#ParsedReport #CompletenessLow
18-07-2025

Analysis of the suspected attack actions of APT-C-53 (Gamaredon) targeting government departments

https://www.ctfiot.com/261949.html

Report completeness: Low

Actors/Campaigns:
Gamaredon

Victims:
Government departments, Military institutions, Ukrainian government departments

Industry:
Critical_infrastructure, Military, Government

Geo:
Ukrainian, Ukraine

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1071.004, T1204.002, T1566.001

IOCs:
File: 2
Hash: 2
Domain: 1
Registry: 2

Soft:
WeChat

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, известный как Gamaredon, нацелен на правительственные учреждения Украины, использующие скрипты VBS для сбора информации и доставки вредоносных программ. Они используют такие методы, как внедрение шаблонов и разрешение DNS, чтобы избежать обнаружения и сохранить контроль. Усилия по обнаружению должны быть сосредоточены на поведении DNS наряду с HTTP-трафиком, чтобы смягчить эту угрозу.
-----

APT-C-53, также известная как Gamaredon, Primitive Bear, Winterflounder и BlueAlpha, - это группа APT, которая действует с 2013 года, в основном нацеливаясь на правительственные и военные учреждения, особенно в Украине. Группа нацелена на сбор разведывательной информации с помощью различных методов атаки и полезной нагрузки, включая внедрение шаблонов документов, вредоносных макрофайлов, файлов LNK, HTML-файлов и самораспаковывающихся файлов (SFX). Примечательно стратегическое использование ими документов DOCX в качестве начальной приманки; эти файлы после открытия загружают вредоносные макросы, которые запускают скрипт VBS. Этот скрипт предназначен для сбора базовой информации о пользователях и облегчения загрузки дополнительных вредоносных файлов путем динамического создания URL-адресов с помощью разрешения DNS.

Поведение вредоносных программ группы указывает на то, что они предпочитают скрипты VBS в качестве загрузчиков и дропперов, делая упор на методы обфускации, которые затрудняют анализ. Они часто взламывают и кодируют важные строки в скриптах, добавляя посторонний текст, что снижает четкость и затрудняет обнаружение. Важная тактика, применяемая группой, включает в себя использование разрешения DNS для извлечения IP-адресов, что позволяет им обходить жестко запрограммированные доменные имена и последовательно изменять адреса своих серверов, сохраняя при этом контроль через доменное имя. Благодаря такой инфраструктуре защитникам важно сосредоточиться не только на HTTP-трафике, но и на процессах разрешения DNS для эффективного обнаружения этих атак.

Основываясь на продолжающемся мониторинге Gamaredon, проводимом Институтом исследования угроз 360, группа, похоже, готова продолжать свои кибероперации против Украины, уделяя особое внимание получению конфиденциальной информации и потенциальному разрушению критически важной инфраструктуры. Внедрение надежных мер кибербезопасности, таких как усовершенствованные шлюзы электронной почты для фильтрации вредоносного контента, всесторонний мониторинг журналов в системах и сетях и обеспечение современных антивирусных решений на терминальных устройствах, имеет решающее значение для снижения рисков, связанных с APT-C-53 и подобными хакерами. Для защиты от их постоянных угроз потребуется постоянная бдительность и адаптация к их меняющимся стратегиям нападения.

#ParsedReport #CompletenessLow
18-07-2025

npm Phishing Email Targets Developers with Typosquatted Domain

https://socket.dev/blog/npm-phishing-email-targets-developers-with-typosquatted-domain

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers, Npm package maintainers

ChatGPT TTPs:
do not use without manual check
T1078, T1192, T1195.001, T1556.002, T1566.001, T1584.001

IOCs:
IP: 1
File: 1

Soft:
Node.js

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе фишинговой атаки использовался домен с опечатками (npnjs.com), имитирующий npm, для атаки на разработчиков, которые использовали поддельные электронные письма для получения учетных данных через поддельную страницу входа в систему. Проверки безопасности выявили вредоносный характер атаки, и этот инцидент подчеркивает необходимость повышения осведомленности о безопасности цепочки поставок.
-----

В недавней фишинговой атаке, направленной против разработчиков, использовался домен с опечатками, npnjs.com созданный таким образом, чтобы он напоминал законный веб-сайт npm. Этот изощренный подход включал использование фишингового электронного письма, которое подделывало законный адрес электронной почты службы поддержки npm (support@npmjs.org) и призывало получателей войти в систему с помощью тщательно разработанной ссылки на вредоносный сайт. Ссылка вела на поддельную страницу входа по адресу https://npnjs.com/login?токен=xxxxxx, где токен, вероятно, предназначался для отслеживания взаимодействия с пользователем или предварительного заполнения информации, чтобы фишинговый сайт выглядел более легитимным. Эта атака, по-видимому, была специально нацелена на активных разработчиков пакетов, особенно на тех, кто обладает значительным влиянием, поскольку этот разработчик управляет пакетами, которые еженедельно загружаются на 34 миллиона устройств.

Электронное письмо было идентифицировано как спам благодаря различным проверкам безопасности, которые выявили множество "красных флажков". Оно было отправлено с IP-адреса (45.9.148.108), на который неоднократно поступали сообщения о вредоносной активности, и было отправлено через VPS, известный своими злоупотреблениями, что еще раз указывает на его потенциальную угрозу. Меры аутентификации, такие как SPF, DKIM и DMARC, завершились неудачей, подтвердив, что электронное письмо пришло не с серверов npm, в то время как необычная маршрутизация в заголовках электронных писем указывала на дополнительную подозрительную активность.

Природа учетных записей npm делает их привлекательными мишенями для киберпреступников, поскольку компрометация учетной записи может привести к распространению вредоносных пакетов, затрагивающих бесчисленное количество пользователей. Несмотря на то, что эта конкретная попытка фишинга была зафиксирована спам-фильтрами, она продемонстрировала растущую сложность атак на цепочки поставок и необходимость проявлять бдительность в сообществе разработчиков. В случае подозрений на кражу учетных данных разработчикам рекомендуется немедленно поменять токены доступа к npm. Об этом инциденте было сообщено в службу безопасности npm, чтобы помочь предотвратить будущие инциденты с разработчиками.

Кроме того, фишинговый домен не только служил приманкой с законными ссылками на ресурсы npm, но и демонстрировал поведение прокси-сервера, клонируя содержимое npm при попытке получить учетные данные для входа. Время отправки электронного письма, рассчитанное на вечерние часы, соответствует распространенным стратегиям, используемым в фишинговых кампаниях, направленных на использование непиковых периодов, когда вероятность получения ответа может быть выше.

#ParsedReport #CompletenessMedium
18-07-2025

Ongoing SonicWall Secure Mobile Access (SMA) Exploitation Campaign using the OVERSTEP Backdoor

https://cloud.google.com/blog/topics/threat-intelligence/sonicwall-secure-mobile-access-exploitation-overstep-backdoor/

Report completeness: Medium

Actors/Campaigns:
Unc6148 (motivation: information_theft, financially_motivated)

Threats:
Overstep
Abyss_locker
Vsociety
Timestomp_technique

Victims:
Organizations using sonicwall sma 100 series appliances

Industry:
E-commerce

CVEs:
CVE-2021-20038 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (10.2.0.8-37sv, 10.2.1.1-19sv, 10.2.1.2-24sv)

CVE-2025-32819 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_100_firmware (<10.2.1.15-81sv)

CVE-2024-38475 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache http_server (<2.4.60)

CVE-2021-20035 [Vulners]
CVSS V3.1: 6.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (<9.0.0.11-31sv, <10.2.0.8-37sv, <10.2.1.1-19sv)

CVE-2021-20039 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (9.0.0.11-31sv, 10.2.0.8-37sv, 10.2.1.1-19sv)

CVE-2023-44221 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sma_200_firmware (le10.2.1.9-57sv)


ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1021.004, T1036.005, T1041, T1055.012, T1059.004, T1070.004, T1078, T1140, have more...

IOCs:
File: 9
IP: 2
Hash: 4

Soft:
openssl, LINUX

Algorithms:
gzip, base64

Functions:
bootCurrentFirmware

Platforms:
intel, x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Финансируемая хакерская группа UNC6148 атакует устройства SonicWall SMA 100, используя скомпрометированные учетные данные, с помощью бэкдора под названием OVERSTEP. Эта вредоносная программа изменяет процессы загрузки для обеспечения постоянного доступа и может использовать нераскрытые уязвимости нулевого дня. Рекомендации включают смену учетных данных и мониторинг необычной сетевой активности для снижения рисков.
-----

Google Threat Intelligence Group (GTIG) сообщила о продолжающейся кампании, приписываемой финансово управляемой хакерской группе, идентифицированной как UNC6148. Эта группа ориентирована на устройства SonicWall для безопасного мобильного доступа (SMA) серии 100, которые полностью исправлены, но срок их службы истек. UNC6148 использует учетные данные и одноразовый пароль (OTP), полученные в результате предыдущих взломов, что позволяет им обходить обновления системы безопасности. Первоначальная причина заражения остается неясной, поскольку вредоносная программа активно удаляет записи журнала, чтобы затруднить судебно-медицинскую экспертизу; однако есть подозрение, что она использует известные уязвимости.

Ключевым элементом этой кампании является внедрение ранее неизвестного бэкдора под названием OVERSTEP. Анализ показывает, что эта вредоносная программа изменяет процесс загрузки устройства для получения постоянного доступа. Предполагается, что UNC6148 мог использовать нераскрытую уязвимость удаленного выполнения кода нулевого дня для установки OVERSTEP на целевые устройства. У кампании могли быть более широкие мотивы, включая кражу данных и потенциальное внедрение программ-вымогателей, о чем свидетельствуют инциденты, когда целевые организации позже появлялись на сайтах с утечкой данных.

Расследование, проведенное компанией Mandiant, показало, что UNC6148 обладает учетными данными локального администратора для устройств SMA, которые, возможно, были получены путем использования нескольких уязвимостей, включая CVE-2021-20038, CVE-2024-38475 и CVE-2021-20035, среди прочих. Примечательно, что CVE-2024-38475 позволяет осуществлять фильтрацию конфиденциальных баз данных SQLite, потенциально предоставляя важные учетные данные и токены для дальнейшего использования.

Оказавшись внутри, UNC6148 установил сеансы SSL VPN, используя учетные данные локального администратора для создания обратных оболочек и управления настройками устройства. Они поддерживали постоянство, внедряя руткит OVERSTEP, изменяя системные файлы для выполнения и используя различные методы, такие как динамическое связывание, для внедрения вредоносных функций в законные процессы. OVERSTEP реализован с помощью общего объектного файла, который подключает стандартные библиотечные функции, чтобы скрыть свое присутствие, одновременно обеспечивая выполнение команд и фильтрацию данных.

Вредоносная программа использует бэкдор для получения команд через сетевые запросы, эффективно используя захваченные функции write API для анализа и выполнения вредоносных команд, одновременно очищая журналы от любых признаков активности. GTIG отметила системный подход к операциям UNC6148, включая возможные совпадения с предыдущими кампаниями, которые привели к внедрению программ-вымогателей.

Рекомендация для организаций, затронутых этой кампанией, предусматривает замену всех учетных данных, даже если устройства выглядят полностью обновленными, из-за постоянного риска, связанного с ранее скомпрометированными учетными данными. Обнаружение индикаторов компрометации включает в себя поиск неожиданных двоичных файлов, изменений в критически важных системных файлах и необычной сетевой активности, предполагающей обратные операции оболочки или утечку данных.

Чтобы смягчить угрозы и усилить защиту, ключевые стратегии включают изоляцию уязвимых устройств, сохранение телеметрии для расследования и потенциальное взаимодействие с группами реагирования на инциденты, такими как Mandiant, для всесторонней оценки и устранения угроз.

#ParsedReport #CompletenessMedium
16-07-2025

Signed and stealing: uncovering new insights on Odyssey infostealer

https://www.jamf.com/blog/signed-and-stealing-uncovering-new-insights-on-odyssey-infostealer/

Report completeness: Medium

Threats:
Odyssey_stealer
Amos_stealer

Geo:
Dprk

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1056.002, T1059.004, T1070.004, T1071.001, T1105, T1119, T1204.002, have more...

IOCs:
Hash: 10
Url: 8
File: 5
IP: 1

Soft:
macOS, Gatekeeper, Chrome, Opera, Ledger Live, curl

Wallets:
electrum, exodus_wallet

Algorithms:
exhibit, sha256, zip

Languages:
applescript, swift, golang

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последней версии Atomic Stealer (AMOS) теперь есть бэкдор и используется двоичный файл Mach-O, замаскированный под действительный Apple Developer ID. Этот вариант использует социальную инженерию через "техническую панель" для сбора конфиденциальных данных, избегая обнаружения, и реализует постоянные подключения к серверу C2 для постоянной эксплуатации. Исследователи обнаружили сходство с тактикой северокорейских хакеров, что подчеркивает эволюционный характер угроз для macOS.
-----

Недавние результаты показывают, что последняя версия Atomic Stealer, также известная как AMOS, теперь включает в себя бэкдор - разработку, на которую обратили внимание исследователи безопасности из Moonlock. Одновременно с этим Jamf Threat Labs проанализировала образцы, обладающие схожими характеристиками, что позволило лучше понять угрозы, нацеленные на системы macOS. Исследователи все чаще выявляют варианты infostealer, многие из которых используют практически идентичные функции, направленные на обход встроенных механизмов безопасности Apple, таких как XProtect и Gatekeeper.

Одним из примечательных примеров, рассмотренных Jamf Threat Labs, был двоичный файл Mach-O, который был вредоносным по своей природе, но при этом был подписан кодом и нотариально заверен действительным Apple Developer ID. Этот метод маскировки позволяет запускать такие приложения без немедленной пометки, что повышает вероятность успешной атаки. Образец, обманчиво названный "Gmeet_updater.app", был распространен с помощью образа диска (DMG) и основывался на классической тактике манипулирования пользователями, чтобы стимулировать выполнение, несмотря на его действительную подпись.

После запуска этот вариант отличается от предыдущих версий AMOS введением нового интерфейса, стилизованного под "техническую панель", что, вероятно, усиливает аспект социальной инженерии атаки. Эта панель на базе SwiftUI извлекает дополнительную полезную нагрузку AppleScript с удаленного сервера и выполняет ее, запрашивая у пользователей конфиденциальную информацию, такую как учетные данные для входа в macOS, избегая при этом обнаружения за счет сохранения обфускации. Вредоносная программа собирает широкий спектр конфиденциальных данных, нацеливаясь на данные автозаполнения браузера, учетные данные для входа в систему, криптовалютные кошельки и даже личные файлы из каталогов пользователей.

Более того, эта версия содержит полезную нагрузку второго этапа, предназначенную для обеспечения постоянства. Прилагаемый AppleScript регистрируется на сервере управления (C2) и непрерывно запрашивает на нем команды. Этот постоянный бэкдор не только позволяет использовать его в будущем, но и позволяет злоумышленнику беспрепятственно выполнять новые вредоносные задачи. Вредоносная программа реализует структурированный подход к выполнению команд, включая возможность установки прокси-сервера SOCKS5 через двоичный файл Golang, загруженный с сервера C2, что облегчает анонимную маршрутизацию по сети через скомпрометированный хост.

Интересно, что вредоносная программа включает в себя механизмы самоопределения, занесение в черный список сред, подозреваемых в проведении исследований, а не в реальной эксплуатации, что демонстрирует ее адаптивный характер. Лаборатории Jamf Threat Labs выявили несколько образцов infostealer, которые используют один и тот же Team ID, демонстрируя продолжающуюся эволюцию угроз для macOS, которые теперь напоминают тактику, ранее связанную с северокорейскими хакерами. Быстрое развитие этих методов подчеркивает важность того, чтобы полагаться не только на статические средства защиты, но и на усовершенствованные стратегии поведенческого обнаружения. После выявления вредоносных действий Apple отозвала сертификат, связанный со скомпрометированным идентификатором разработчика. Такие меры безопасности, как предотвращение угроз и расширенный контроль угроз, имеют решающее значение для защиты пользователей от этих новых вариантов инфокрадов.

#ParsedReport #CompletenessHigh
19-07-2025

Greedy Sponge Targets Mexico with AllaKore RAT and SystemBC

https://arcticwolf.com/resources/blog/greedy-sponge-targets-mexico-with-allakore-rat-and-systembc/

Report completeness: High

Actors/Campaigns:
Greedy_sponge (motivation: financially_motivated)

Threats:
Allakore_rat
Systembc
Spear-phishing_technique
Uac_bypass_technique

Industry:
Retail, Transport, Financial, Foodtech, Entertainment, Education, Government

Geo:
Mexican, Spanish, Brazil, Mexico

TTPs:
Tactics: 9
Technics: 17

IOCs:
File: 17
Url: 4
Domain: 23
IP: 1
Hash: 42

Soft:
Chrome

Algorithms:
base64, md5, sha256, zip

Languages:
powershell, delphi

YARA: Found

Links:
https://github.com/expl0itabl3/uac-bypass-cmstpl

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Greedy Sponge, финансово мотивированная хакерская группа, действующая с 2021 года, нацелена на мексиканские организации, использующие модифицированное вредоносное ПО AllaKore RAT и SystemBC для финансового мошенничества. Они используют сложные тактики, такие как геозонирование на стороне сервера, фишинг с помощью троянских файлов MSI и методы обхода контроля учетных записей, что представляет серьезную постоянную угрозу для финансовых учреждений Мексики.
-----

Arctic Wolf Labs выявила финансово мотивированную хакерскую группу под названием Greedy Sponge, которая действует с начала 2021 года, в основном нацеливаясь на мексиканские организации. Эта группа использует модифицированные версии вредоносных программ AllaKore RAT и SystemBC, ориентируясь на финансовое мошенничество. Программа AllaKore RAT была значительно изменена для перехвата банковских учетных данных и уникальных аутентификационных данных, что позволяет злоумышленникам передавать конфиденциальную информацию на свой сервер управления (C2). Недавние кампании включают в себя развертывание пользовательских установщиков, содержащих модифицированный RAT, и использование SystemBC в качестве дополнительного инструмента для дальнейшей эксплуатации.

Оперативная тактика Greedy Sponge претерпела изменения, особенно с середины 2024 года, благодаря усовершенствованиям методов геозонирования, которые ограничивают их деятельность мексиканским регионом. Ранее проверки с использованием геозоны выполнялись на начальном этапе с использованием загрузчика .NET, но теперь эти проверки были перенесены на сервер, чтобы усложнить задачу обнаружения. Все фишинговые атаки имитируют местные бизнес-сайты, а их инфраструктура и механизмы доставки адаптированы для испаноязычной аудитории. Механизмы доставки были изменены и теперь включают сжатые ZIP-файлы, содержащие легальный исполняемый файл Chrome proxy и троянский файл MSI, который запускает процесс установки RAT. Файл MSI, созданный с помощью Advanced Installer, запускает загрузчик .NET, который в конечном итоге загружает полезную нагрузку AllaKore RAT.

Вредоносная программа работает с использованием уникального пользовательского агента, специально связанного с образцами загрузчика .NET. После запуска AllaKore RAT обеспечивает ведение кейлогга, захват скриншотов, манипулирование файлами и функции удаленного управления, а механизмы защиты обеспечивают ее сохранность после заражения. Группа также начала использовать метод обхода контроля учетных записей пользователей (UAC) с помощью установщика профилей Microsoft Connection Manager (CMSTP), который позволяет им более беспрепятственно выполнять вредоносные программы.

Если раньше Greedy Sponge был ориентирован на конкретные секторы, такие как банковское дело, то теперь он расширил сферу своей деятельности, демонстрируя безразличие к отрасли до тех пор, пока существуют финансовые активы, которые можно использовать. Постоянная угроза, исходящая от Greedy Sponge, подчеркивается их постоянной инфраструктурой, размещенной в Техасе, что обеспечивает им относительную безопасность от вторжений местных правоохранительных органов. Очевидные специализированные знания об экономической структуре Мексики и системах регулирования еще больше облегчают их деятельность. В целом, Greedy Sponge демонстрирует устойчивую эволюцию в своей тактике, которая, если ее не смягчать, предполагает сохранение угрозы для финансовых учреждений и бизнеса в Мексике в обозримом будущем.

#ParsedReport #CompletenessMedium
19-07-2025

Masquerade: You Downloaded ScreenConnect not Grok AI!

https://www.nccgroup.com/us/research-blog/masquerade-you-downloaded-screenconnect-not-grok-ai/

Report completeness: Medium

Threats:
Screenconnect_tool
Asyncrat
Credential_harvesting_technique
Donut

TTPs:
Tactics: 7
Technics: 11

IOCs:
Domain: 5
Url: 3
Path: 7
IP: 2
File: 17
Registry: 1

Soft:
OpenAI, Windows Installer, Google Chrome

Algorithms:
sha1, zip, base64

Languages:
php, python, jscript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная цепочка атак с участием AsyncRAT была инициирована путем взлома рекламы на Facebook с использованием инструмента удаленного доступа ScreenConnect. Хакер выполнил запутанные скрипты для установки AsyncRAT для ведения кейлоггинга и сбора учетных данных, установив управление сервером C2 по IP-адресу 185.149.232.197.
-----

В ходе недавнего мероприятия по реагированию на инциденты, проведенного командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, была выявлена сложная цепочка атак с участием AsyncRAT после взлома, вызванного вредоносной рекламой в Facebook. На начальном этапе был запущен ScreenConnect, инструмент удаленного доступа, который был замаскирован под создание искусственного интеллекта Grok. После того, как жертва нажимала на вредоносную рекламу, связанную с доменом canvadreamlab.xyz, на хост-систему устанавливался ScreenConnect, обеспечивающий сохранение и передачу файлов.

Хронология атаки показала, что в течение одной минуты после получения доступа на компьютере жертвы была установлена новая служба ScreenConnect, а команда была отправлена из домена jtsec.innocred.com. Эта служба облегчила передачу AsyncRAT, вредоносного ПО, известного своими возможностями в области кейлоггинга и сбора учетных данных, которое было запущено на следующий день. Первоначальные пути установки и выполнения указывали на сильную координацию действий хакера, который использовал методы обфускации для усложнения анализа.

Примечательно, что вредоносная программа была оборудована для сбора конфиденциальной информации, такой как данные браузера и нажатия клавиш, которые, вероятно, были отфильтрованы. Вредоносная активность включала в себя несколько файлов, включая запутанный пакетный файл с именем 9f.bat, который содержал дополнительные команды для вызова сценариев Python для доставки полезной нагрузки. Пакетный файл использовал функцию base64.b64decode для расшифровки своего содержимого, что отражает попытки хакера скрыть вредоносные намерения.

Анализ среды выявил файл журнала (Log.tmp), содержащий записанные нажатия клавиш и автоматически заполняемые данные из браузеров, таких как Google Chrome. Конкретные файлы, такие как профили Chrome и Edge, а также полный список паролей, продемонстрировали широкий спектр информации, на которую нацелена вредоносная программа.

Инфраструктура, использованная для атаки, включала различные компоненты, такие как допустимые DLL-файлы, связанные с интерпретатором Python (vcruntime140.dll, python310.dll), для поддержания видимости нормальности. Запутанный код на Python в вредоносном пакетном файле инициировал многоэтапный механизм доставки полезной нагрузки, в результате чего был загружен дополнительный вредоносный код, известный как Isrgorpev22.b64, который был идентифицирован как шелл-код, предназначенный для выполнения сложных команд непосредственно в памяти.

Заключительный этап привел к введению запутанного препарата .Сетевой исполняемый файл, идентифицированный как AsyncRAT, устанавливает возможности управления (C2) путем подключения к внешнему серверу по IP-адресу 185.149.232.197 через порт 56001 по протоколу SSL. Этот случай иллюстрирует сложные методологии, используемые хакерами, подчеркивая насущную необходимость в улучшенных стратегиях обнаружения инцидентов и реагирования на них для смягчения последствий таких атак.

#ParsedReport #CompletenessMedium
19-07-2025

Linux SSH server target attack case analysis that installs SVF DDOS BOT

https://asec.ahnlab.com/ko/89074/

Report completeness: Medium

Threats:
Svfbot
Putty_tool
Httpflood_technique
Udpflood_technique

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059.006, T1071.001, T1078, T1090.002, T1105, T1204.002, T1499.001

IOCs:
Url: 3
Hash: 1
IP: 1

Soft:
Linux, Discord, discord discord, curl

Algorithms:
md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4