#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целью кибератаки на энергетический сектор Италии является вредоносное ПО Formbook, рассылаемое по фишинговым электронным письмам, имитирующим крупную энергетическую компанию. В ходе атаки используются недавно зарегистрированные домены для облегчения установки вредоносных компонентов, а также корпоративные методы для снижения защиты и повышения успешности внедрения вредоносного ПО.
-----

Недавно Cert-Agid обнаружил продолжающуюся киберкампанию, направленную на энергетический сектор Италии, в частности, направленную на распространение вредоносного ПО Formbook с помощью тщательно разработанных фишинговых электронных писем. Электронные письма, по-видимому, предназначены для привлечения внимания потенциальных клиентов известной итальянской энергетической компании. При анализе кода вредоносного ПО было выявлено, что при атаке используется методичная цепочка доставки. Эта цепочка методично облегчает установку Formbook, загружая и запуская вредоносные компоненты с недавно зарегистрированных доменов, имитируя названия целевой компании. Кроме того, кампания использовала скомпрометированные итальянские домены, которые, скорее всего, были законными и принадлежали другим компаниям в том же секторе.

В основе атаки лежит простой, но эффективный метод, использующий общепринятые корпоративные практики, такие как участие в тендерах, ведение конфиденциальных проектов и приглашение к участию в коммерческой деятельности. Такой реалистичный подход значительно снижает защиту пользователей, поскольку получатели этих электронных писем могут быть более склонны открывать их, тем самым увеличивая риск получения полезной информации, скрытой в документах. Кампания подчеркивает тот факт, что опасность заключается не в технической сложности вредоносного ПО, а скорее в том, насколько легко атака может соответствовать операционным потребностям и ожиданиям целевой аудитории. Эффективно маскируя свои намерения и обращаясь к привычному корпоративному контексту, хакер значительно повышает вероятность успешного внедрения вредоносного ПО.

#ParsedReport #CompletenessHigh
19-07-2025

Dark Web Profile: CrazyHunter Ransomware

https://socradar.io/dark-web-profile-crazyhunter-ransomware/

Report completeness: High

Threats:
Crazyhunter_ransomware
Byovd_technique
Zemana_tool
Prince_ransomware
Avkiller
Zammocide_tool
Sharpgpoabuse_tool
Godzilla_webshell
Regeorg_tool
Impacket_tool
Ntlmrelayx_tool
Secretsdump_tool
Donut
Cobalt_strike_tool
Domain_fronting_technique
Dev_tunnels_tool
Petitpotam_vuln
Certipy_tool

Victims:
Mackay memorial hospital, Changhua christian hospital, Asia university hospital, Zuni data, Analog integrations corporation, Netronix inc, Huacheng electric, Kd panels, Asia university

Industry:
Education, Healthcare, Energy

Geo:
Taiwanese, Taiwan, Asia

TTPs:
Tactics: 11
Technics: 12

IOCs:
File: 5
Hash: 21

Soft:
Microsoft AD, Microsoft Defender, Active Directory

Algorithms:
chacha20, md5

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
9 февраля 2025 года тайваньская больница MacKay Memorial Hospital подверглась атаке программы-вымогателя CrazyHunter через USB-соединение, в результате чего было зашифровано более 500 компьютеров. Вредоносная программа использовала стратегию BYOVD, используя законный драйвер для повышения привилегий и шифрование ChaCha20. Атака подчеркивает тенденцию группы атаковать тайваньское здравоохранение, используя передовые методы, такие как использование объектов групповой политики, и требует принятия надежных превентивных мер.
-----

9 февраля 2025 года тайваньская больница MacKay Memorial Hospital стала жертвой атаки программы-вымогателя, приписываемой CrazyHunter, которая значительно нарушила работу служб неотложной помощи и амбулаторных служб в кампусах в Тайбэе и Тамсуи. Атака была инициирована после того, как сотрудник по неосторожности подключил USB-накопитель к больничному компьютеру, что привело к проникновению в систему программы-вымогателя CrazyHunter. Вредоносная программа использовала стратегию BYOVD (Приведите свой собственный уязвимый драйвер), используя законные zam64.sys драйвер от Zemana AntiMalware для повышения привилегий, отключения механизмов защиты конечных устройств и попыток несанкционированного доступа к учетным записям Microsoft Active Directory с использованием ненадежных паролей. В результате более 500 компьютеров в больнице были зашифрованы, что привело к повсеместному операционному хаосу.

CrazyHunter свидетельствует о растущей тенденции среди хакеров использовать общедоступные инструменты и коды для проведения атак. Он был создан с использованием генератора под названием "Prince Ransomware", доступ к которому доступен на GitHub. Группировка, которая, по—видимому, сосредоточена на тайваньских организациях — 90% зарегистрированных жертв проживают на Тайване, - расширила масштабы своих атак, прежде всего, в сфере здравоохранения и технологий, включая многочисленные больницы и образовательные учреждения. Атака на мемориальную больницу Маккея была частью более масштабной кампании, и многие организации на Тайване столкнулись с подобными инцидентами, связанными с программами-вымогателями.

Методы работы, используемые CrazyHunter, подчеркивают его сложный подход, включающий комбинацию пакетных сценариев и расширенных функциональных возможностей вредоносного ПО. Злоумышленники использовали пакетную настройку сценариев для отключения мер безопасности, развертывания программы-вымогателя и обеспечения запасных вариантов в случае неудачи на начальных этапах. Сама вредоносная программа использует шифрование файлов ChaCha20 и использует ECIES для асимметричного шифрования, при этом уязвимые файлы имеют расширение .Hunter. Примечательно, что программа-вымогатель избегает шифрования критически важных системных каталогов и определенных типов файлов, сохраняя скрытность во время своих атак.

Ключевая тактика, применяемая группой CrazyHunter, заключается в использовании уязвимостей в объектах групповой политики (GPO), что позволяет повысить привилегии и облегчает развертывание вредоносных скриптов в сетях. Кроме того, для достижения своих целей они использовали инструменты и методы, связанные со службами сертификации Active Directory. Для защиты от программ-вымогателей CrazyHunter организациям рекомендуется блокировать несанкционированное использование USB-накопителей, использовать надежные средства обнаружения конечных точек и реагирования на них, внедрять надежные стратегии защиты личных данных и отслеживать сетевую активность на предмет необычного поведения, связанного с известными тактиками и методами группы. Регулярное обучение сотрудников распознаванию попыток фишинга и программ-вымогателей, а также своевременное устранение уязвимостей имеют решающее значение для защиты от таких сложных угроз.

#ParsedReport #CompletenessLow
19-07-2025

NailaoLocker Ransomwares Cheese

https://www.fortinet.com/blog/threat-research/nailaolocker-ransomware-cheese

Report completeness: Low

Threats:
Nailaolocker
Dll_sideloading_technique
Nailaoloader

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.001, T1070.004, T1083, T1218.011, T1486

IOCs:
File: 5
Hash: 3

Soft:
OpenSSL

Algorithms:
xor, sha256, aes, aes-256-cbc

Functions:
EVP_PKEY_CTX_new, EVP_EncryptInit_ex, EVP_EncryptUpdate, EVP_EncryptFinal_ex, EVP_DecryptInit_ex, EVP_DecryptUpdate, EVP_DecryptFinal_ex

Win API:
CreateIoCompletionPort, GetSystemInfo, BCryptGenRandom

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 5, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NailaoLocker - это новая программа-вымогатель для Windows, которая использует шифрование AES-256-CBC и включает в себя жестко закодированные криптографические ключи SM2. Он состоит из доброкачественного исполняемого файла для дополнительной загрузки библиотеки DLL, вредоносной библиотеки DLL и зашифрованной полезной нагрузки, которая выполняется при удалении самой себя для уменьшения количества следов. Программа-вымогатель шифрует файлы, изменяет их атрибуты и требует секретный ключ SM2 для расшифровки, что указывает на то, что это может быть разрабатываемая версия, использующая региональные стандарты криптографии.
-----

NailaoLocker - это недавно обнаруженная программа-вымогатель, предназначенная для систем Microsoft Windows, отличающаяся техническим профилем, который включает в себя использование AES-256-CBC для шифрования файлов и необычное использование жестко закодированных криптографических ключей SM2 наряду со встроенной функцией дешифрования. Вредоносная программа поставляется в трех компонентах: usysdiag.exe (доброкачественный исполняемый файл, используемый для дополнительной загрузки библиотеки DLL), sensapi.dll (вредоносная библиотека DLL, называемая NailaoLoader) и usysdiag.exe.dat (зашифрованная полезная нагрузка программы-вымогателя). Выполнение начинается с загрузки библиотеки DLL легитимным исполняемым файлом, который расшифровывает и загружает программу-вымогателя в память, обеспечивая при этом минимальное количество следов криминалистической проверки, удаляя ее после выполнения.

NailaoLocker проверяет жестко заданное значение для определения режима работы - шифрования или дешифрования — без принятия аргументов командной строки для этого выбора. Он уведомляет пользователей о ходе работы через окно консоли и регистрирует действия в соответствующем файле журнала. Используется многопоточность, использующая порты завершения ввода-вывода Windows для оптимизации производительности нескольких ядер процессора, что повышает скорость процессов шифрования и дешифрования.

Важной особенностью NailaoLocker является его жестко запрограммированная пара ключей SM2, представленная в формате ASN.1 DER. Эта пара ключей, состоящая из открытого и закрытого ключей, основанных на криптографии с эллиптической кривой, используется для шифрования и дешифрования, что значительно отличается от типичных методов работы программ-вымогателей, которые часто используют RSA для защиты информации о ключах AES. NailaoLocker генерирует 32-байтовый ключ AES и 16-байтовый вектор инициализации (IV) для каждого файла, шифруя целевые файлы с помощью рекурсивного поиска по доступным каталогам, избегая при этом определенных системных путей и типов файлов.

После шифрования файлов NailaoLocker присваивает файлам расширение .locked, изменяет атрибуты файла на hidden и помещает важные метаданные, включая исходный размер файла и сведения о шифровании, в специально расположенные нижние колонтитулы. Этот нижний колонтитул содержит маркеры, обозначающие разделы ключевой информации, важные для расшифровки. Для восстановления исходных файлов встроенной функции дешифрования требуется закрытый ключ SM2, который считается необходимым для восстановления ключа AES и IV.

Анализ показывает, что, несмотря на то, что закрытый ключ SM2 кажется неработоспособным для практического использования, логика расшифровки может эффективно работать при наличии действительного ключа AES. Это говорит о том, что NailaoLocker может представлять собой разрабатываемую или тестовую версию. Будет продолжен мониторинг дальнейших изменений, касающихся использования региональных криптографических стандартов, таких как SM2, в программах-вымогателях, что позволит выявить меняющийся ландшафт угроз кибербезопасности.

#ParsedReport #CompletenessLow
19-07-2025

Getting to the Crux (Ransomware) of the Matter

https://www.huntress.com/blog/crux-ransomware

Report completeness: Low

Threats:
Crux_ransomware
Blackbyte
Process_injection_technique
Lolbin_technique
Rclone_tool

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1021.002, T1036.004, T1055, T1059.003, T1078, T1110, T1112, T1218.002, have more...

IOCs:
File: 4
Email: 1
Path: 5
Command: 1
Hash: 2

Soft:
bcdedit, Microsoft Defender, Windows Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия программы-вымогателя Crux, связанная с BlackByte group, шифрует файлы с расширением .crux и в основном получает доступ через скомпрометированные сеансы RDP. Она использует сложную схему процессов, включающую svchost.exe и bcdedit.exe, чтобы отключить механизмы восстановления и облегчить атаку, которая была первоначально обнаружена 4 июля. Меры безопасности должны быть направлены на усиление RDP и мониторинг процессов Windows для снижения рисков.
-----

Был обнаружен новый вариант программы-вымогателя под названием "Crux", предположительно связанный с BlackByte group. Программа-вымогатель Crux была замечена в трех различных инцидентах с зашифрованными файлами с расширением .crux и уведомлениями о требовании выкупа с именем crux_readme_random.txt. Переписка о выплате выкупа направляется на адрес электронной почты BlackBCruxSupport@onionmail.org. Первоначальный доступ к системам, по-видимому, осуществляется в основном через скомпрометированные сеансы протокола удаленного рабочего стола (RDP).

После запуска программа-вымогатель Crux отображает сложное дерево процессов, начинающееся с двоичного файла без знака и проходящее через svchost.exe, cmd.exe и bcdedit.exe, которые она использует для выполнения своих вредоносных действий. Исполняемые файлы различаются по названию и расположению на разных конечных точках, включая общие каталоги, такие как папка temp и C:\Windows. Каждый экземпляр исполняемого файла уникален, что предполагает индивидуальное развертывание, и запускается с помощью командной строки, которая содержит уникальные идентификаторы и аргумент -s или -a.

Прежде чем приступить к шифрованию файлов, Crux предпринимает стратегические шаги, препятствующие восстановлению. Он запускает легитимный svchost.exe из специальной командной строки, возможно, путем внедрения процесса, а затем вызывает bcdedit.exe для изменения конфигурации загрузки, отключая механизмы восстановления системы. Такая тактика усложняет процесс восстановления для жертв. Временная шкала атак показывает, что первоначальное обнаружение произошло 4 июля на нескольких затронутых конечных точках, где действия включали отключение восстановления, создание учетных записей пользователей, выполнение команд для бокового перемещения и возможное удаленное удаление дампов реестра.

На одной из конечных точек подозрительное поведение было обнаружено и заблокировано защитником Microsoft, который обнаружил сброс данных реестра из svchost.exe. Это было подтверждено журналами EVTX, которые содержали доказательства несанкционированной установки драйверов. Другая атака в тот же день привела к запуску программы-вымогателя canary files, при этом дополнительная телеметрия EDR подтвердила аналогичную тактику, включая использование svchost.exe для продолжения атаки.

Последующий инцидент, произошедший 13 июля, продемонстрировал знание хакером целевой среды, поскольку программа-вымогатель была запущена вскоре после тестового входа в систему с использованием действительных учетных данных. Быстрое выполнение задач, включая манипулирование svchost.exe и bcdedit.exe , указывает на продуманный подход к проникновению и запуску программы-вымогателя.

Хотя программа—вымогатель Crux ассоциирует себя с BlackByte group - признанным хакером, использующим программы-вымогатели как услугу (RaaS) с 2021 года, - это утверждение не было независимо подтверждено. Наблюдаемое предпочтение использованию законных процессов Windows подчеркивает необходимость постоянного мониторинга необычных действий, связанных с этими процессами, особенно в средах, где доступен протокол RDP. Меры безопасности должны быть направлены на упрочнение доступа по протоколу RDP и расширение возможностей обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с этим новым вариантом программы-вымогателя.

#ParsedReport #CompletenessLow
19-07-2025

From Cloudflare Bypass to Credit Card Theft

https://www.imperva.com/blog/from-cloudflare-bypass-to-credit-card-theft/

Report completeness: Low

Threats:
Supply_chain_technique

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1195.002

IOCs:
File: 3
Url: 3

Soft:
Telegram

Algorithms:
base64

Functions:
request

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет на Python "cloudscrapersafe" нацелился на защиту Cloudflare, внедрив логику для передачи данных кредитной карты боту Telegram, что выявило риски в цепочках поставок пакетов. Он изменил запросы.Класс Session предназначен для отслеживания HTTP-запросов к платежным шлюзам, гарантируя, что собранные данные будут незаметно отправлены злоумышленнику.
-----

6 июля 2025 года в индекс пакетов Python (PyPI) был загружен вредоносный пакет Python под названием cloudscrapersafe, замаскированный под утилиту для обхода защиты Cloudflare от ботов. Этот пакет был модифицированным вариантом известной библиотеки cloudscraper, которая помогает получить доступ к веб-сайтам, защищенным в Cloudflare в режиме "Я под атакой" (IUAM). Несмотря на потенциально законное использование, cloudscrapersafe содержал встроенную логику, предназначенную для перехвата и передачи информации о кредитной карте жестко запрограммированному боту Telegram. PyPI незамедлительно удалил пакет после выявления его вредоносных намерений.

Вредоносный пакет сохранил исходные функциональные возможности cloudscraper, но включил два специальных блока кода, которые отслеживали HTTP-запросы и ответы на конфиденциальные финансовые данные. Эти вредоносные дополнения запускались при определенных условиях, в частности, когда POST-запросы отправлялись на конечные точки, связанные со шлюзами онлайн-платежей. При обнаружении совпадения пакет мог извлекать данные кредитной карты, такие как номера карт и даты истечения срока действия, либо из данных формы, либо из полезной нагрузки в формате JSON. Если пакет обнаружит, что транзакция прошла успешно, он выполнит запрос GET к API Telegram bot для извлечения собранных данных.

Внедренная вредоносная логика была нацелена на класс "requests.Session`, в частности, был изменен метод "request()". После отправки запроса и получения ответа другой блок вредоносного кода анализировал объект ответа, чтобы определить, можно ли извлечь информацию о кредитной карте. Механизм эксфильтрации включал отправку запроса GET на конечную точку Telegram-бота с использованием запутанных функций, чтобы гарантировать, что URL-адрес и параметры запроса были незаметно восстановлены из списков кодов символов.

Этот инцидент подчеркивает растущую сложность атак на цепочки поставок в экосистеме Python. Клонировав хорошо известный инструмент, работающий в несколько неоднозначной этической области, и внедрив дискретную, но опасную полезную нагрузку, злоумышленник воспользовался доверием сообщества и автоматизацией пакетов для облегчения атаки. В конечном счете, этот случай показывает, что значительные риски могут возникнуть из-за незначительных преднамеренных модификаций привычных пакетов, а не из-за необычных или малоизвестных образцов вредоносного ПО.

#ParsedReport #CompletenessMedium
19-07-2025

UAC-0001 cyberattacks on the security and defense sector using the LAMEHUG software tool, which uses LLM (large language model) (CERT-UA#16039)

https://cert.gov.ua/article/6284730

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Lamehug_tool

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1047, T1059.006, T1074.001, T1083, T1204.002

IOCs:
File: 6
Domain: 2
Hash: 12
Path: 1
Command: 1
Email: 1
Url: 1
IP: 2

Soft:
PyInstaller, Microsoft Office

Algorithms:
zip

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LAMEHUG - это вредоносная программа на основе Python с возможностью генерации команд через LLM API. Она собирает системную информацию, выполняет поиск документов Office и фильтрует данные через SFTP или HTTP POST. Связанная с APT28, она демонстрирует активную доработку и вариативность в развертывании.
-----

Рассматриваемый ZIP-архив содержит вредоносный исполняемый файл под названием "Dodatok.pif", классифицированный CERT-UA как LAMEHUG, который, как известно, разработан с использованием Python и поставляется в комплекте с PyInstaller. LAMEHUG использует большую языковую модель (LLM), в частности Qwen 2.5-Coder-32B-Instruct, доступ к которой осуществляется через huggingface.co сервисный API. Его основная функция заключается в генерации командных инструкций на основе текстового описания, что приводит к потенциальному вредоносному выполнению в зараженных системах.

Связь с хакерской группой UAC-0001 (APT28) была установлена с умеренной уверенностью, что указывает на то, что этот инструмент может быть связан с известной деятельностью по кибершпионажу. Инструмент способен собирать и сохранять основную системную информацию, такую как конфигурации оборудования, запущенные процессы, активные службы и сетевые подключения, в текстовом файле, расположенном по адресу "%PROGRAMDATA%\info\info.txt". Кроме того, LAMEHUG выполняет рекурсивный поиск документов Microsoft Office и других типов файлов (таких как TXT и PDF) в пользовательских каталогах, включая "Документы", "Загрузки" и "Рабочий стол". Обнаруженные файлы впоследствии копируются в тот же каталог "%PROGRAMDATA%\info\".

Методы эксфильтрации различаются в разных версиях LAMEHUG, с возможностью передачи данных через SFTP или HTTP POST-запросы, что обеспечивает гибкость в операциях эксфильтрации данных. Было замечено множество хэшей файлов, связанных с LAMEHUG, в том числе для "Dodatok.pif" и других исполняемых версий. Это подчеркивает эволюционный характер его развертывания и вариантов, что свидетельствует о постоянном процессе разработки и усовершенствования его создателями. Использование управляемой искусственным интеллектом генерации команд придает этой вредоносной программе особое поведение, повышая ее способность эффективно взаимодействовать с целевыми системами и манипулировать ими.

#ParsedReport #CompletenessLow
20-07-2025

Weekly Threat Infrastructure Investigation(Week28)

https://disconinja.hatenablog.com/entry/2025/07/20/135815

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Viper
Asyncrat
Havoc

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее расследование в Японии выявило 15 серверов управления, связанных с Cobalt Strike, инструментом, используемым хакерами, что указывает на активные кампании и повышенный риск кибератак.
-----

В ходе целенаправленного исследования инфраструктуры командования и контроля (C2) в Японии в период с 7 по 14 июля 2025 года было выявлено в общей сложности 15 серверов C2. В исследовании использовалась поисковая функция Censys, которая показала, что в регионе функционируют различные ресурсы C2, включая известные случаи, связанные с кобальтовым залеганием. Cobalt Strike - это хорошо известный инструмент для тестирования на проникновение, который все чаще используется хакерами в злонамеренных целях, что делает его обнаружение важным при анализе хакерской среды. Наличие нескольких серверов C2 указывает на потенциальные активные кампании или на то, что несколько хакеров используют эту инфраструктуру для управления. Эти данные свидетельствуют о явном риске, связанном с неправильным использованием таких инструментов для организации атак, подчеркивая необходимость повышенной бдительности при мониторинге и обеспечении безопасности инфраструктур, которые уязвимы для использования этими платформами C2.

#ParsedReport #CompletenessMedium
19-07-2025

Tracking GLOBAL GROUP Ransomware from Mamona to Market Scale

https://www.picussecurity.com/resource/blog/tracking-global-group-ransomware-from-mamona-to-market-scale

Report completeness: Medium

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Wevtutil_tool
Credential_harvesting_technique
Qtox_tool
Vssadmin_tool

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1070.001, T1071.001, T1076, T1078, T1106, T1110.001, T1190, T1486, have more...

IOCs:
File: 1
Url: 2
IP: 1
Path: 1

Soft:
Linux, macOS, ESXi, Outlook

Algorithms:
chacha20-poly1305, zip

Functions:
DeleteLogs

Win API:
OpenProcess, TerminateProcess

Languages:
javascript, golang

Platforms:
cross-platform