#ParsedReport #CompletenessHigh
17-07-2025

Old Miner, New Tricks

https://www.fortinet.com/blog/threat-research/old-miner-new-tricks

Report completeness: High

Threats:
Kinsing_miner
Lcrypt0rx
Xmrig_miner
Dcrat
Cobalt_strike_tool
Amadey
Rusty_stealer
Screenconnect_tool
Lcrypt
Lumma_stealer
Metasploit_tool
Log4shell_vuln
Sysupdate
Byovd_technique
Kryptik
Coinminer
Filecoder

Industry:
Telco, Education

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)

CVE-2023-32315 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- igniterealtime openfire (<4.6.8, <4.7.5)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1036, T1047, T1053.005, T1057, T1059.001, T1059.004, T1059.005, T1089, T1098, have more...

IOCs:
Hash: 22
File: 11
Coin: 3
IP: 9
Domain: 2
Command: 3
Url: 20
Registry: 2
Path: 6

Soft:
Linux, WinLogon, ChatGPT, Docker, Aegis, Openfire, ActiveMQ, Windows Service, Windows Registry, Process Explorer, have more...

Crypto:
monero

Algorithms:
exhibit, xor, md5

Win Services:
McShield

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Lcryx, в частности ее новый VBScript-вариант Lcrypt0rx, демонстрирует недостатки, указывающие на участие искусственного интеллекта и плохое кодирование, а также сотрудничает с ботнетом H2Miner для получения дополнительной финансовой выгоды. H2Miner использует скрипты для отключения систем безопасности и развертывания вредоносных программ, в первую очередь для майнинга Monero. Программа-вымогатель Lcrypt0rx шифрует файлы с помощью некорректного механизма, нацеливаясь на несколько типов файлов и пытаясь помешать восстановлению путем удаления резервных копий.
-----

Расследование программы-вымогателя Lcryx, проведенное командой FortiCNAPP, выявило заметные совпадения с ботнетом для криптомайнинга H2Miner, что свидетельствует о совместных усилиях или адаптации хакеров для увеличения финансовой выгоды. Программа-вымогатель Lcryx, в частности ее новый вариант Lcrypt0rx, идентифицирована как программа-вымогатель на основе VBScript, впервые обнаруженная в ноябре 2024 года, и демонстрирующая аномалии, указывающие на потенциальную генерацию искусственного интеллекта. Доказательства включают дублирование функций, ошибочные механизмы сохранения, некорректную логику шифрования и неправильный синтаксис. Эти признаки указывают на плохо оптимизированную генерацию кода и нелогичное поведение при его выполнении.

В работе H2Miner использовались скрипты, направленные на отключение мер безопасности и расширение доступа для развертывания майнеров криптовалюты, используя ранее задокументированные методы при обновлении своих целей, включая процессы, специфичные для облачных сред. Важным аспектом их сценария является развертывание вредоносного ПО Kinsing, которое облегчает удаленный доступ и криптодобычу, что указывает на продуманную адаптацию для снижения защиты в условиях контейнеризации.

Программа-вымогатель Lcrypt0rx сначала обеспечивает повышенные привилегии, а затем пытается отключить ключевые системные утилиты, включая защитника Windows, при одновременном использовании различных механизмов сохранения. Однако многие из этих механизмов неэффективны из-за неправильной реализации. Программа-вымогатель выполняет многоступенчатый процесс шифрования, нацеленный на множество типов файлов и использующий шифр, основанный на операциях XOR, с использованием более длинной последовательности из 8192 символов, в результате чего зашифрованные файлы помечаются расширением .lcryx. Он пытается удалить файлы резервных копий, чтобы затруднить восстановление, и неэффективно управляет ключами шифрования, что позволяет предположить, что Lcrypt0rx может работать как вредоносная программа, а не как традиционная программа-вымогатель.

В ходе своих кампаний хакеры H2Miner демонстрируют адаптивность, которая включает в себя интеграцию устаревших и недавно разработанных инструментов. Однако операционная направленность, в основном, по-прежнему направлена на использование майнеров Monero, что создает финансовые риски из-за кражи ресурсов. Спектр вредоносных программ постоянно развивается, и сигнатуры, связанные с этими атаками, включают загрузчики на VBScript, майнеры на базе PowerShell, shell-скрипты и трояны, которые демонстрируют совокупность вредоносных действий, направленных на компрометацию системы для операций майнинга.

Чтобы смягчить такие угрозы, FortiGuard предлагает широкий спектр защитных услуг, включая антивирус, системы предотвращения вторжений и веб-фильтрацию, которые направлены на блокирование вредоносной активности и защиту пользователей от доступа к вредоносному контенту. Их постоянные разведывательные усилия сосредоточены на решении динамичных проблем безопасности, характеризующихся развитием тактики хакеров, таких как H2Miner, и внедрением программы-вымогателя Lcryx.

#ParsedReport #CompletenessHigh
18-07-2025

Malware Identified in Attacks Exploiting Ivanti Connect Secure Vulnerabilities

https://blogs.jpcert.or.jp/en/2025/07/ivanti_cs.html

Report completeness: High

Threats:
Spawnchimera
Dslogdrat
Cobalt_strike_tool
Mdifyloader
Vshell
Dll_sideloading_technique
Junk_code_technique
Fscan_tool
Filelessremotepe_tool

Geo:
Chinese

CVEs:
CVE-2025-22457 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (<22.7)
- ivanti neurons_for_zero-trust_access (-, 22.2, 22.3, 22.4, 22.5)
- ivanti policy_secure (<22.7)

CVE-2025-0282 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (22.7)
- ivanti neurons_for_zero-trust_access (22.7)
- ivanti policy_secure (22.7)


TTPs:
Tactics: 9
Technics: 15

IOCs:
File: 5
IP: 1
Domain: 7
Url: 1
Path: 4
Hash: 9

Soft:
Ivanti, MSSQL, task scheduler, Windows service

Algorithms:
gzip, xor, base64, rc4, md5

Win API:
NetBIOS, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection, VirtualAllocEx

Languages:
python, java, javascript

Platforms:
x64

Links:
https://github.com/hasherezade/libpeconv
have more...
https://github.com/ASkyeye/FilelessRemotePE
https://github.com/shadow1ng/Fscan

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, dump: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Продолжается эксплуатация уязвимостей в Ivanti Connect Secure (CVE-2025-0282, CVE-2025-22457) с использованием вредоносных программ, таких как MDifyLoader и DslogdRAT. Злоумышленники используют сложные методы, включая шифрование RC4 и стороннюю загрузку библиотек DLL, чтобы избежать обнаружения и сохранить работоспособность с помощью перебора учетных данных и использования протокола SMB.
-----

С декабря 2024 года JPCERT/CC наблюдала за продолжающейся эксплуатацией уязвимостей в Ivanti Connect Secure, в частности CVE-2025-0282 и CVE-2025-22457. Злоумышленники использовали различные вредоносные программы и методы, в частности MDifyLoader и DslogdRAT. MDifyLoader - это сложный загрузчик, основанный на проекте libPeConv, использующий шифрование RC4 для расшифровки файлов данных с ключом, полученным из хэша исполняемых файлов MD5. Этот многоступенчатый метод и использование аутентичных файлов, таких как rmic.exe и push_detect.exe, призваны затруднить анализ, в том числе использование нежелательного кода для автоматической деобфускации. В рамках параллельной операционной стратегии злоумышленники использовали Cobalt Strike, распространенный инструмент тестирования на проникновение. Однако в наблюдаемых случаях злоумышленники изменили расшифровку конфигурации с обычного метода XOR на RC4 с помощью жестко закодированного ключа "google", что предполагает индивидуальный подход, который, вероятно, улучшит тактику уклонения.

Другим вредоносным инструментом, выявленным в ходе этих операций, является vshell, мультиплатформенный RAT, написанный на Go и ранее размещенный на GitHub. Текущая используемая версия была отмечена своей функцией проверки языка, которая неожиданно остается активной во время развертывания, завершая попытки выполнения, если для системного языка не установлен китайский. Такое поведение отражает возможный недосмотр со стороны злоумышленников, выявляя потенциальную уязвимость в операционной системе.

Злоумышленники также используют Fscan, инструмент сетевого сканирования с открытым исходным кодом, выполняемый с помощью загрузчика, который включает в себя стороннюю загрузку библиотек DLL. Используя легитимный экземпляр python.exe и вредоносный dll-файл, который использует RC4 для декодирования, они скрытно выполняют функции Fscan, демонстрируя изощренность своей тактики уклонения.

После проникновения во внутреннюю сеть злоумышленники провели атаки с использованием учетных данных с использованием грубой силы на серверах Active Directory и выполнили сканирование внутренних систем, используя уязвимости в протоколах SMB (в частности, MS17-010) для перемещения по сетям в поперечном направлении. Они создавали новые учетные записи домена для обеспечения постоянного доступа и запускали вредоносное ПО в различных системах, часто используя свои инструменты в качестве служб Windows или запланированных задач для обеспечения долгосрочного доступа и устойчивости к обнаружению.

В сводке о коммуникациях командования и контроля (C2) показаны сложные конфигурации, включая HTTPS-трафик на порту 443, с различными параметрами, установленными для удобства эксплуатации. Такие параметры, как идентификаторы сеансов, конкретные места появления исполняемых процессов и сложные коммуникационные стратегии, указывают на адаптивную методологию, направленную на обход средств контроля безопасности и повышение скрытности работы. Постоянство и масштабный характер этих атак свидетельствуют о продолжающемся стратегическом нацеливании на VPN-устройства, такие как Ivanti Connect Secure, что делает их важным вектором угроз в современном хакерском мире.

#ParsedReport #CompletenessHigh
18-07-2025

Ghost Crypt Powers PureRAT with Hypnosis

https://www.esentire.com/blog/ghost-crypt-powers-purerat-with-hypnosis

Report completeness: High

Actors/Campaigns:
Purecoder

Threats:
Ghost_crypt_tool
Purerat
Purehvnc_tool
More_eggs
Process_hypnosis_technique
Dll_sideloading_technique
Runpe_tool
Polymorphism_technique
Lumma_stealer
Blueloader
Xworm_rat
Dcrat
Pureloader
Stealc
Kleenscan_tool
Process_hacker_tool
Process_injection_technique
Dotnet_reactor_tool

Victims:
Certified public accounting firm

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036.007, T1055.012, T1056.001, T1071.001, T1082, T1083, T1105, T1113, have more...

IOCs:
File: 7
Url: 1
Coin: 1
IP: 2
Domain: 1
Hash: 3

Soft:
Windows Defender, Windows Registry, NET Reactor, Chrome, Chromium, QQBrowser, ChromePlus, 7Star, CentBrowser, Chedot, have more...

Wallets:
exodus_wallet, atomicwallet

Algorithms:
aes, chacha20, base64, cbc, aes-256, sha256, gzip, sha1, md5, zip

Functions:
Gunzip

Win API:
CreateProcessW, VirtualAllocEx, VirtualProtectEx, WriteProcessMemory, ZwManageHotpatch, SetThreadContext, DebugActiveProcessStop, SetThreadExecutionState

Win Services:
bits

Platforms:
x86

Links:
https://github.com/eSentire/iocs/blob/main/PureRAT/PureRAT\_IOCs\_27-06-2025.txt
have more...
https://github.com/holly-hacker/EazFixer
https://github.com/SychicBoy/NETReactorSlayer

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, code: 7, chart: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года хакеры использовали социальную инженерию для доставки вредоносного ПО PureRAT с помощью вредоносного ZIP-архива, используя шифровальщик "Ghost Crypt" для скрытности. PureRAT, троян для удаленного доступа, использовал передовые методы, позволяющие избежать обнаружения, и нацеливался на криптовалютные приложения, обеспечивая при этом устойчивость в зараженных системах.
-----

хакеры часто используют тактику социальной инженерии, такую как срочность и олицетворение, чтобы обманом заставить пользователей запускать вредоносные файлы. Примечательный инцидент, произошедший в мае 2025 года, был связан с атакой на сертифицированную государственную бухгалтерскую фирму в Соединенных Штатах, где злоумышленник использовал новый шифровальщик "Ghost Crypt" для распространения вредоносного ПО PureRAT. Первоначальное вторжение произошло, когда злоумышленник, представившись клиентом, отправил PDF-файл со ссылкой на вредоносный ZIP-архив, размещенный на Zoho WorkDrive. Этот ZIP-файл содержал исполняемый файл с двойным расширением и DLL-файл, критически важные для последующего процесса заражения.

Ghost Crypt, который привлек внимание хакерских форумов в апреле 2025 года, предлагает расширенные функции шифрования и дополнительной загрузки, позволяющие избежать обнаружения антивирусными решениями. Он поддерживает различные типы файлов и предоставляет возможности для обхода защиты в Windows 11. При запуске вредоносный исполняемый файл использовал DLL-библиотеку, которая использовала "Гипноз процессов" - сложную технологию внедрения, включающую манипулирование вызовами Windows API для обхода проверок безопасности при внедрении полезной нагрузки PureRAT.

Сам по себе PureRAT относится к категории троянских программ для удаленного доступа (RAT), которые обеспечивают постоянный доступ к скомпрометированным системам. Попав на компьютер жертвы, вредоносная программа устанавливает постоянство, копируя себя в папку "Документы" пользователя и изменяя реестр Windows для автоматического запуска при входе пользователя в систему. Его процесс загрузки является нетрадиционным и использует .Классы и методы NET вместо типичных методов выполнения, что обеспечивает скрытный подход во время заражения.

После активации PureRAT отправляет подробную информацию на свой сервер управления (C2), специально предназначенный для приложений и расширений криптовалютных кошельков. Вредоносная программа ищет папки с данными на платформах обмена сообщениями и в программном обеспечении для криптовалют, собирая конфиденциальную информацию о пользователях и системе. После сбора данных он ожидает дальнейших команд, которые могут привести к загрузке дополнительных вредоносных плагинов.

Методы и поведение, демонстрируемые PureRAT, подчеркивают растущую изощренность хакеров, подчеркивая необходимость строгой проверки неожиданных запросов и важность поддержания надежных мер безопасности, особенно в отношении тактик, использующих поведение человека и уязвимости системы.

#ParsedReport #CompletenessLow
18-07-2025

Secure Your (Microsoft) Teams: Defending Against Helpdesk Impersonation Attacks

https://www.esentire.com/blog/secure-your-microsoft-teams-defending-against-helpdesk-impersonation-attacks

Report completeness: Low

Threats:
Email_bombing_technique

ChatGPT TTPs:
do not use without manual check
T1078.004, T1105, T1204.002, T1219, T1566.002

IOCs:
Email: 4
Domain: 1

Soft:
Microsoft Teams

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговых атаках, в которых задействованы команды Microsoft, хакеры выдают себя за ИТ-специалистов и используют общий доступ к экрану для установки вредоносного ПО. Эта тактика часто сопровождается "рассылкой сообщений по электронной почте", чтобы создать срочность и использовать временные домены для повышения доверия. Организациям следует отслеживать подозрительные действия и рассмотреть возможность использования таких инструментов, как Microsoft Sentinel, для обнаружения.
-----

Недавние наблюдения указывают на рост числа фишинговых атак с использованием Microsoft Teams, при которых хакеры выдают себя за ИТ-специалистов или сотрудников службы технической поддержки. Эта тактика использует возможности совместной работы Microsoft Teams, которые позволяют использовать общий доступ к экрану и возможности удаленного управления, предназначенные для законного устранения неполадок. Однако эти функции могут быть использованы в злонамеренных целях. В типичном сценарии атаки хакер убеждает цель загрузить инструменты удаленного мониторинга и управления (RMM) или предоставить управление во время сеансов связи. Впоследствии это приводит к установке вредоносных приложений.

Кроме того, этим попыткам фишинга часто предшествует всплеск рассылки спама, адресованного жертвам, - такой подход называется "электронной атакой". Заваливая потенциальных жертв сообщениями, злоумышленники создают ощущение срочности, что повышает эффективность их тактики социальной инженерии. Данные свидетельствуют о том, что злоумышленники часто используют в своих схемах непроверенные пробные домены Microsoft, создавая временные доменные имена, которые включают такие термины, как "служба технической поддержки", "ИТ" или "Техподдержка". Эта повторяющаяся схема распространяется и на создание имени пользователя и отражает целенаправленную стратегию укрепления доверия среди потенциальных жертв.

После установления этих идентификационных данных хакеры вступают в контакт с пользователями в целевой организации посредством сообщений Microsoft Teams. Для организаций крайне важно знать об этой тактике и применять соответствующие меры по смягчению последствий для эффективной защиты от подобных атак. В качестве защитной стратегии использование специальных запросов мониторинга в таких системах, как Microsoft Sentinel, может помочь выявить подозрительные действия, которые соответствуют этим методам фишинга.

#ParsedReport #CompletenessMedium
18-07-2025

Android Cryptojacker Disguised as Banking App Exploits Device Lock State

https://www.seqrite.com/blog/android-cryptojacker-disguised-as-banking-app-exploits-device-lock-state/

Report completeness: Medium

Threats:
Cryptojacker
Xmrig_miner

Victims:
Axis bank users, Mobile users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1422, T1435

IOCs:
Domain: 5
Url: 5
File: 1
Coin: 1
Hash: 3

Soft:
Android, Google Play, WhatsApp

Crypto:
monero

Algorithms:
aes, randomx

Functions:
NMuU8KNchX5bP8Oy

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был обнаружен фишинговый веб-сайт, распространяющий поддельное банковское приложение, которое использует XMRig для скрытого майнинга криптовалюты на зараженных устройствах Android. Вредоносная программа незаметно активирует майнинг, когда устройство заблокировано, используя системные ресурсы и потенциально повреждая оборудование, при этом для связи используется шифрование TLS.
-----

Рост популярности криптовалют привел как к законным инновациям, так и к их использованию киберпреступниками. Недавние данные свидетельствуют о появлении фишингового веб-сайта, имитирующего известный банк, для распространения мошеннического приложения для Android, которое тайно занимается добычей криптовалют. Это вредоносное приложение, выдающее себя за банковский инструмент, на самом деле таковым не является и использует фирменный стиль банка для введения пользователей в заблуждение. Вместо того, чтобы облегчать банковскую деятельность, оно использует XMRig, программное обеспечение для майнинга с открытым исходным кодом, для использования вычислительных мощностей зараженных устройств для получения незаконной финансовой выгоды.

Работа такого вредоносного ПО очень сложна. Оно отслеживает состояние устройства на предмет таких событий, как уровень заряда батареи и состояние блокировки экрана. Когда устройство блокируется, приложение тайно загружает и расшифровывает вредоносную информацию, инициируя майнинг. Этот интеллектуальный анализ данных происходит без согласия пользователя и прекращается только после разблокировки устройства, что создает цикл, позволяющий постоянно и незаметно использовать системные ресурсы. Привязанному приложению часто требуются специальные разрешения, такие как WAKE_LOCK, для поддержания работы, когда устройство простаивает.

Вредоносная программа часто пытается получить доступ к своим компонентам по различным жестко запрограммированным URL-адресам, включая такие платформы, как GitHub и пользовательские домены. Она использует алгоритм AES для расшифровки своей полезной нагрузки, который называется d-miner, и впоследствии запускает этот файл для запуска операций майнинга. Вредоносная программа предназначена для подключения к пулу майнинга Monero, использует значительные вычислительные ресурсы и при запуске может вызвать чрезмерное нагревание, быструю разрядку аккумулятора и потенциально необратимый ущерб оборудованию.

Программное обеспечение для майнинга настроено на использование набора аргументов командной строки, которые определяют параметры подключения к пулу майнинга и предполагаемой криптовалюте Monero, сохраняя при этом соединение с использованием шифрования TLS для безопасной связи. Эта операция дополнительно облегчается благодаря возможности приложения регистрировать действия с помощью стандартных выходных данных, что дает представление о ходе их выполнения.

Обнаружению таких вредоносных действий способствуют решения для обеспечения безопасности, которые идентифицируют их в таких версиях, как Android.Dminer.A. В нем подчеркивается необходимость для конечных пользователей проявлять бдительность при загрузке приложений, в частности, избегать использования сторонних источников и опасаться попыток фишинга, которые маскируют вредоносное программное обеспечение под надежными именами. Обеспечение надежной мобильной безопасности с помощью надежных антивирусных решений может помочь в устранении этих угроз.

#ParsedReport #CompletenessLow
18-07-2025

Analysis of the suspected attack actions of APT-C-53 (Gamaredon) targeting government departments

https://www.ctfiot.com/261949.html

Report completeness: Low

Actors/Campaigns:
Gamaredon

Victims:
Government departments, Military institutions, Ukrainian government departments

Industry:
Critical_infrastructure, Military, Government

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1071.004, T1204.002, T1566.001

IOCs:
File: 2
Hash: 2
Domain: 1
Registry: 2

Soft:
WeChat

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, известный как Gamaredon, нацелен на правительственные учреждения Украины, использующие скрипты VBS для сбора информации и доставки вредоносных программ. Они используют такие методы, как внедрение шаблонов и разрешение DNS, чтобы избежать обнаружения и сохранить контроль. Усилия по обнаружению должны быть сосредоточены на поведении DNS наряду с HTTP-трафиком, чтобы смягчить эту угрозу.
-----

APT-C-53, также известная как Gamaredon, Primitive Bear, Winterflounder и BlueAlpha, - это группа APT, которая действует с 2013 года, в основном нацеливаясь на правительственные и военные учреждения, особенно в Украине. Группа нацелена на сбор разведывательной информации с помощью различных методов атаки и полезной нагрузки, включая внедрение шаблонов документов, вредоносных макрофайлов, файлов LNK, HTML-файлов и самораспаковывающихся файлов (SFX). Примечательно стратегическое использование ими документов DOCX в качестве начальной приманки; эти файлы после открытия загружают вредоносные макросы, которые запускают скрипт VBS. Этот скрипт предназначен для сбора базовой информации о пользователях и облегчения загрузки дополнительных вредоносных файлов путем динамического создания URL-адресов с помощью разрешения DNS.

Поведение вредоносных программ группы указывает на то, что они предпочитают скрипты VBS в качестве загрузчиков и дропперов, делая упор на методы обфускации, которые затрудняют анализ. Они часто взламывают и кодируют важные строки в скриптах, добавляя посторонний текст, что снижает четкость и затрудняет обнаружение. Важная тактика, применяемая группой, включает в себя использование разрешения DNS для извлечения IP-адресов, что позволяет им обходить жестко запрограммированные доменные имена и последовательно изменять адреса своих серверов, сохраняя при этом контроль через доменное имя. Благодаря такой инфраструктуре защитникам важно сосредоточиться не только на HTTP-трафике, но и на процессах разрешения DNS для эффективного обнаружения этих атак.

Основываясь на продолжающемся мониторинге Gamaredon, проводимом Институтом исследования угроз 360, группа, похоже, готова продолжать свои кибероперации против Украины, уделяя особое внимание получению конфиденциальной информации и потенциальному разрушению критически важной инфраструктуры. Внедрение надежных мер кибербезопасности, таких как усовершенствованные шлюзы электронной почты для фильтрации вредоносного контента, всесторонний мониторинг журналов в системах и сетях и обеспечение современных антивирусных решений на терминальных устройствах, имеет решающее значение для снижения рисков, связанных с APT-C-53 и подобными хакерами. Для защиты от их постоянных угроз потребуется постоянная бдительность и адаптация к их меняющимся стратегиям нападения.

#ParsedReport #CompletenessLow
18-07-2025

npm Phishing Email Targets Developers with Typosquatted Domain

https://socket.dev/blog/npm-phishing-email-targets-developers-with-typosquatted-domain

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers, Npm package maintainers

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1195.001, T1556.002, T1566.001, T1584.001

IOCs:
IP: 1
File: 1

Soft:
Node.js