CTT Report Hub
#ParsedReport #CompletenessMedium 17-07-2025 Massistant: A Successor to Meiya Pico s MFSocket https://security.lookout.com/threat-intelligence/article/massistant-chinese-mobile-forensics Report completeness: Medium Threats: Massistant_tool Mfsocket_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MFSocket и его преемник Massistant - это инструменты наблюдения, связанные с китайской Meiya Pico, которые позволяют извлекать обширные данные с мобильных устройств. Massistant может собирать данные о сообщениях из таких приложений, как Signal и Telegram, для установки требуется физический доступ, а для обхода разрешений используются специальные сервисы. Пользователи сталкиваются с риском перехвата данных во время взаимодействия с китайскими правоохранительными органами, даже после возврата устройств.
-----
MFSocket - это инструмент мобильного наблюдения, который, как сообщается, используется китайской полицией и принадлежит компании Xiamen Meiya Pico Information Co., Ltd. Исследователи в области кибербезопасности подтвердили свою причастность к этой компании, подписав сертификаты. Приложение-преемник, Massistant, также было подключено к Meiya Pico с помощью сертификата подписи Android. Это приложение предназначено для работы с программным обеспечением для настольной криминалистики для извлечения данных с мобильных устройств, работающих через локальный хост на порту 10102. Пользователи должны предоставить разрешения на доступ к различным функциям, включая GPS, SMS, изображения, аудио, контакты и телефонные услуги. Кроме того, Massistant включает в себя BroadcastReceiver, который может удалить приложение, если устройство отключено от USB-порта, и использует службы специальных возможностей для автоматического обхода запросов безопасности и предоставления разрешений.
Последняя версия Massistant (версия 8.5.7) обеспечивает подключение через Android Debug Bridge по Wi-Fi и возможность загрузки файлов. Ее функциональность распространяется на сбор данных о сообщениях из таких приложений, как Signal, Letstalk и Telegram. Примечательно, что оно недоступно в Google Play Store и требует физического доступа для установки. В отчетах указывается, что возможности этих инструментов для наблюдения могут сохраняться на устройствах, возвращенных правоохранительными органами после конфискации.
В ходе расследования руководство по устранению неполадок для MFSocket показало, что его можно перенести на мобильные устройства, используя определенные модели систем сбора доказательств Meiya Pico. Эти модели, обозначенные как серии DC-4501, DC-4700 и FL-900, продаются через веб-сайт компании. В руководстве указывалось, что Meiya Pico отказалась от более ранних версий своих продуктов в пользу обновленных версий, что позволяет предположить, что MFSocket, возможно, был заменен на Massistant примерно в середине 2020 года.
Meiya Pico - китайская технологическая компания, торгуемая на бирже, работающая на рынке коммерческого видеонаблюдения, и ее продукция часто демонстрируется на международных выставках для правоохранительных органов. Они также были связаны с иностранными организациями, в частности, с российскими военными, хотя, как сообщается, крупная закупка средств наблюдения была аннулирована из-за мошенничества с лицензированием.
С декабря 2023 года компания Meiya Pico претерпела ребрендинг на SDIC Intelligence Xiamen Information Co., Ltd. Несмотря на это изменение названия, в существующих версиях программного обеспечения Meiya Pico по-прежнему упоминается как компания-разработчик. Учитывая активное взаимодействие компании с Министерством общественной безопасности Китая и международными инициативами по обучению сотрудников правоохранительных органов, пользователи, путешествующие в материковый Китай или в пределах материковой части Китая, серьезно обеспокоены возможностью перехвата их мобильных данных в рамках законных операций по слежке.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
MFSocket и его преемник Massistant - это инструменты наблюдения, связанные с китайской Meiya Pico, которые позволяют извлекать обширные данные с мобильных устройств. Massistant может собирать данные о сообщениях из таких приложений, как Signal и Telegram, для установки требуется физический доступ, а для обхода разрешений используются специальные сервисы. Пользователи сталкиваются с риском перехвата данных во время взаимодействия с китайскими правоохранительными органами, даже после возврата устройств.
-----
MFSocket - это инструмент мобильного наблюдения, который, как сообщается, используется китайской полицией и принадлежит компании Xiamen Meiya Pico Information Co., Ltd. Исследователи в области кибербезопасности подтвердили свою причастность к этой компании, подписав сертификаты. Приложение-преемник, Massistant, также было подключено к Meiya Pico с помощью сертификата подписи Android. Это приложение предназначено для работы с программным обеспечением для настольной криминалистики для извлечения данных с мобильных устройств, работающих через локальный хост на порту 10102. Пользователи должны предоставить разрешения на доступ к различным функциям, включая GPS, SMS, изображения, аудио, контакты и телефонные услуги. Кроме того, Massistant включает в себя BroadcastReceiver, который может удалить приложение, если устройство отключено от USB-порта, и использует службы специальных возможностей для автоматического обхода запросов безопасности и предоставления разрешений.
Последняя версия Massistant (версия 8.5.7) обеспечивает подключение через Android Debug Bridge по Wi-Fi и возможность загрузки файлов. Ее функциональность распространяется на сбор данных о сообщениях из таких приложений, как Signal, Letstalk и Telegram. Примечательно, что оно недоступно в Google Play Store и требует физического доступа для установки. В отчетах указывается, что возможности этих инструментов для наблюдения могут сохраняться на устройствах, возвращенных правоохранительными органами после конфискации.
В ходе расследования руководство по устранению неполадок для MFSocket показало, что его можно перенести на мобильные устройства, используя определенные модели систем сбора доказательств Meiya Pico. Эти модели, обозначенные как серии DC-4501, DC-4700 и FL-900, продаются через веб-сайт компании. В руководстве указывалось, что Meiya Pico отказалась от более ранних версий своих продуктов в пользу обновленных версий, что позволяет предположить, что MFSocket, возможно, был заменен на Massistant примерно в середине 2020 года.
Meiya Pico - китайская технологическая компания, торгуемая на бирже, работающая на рынке коммерческого видеонаблюдения, и ее продукция часто демонстрируется на международных выставках для правоохранительных органов. Они также были связаны с иностранными организациями, в частности, с российскими военными, хотя, как сообщается, крупная закупка средств наблюдения была аннулирована из-за мошенничества с лицензированием.
С декабря 2023 года компания Meiya Pico претерпела ребрендинг на SDIC Intelligence Xiamen Information Co., Ltd. Несмотря на это изменение названия, в существующих версиях программного обеспечения Meiya Pico по-прежнему упоминается как компания-разработчик. Учитывая активное взаимодействие компании с Министерством общественной безопасности Китая и международными инициативами по обучению сотрудников правоохранительных органов, пользователи, путешествующие в материковый Китай или в пределах материковой части Китая, серьезно обеспокоены возможностью перехвата их мобильных данных в рамках законных операций по слежке.
#ParsedReport #CompletenessHigh
17-07-2025
Phish and Chips: China-Aligned Espionage Actors Ramp Up Taiwan Semiconductor Industry Targeting
https://www.proofpoint.com/us/blog/threat-insight/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor-targeting
Report completeness: High
Actors/Campaigns:
Unk_fistbump (motivation: cyber_espionage)
Unk_droppitch
Unk_sparkycarp
Winnti
Ta415 (motivation: cyber_espionage)
Tag-100
Storm-2077
Threats:
Supply_chain_technique
Cobalt_strike_tool
Voldemort
Aitm_technique
Spear-phishing_technique
Dll_sideloading_technique
Healthkick
Faketls_tool
Sidewalk
Scramblecross
Moonbounce
Malleable_c2_tool
Spark_rat
Victims:
Semiconductor organizations, Investment analysts, Investment firms, Manufacturing organizations, Design organizations, Testing organizations, Supply chain entities, Financial institutions, Packaging organizations, Universities, have more...
Industry:
Ngo, Government, Aerospace, Education, Financial, Semiconductor_industry
Geo:
Russian, Chinese, China, Taiwanese, Taiwan
ChatGPT TTPs:
T1005, T1027, T1055.012, T1059.005, T1071.001, T1071.003, T1071.004, T1078, T1105, T1106, have more...
IOCs:
Url: 11
File: 7
Command: 1
IP: 8
Domain: 8
Path: 1
Registry: 1
Email: 5
Hash: 21
Soft:
SoftEther, MACOSX
Algorithms:
sha256, zip, chacha20, exhibit, xor, rc4, base64
Platforms:
intel
Links:
have more...
17-07-2025
Phish and Chips: China-Aligned Espionage Actors Ramp Up Taiwan Semiconductor Industry Targeting
https://www.proofpoint.com/us/blog/threat-insight/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor-targeting
Report completeness: High
Actors/Campaigns:
Unk_fistbump (motivation: cyber_espionage)
Unk_droppitch
Unk_sparkycarp
Winnti
Ta415 (motivation: cyber_espionage)
Tag-100
Storm-2077
Threats:
Supply_chain_technique
Cobalt_strike_tool
Voldemort
Aitm_technique
Spear-phishing_technique
Dll_sideloading_technique
Healthkick
Faketls_tool
Sidewalk
Scramblecross
Moonbounce
Malleable_c2_tool
Spark_rat
Victims:
Semiconductor organizations, Investment analysts, Investment firms, Manufacturing organizations, Design organizations, Testing organizations, Supply chain entities, Financial institutions, Packaging organizations, Universities, have more...
Industry:
Ngo, Government, Aerospace, Education, Financial, Semiconductor_industry
Geo:
Russian, Chinese, China, Taiwanese, Taiwan
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1055.012, T1059.005, T1071.001, T1071.003, T1071.004, T1078, T1105, T1106, have more...
IOCs:
Url: 11
File: 7
Command: 1
IP: 8
Domain: 8
Path: 1
Registry: 1
Email: 5
Hash: 21
Soft:
SoftEther, MACOSX
Algorithms:
sha256, zip, chacha20, exhibit, xor, rc4, base64
Platforms:
intel
Links:
https://github.com/xx0hcd/Malleable-C2-Profiles/blob/master/normal/gotomeeting.profilehave more...
https://github.com/PwCUK-CTO/TheSAS2021-Red-Kelpie/blob/main/SASatHome2021\_Learning\_to\_ChaCha\_with\_APT41.pdfProofpoint
Phish and Chips: China-Aligned Espionage Actors Ramp Up Taiwan Semiconductor Industry Targeting | Proofpoint US
Key findings Between March and June 2025, Proofpoint Threat Research observed three Chinese state-sponsored threat actors conduct targeted phishing campaigns against the Taiwanese
CTT Report Hub
#ParsedReport #CompletenessHigh 17-07-2025 Phish and Chips: China-Aligned Espionage Actors Ramp Up Taiwan Semiconductor Industry Targeting https://www.proofpoint.com/us/blog/threat-insight/phish-china-aligned-espionage-actors-ramp-up-taiwan-semiconductor…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С марта по июнь 2025 года спонсируемые китайским государством хакеры атаковали тайваньскую полупроводниковую промышленность с помощью фишинговых кампаний, направленных на шпионаж, используя такие тактики, как фишинг на тему трудоустройства и вредоносные вложения для распространения вредоносного ПО, включая Cobalt Strike и пользовательские бэкдоры. Эти атаки свидетельствуют о стратегическом стремлении к самообеспечению полупроводников и адаптивным методологиям, а также о передовых методах обфускации и краже учетных данных, предпринимаемых различными участниками.
-----
В период с марта по июнь 2025 года три китайских хакера, спонсируемых государством, атаковали тайваньскую полупроводниковую промышленность с помощью фишинговых кампаний, направленных на шпионаж.
Актер UNK_FistBump использовал методы фишинга на тему трудоустройства, выдавая себя за соискателей с взломанными университетскими аккаунтами для отправки фишинговых электронных писем.
Эти электронные письма содержали защищенные паролем вложения, которые содержали вредоносное ПО, такое как Cobalt Strike Beacon и пользовательский бэкдор Voldemort.
Заражение было связано с файлами быстрого доступа Microsoft, которые вызывали загрузку вредоносных программ после того, как пользователи открывали документы, выглядевшие безобидно.
Другой участник, UNK_DropPitch, нацелился на инвестиционных аналитиков, используя ZIP-файлы с вредоносным исполняемым файлом и вредоносную DLL-библиотеку, которые создали бэкдор HealthKick, который передавал данные через TCP-порт 465, указывая методы обхода.
Вредоносные программы из этих кампаний использовали различные методы сохранения данных и методы дополнительной загрузки библиотек DLL.
Методы загрузки UNK_FistBump предполагают потенциальный сдвиг в стратегиях китайских шпионов, поскольку они менее сложны, чем ранее известные методы.
Схожая инфраструктура командования и контроля между участниками может свидетельствовать о сотрудничестве или совместном использовании ресурсов.
Кроме того, UNK_SparkyCarp проводил кампании по фишингу учетных данных с использованием продвинутой платформы "противник посередине", нацеленной на учетные данные полупроводникового сектора.
У UNK_ColtCentury уже были попытки скомпрометировать юристов полупроводниковой промышленности, используя безобидные коммуникационные фасады.
Этот сдвиг в сторону полупроводникового сектора отражает стратегическое внимание китайских государственных структур к важнейшим отраслям промышленности, представляющим интерес для национальной безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
С марта по июнь 2025 года спонсируемые китайским государством хакеры атаковали тайваньскую полупроводниковую промышленность с помощью фишинговых кампаний, направленных на шпионаж, используя такие тактики, как фишинг на тему трудоустройства и вредоносные вложения для распространения вредоносного ПО, включая Cobalt Strike и пользовательские бэкдоры. Эти атаки свидетельствуют о стратегическом стремлении к самообеспечению полупроводников и адаптивным методологиям, а также о передовых методах обфускации и краже учетных данных, предпринимаемых различными участниками.
-----
В период с марта по июнь 2025 года три китайских хакера, спонсируемых государством, атаковали тайваньскую полупроводниковую промышленность с помощью фишинговых кампаний, направленных на шпионаж.
Актер UNK_FistBump использовал методы фишинга на тему трудоустройства, выдавая себя за соискателей с взломанными университетскими аккаунтами для отправки фишинговых электронных писем.
Эти электронные письма содержали защищенные паролем вложения, которые содержали вредоносное ПО, такое как Cobalt Strike Beacon и пользовательский бэкдор Voldemort.
Заражение было связано с файлами быстрого доступа Microsoft, которые вызывали загрузку вредоносных программ после того, как пользователи открывали документы, выглядевшие безобидно.
Другой участник, UNK_DropPitch, нацелился на инвестиционных аналитиков, используя ZIP-файлы с вредоносным исполняемым файлом и вредоносную DLL-библиотеку, которые создали бэкдор HealthKick, который передавал данные через TCP-порт 465, указывая методы обхода.
Вредоносные программы из этих кампаний использовали различные методы сохранения данных и методы дополнительной загрузки библиотек DLL.
Методы загрузки UNK_FistBump предполагают потенциальный сдвиг в стратегиях китайских шпионов, поскольку они менее сложны, чем ранее известные методы.
Схожая инфраструктура командования и контроля между участниками может свидетельствовать о сотрудничестве или совместном использовании ресурсов.
Кроме того, UNK_SparkyCarp проводил кампании по фишингу учетных данных с использованием продвинутой платформы "противник посередине", нацеленной на учетные данные полупроводникового сектора.
У UNK_ColtCentury уже были попытки скомпрометировать юристов полупроводниковой промышленности, используя безобидные коммуникационные фасады.
Этот сдвиг в сторону полупроводникового сектора отражает стратегическое внимание китайских государственных структур к важнейшим отраслям промышленности, представляющим интерес для национальной безопасности.
#ParsedReport #CompletenessMedium
17-07-2025
MaaS operation using Emmenhtal and Amadey linked to threats against Ukrainian entities
https://blog.talosintelligence.com/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities/
Report completeness: Medium
Threats:
Emmenhtal
Amadey
Smokeloader
Redline_stealer
Lumma_stealer
Stealc
Credential_harvesting_technique
Rhadamanthys
Dinvoke_tool
Process_injection_technique
Asyncrat
Putty_tool
Victims:
Ukrainian entities
Industry:
Software_development
Geo:
Ukrainian
ChatGPT TTPs:
T1005, T1027, T1036.008, T1055.001, T1056.001, T1059.001, T1059.006, T1059.007, T1071.001, T1087.001, have more...
IOCs:
File: 5
Url: 3
IP: 1
Soft:
Selenium, Microsoft Edge, Google Chrome
Algorithms:
7zip, aes, base64, zip
Languages:
powershell, python, javascript
Links:
17-07-2025
MaaS operation using Emmenhtal and Amadey linked to threats against Ukrainian entities
https://blog.talosintelligence.com/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities/
Report completeness: Medium
Threats:
Emmenhtal
Amadey
Smokeloader
Redline_stealer
Lumma_stealer
Stealc
Credential_harvesting_technique
Rhadamanthys
Dinvoke_tool
Process_injection_technique
Asyncrat
Putty_tool
Victims:
Ukrainian entities
Industry:
Software_development
Geo:
Ukrainian
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036.008, T1055.001, T1056.001, T1059.001, T1059.006, T1059.007, T1071.001, T1087.001, have more...
IOCs:
File: 5
Url: 3
IP: 1
Soft:
Selenium, Microsoft Edge, Google Chrome
Algorithms:
7zip, aes, base64, zip
Languages:
powershell, python, javascript
Links:
https://github.com/Cisco-Talos/IOCs/tree/main/2025/07Cisco Talos Blog
MaaS operation using Emmenhtal and Amadey linked to threats against Ukrainian entities
Cisco Talos uncovered a stealthy Malware-as-a-Service (MaaS) operation that used fake GitHub accounts to distribute a variety of dangerous payloads and evade security defenses.
CTT Report Hub
#ParsedReport #CompletenessMedium 17-07-2025 MaaS operation using Emmenhtal and Amadey linked to threats against Ukrainian entities https://blog.talosintelligence.com/maas-operation-using-emmenhtal-and-amadey-linked-to-threats-against-ukrainian-entities/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В апреле 2025 года Cisco Talos обнаружила операцию MaaS с использованием вредоносного ПО Amadey, распространяемого через фишинговые электронные письма и нацеленного на украинских пользователей. В ходе операции были использованы замаскированные файлы JavaScript и скрипты PowerShell для загрузки вредоносного ПО, а также поддельные учетные записи GitHub для размещения полезной нагрузки и уклонения от обнаружения. Amadey функционирует как модульный загрузчик, позволяющий операторам настраивать заражение различными вредоносными программами.
-----
В апреле 2025 года Cisco Talos раскрыла операцию "Вредоносное ПО как услуга" (MaaS), использующую вредоносное ПО Amadey для доставки различных полезных данных. Эта операция была примечательна использованием поддельных аккаунтов на GitHub для размещения этих полезных данных и связанных с ними инструментов, возможно, с целью обойти механизмы веб-фильтрации и упростить доступ. Тактика, методы и процедуры (TTP), применяемые этими операторами, напоминают фишинговую кампанию SmokeLoader, запущенную ранее в 2025 году, которая в основном была нацелена на украинские компании. Вариант Emmenhtal, представленный в ходе предыдущей кампании, также использовался операторами MaaS для облегчения загрузки полезных данных Amadey.
Начальная фаза этой операции MaaS была отмечена распространением фишинговых электронных писем, посвященных оплате счетов и выставлению счетов-фактур, специально разработанных для привлечения пользователей из Украины. Эти электронные письма содержали сжатые файловые вложения (ZIP, 7Zip или RAR), в которых был зашифрован по крайней мере один файл JavaScript, умело замаскированный под загрузчик PowerShell. После выполнения этот JavaScript и связанный с ним сценарий PowerShell успешно загрузили SmokeLoader в целевую систему. Загрузчик Emmenhtal, многоступенчатый загрузчик, использующий сложные методы обфускации на четырех уровнях, занимал центральное место в работе MaaS. Эти методы позволили идентифицировать его в различных образцах, найденных на таких платформах, как VirusTotal, где были установлены взаимосвязи с файлами, размещенными на GitHub, но без очевидной связи с первоначальной кампанией.
Сам Amadey, впервые появившийся в конце 2018 года среди русскоязычных хакеров, функционирует в основном как загрузчик, способный извлекать различные семейства вредоносных программ из своей инфраструктуры. Его операционная модель позволяет операторам выбирать различные полезные приложения после заражения из репозиториев GitHub, демонстрируя степень настройки в зависимости от потребностей злоумышленника. Примечательно, что Amadey является модульным, расширяющим его возможности за счет плагинов, которые могут выполнять такие задачи, как сбор учетных данных или создание скриншотов.
Исследователи из Talos отметили, что TTP, представленные в ходе операции Amadey MaaS и кампании SmokeLoader, имеют значительное сходство. Например, несколько файлов JavaScript, размещенных в учетной записи GitHub под названием "Milidmdds", точно отражали скрипты Emmenhtal, использовавшиеся при фишинге. Уровни запутывания, используемые при загрузке JavaScript и сценариев PowerShell из украденных репозиториев, были в значительной степени согласованы, что указывало на общую операционную структуру.
Также были обнаружены аномалии, такие как загрузчики Emmenhtal, маскирующиеся под безопасные файлы MP4, что отражает упреждающий подход к обходу механизмов обнаружения. Кроме того, вредоносный скрипт на Python, обнаруженный в аккаунте "Milidmdds" на GitHub, продемонстрировал сходство в методе выполнения с предыдущими вредоносными скриптами, демонстрируя эволюцию возможностей загрузчика, адаптированных для конкретных кампаний. В конечном счете, эти операции облегчают доставку различных типов вредоносных программ, включая настраиваемую полезную нагрузку Amadey, демонстрирующую универсальность и адаптивность современных хакеров.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В апреле 2025 года Cisco Talos обнаружила операцию MaaS с использованием вредоносного ПО Amadey, распространяемого через фишинговые электронные письма и нацеленного на украинских пользователей. В ходе операции были использованы замаскированные файлы JavaScript и скрипты PowerShell для загрузки вредоносного ПО, а также поддельные учетные записи GitHub для размещения полезной нагрузки и уклонения от обнаружения. Amadey функционирует как модульный загрузчик, позволяющий операторам настраивать заражение различными вредоносными программами.
-----
В апреле 2025 года Cisco Talos раскрыла операцию "Вредоносное ПО как услуга" (MaaS), использующую вредоносное ПО Amadey для доставки различных полезных данных. Эта операция была примечательна использованием поддельных аккаунтов на GitHub для размещения этих полезных данных и связанных с ними инструментов, возможно, с целью обойти механизмы веб-фильтрации и упростить доступ. Тактика, методы и процедуры (TTP), применяемые этими операторами, напоминают фишинговую кампанию SmokeLoader, запущенную ранее в 2025 году, которая в основном была нацелена на украинские компании. Вариант Emmenhtal, представленный в ходе предыдущей кампании, также использовался операторами MaaS для облегчения загрузки полезных данных Amadey.
Начальная фаза этой операции MaaS была отмечена распространением фишинговых электронных писем, посвященных оплате счетов и выставлению счетов-фактур, специально разработанных для привлечения пользователей из Украины. Эти электронные письма содержали сжатые файловые вложения (ZIP, 7Zip или RAR), в которых был зашифрован по крайней мере один файл JavaScript, умело замаскированный под загрузчик PowerShell. После выполнения этот JavaScript и связанный с ним сценарий PowerShell успешно загрузили SmokeLoader в целевую систему. Загрузчик Emmenhtal, многоступенчатый загрузчик, использующий сложные методы обфускации на четырех уровнях, занимал центральное место в работе MaaS. Эти методы позволили идентифицировать его в различных образцах, найденных на таких платформах, как VirusTotal, где были установлены взаимосвязи с файлами, размещенными на GitHub, но без очевидной связи с первоначальной кампанией.
Сам Amadey, впервые появившийся в конце 2018 года среди русскоязычных хакеров, функционирует в основном как загрузчик, способный извлекать различные семейства вредоносных программ из своей инфраструктуры. Его операционная модель позволяет операторам выбирать различные полезные приложения после заражения из репозиториев GitHub, демонстрируя степень настройки в зависимости от потребностей злоумышленника. Примечательно, что Amadey является модульным, расширяющим его возможности за счет плагинов, которые могут выполнять такие задачи, как сбор учетных данных или создание скриншотов.
Исследователи из Talos отметили, что TTP, представленные в ходе операции Amadey MaaS и кампании SmokeLoader, имеют значительное сходство. Например, несколько файлов JavaScript, размещенных в учетной записи GitHub под названием "Milidmdds", точно отражали скрипты Emmenhtal, использовавшиеся при фишинге. Уровни запутывания, используемые при загрузке JavaScript и сценариев PowerShell из украденных репозиториев, были в значительной степени согласованы, что указывало на общую операционную структуру.
Также были обнаружены аномалии, такие как загрузчики Emmenhtal, маскирующиеся под безопасные файлы MP4, что отражает упреждающий подход к обходу механизмов обнаружения. Кроме того, вредоносный скрипт на Python, обнаруженный в аккаунте "Milidmdds" на GitHub, продемонстрировал сходство в методе выполнения с предыдущими вредоносными скриптами, демонстрируя эволюцию возможностей загрузчика, адаптированных для конкретных кампаний. В конечном счете, эти операции облегчают доставку различных типов вредоносных программ, включая настраиваемую полезную нагрузку Amadey, демонстрирующую универсальность и адаптивность современных хакеров.
#ParsedReport #CompletenessMedium
17-07-2025
APT PROFILE FANCY BEAR
https://www.cyfirma.com/research/apt-profile-fancy-bear-2/
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage, disinformation)
Threats:
Athena_botnet
Qilin_ransomware
Computrace_tool
Dealerschoice_tool
Sedkit_tool
Mimikatz_tool
Xagent
Steelhook
Headlace
Sedreco
Oceanmap
Oldbait
Procdump_tool
Downdelph
Advstoreshell
Gooseegg_tool
Xtunnel
Cannon
Usbstealer
Foozer
Vpnfilter
Koadic_tool
Coreshell
Komplex
Slimagent_tool
Sedup_loader
Zebrocy
Beardshell_tool
Pocodown
Masepie_tool
Nimcy
Lojax
Supply_chain_technique
Spear-phishing_technique
Hatvibe
Cherryspy
Credential_harvesting_technique
Password_spray_technique
Credential_dumping_technique
Victims:
Governments, Military entities, High ranking ukrainian officials, Defense contractors, Logistics companies, Technology companies, Government officials
Industry:
Military, Logistic, Government
Geo:
Afghanistan, Kazakhstan, Thailand, Brazil, France, Cambodia, Georgia, Turkey, Mongolia, Latin america, India, South africa, Russian, Indonesia, Germany, Asia, Vietnam, Moldova, Ukraine, Australia, Ukrainian, Pakistan, America, Romania, Norwegian, Russia, Syria, Kyrgyzstan, Israel, Malaysia
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
CVE-2023-43770 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.4.14, <1.5.4, <1.6.3)
CVE-2023-20085 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco identity_services_engine (3.2)
TTPs:
Tactics: 12
Technics: 80
Soft:
Roundcube, MDaemon, Zimbra
Languages:
javascript, powershell
17-07-2025
APT PROFILE FANCY BEAR
https://www.cyfirma.com/research/apt-profile-fancy-bear-2/
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: cyber_espionage, disinformation)
Threats:
Athena_botnet
Qilin_ransomware
Computrace_tool
Dealerschoice_tool
Sedkit_tool
Mimikatz_tool
Xagent
Steelhook
Headlace
Sedreco
Oceanmap
Oldbait
Procdump_tool
Downdelph
Advstoreshell
Gooseegg_tool
Xtunnel
Cannon
Usbstealer
Foozer
Vpnfilter
Koadic_tool
Coreshell
Komplex
Slimagent_tool
Sedup_loader
Zebrocy
Beardshell_tool
Pocodown
Masepie_tool
Nimcy
Lojax
Supply_chain_technique
Spear-phishing_technique
Hatvibe
Cherryspy
Credential_harvesting_technique
Password_spray_technique
Credential_dumping_technique
Victims:
Governments, Military entities, High ranking ukrainian officials, Defense contractors, Logistics companies, Technology companies, Government officials
Industry:
Military, Logistic, Government
Geo:
Afghanistan, Kazakhstan, Thailand, Brazil, France, Cambodia, Georgia, Turkey, Mongolia, Latin america, India, South africa, Russian, Indonesia, Germany, Asia, Vietnam, Moldova, Ukraine, Australia, Ukrainian, Pakistan, America, Romania, Norwegian, Russia, Syria, Kyrgyzstan, Israel, Malaysia
CVEs:
CVE-2023-38831 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<6.23)
CVE-2023-43770 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.4.14, <1.5.4, <1.6.3)
CVE-2023-20085 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco identity_services_engine (3.2)
TTPs:
Tactics: 12
Technics: 80
Soft:
Roundcube, MDaemon, Zimbra
Languages:
javascript, powershell
CYFIRMA
APT PROFILE – FANCY BEAR - CYFIRMA
Fancy Bear, also known as APT28, is a notorious Russian cyberespionage group with a long history of targeting governments, military...
CTT Report Hub
#ParsedReport #CompletenessMedium 17-07-2025 APT PROFILE FANCY BEAR https://www.cyfirma.com/research/apt-profile-fancy-bear-2/ Report completeness: Medium Actors/Campaigns: Fancy_bear (motivation: cyber_espionage, disinformation) Threats: Athena_botnet…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fancy Bear (APT28) нацелен на правительства и военные структуры с помощью подводной охоты и эксплойтов, таких как CVE-2023-43770 в Roundcube, для развертывания вредоносного ПО на JavaScript. Их тактика включает в себя использование реальных документов с уязвимостями на макроуровне и использование различных методов C2 для обеспечения постоянного доступа. Они демонстрируют адаптивные методы уклонения, воздействуя на организации, связанные с интересами Запада, в условиях геополитической напряженности.
-----
Fancy Bear, также известная как APT28, - это российская кибершпионажная группа, которая действует с 2007 года, нацеливаясь на различные правительственные и военные структуры по всему миру, уделяя особое внимание продолжающейся войне в Украине и интересам западных стран. Их недавняя деятельность иллюстрирует изощренный подход к кибервойне, характеризующийся целенаправленными кампаниями подводного охоты, направленными в первую очередь на высокопоставленных украинских чиновников и военных поставщиков. Их тактика использования включает использование уязвимостей межсайтового скриптинга (XSS) на нескольких платформах веб-почты, в частности, использование CVE-2023-43770 в Roundcube. Эта эксплуатация облегчает развертывание пользовательского вредоносного ПО JavaScript, которое может извлекать конфиденциальную информацию, такую как сообщения электронной почты и учетные данные, и даже позволяет злоумышленникам обходить двухфакторную аутентификацию в определенных сценариях.
Fancy Bear также расширила свои кампании, нацелившись на западные логистические и технологические компании, участвующие в оказании помощи Украине. Совместный консультативный совет разведывательных служб Северной Америки, Европы и Австралии отметил эту тенденцию, которая согласуется с более широкой тактикой шпионажа группы. Один из их методов заключается в использовании реальных правительственных документов в качестве приманки, специально предназначенной для правительственных чиновников в странах Центральной Азии, с вредоносным ПО, скрытым в документах, которые используют уязвимости на макроуровне. Это вредоносное ПО, включая HATVIBE и CHERRYSPY, обеспечивает постоянный доступ к зараженным компьютерам и демонстрирует быструю адаптацию своей инфраструктуры для атак.
Деятельность группы демонстрирует твердую приверженность своим геополитическим целям и постоянное внимание к сбору разведывательных данных, которые соответствуют интересам России. Их методы и процедуры (TTP) отражены в платформе MITRE ATT&CK, включающей сложные методы фишинга, использование общедоступных приложений и обширные операции по сбору учетных данных. Фишинговая тактика Fancy Bear часто использует специально разработанные подходы, имитирующие законные источники, что значительно повышает вероятность успеха их вредоносных кампаний.
Более того, их оперативная зрелость проявляется в способности адаптироваться и избегать обнаружения с помощью различных методов, таких как изменение вредоносных программных имплантатов, манипулирование каналами командования и контроля (C2) и сокрытие своей деятельности. Они используют законную инфраструктуру, часто направляя трафик C2 через ранее скомпрометированные системы и используя облачные сервисы для командно-диспетчерской связи и фильтрации данных.
Настойчивость Fancy Bear в адаптации к меняющимся условиям безопасности позволяет им сохранять значительное присутствие по всему миру, часто затрагивая широкий круг жертв, выходящих за рамки их основных целей. Их историческое использование тактики дезинформации и создания личностей демонстрирует их мастерство в манипулировании информацией в дополнение к использованию технических средств. В целом, изощренное использование уязвимостей Fancy Bear в сочетании с их изощренными методами социальной инженерии продолжает представлять значительную угрозу для организаций, ориентированных на интересы Запада, особенно в контексте сохраняющейся геополитической напряженности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Fancy Bear (APT28) нацелен на правительства и военные структуры с помощью подводной охоты и эксплойтов, таких как CVE-2023-43770 в Roundcube, для развертывания вредоносного ПО на JavaScript. Их тактика включает в себя использование реальных документов с уязвимостями на макроуровне и использование различных методов C2 для обеспечения постоянного доступа. Они демонстрируют адаптивные методы уклонения, воздействуя на организации, связанные с интересами Запада, в условиях геополитической напряженности.
-----
Fancy Bear, также известная как APT28, - это российская кибершпионажная группа, которая действует с 2007 года, нацеливаясь на различные правительственные и военные структуры по всему миру, уделяя особое внимание продолжающейся войне в Украине и интересам западных стран. Их недавняя деятельность иллюстрирует изощренный подход к кибервойне, характеризующийся целенаправленными кампаниями подводного охоты, направленными в первую очередь на высокопоставленных украинских чиновников и военных поставщиков. Их тактика использования включает использование уязвимостей межсайтового скриптинга (XSS) на нескольких платформах веб-почты, в частности, использование CVE-2023-43770 в Roundcube. Эта эксплуатация облегчает развертывание пользовательского вредоносного ПО JavaScript, которое может извлекать конфиденциальную информацию, такую как сообщения электронной почты и учетные данные, и даже позволяет злоумышленникам обходить двухфакторную аутентификацию в определенных сценариях.
Fancy Bear также расширила свои кампании, нацелившись на западные логистические и технологические компании, участвующие в оказании помощи Украине. Совместный консультативный совет разведывательных служб Северной Америки, Европы и Австралии отметил эту тенденцию, которая согласуется с более широкой тактикой шпионажа группы. Один из их методов заключается в использовании реальных правительственных документов в качестве приманки, специально предназначенной для правительственных чиновников в странах Центральной Азии, с вредоносным ПО, скрытым в документах, которые используют уязвимости на макроуровне. Это вредоносное ПО, включая HATVIBE и CHERRYSPY, обеспечивает постоянный доступ к зараженным компьютерам и демонстрирует быструю адаптацию своей инфраструктуры для атак.
Деятельность группы демонстрирует твердую приверженность своим геополитическим целям и постоянное внимание к сбору разведывательных данных, которые соответствуют интересам России. Их методы и процедуры (TTP) отражены в платформе MITRE ATT&CK, включающей сложные методы фишинга, использование общедоступных приложений и обширные операции по сбору учетных данных. Фишинговая тактика Fancy Bear часто использует специально разработанные подходы, имитирующие законные источники, что значительно повышает вероятность успеха их вредоносных кампаний.
Более того, их оперативная зрелость проявляется в способности адаптироваться и избегать обнаружения с помощью различных методов, таких как изменение вредоносных программных имплантатов, манипулирование каналами командования и контроля (C2) и сокрытие своей деятельности. Они используют законную инфраструктуру, часто направляя трафик C2 через ранее скомпрометированные системы и используя облачные сервисы для командно-диспетчерской связи и фильтрации данных.
Настойчивость Fancy Bear в адаптации к меняющимся условиям безопасности позволяет им сохранять значительное присутствие по всему миру, часто затрагивая широкий круг жертв, выходящих за рамки их основных целей. Их историческое использование тактики дезинформации и создания личностей демонстрирует их мастерство в манипулировании информацией в дополнение к использованию технических средств. В целом, изощренное использование уязвимостей Fancy Bear в сочетании с их изощренными методами социальной инженерии продолжает представлять значительную угрозу для организаций, ориентированных на интересы Запада, особенно в контексте сохраняющейся геополитической напряженности.
#ParsedReport #CompletenessLow
17-07-2025
Linux Is No Longer Immune: Why Ransomware Gangs Are Going All-In on Linux Targets
https://www.morphisec.com/blog/linux-is-no-longer-immune/
Report completeness: Low
Threats:
Pay2key
Helldown
Bert_ransomware
Lolbin_technique
Polymorphism_technique
Supply_chain_technique
ChatGPT TTPs:
T1053.003, T1059.004, T1105, T1486, T1543.002, T1567
Soft:
Linux, systemd
17-07-2025
Linux Is No Longer Immune: Why Ransomware Gangs Are Going All-In on Linux Targets
https://www.morphisec.com/blog/linux-is-no-longer-immune/
Report completeness: Low
Threats:
Pay2key
Helldown
Bert_ransomware
Lolbin_technique
Polymorphism_technique
Supply_chain_technique
ChatGPT TTPs:
do not use without manual checkT1053.003, T1059.004, T1105, T1486, T1543.002, T1567
Soft:
Linux, systemd
Morphisec
Linux Is No Longer Immune: Ransomware Gangs Target Linux
Ransomware is rapidly evolving to target Linux systems. Learn why traditional defenses fall short—and how to stop Linux threats.
CTT Report Hub
#ParsedReport #CompletenessLow 17-07-2025 Linux Is No Longer Immune: Why Ransomware Gangs Are Going All-In on Linux Targets https://www.morphisec.com/blog/linux-is-no-longer-immune/ Report completeness: Low Threats: Pay2key Helldown Bert_ransomware Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Linux сталкивается с растущими угрозами со стороны программ-вымогателей, поскольку злоумышленники разрабатывают собственные программы-вымогатели для Linux, такие как Pay2Key, и используют тактику безфайлового выполнения и двойного вымогательства. Традиционные методы обнаружения не подходят для борьбы с этими развивающимися угрозами; организациям необходимы модель безопасности, ориентированная на предотвращение, и передовые решения для защиты от сложных атак.
-----
Linux все чаще становится мишенью программ-вымогателей, что подрывает ее репутацию в области безопасности. Такие программы-вымогатели, как Pay2Key, Helldown и BERT, специально разработаны для Linux и используют файлы Linux ELF. Злоумышленники используют методы безфайлового выполнения и "автономной работы", выполняя вредоносный код исключительно в памяти, чтобы избежать традиционных методов обнаружения. В настоящее время распространена тактика двойного вымогательства, при которой злоумышленники не только шифруют данные, но и угрожают раскрыть конфиденциальную информацию, если не будет выплачен выкуп. Уязвимости в облачных средах и конвейерах CI/CD делают Linux-системы привлекательными объектами для распространения. Существующие меры безопасности для Linux в значительной степени основаны на устаревших методах обнаружения, которые часто не справляются с выполнением без использования файлов и разнообразием систем распространения. Многие организации используют традиционные антивирусные решения, ориентированные на сканирование дисков, что делает их уязвимыми. Легкие системы Linux часто не могут поддерживать традиционные средства защиты, требующие высокой производительности. Необходим переход к модели безопасности, основанной на предотвращении, с упором на детерминированное предотвращение для нейтрализации угроз до их реализации. Развиваются передовые решения для обеспечения безопасности, которые включают методы обмана и защиту памяти для противодействия изощренным программам-вымогателям. Среды Linux сталкиваются с угрозами, исходящими не только от независимых преступников, но и от организованных и спонсируемых государством групп, что требует обновления стратегий безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Linux сталкивается с растущими угрозами со стороны программ-вымогателей, поскольку злоумышленники разрабатывают собственные программы-вымогатели для Linux, такие как Pay2Key, и используют тактику безфайлового выполнения и двойного вымогательства. Традиционные методы обнаружения не подходят для борьбы с этими развивающимися угрозами; организациям необходимы модель безопасности, ориентированная на предотвращение, и передовые решения для защиты от сложных атак.
-----
Linux все чаще становится мишенью программ-вымогателей, что подрывает ее репутацию в области безопасности. Такие программы-вымогатели, как Pay2Key, Helldown и BERT, специально разработаны для Linux и используют файлы Linux ELF. Злоумышленники используют методы безфайлового выполнения и "автономной работы", выполняя вредоносный код исключительно в памяти, чтобы избежать традиционных методов обнаружения. В настоящее время распространена тактика двойного вымогательства, при которой злоумышленники не только шифруют данные, но и угрожают раскрыть конфиденциальную информацию, если не будет выплачен выкуп. Уязвимости в облачных средах и конвейерах CI/CD делают Linux-системы привлекательными объектами для распространения. Существующие меры безопасности для Linux в значительной степени основаны на устаревших методах обнаружения, которые часто не справляются с выполнением без использования файлов и разнообразием систем распространения. Многие организации используют традиционные антивирусные решения, ориентированные на сканирование дисков, что делает их уязвимыми. Легкие системы Linux часто не могут поддерживать традиционные средства защиты, требующие высокой производительности. Необходим переход к модели безопасности, основанной на предотвращении, с упором на детерминированное предотвращение для нейтрализации угроз до их реализации. Развиваются передовые решения для обеспечения безопасности, которые включают методы обмана и защиту памяти для противодействия изощренным программам-вымогателям. Среды Linux сталкиваются с угрозами, исходящими не только от независимых преступников, но и от организованных и спонсируемых государством групп, что требует обновления стратегий безопасности.
#ParsedReport #CompletenessHigh
17-07-2025
Old Miner, New Tricks
https://www.fortinet.com/blog/threat-research/old-miner-new-tricks
Report completeness: High
Threats:
Kinsing_miner
Lcrypt0rx
Xmrig_miner
Dcrat
Cobalt_strike_tool
Amadey
Rusty_stealer
Screenconnect_tool
Lcrypt
Lumma_stealer
Metasploit_tool
Log4shell_vuln
Sysupdate
Byovd_technique
Kryptik
Coinminer
Filecoder
Industry:
Telco, Education
CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)
CVE-2023-32315 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- igniterealtime openfire (<4.6.8, <4.7.5)
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1036, T1047, T1053.005, T1057, T1059.001, T1059.004, T1059.005, T1089, T1098, have more...
IOCs:
Hash: 22
File: 11
Coin: 3
IP: 9
Domain: 2
Command: 3
Url: 20
Registry: 2
Path: 6
Soft:
Linux, WinLogon, ChatGPT, Docker, Aegis, Openfire, ActiveMQ, Windows Service, Windows Registry, Process Explorer, have more...
Crypto:
monero
Algorithms:
exhibit, xor, md5
Win Services:
McShield
Languages:
autoit, powershell
17-07-2025
Old Miner, New Tricks
https://www.fortinet.com/blog/threat-research/old-miner-new-tricks
Report completeness: High
Threats:
Kinsing_miner
Lcrypt0rx
Xmrig_miner
Dcrat
Cobalt_strike_tool
Amadey
Rusty_stealer
Screenconnect_tool
Lcrypt
Lumma_stealer
Metasploit_tool
Log4shell_vuln
Sysupdate
Byovd_technique
Kryptik
Coinminer
Filecoder
Industry:
Telco, Education
CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)
CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)
CVE-2023-32315 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- igniterealtime openfire (<4.6.8, <4.7.5)
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1036, T1047, T1053.005, T1057, T1059.001, T1059.004, T1059.005, T1089, T1098, have more...
IOCs:
Hash: 22
File: 11
Coin: 3
IP: 9
Domain: 2
Command: 3
Url: 20
Registry: 2
Path: 6
Soft:
Linux, WinLogon, ChatGPT, Docker, Aegis, Openfire, ActiveMQ, Windows Service, Windows Registry, Process Explorer, have more...
Crypto:
monero
Algorithms:
exhibit, xor, md5
Win Services:
McShield
Languages:
autoit, powershell
Fortinet Blog
Old Miner, New Tricks
FortiCNAPP Labs uncovers Lcrypt0rx, a likely AI-generated ransomware variant used in updated H2Miner campaigns targeting cloud resources for Monero mining.…
CTT Report Hub
#ParsedReport #CompletenessHigh 17-07-2025 Old Miner, New Tricks https://www.fortinet.com/blog/threat-research/old-miner-new-tricks Report completeness: High Threats: Kinsing_miner Lcrypt0rx Xmrig_miner Dcrat Cobalt_strike_tool Amadey Rusty_stealer Sc…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Lcryx, в частности ее новый VBScript-вариант Lcrypt0rx, демонстрирует недостатки, указывающие на участие искусственного интеллекта и плохое кодирование, а также сотрудничает с ботнетом H2Miner для получения дополнительной финансовой выгоды. H2Miner использует скрипты для отключения систем безопасности и развертывания вредоносных программ, в первую очередь для майнинга Monero. Программа-вымогатель Lcrypt0rx шифрует файлы с помощью некорректного механизма, нацеливаясь на несколько типов файлов и пытаясь помешать восстановлению путем удаления резервных копий.
-----
Расследование программы-вымогателя Lcryx, проведенное командой FortiCNAPP, выявило заметные совпадения с ботнетом для криптомайнинга H2Miner, что свидетельствует о совместных усилиях или адаптации хакеров для увеличения финансовой выгоды. Программа-вымогатель Lcryx, в частности ее новый вариант Lcrypt0rx, идентифицирована как программа-вымогатель на основе VBScript, впервые обнаруженная в ноябре 2024 года, и демонстрирующая аномалии, указывающие на потенциальную генерацию искусственного интеллекта. Доказательства включают дублирование функций, ошибочные механизмы сохранения, некорректную логику шифрования и неправильный синтаксис. Эти признаки указывают на плохо оптимизированную генерацию кода и нелогичное поведение при его выполнении.
В работе H2Miner использовались скрипты, направленные на отключение мер безопасности и расширение доступа для развертывания майнеров криптовалюты, используя ранее задокументированные методы при обновлении своих целей, включая процессы, специфичные для облачных сред. Важным аспектом их сценария является развертывание вредоносного ПО Kinsing, которое облегчает удаленный доступ и криптодобычу, что указывает на продуманную адаптацию для снижения защиты в условиях контейнеризации.
Программа-вымогатель Lcrypt0rx сначала обеспечивает повышенные привилегии, а затем пытается отключить ключевые системные утилиты, включая защитника Windows, при одновременном использовании различных механизмов сохранения. Однако многие из этих механизмов неэффективны из-за неправильной реализации. Программа-вымогатель выполняет многоступенчатый процесс шифрования, нацеленный на множество типов файлов и использующий шифр, основанный на операциях XOR, с использованием более длинной последовательности из 8192 символов, в результате чего зашифрованные файлы помечаются расширением .lcryx. Он пытается удалить файлы резервных копий, чтобы затруднить восстановление, и неэффективно управляет ключами шифрования, что позволяет предположить, что Lcrypt0rx может работать как вредоносная программа, а не как традиционная программа-вымогатель.
В ходе своих кампаний хакеры H2Miner демонстрируют адаптивность, которая включает в себя интеграцию устаревших и недавно разработанных инструментов. Однако операционная направленность, в основном, по-прежнему направлена на использование майнеров Monero, что создает финансовые риски из-за кражи ресурсов. Спектр вредоносных программ постоянно развивается, и сигнатуры, связанные с этими атаками, включают загрузчики на VBScript, майнеры на базе PowerShell, shell-скрипты и трояны, которые демонстрируют совокупность вредоносных действий, направленных на компрометацию системы для операций майнинга.
Чтобы смягчить такие угрозы, FortiGuard предлагает широкий спектр защитных услуг, включая антивирус, системы предотвращения вторжений и веб-фильтрацию, которые направлены на блокирование вредоносной активности и защиту пользователей от доступа к вредоносному контенту. Их постоянные разведывательные усилия сосредоточены на решении динамичных проблем безопасности, характеризующихся развитием тактики хакеров, таких как H2Miner, и внедрением программы-вымогателя Lcryx.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель Lcryx, в частности ее новый VBScript-вариант Lcrypt0rx, демонстрирует недостатки, указывающие на участие искусственного интеллекта и плохое кодирование, а также сотрудничает с ботнетом H2Miner для получения дополнительной финансовой выгоды. H2Miner использует скрипты для отключения систем безопасности и развертывания вредоносных программ, в первую очередь для майнинга Monero. Программа-вымогатель Lcrypt0rx шифрует файлы с помощью некорректного механизма, нацеливаясь на несколько типов файлов и пытаясь помешать восстановлению путем удаления резервных копий.
-----
Расследование программы-вымогателя Lcryx, проведенное командой FortiCNAPP, выявило заметные совпадения с ботнетом для криптомайнинга H2Miner, что свидетельствует о совместных усилиях или адаптации хакеров для увеличения финансовой выгоды. Программа-вымогатель Lcryx, в частности ее новый вариант Lcrypt0rx, идентифицирована как программа-вымогатель на основе VBScript, впервые обнаруженная в ноябре 2024 года, и демонстрирующая аномалии, указывающие на потенциальную генерацию искусственного интеллекта. Доказательства включают дублирование функций, ошибочные механизмы сохранения, некорректную логику шифрования и неправильный синтаксис. Эти признаки указывают на плохо оптимизированную генерацию кода и нелогичное поведение при его выполнении.
В работе H2Miner использовались скрипты, направленные на отключение мер безопасности и расширение доступа для развертывания майнеров криптовалюты, используя ранее задокументированные методы при обновлении своих целей, включая процессы, специфичные для облачных сред. Важным аспектом их сценария является развертывание вредоносного ПО Kinsing, которое облегчает удаленный доступ и криптодобычу, что указывает на продуманную адаптацию для снижения защиты в условиях контейнеризации.
Программа-вымогатель Lcrypt0rx сначала обеспечивает повышенные привилегии, а затем пытается отключить ключевые системные утилиты, включая защитника Windows, при одновременном использовании различных механизмов сохранения. Однако многие из этих механизмов неэффективны из-за неправильной реализации. Программа-вымогатель выполняет многоступенчатый процесс шифрования, нацеленный на множество типов файлов и использующий шифр, основанный на операциях XOR, с использованием более длинной последовательности из 8192 символов, в результате чего зашифрованные файлы помечаются расширением .lcryx. Он пытается удалить файлы резервных копий, чтобы затруднить восстановление, и неэффективно управляет ключами шифрования, что позволяет предположить, что Lcrypt0rx может работать как вредоносная программа, а не как традиционная программа-вымогатель.
В ходе своих кампаний хакеры H2Miner демонстрируют адаптивность, которая включает в себя интеграцию устаревших и недавно разработанных инструментов. Однако операционная направленность, в основном, по-прежнему направлена на использование майнеров Monero, что создает финансовые риски из-за кражи ресурсов. Спектр вредоносных программ постоянно развивается, и сигнатуры, связанные с этими атаками, включают загрузчики на VBScript, майнеры на базе PowerShell, shell-скрипты и трояны, которые демонстрируют совокупность вредоносных действий, направленных на компрометацию системы для операций майнинга.
Чтобы смягчить такие угрозы, FortiGuard предлагает широкий спектр защитных услуг, включая антивирус, системы предотвращения вторжений и веб-фильтрацию, которые направлены на блокирование вредоносной активности и защиту пользователей от доступа к вредоносному контенту. Их постоянные разведывательные усилия сосредоточены на решении динамичных проблем безопасности, характеризующихся развитием тактики хакеров, таких как H2Miner, и внедрением программы-вымогателя Lcryx.
#ParsedReport #CompletenessHigh
18-07-2025
Malware Identified in Attacks Exploiting Ivanti Connect Secure Vulnerabilities
https://blogs.jpcert.or.jp/en/2025/07/ivanti_cs.html
Report completeness: High
Threats:
Spawnchimera
Dslogdrat
Cobalt_strike_tool
Mdifyloader
Vshell
Dll_sideloading_technique
Junk_code_technique
Fscan_tool
Filelessremotepe_tool
Geo:
Chinese
CVEs:
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)
TTPs:
Tactics: 9
Technics: 15
IOCs:
File: 5
IP: 1
Domain: 7
Url: 1
Path: 4
Hash: 9
Soft:
Ivanti, MSSQL, task scheduler, Windows service
Algorithms:
gzip, xor, base64, rc4, md5
Win API:
NetBIOS, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection, VirtualAllocEx
Languages:
python, java, javascript
Platforms:
x64
Links:
have more...
18-07-2025
Malware Identified in Attacks Exploiting Ivanti Connect Secure Vulnerabilities
https://blogs.jpcert.or.jp/en/2025/07/ivanti_cs.html
Report completeness: High
Threats:
Spawnchimera
Dslogdrat
Cobalt_strike_tool
Mdifyloader
Vshell
Dll_sideloading_technique
Junk_code_technique
Fscan_tool
Filelessremotepe_tool
Geo:
Chinese
CVEs:
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)
CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)
TTPs:
Tactics: 9
Technics: 15
IOCs:
File: 5
IP: 1
Domain: 7
Url: 1
Path: 4
Hash: 9
Soft:
Ivanti, MSSQL, task scheduler, Windows service
Algorithms:
gzip, xor, base64, rc4, md5
Win API:
NetBIOS, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection, VirtualAllocEx
Languages:
python, java, javascript
Platforms:
x64
Links:
https://github.com/hasherezade/libpeconvhave more...
https://github.com/ASkyeye/FilelessRemotePEhttps://github.com/shadow1ng/FscanJPCERT/CC Eyes
Malware Identified in Attacks Exploiting Ivanti Connect Secure Vulnerabilities - JPCERT/CC Eyes
JPCERT/CC Eyes previously introduced the...