#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Greedy Sponge, финансово мотивированная хакерская группа, действующая с 2021 года, нацелена на мексиканские организации, использующие модифицированное вредоносное ПО AllaKore RAT и SystemBC для финансового мошенничества. Они используют сложные тактики, такие как геозонирование на стороне сервера, фишинг с помощью троянских файлов MSI и методы обхода контроля учетных записей, что представляет серьезную постоянную угрозу для финансовых учреждений Мексики.
-----

Arctic Wolf Labs выявила финансово мотивированную хакерскую группу под названием Greedy Sponge, которая действует с начала 2021 года, в основном нацеливаясь на мексиканские организации. Эта группа использует модифицированные версии вредоносных программ AllaKore RAT и SystemBC, ориентируясь на финансовое мошенничество. Программа AllaKore RAT была значительно изменена для перехвата банковских учетных данных и уникальных аутентификационных данных, что позволяет злоумышленникам передавать конфиденциальную информацию на свой сервер управления (C2). Недавние кампании включают в себя развертывание пользовательских установщиков, содержащих модифицированный RAT, и использование SystemBC в качестве дополнительного инструмента для дальнейшей эксплуатации.

Оперативная тактика Greedy Sponge претерпела изменения, особенно с середины 2024 года, благодаря усовершенствованиям методов геозонирования, которые ограничивают их деятельность мексиканским регионом. Ранее проверки с использованием геозоны выполнялись на начальном этапе с использованием загрузчика .NET, но теперь эти проверки были перенесены на сервер, чтобы усложнить задачу обнаружения. Все фишинговые атаки имитируют местные бизнес-сайты, а их инфраструктура и механизмы доставки адаптированы для испаноязычной аудитории. Механизмы доставки были изменены и теперь включают сжатые ZIP-файлы, содержащие легальный исполняемый файл Chrome proxy и троянский файл MSI, который запускает процесс установки RAT. Файл MSI, созданный с помощью Advanced Installer, запускает загрузчик .NET, который в конечном итоге загружает полезную нагрузку AllaKore RAT.

Вредоносная программа работает с использованием уникального пользовательского агента, специально связанного с образцами загрузчика .NET. После запуска AllaKore RAT обеспечивает ведение кейлогга, захват скриншотов, манипулирование файлами и функции удаленного управления, а механизмы защиты обеспечивают ее сохранность после заражения. Группа также начала использовать метод обхода контроля учетных записей пользователей (UAC) с помощью установщика профилей Microsoft Connection Manager (CMSTP), который позволяет им более беспрепятственно выполнять вредоносные программы.

Если раньше Greedy Sponge был ориентирован на конкретные секторы, такие как банковское дело, то теперь он расширил сферу своей деятельности, демонстрируя безразличие к отрасли до тех пор, пока существуют финансовые активы, которые можно использовать. Постоянная угроза, исходящая от Greedy Sponge, подчеркивается их постоянной инфраструктурой, размещенной в Техасе, что обеспечивает им относительную безопасность от вторжений местных правоохранительных органов. Очевидные специализированные знания об экономической структуре Мексики и системах регулирования еще больше облегчают их деятельность. В целом, Greedy Sponge демонстрирует устойчивую эволюцию в своей тактике, которая, если ее не смягчать, предполагает сохранение угрозы для финансовых учреждений и бизнеса в Мексике в обозримом будущем.

#ParsedReport #CompletenessMedium
19-07-2025

Masquerade: You Downloaded ScreenConnect not Grok AI!

https://www.nccgroup.com/us/research-blog/masquerade-you-downloaded-screenconnect-not-grok-ai/

Report completeness: Medium

Threats:
Screenconnect_tool
Asyncrat
Credential_harvesting_technique
Donut

TTPs:
Tactics: 7
Technics: 11

IOCs:
Domain: 5
Url: 3
Path: 7
IP: 2
File: 17
Registry: 1

Soft:
OpenAI, Windows Installer, Google Chrome

Algorithms:
sha1, zip, base64

Languages:
php, python, jscript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная цепочка атак с участием AsyncRAT была инициирована путем взлома рекламы на Facebook с использованием инструмента удаленного доступа ScreenConnect. Хакер выполнил запутанные скрипты для установки AsyncRAT для ведения кейлоггинга и сбора учетных данных, установив управление сервером C2 по IP-адресу 185.149.232.197.
-----

В ходе недавнего мероприятия по реагированию на инциденты, проведенного командой цифровой криминалистики и реагирования на инциденты (DFIR) NCC Group, была выявлена сложная цепочка атак с участием AsyncRAT после взлома, вызванного вредоносной рекламой в Facebook. На начальном этапе был запущен ScreenConnect, инструмент удаленного доступа, который был замаскирован под создание искусственного интеллекта Grok. После того, как жертва нажимала на вредоносную рекламу, связанную с доменом canvadreamlab.xyz, на хост-систему устанавливался ScreenConnect, обеспечивающий сохранение и передачу файлов.

Хронология атаки показала, что в течение одной минуты после получения доступа на компьютере жертвы была установлена новая служба ScreenConnect, а команда была отправлена из домена jtsec.innocred.com. Эта служба облегчила передачу AsyncRAT, вредоносного ПО, известного своими возможностями в области кейлоггинга и сбора учетных данных, которое было запущено на следующий день. Первоначальные пути установки и выполнения указывали на сильную координацию действий хакера, который использовал методы обфускации для усложнения анализа.

Примечательно, что вредоносная программа была оборудована для сбора конфиденциальной информации, такой как данные браузера и нажатия клавиш, которые, вероятно, были отфильтрованы. Вредоносная активность включала в себя несколько файлов, включая запутанный пакетный файл с именем 9f.bat, который содержал дополнительные команды для вызова сценариев Python для доставки полезной нагрузки. Пакетный файл использовал функцию base64.b64decode для расшифровки своего содержимого, что отражает попытки хакера скрыть вредоносные намерения.

Анализ среды выявил файл журнала (Log.tmp), содержащий записанные нажатия клавиш и автоматически заполняемые данные из браузеров, таких как Google Chrome. Конкретные файлы, такие как профили Chrome и Edge, а также полный список паролей, продемонстрировали широкий спектр информации, на которую нацелена вредоносная программа.

Инфраструктура, использованная для атаки, включала различные компоненты, такие как допустимые DLL-файлы, связанные с интерпретатором Python (vcruntime140.dll, python310.dll), для поддержания видимости нормальности. Запутанный код на Python в вредоносном пакетном файле инициировал многоэтапный механизм доставки полезной нагрузки, в результате чего был загружен дополнительный вредоносный код, известный как Isrgorpev22.b64, который был идентифицирован как шелл-код, предназначенный для выполнения сложных команд непосредственно в памяти.

Заключительный этап привел к введению запутанного препарата .Сетевой исполняемый файл, идентифицированный как AsyncRAT, устанавливает возможности управления (C2) путем подключения к внешнему серверу по IP-адресу 185.149.232.197 через порт 56001 по протоколу SSL. Этот случай иллюстрирует сложные методологии, используемые хакерами, подчеркивая насущную необходимость в улучшенных стратегиях обнаружения инцидентов и реагирования на них для смягчения последствий таких атак.

#ParsedReport #CompletenessMedium
19-07-2025

Linux SSH server target attack case analysis that installs SVF DDOS BOT

https://asec.ahnlab.com/ko/89074/

Report completeness: Medium

Threats:
Svfbot
Putty_tool
Httpflood_technique
Udpflood_technique

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059.006, T1071.001, T1078, T1090.002, T1105, T1204.002, T1499.001

IOCs:
Url: 3
Hash: 1
IP: 1

Soft:
Linux, Discord, discord discord, curl

Algorithms:
md5

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ASEC сообщает о росте числа DDoS-атак, нацеленных на плохо управляемые серверы Linux с помощью ботнета SVF, вредоносного ПО на основе Python, использующего Discord для C&C. Он использует SSH-логины и выполняет атаки уровня 7 и уровня 4 с использованием прокси-серверов. Рекомендуется применять усиленные меры безопасности для серверов Linux, включая надежные пароли и регулярные обновления программного обеспечения.
-----

Аналитический центр безопасности Ahnlab (ASEC) выявил тревожную тенденцию в атаках, нацеленных на неправильно управляемые серверы Linux. Используя множество уловок, ASEC наблюдала многочисленные попытки из внешних источников взломать эти системы, в частности, с помощью вредоносного ПО для DDoS-ботов, идентифицированного как SVF-ботнет. Эта вредоносная программа, разработанная на Python, использует Discord для управления (C&C) и примечательна своей способностью использовать несколько прокси-серверов во время DDoS-атак.

Процесс атаки начинается с попытки входа на сервер Linux по SSH с использованием скомпрометированных учетных данных. Как только доступ получен, SVF-бот устанавливается с помощью специальных команд для настройки виртуальной среды Python и установки необходимых библиотек, таких как Discord.py и aiohttp. Исходный код бота, принадлежащий группе, известной как "Команда SVF", указывает на то, что он был создан в качестве развлекательного проекта. После запуска бот аутентифицируется на сервере Discord с помощью токена БОТА, что позволяет ему получать команды от злоумышленника.

Бот поддерживает ряд команд для DDoS-атак, в первую очередь нацеленных на HTTP-флуд уровня 7 (L7) и UDP-флуд-атаки уровня 4 (L4). Важным аспектом функциональности SVF-бота является его способность работать через прокси для HTTP-флуд-атак. Он извлекает прокси-адреса из заранее определенных источников и включает их в свою стратегию атаки, регистрируясь в Google с каждым адресом, прежде чем они будут использованы в атаках.

Помимо этих технических деталей, ASEC предоставила рекомендации для администраторов Linux-серверов по повышению их безопасности. Они подчеркивают важность сохранения надежных, непредсказуемых паролей и регулярного их обновления. Кроме того, применение последних исправлений к программному обеспечению имеет решающее значение для предотвращения использования известных уязвимостей. Использование таких мер безопасности, как брандмауэры и протоколы контролируемого доступа, имеет важное значение для серверов, подверженных внешним угрозам. Наконец, ASEC рекомендует постоянно обновлять антивирусные решения, такие как версия 3, чтобы обеспечить эффективную защиту от вредоносных программ. В этом отчете подчеркивается растущий риск DDoS-атак на серверы Linux с помощью SVF-бота, что подчеркивает необходимость применения надежных методов обеспечения безопасности.

#ParsedReport #CompletenessLow
19-07-2025

Formbook spread via Macro Office: companies involved in competitions and projects in the sights

https://cert-agid.gov.it/news/formbook-diffuso-via-macro-office-nel-mirino-aziende-coinvolte-in-gare-e-progetti/

Report completeness: Low

Threats:
Formbook

Victims:
Large italian company, Potential customers, Other companies

Industry:
Energy

Geo:
Italian, Italy

ChatGPT TTPs:
do not use without manual check
T1566.001, T1566.002, T1584.001, T1584.004

IOCs:
Hash: 5
Domain: 21
Url: 47

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью кибератаки на энергетический сектор Италии является вредоносное ПО Formbook, рассылаемое по фишинговым электронным письмам, имитирующим крупную энергетическую компанию. В ходе атаки используются недавно зарегистрированные домены для облегчения установки вредоносных компонентов, а также корпоративные методы для снижения защиты и повышения успешности внедрения вредоносного ПО.
-----

Недавно Cert-Agid обнаружил продолжающуюся киберкампанию, направленную на энергетический сектор Италии, в частности, направленную на распространение вредоносного ПО Formbook с помощью тщательно разработанных фишинговых электронных писем. Электронные письма, по-видимому, предназначены для привлечения внимания потенциальных клиентов известной итальянской энергетической компании. При анализе кода вредоносного ПО было выявлено, что при атаке используется методичная цепочка доставки. Эта цепочка методично облегчает установку Formbook, загружая и запуская вредоносные компоненты с недавно зарегистрированных доменов, имитируя названия целевой компании. Кроме того, кампания использовала скомпрометированные итальянские домены, которые, скорее всего, были законными и принадлежали другим компаниям в том же секторе.

В основе атаки лежит простой, но эффективный метод, использующий общепринятые корпоративные практики, такие как участие в тендерах, ведение конфиденциальных проектов и приглашение к участию в коммерческой деятельности. Такой реалистичный подход значительно снижает защиту пользователей, поскольку получатели этих электронных писем могут быть более склонны открывать их, тем самым увеличивая риск получения полезной информации, скрытой в документах. Кампания подчеркивает тот факт, что опасность заключается не в технической сложности вредоносного ПО, а скорее в том, насколько легко атака может соответствовать операционным потребностям и ожиданиям целевой аудитории. Эффективно маскируя свои намерения и обращаясь к привычному корпоративному контексту, хакер значительно повышает вероятность успешного внедрения вредоносного ПО.

#ParsedReport #CompletenessHigh
19-07-2025

Dark Web Profile: CrazyHunter Ransomware

https://socradar.io/dark-web-profile-crazyhunter-ransomware/

Report completeness: High

Threats:
Crazyhunter_ransomware
Byovd_technique
Zemana_tool
Prince_ransomware
Avkiller
Zammocide_tool
Sharpgpoabuse_tool
Godzilla_webshell
Regeorg_tool
Impacket_tool
Ntlmrelayx_tool
Secretsdump_tool
Donut
Cobalt_strike_tool
Domain_fronting_technique
Dev_tunnels_tool
Petitpotam_vuln
Certipy_tool

Victims:
Mackay memorial hospital, Changhua christian hospital, Asia university hospital, Zuni data, Analog integrations corporation, Netronix inc, Huacheng electric, Kd panels, Asia university

Industry:
Education, Healthcare, Energy

Geo:
Taiwanese, Taiwan, Asia

TTPs:
Tactics: 11
Technics: 12

IOCs:
File: 5
Hash: 21

Soft:
Microsoft AD, Microsoft Defender, Active Directory

Algorithms:
chacha20, md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
9 февраля 2025 года тайваньская больница MacKay Memorial Hospital подверглась атаке программы-вымогателя CrazyHunter через USB-соединение, в результате чего было зашифровано более 500 компьютеров. Вредоносная программа использовала стратегию BYOVD, используя законный драйвер для повышения привилегий и шифрование ChaCha20. Атака подчеркивает тенденцию группы атаковать тайваньское здравоохранение, используя передовые методы, такие как использование объектов групповой политики, и требует принятия надежных превентивных мер.
-----

9 февраля 2025 года тайваньская больница MacKay Memorial Hospital стала жертвой атаки программы-вымогателя, приписываемой CrazyHunter, которая значительно нарушила работу служб неотложной помощи и амбулаторных служб в кампусах в Тайбэе и Тамсуи. Атака была инициирована после того, как сотрудник по неосторожности подключил USB-накопитель к больничному компьютеру, что привело к проникновению в систему программы-вымогателя CrazyHunter. Вредоносная программа использовала стратегию BYOVD (Приведите свой собственный уязвимый драйвер), используя законные zam64.sys драйвер от Zemana AntiMalware для повышения привилегий, отключения механизмов защиты конечных устройств и попыток несанкционированного доступа к учетным записям Microsoft Active Directory с использованием ненадежных паролей. В результате более 500 компьютеров в больнице были зашифрованы, что привело к повсеместному операционному хаосу.

CrazyHunter свидетельствует о растущей тенденции среди хакеров использовать общедоступные инструменты и коды для проведения атак. Он был создан с использованием генератора под названием "Prince Ransomware", доступ к которому доступен на GitHub. Группировка, которая, по—видимому, сосредоточена на тайваньских организациях — 90% зарегистрированных жертв проживают на Тайване, - расширила масштабы своих атак, прежде всего, в сфере здравоохранения и технологий, включая многочисленные больницы и образовательные учреждения. Атака на мемориальную больницу Маккея была частью более масштабной кампании, и многие организации на Тайване столкнулись с подобными инцидентами, связанными с программами-вымогателями.

Методы работы, используемые CrazyHunter, подчеркивают его сложный подход, включающий комбинацию пакетных сценариев и расширенных функциональных возможностей вредоносного ПО. Злоумышленники использовали пакетную настройку сценариев для отключения мер безопасности, развертывания программы-вымогателя и обеспечения запасных вариантов в случае неудачи на начальных этапах. Сама вредоносная программа использует шифрование файлов ChaCha20 и использует ECIES для асимметричного шифрования, при этом уязвимые файлы имеют расширение .Hunter. Примечательно, что программа-вымогатель избегает шифрования критически важных системных каталогов и определенных типов файлов, сохраняя скрытность во время своих атак.

Ключевая тактика, применяемая группой CrazyHunter, заключается в использовании уязвимостей в объектах групповой политики (GPO), что позволяет повысить привилегии и облегчает развертывание вредоносных скриптов в сетях. Кроме того, для достижения своих целей они использовали инструменты и методы, связанные со службами сертификации Active Directory. Для защиты от программ-вымогателей CrazyHunter организациям рекомендуется блокировать несанкционированное использование USB-накопителей, использовать надежные средства обнаружения конечных точек и реагирования на них, внедрять надежные стратегии защиты личных данных и отслеживать сетевую активность на предмет необычного поведения, связанного с известными тактиками и методами группы. Регулярное обучение сотрудников распознаванию попыток фишинга и программ-вымогателей, а также своевременное устранение уязвимостей имеют решающее значение для защиты от таких сложных угроз.

#ParsedReport #CompletenessLow
19-07-2025

NailaoLocker Ransomwares Cheese

https://www.fortinet.com/blog/threat-research/nailaolocker-ransomware-cheese

Report completeness: Low

Threats:
Nailaolocker
Dll_sideloading_technique
Nailaoloader

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.001, T1070.004, T1083, T1218.011, T1486

IOCs:
File: 5
Hash: 3

Soft:
OpenSSL

Algorithms:
xor, sha256, aes, aes-256-cbc

Functions:
EVP_PKEY_CTX_new, EVP_EncryptInit_ex, EVP_EncryptUpdate, EVP_EncryptFinal_ex, EVP_DecryptInit_ex, EVP_DecryptUpdate, EVP_DecryptFinal_ex

Win API:
CreateIoCompletionPort, GetSystemInfo, BCryptGenRandom

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 5, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NailaoLocker - это новая программа-вымогатель для Windows, которая использует шифрование AES-256-CBC и включает в себя жестко закодированные криптографические ключи SM2. Он состоит из доброкачественного исполняемого файла для дополнительной загрузки библиотеки DLL, вредоносной библиотеки DLL и зашифрованной полезной нагрузки, которая выполняется при удалении самой себя для уменьшения количества следов. Программа-вымогатель шифрует файлы, изменяет их атрибуты и требует секретный ключ SM2 для расшифровки, что указывает на то, что это может быть разрабатываемая версия, использующая региональные стандарты криптографии.
-----

NailaoLocker - это недавно обнаруженная программа-вымогатель, предназначенная для систем Microsoft Windows, отличающаяся техническим профилем, который включает в себя использование AES-256-CBC для шифрования файлов и необычное использование жестко закодированных криптографических ключей SM2 наряду со встроенной функцией дешифрования. Вредоносная программа поставляется в трех компонентах: usysdiag.exe (доброкачественный исполняемый файл, используемый для дополнительной загрузки библиотеки DLL), sensapi.dll (вредоносная библиотека DLL, называемая NailaoLoader) и usysdiag.exe.dat (зашифрованная полезная нагрузка программы-вымогателя). Выполнение начинается с загрузки библиотеки DLL легитимным исполняемым файлом, который расшифровывает и загружает программу-вымогателя в память, обеспечивая при этом минимальное количество следов криминалистической проверки, удаляя ее после выполнения.

NailaoLocker проверяет жестко заданное значение для определения режима работы - шифрования или дешифрования — без принятия аргументов командной строки для этого выбора. Он уведомляет пользователей о ходе работы через окно консоли и регистрирует действия в соответствующем файле журнала. Используется многопоточность, использующая порты завершения ввода-вывода Windows для оптимизации производительности нескольких ядер процессора, что повышает скорость процессов шифрования и дешифрования.

Важной особенностью NailaoLocker является его жестко запрограммированная пара ключей SM2, представленная в формате ASN.1 DER. Эта пара ключей, состоящая из открытого и закрытого ключей, основанных на криптографии с эллиптической кривой, используется для шифрования и дешифрования, что значительно отличается от типичных методов работы программ-вымогателей, которые часто используют RSA для защиты информации о ключах AES. NailaoLocker генерирует 32-байтовый ключ AES и 16-байтовый вектор инициализации (IV) для каждого файла, шифруя целевые файлы с помощью рекурсивного поиска по доступным каталогам, избегая при этом определенных системных путей и типов файлов.

После шифрования файлов NailaoLocker присваивает файлам расширение .locked, изменяет атрибуты файла на hidden и помещает важные метаданные, включая исходный размер файла и сведения о шифровании, в специально расположенные нижние колонтитулы. Этот нижний колонтитул содержит маркеры, обозначающие разделы ключевой информации, важные для расшифровки. Для восстановления исходных файлов встроенной функции дешифрования требуется закрытый ключ SM2, который считается необходимым для восстановления ключа AES и IV.

Анализ показывает, что, несмотря на то, что закрытый ключ SM2 кажется неработоспособным для практического использования, логика расшифровки может эффективно работать при наличии действительного ключа AES. Это говорит о том, что NailaoLocker может представлять собой разрабатываемую или тестовую версию. Будет продолжен мониторинг дальнейших изменений, касающихся использования региональных криптографических стандартов, таких как SM2, в программах-вымогателях, что позволит выявить меняющийся ландшафт угроз кибербезопасности.

#ParsedReport #CompletenessLow
19-07-2025

Getting to the Crux (Ransomware) of the Matter

https://www.huntress.com/blog/crux-ransomware

Report completeness: Low

Threats:
Crux_ransomware
Blackbyte
Process_injection_technique
Lolbin_technique
Rclone_tool

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1021.002, T1036.004, T1055, T1059.003, T1078, T1110, T1112, T1218.002, have more...

IOCs:
File: 4
Email: 1
Path: 5
Command: 1
Hash: 2

Soft:
bcdedit, Microsoft Defender, Windows Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия программы-вымогателя Crux, связанная с BlackByte group, шифрует файлы с расширением .crux и в основном получает доступ через скомпрометированные сеансы RDP. Она использует сложную схему процессов, включающую svchost.exe и bcdedit.exe, чтобы отключить механизмы восстановления и облегчить атаку, которая была первоначально обнаружена 4 июля. Меры безопасности должны быть направлены на усиление RDP и мониторинг процессов Windows для снижения рисков.
-----

Был обнаружен новый вариант программы-вымогателя под названием "Crux", предположительно связанный с BlackByte group. Программа-вымогатель Crux была замечена в трех различных инцидентах с зашифрованными файлами с расширением .crux и уведомлениями о требовании выкупа с именем crux_readme_random.txt. Переписка о выплате выкупа направляется на адрес электронной почты BlackBCruxSupport@onionmail.org. Первоначальный доступ к системам, по-видимому, осуществляется в основном через скомпрометированные сеансы протокола удаленного рабочего стола (RDP).

После запуска программа-вымогатель Crux отображает сложное дерево процессов, начинающееся с двоичного файла без знака и проходящее через svchost.exe, cmd.exe и bcdedit.exe, которые она использует для выполнения своих вредоносных действий. Исполняемые файлы различаются по названию и расположению на разных конечных точках, включая общие каталоги, такие как папка temp и C:\Windows. Каждый экземпляр исполняемого файла уникален, что предполагает индивидуальное развертывание, и запускается с помощью командной строки, которая содержит уникальные идентификаторы и аргумент -s или -a.

Прежде чем приступить к шифрованию файлов, Crux предпринимает стратегические шаги, препятствующие восстановлению. Он запускает легитимный svchost.exe из специальной командной строки, возможно, путем внедрения процесса, а затем вызывает bcdedit.exe для изменения конфигурации загрузки, отключая механизмы восстановления системы. Такая тактика усложняет процесс восстановления для жертв. Временная шкала атак показывает, что первоначальное обнаружение произошло 4 июля на нескольких затронутых конечных точках, где действия включали отключение восстановления, создание учетных записей пользователей, выполнение команд для бокового перемещения и возможное удаленное удаление дампов реестра.

На одной из конечных точек подозрительное поведение было обнаружено и заблокировано защитником Microsoft, который обнаружил сброс данных реестра из svchost.exe. Это было подтверждено журналами EVTX, которые содержали доказательства несанкционированной установки драйверов. Другая атака в тот же день привела к запуску программы-вымогателя canary files, при этом дополнительная телеметрия EDR подтвердила аналогичную тактику, включая использование svchost.exe для продолжения атаки.

Последующий инцидент, произошедший 13 июля, продемонстрировал знание хакером целевой среды, поскольку программа-вымогатель была запущена вскоре после тестового входа в систему с использованием действительных учетных данных. Быстрое выполнение задач, включая манипулирование svchost.exe и bcdedit.exe , указывает на продуманный подход к проникновению и запуску программы-вымогателя.

Хотя программа—вымогатель Crux ассоциирует себя с BlackByte group - признанным хакером, использующим программы-вымогатели как услугу (RaaS) с 2021 года, - это утверждение не было независимо подтверждено. Наблюдаемое предпочтение использованию законных процессов Windows подчеркивает необходимость постоянного мониторинга необычных действий, связанных с этими процессами, особенно в средах, где доступен протокол RDP. Меры безопасности должны быть направлены на упрочнение доступа по протоколу RDP и расширение возможностей обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с этим новым вариантом программы-вымогателя.