцию "АмберМист", которая проводилась с января по май 2025 года. В ходе предыдущей операции было обнаружено 20 различных цепочек заражения, нацеленных на такие отрасли, как оборона, электротехническое машиностроение и гражданская авиация. Более поздняя кампания AmberMist перенесла акцент на игровой сектор, разработку программного обеспечения и академическую сферу, внедрив легкие имплантаты, такие как Shadow RAT, Blister DLL Implant и INET RAT. Примечательно, что UNG0002 применил метод ClickFix во время AmberMist, используя поддельные страницы проверки CAPTCHA, чтобы манипулировать жертвами, заставляя их запускать вредоносные сценарии PowerShell.

В своей методологии UNG0002 использует многоэтапные атаки с использованием комбинации вредоносных файлов LNK, VBScript, пакетных сценариев и PowerShell для развертывания пользовательских средств удаленного доступа (RAT), таких как Shadow RAT и INET RAT. Их использование дополнительной загрузки библиотек DLL особенно очевидно; они используют законные приложения Windows, такие как Rasphone и Node-Webkit, для выполнения вредоносной полезной нагрузки, пытаясь избежать усилий по обнаружению.

Устойчивая инфраструктура этой группы была отмечена последовательной схемой именования и оперативными методами, которые применялись в ходе различных кампаний в течение последнего года. Они систематически нацелены на широкий спектр отраслей, включая оборону, инженерное дело, научные круги и игровой сектор, что предполагает организованную стратегию, направленную на сбор разведывательной информации.

Были обнаружены примечательные технические артефакты, указывающие на среды разработки, связанные с пользовательским вредоносным ПО, которые дают информацию о потенциальных кодовых названиях, таких как "Mustang" и "ShockWave". Продолжающаяся эволюция их тактики свидетельствует о высокой адаптивности и техническом мастерстве UNG0002, а также о склонности имитировать методы других хакеров, что затрудняет поиск виновных. Seqrite Labs с высокой степенью уверенности полагает, что эта группа, скорее всего, действует в Юго-Восточной Азии и занимается шпионажем. Будущие результаты будут дополнять и уточнять наше понимание их операций и методов.

#technique #llm

Интересная техника, направленная на inject промта в почтовые сообщения, которые потом обрабатывает AI-агент.

Hidden HTML Hack Turns Google Gemini Into a Phishing Machine

https://www.secureblink.com/cyber-security-news/hidden-html-hack-turns-google-gemini-into-a-phishing-machine

Ну и вдогонку прилетает привет всем, кто пакует модельки в контейнеры

NVIDIAScape - Critical NVIDIA AI Vulnerability: A Three-Line Container Escape in NVIDIA Container Toolkit (CVE-2025-23266)

https://www.wiz.io/blog/nvidia-ai-vulnerability-cve-2025-23266-nvidiascape

Какая интересная галлюцинация у ChatGPT.
Умеет же он испортить и отчет и настроение.

#ParsedReport #CompletenessHigh
17-07-2025

Katz Stealer \| Powerful MaaS On the Prowl for Credentials and Crypto Assets

https://www.sentinelone.com/blog/katz-stealer-powerful-maas-on-the-prowl-for-credentials-and-crypto-assets/

Report completeness: High

Threats:
Katz_stealer
Process_hollowing_technique
Katz_loader
Steganography_technique
Stego_loader
Uac_bypass_technique
Credential_harvesting_technique
Chromekatz_tool
Process_injection_technique
Qtox_tool

Industry:
Entertainment

Geo:
Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1036.005, T1055.012, T1056.001, T1059.001, T1059.007, T1070.004, T1071.001, have more...

IOCs:
File: 7
Command: 1
Hash: 41
IP: 5
Domain: 6

Soft:
Telegram, Discord, Windows registry, VirtualBox, Chrome, Firefox, Steam, Outlook, Foxmail

Wallets:
exodus_wallet, coinomi, metamask

Crypto:
dogecoin, litecoin, monero, bitcoin, ethereum, binance

Algorithms:
base64, sha1

Languages:
javascript, powershell

Links:
https://github.com/Meckazin/ChromeKatz

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Katz Stealer - это сложный инфокрад, который использует многоэтапный процесс заражения с использованием фишинга и запутанного JavaScript для доставки своей полезной информации, получая повышенные привилегии с помощью обхода контроля учетных записей. Он может собирать конфиденциальную информацию в различных приложениях, включая веб-браузеры и криптовалютные кошельки, и обмениваться данными с жестко запрограммированными IP-адресами C2 для фильтрации данных в режиме реального времени.
-----

Katz Stealer - это сложный инфокрад, работающий как вредоносное ПО как услуга (MaaS), известный своей способностью красть широкий спектр конфиденциальной информации, включая пароли, криптовалютные ключи и токены для обмена личными сообщениями. После развертывания Katz Stealer использует многоэтапный процесс заражения, который начинается с вредоносных архивных файлов, обычно доставляемых с помощью фишинговых электронных писем или троянских загрузок, содержащих запутанный JavaScript-дроппер. Этот JavaScript выполняет команду PowerShell для загрузки файла с изображением оружия, который скрывает полезную нагрузку в кодировке base64 с использованием стеганографии. Полезная нагрузка, извлеченная из памяти, использует метод обхода контроля учетных записей пользователей (UAC) с использованием законной утилиты Windows cmstp.exe, что позволяет ей получить повышенные привилегии.

После выполнения Katz Stealer устанавливает постоянство, создавая запланированную задачу, которая запускается при перезапуске системы, при этом основной модуль запускается в привилегированном пространстве памяти MSBuild.exe посредством удаления процесса. Такая архитектура предоставляет Katz Stealer доступ на системном уровне, что позволяет ему работать без обнаружения стандартными средствами безопасности. Его возможности по краже данных распространяются на различные приложения, в частности веб-браузеры, где он использует сохраненные учетные данные, данные автозаполнения и токены сеанса, не взаимодействуя с активными пользовательскими сеансами. Вредоносная программа использует автономный режим для запуска целевых браузеров, внедряя специализированную библиотеку DLL для беспрепятственного доступа к конфиденциальным данным.

Katz Stealer поддерживает широкий спектр приложений, использующих данные из почтовых клиентов, программного обеспечения FTP, VPN и игровых платформ. Он тщательно собирает сохраненную информацию, способен делать снимки экрана, аудио, видео и отслеживать действия в буфере обмена, чтобы извлекать конфиденциальные строки, такие как пароли или криптовалюты. Архитектура вредоносного ПО спроектирована таким образом, чтобы работать как с современными мерами безопасности браузера, так и со сложными типами криптовалютных кошельков, используя методы обхода барьеров шифрования и сбора конфиденциальной информации о кошельках.

Коммуникационная структура Katz Stealer основана на жестко запрограммированных командно-контрольных IP-адресах (C2) для постоянного подключения, использующих протоколы HTTP/HTTPS для фильтрации данных. Он поддерживает непрерывную передачу данных, отправляя учетные данные и токены на серверы C2 в режиме реального времени по мере обновления скомпрометированных систем. После успешного сбора данных операторы могут инициировать процедуры очистки, чтобы устранить следы своей деятельности.

Katz Stealer демонстрирует сочетание традиционной социальной инженерии с передовыми современными технологиями вредоносного ПО, подчеркивая острую необходимость в надежных мерах защиты от операций по краже данных, подчеркивая, что успешные атаки по-прежнему требуют взаимодействия с пользователем для первоначального компрометации.

#ParsedReport #CompletenessLow
17-07-2025

Konfety Returns: Classic Mobile Threat with New Evasion Techniques

https://zimperium.com/blog/konfety-returns-classic-mobile-threat-with-new-evasion-techniques

Report completeness: Low

Actors/Campaigns:
Konfety

Threats:
Eviltwin_technique
Dead_drop_technique

Victims:
Mobile users

TTPs:
Tactics: 3
Technics: 10

IOCs:
File: 1

Soft:
APKTool, Android, Google Play

Algorithms:
zip, bzip

Links:
https://github.com/Zimperium/IOC/tree/master/2025-07-Konfety

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Konfety нацелена на устройства Android, используя стратегию "злых близнецов" с помощью доброкачественных и вредоносных приложений. Она использует скрытие на уровне ZIP и динамическую загрузку кода, чтобы скрыть свое поведение и усложнить обнаружение. Интегрированный с пакетом CaramelAds SDK, он проводит масштабную рекламную аферу и манипулирует взаимодействием пользователей с целью установки дополнительных полезных функций.
-----

Вредоносная программа Konfety нацелена на устройства Android, используя подход "злых близнецов", создавая дублирующиеся приложения с одинаковыми именами пакетов для повышения скрытности. Она использует защиту на уровне ZIP, манипулируя структурой APK с использованием неподдерживаемых форматов сжатия, таких как BZIP, для усложнения обратного проектирования. Вредоносная программа использует динамическую загрузку кода, скрывая критически важные функции в зашифрованных ресурсах, которые расшифровываются и запускаются во время выполнения. После запуска Konfety получает доступ к исполняемому файлу каталога (DEX) в памяти для выполнения дополнительных вредоносных функций. В нем реализованы такие функции, как скрытие значка приложения, имитация законного программного обеспечения и использование геозоны для изменения поведения в зависимости от местоположения. Вредоносная программа интегрируется с пакетом SDK CaramelAds для облегчения мошенничества с рекламой, поиска объявлений и поддержания связи с серверами, контролируемыми злоумышленниками. Действия пользователя приводят к перенаправлению на вредоносные веб-сайты, установке непроверенных приложений или одобрению уведомлений, что приводит к рассылке спама. В Konfety используется множество уровней запутывания и вводящих в заблуждение деклараций. Индикаторами ее эволюции являются специфические регулярные выражения и поведение всплывающих окон, которые связывают ее с предыдущими кампаниями. Вредоносная программа может перехватывать сетевые сообщения, перенаправляя пользователей через несколько веб-сайтов, чтобы увеличить их взаимодействие с вредоносным контентом.

#ParsedReport #CompletenessLow
17-07-2025

GhostContainer backdoor: malware compromising Exchange servers of high-value organizations in Asia

https://securelist.com/ghostcontainer/116953/

Report completeness: Low

Threats:
Ghostcontainer
Neo-regeorg_tool

Victims:
Key government agency, High tech company

Industry:
Government

Geo:
Asia, Asian

CVEs:
CVE-2020-0688 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1071.001, T1090.001, T1095, T1105, T1140, T1190, T1562.001, have more...

IOCs:
File: 4
Hash: 1

Soft:
ASP.NET, Microsoft Exchange

Algorithms:
sha256, aes, sha1, md5, base64

Functions:
AppWebInit

Win API:
Decompress

Platforms:
intel, x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostContainer - это сложная вредоносная программа-бэкдор, нацеленная на серверы Microsoft Exchange и использующая CVE-2020-0688. Она использует динамическую загрузку модулей, позволяет избежать обнаружения путем манипулирования amsi.dll и ntdll.dll и работает как прокси-сервер для TCP-соединений, что усложняет обнаружение. Вредоносная программа нацелена на правительственный и высокотехнологичный секторы в Азии, интегрируя выполнение команд в законные запросы Exchange.
-----

Недавние расследования кибератак, связанных с правительственными учреждениями, выявили сложную разновидность вредоносного ПО, нацеленную на серверы Microsoft Exchange, которая была идентифицирована как GhostContainer. Это вредоносное ПО с бэкдором отличается высокой степенью настройки и возможностью динамического расширения за счет загрузки дополнительных модулей. Предполагается, что первоначальный взлом был вызван использованием известной уязвимости N-day, возможно, связанной с CVE-2020-0688, направленной на получение несанкционированного доступа к инфраструктуре Exchange.

Ключевой компонент вредоносной программы, файл с именем App_Web_Container_1.dll, служит "контейнером", который включает в себя несколько классов. Среди них класс Stub работает как синтаксический анализатор команд и управления (C2), выполняющий шеллкод и управляющий сервером, в то время как класс App_Web_843e75cf5b63 служит загрузчиком возможностей веб-прокси. Важно отметить, что бэкдор использует методы обхода, перезаписывая адреса памяти в amsi.dll и ntdll.dll, чтобы обойти интерфейс сканирования вредоносных программ (AMSi) и ведение журнала событий Windows, что сводит к минимуму вероятность обнаружения решениями безопасности.

Помимо своих основных функций, вредоносная программа выполняет дополнительные задачи, такие как извлечение компьютерного ключа из ASP.NET конфигураций для шифрования AES и расшифровки сообщений между злоумышленником и скомпрометированным сервером. Каждая команда, выполняемая классом Stub, генерирует ответ в формате XML, который также может указывать на ее потенциальную связь с ранее упомянутым эксплойтом.

Более того, вредоносная программа может работать как прокси-сервер или туннель, перенаправляя и управляя TCP-соединениями между Интернетом и внутренней сетью, что потенциально может привести к утечке данных. Взаимодействие с бэкдором легко интегрируется в обычные веб-запросы Exchange, что еще больше усложняет работу по обнаружению, поскольку вредоносное ПО не инициирует исходящие соединения с известными инфраструктурами C2. Вместо этого внешний злоумышленник отправляет команды, скрытые в рамках обычных обменов данными.

В настоящее время данные телеметрии выявили цели в Азии, в частности, правительственное учреждение и высокотехнологичную компанию. Характер этой атаки существенно отличается от известных вредоносных программ, поскольку при ее разработке используются многочисленные ресурсы с открытым исходным кодом. Такое включение делает традиционные определения происхождения вредоносного ПО ненадежными, что позволяет предположить, что различные хакеры или APT-группы могут использовать аналогичные методы. В настоящее время усилия направлены на сбор дополнительной информации о возможностях вредоносного ПО и понимание его более широкого воздействия на целевые сектора.

#ParsedReport #CompletenessMedium
17-07-2025

KAWA4096s Ransomware Tide: Rising Threat With Borrowed Styles

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/kawa4096s-ransomware-tide-rising-threat-with-borrowed-styles/

Report completeness: Medium

Actors/Campaigns:
Kawa4096
Akira_ransomware

Threats:
Akira_ransomware
Qilin_ransomware
Shadow_copies_delete_technique
Wevtutil_tool
Qtox_tool

Geo:
Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1057, T1106, T1204.002, T1486, T1489, T1490, T1491

IOCs:
File: 21
Command: 2
Url: 1
Email: 1
Hash: 2

Soft:
Windows Service, QuickBooks, MSExchange, mysql, DefWatch, steam, onenote, thebat, outlook, firefox, have more...

Algorithms:
sha256, md5, base64, sha1

Win API:
LoadResource, ControlService, TerminateProcess

Win Services:
AcronisAgent, GxFWD, SAPHostControl, AcrSch2Svc, GXMMM, SAPHostExec, GxVss, SAPService, BackupExecAgentAccelerator, GxVssHWProv, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KAWA4096 - это новый вариант программы-вымогателя, предназначенный для США и Японии, отличающийся передовыми технологиями многопоточной синхронизации и шифрования файлов. Он активно отключает процессы, связанные с системами безопасности и резервного копирования, удаляет теневые копии и применяет меры, гарантирующие запуск только одного экземпляра. В уведомлении о требовании выкупа и на сайте об утечке данных используются элементы дизайна других групп программ-вымогателей для повышения доверия.
-----

KAWA4096 - это новый вариант программы-вымогателя, появившийся в июне 2025 года и нацеленный в первую очередь на Соединенные Штаты и Японию. Он разработан по образцу Akira ransomware group и использует формат записки с требованием выкупа, напоминающий Qilin's, что, вероятно, повысит его узнаваемость и доверие к нему. К середине 2025 года жертвами KAWA4096 стали по меньшей мере 11 человек, что указывает на его активное участие в борьбе с программами-вымогателями, в которой в течение года наблюдался всплеск числа новых групп.

Техническая архитектура программы-вымогателя включает в себя расширенные возможности, такие как использование семафоров для многопоточной синхронизации и возможность шифрования файлов на общих сетевых дисках. Вредоносный код напрямую загружает свою конфигурацию в двоичный файл, указывая свои рабочие параметры, включая список приложений и служб, которые должны быть завершены после выполнения. Примечательно, что при запуске без параметров командной строки KAWA4096 создает новый экземпляр самого себя с параметром "-all", гарантируя, что по умолчанию его функциональность полностью задействована.

Чтобы гарантировать, что запущен только один экземпляр, KAWA4096 создает мьютекс с именем SAY_HI_2025. Он активно воздействует на процессы, связанные с антивирусным программным обеспечением, SQL-серверами, системами резервного копирования и приложениями SAP, используя API Windows Service Control Manager, чтобы остановить эти службы перед выполнением своей полезной нагрузки. Кроме того, он использует выделенный поток для мониторинга и завершения определенных процессов на основе своей конфигурации на протяжении всего запуска вредоносной программы, используя для выполнения API TerminateProcess.

Программа-вымогатель удаляет теневые копии с помощью инструментария управления Windows (WMI) для выполнения команд, которые усиливают ее воздействие на возможности жертвы по восстановлению данных. KAWA4096 запускает несколько потоков (в анализируемом примере их число равно 10) для эффективного шифрования файлов и использует общую очередь для управления путями к файлам, которые нуждаются в шифровании. Он изменяет значки зашифрованных файлов, имитируя те, которые используются "SQL Monitor", в дополнение к изменению обоев рабочего стола жертвы, которые в проверенной версии настроены на сплошной черный цвет.

Записка с требованием выкупа, сгенерированная KAWA4096, имеет сходство с запросом программы-вымогателя Qilin, хотя и с незначительными изменениями. Кроме того, сайт по утечке данных компании отличается дизайном, похожим на сайт Akira, с интерфейсом терминала, выполненным зеленым по черному, что способствует повышению репутации группы.

Несмотря на то, что на данный момент он не связан ни с какими известными хакерами, поведение и методы, продемонстрированные KAWA4096, служат напоминанием организациям о необходимости принятия надежных мер безопасности и бдительности в отношении возникающих угроз. Службы кибербезопасности, подобные тем, которые предоставляет Trustwave, разработали правила обнаружения для выявления методов, используемых такими программами-вымогателями, что подчеркивает постоянную необходимость адаптации к меняющимся условиям кибербезопасности.

#ParsedReport #CompletenessMedium
17-07-2025

Chinese Malware Delivery Domains: Part III

https://dti.domaintools.com/chinese-malware-delivery-domains-part-iii/

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Victims:
Chinese-speaking individuals, Chinese-speaking entities, Individuals engaged in sales and marketing, Business prospects possessing chinese language skills

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1140, T1204.001, T1204.002, T1583.001

IOCs:
Url: 174
Hash: 42
Domain: 1174

Soft:
Chrome, Microsoft Defender, gmail

Wallets:
coinbase

Algorithms:
xor, sha256

Languages:
javascript

Links:
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/SilverFox-Pt3.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SilverFox, хакер, действующий с июня 2023 года, нацелен на носителей китайского языка, использующих более 2800 доменов, для распространения вредоносного ПО для Windows с помощью поддельных загрузок и вводящих в заблуждение запросов. Их вредоносная программа поставляется в виде zip-файла с установщиком .msi и загрузчиком (`svchost.13.exe`), использующим XOR-шифрование для получения дополнительной полезной информации. Несмотря на повышенную безопасность браузера, обнаружение угроз SilverFox остается сложной задачей, что подчеркивает необходимость более тщательного обучения пользователей и принятия мер безопасности.
-----

SilverFox активно занимается хакерской деятельностью с июня 2023 года, нацеливаясь на физических и юридических лиц, говорящих на китайском языке. Они работают в основном в рабочее время на китайском языке. Злоумышленник создал более 2800 доменов для распространения вредоносного ПО с помощью поддельных загрузок приложений и вводящих в заблуждение запросов на обновление. Они специализируются на атаках с финансовой подоплекой, в частности, на краже учетных данных и финансовых средств. Их мишенями являются сотрудники отдела продаж и маркетинга, связанные с китайскоязычным рынком.

По состоянию на июнь 2025 года 266 доменов остаются активными, что свидетельствует о постоянном характере кампании. SilverFox использует средства защиты от автоматизации и проверки на эмуляцию браузера в своих доменах. Один из доменов, "googeyxvot.top", использует ложные ошибки, чтобы обманом заставить пользователей загружать вредоносное ПО. Для доставки вредоносного ПО используется вредоносный zip-файл с установщиком .msi, который развертывает исполняемые файлы, включая `svchost.13.exe", который действует как загрузчик.

Этот загрузчик использует сложные методы, такие как расшифровка шеллкода с помощью XOR-шифрования, для получения дополнительных данных с удаленного сервера. Современные защитные меры в веб-браузерах, таких как Chrome и Edge, включают расширенные функции безопасности, но скорость обнаружения полезных данных в SilverFox остается сложной задачей. Для снижения рисков рекомендуется применять усиленные меры безопасности, обучать пользователей борьбе с фишингом и использовать многофакторную аутентификацию.