#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Версия программы-вымогателя Crux, связанная с BlackByte group, шифрует файлы с расширением .crux и в основном получает доступ через скомпрометированные сеансы RDP. Она использует сложную схему процессов, включающую svchost.exe и bcdedit.exe, чтобы отключить механизмы восстановления и облегчить атаку, которая была первоначально обнаружена 4 июля. Меры безопасности должны быть направлены на усиление RDP и мониторинг процессов Windows для снижения рисков.
-----

Был обнаружен новый вариант программы-вымогателя под названием "Crux", предположительно связанный с BlackByte group. Программа-вымогатель Crux была замечена в трех различных инцидентах с зашифрованными файлами с расширением .crux и уведомлениями о требовании выкупа с именем crux_readme_random.txt. Переписка о выплате выкупа направляется на адрес электронной почты BlackBCruxSupport@onionmail.org. Первоначальный доступ к системам, по-видимому, осуществляется в основном через скомпрометированные сеансы протокола удаленного рабочего стола (RDP).

После запуска программа-вымогатель Crux отображает сложное дерево процессов, начинающееся с двоичного файла без знака и проходящее через svchost.exe, cmd.exe и bcdedit.exe, которые она использует для выполнения своих вредоносных действий. Исполняемые файлы различаются по названию и расположению на разных конечных точках, включая общие каталоги, такие как папка temp и C:\Windows. Каждый экземпляр исполняемого файла уникален, что предполагает индивидуальное развертывание, и запускается с помощью командной строки, которая содержит уникальные идентификаторы и аргумент -s или -a.

Прежде чем приступить к шифрованию файлов, Crux предпринимает стратегические шаги, препятствующие восстановлению. Он запускает легитимный svchost.exe из специальной командной строки, возможно, путем внедрения процесса, а затем вызывает bcdedit.exe для изменения конфигурации загрузки, отключая механизмы восстановления системы. Такая тактика усложняет процесс восстановления для жертв. Временная шкала атак показывает, что первоначальное обнаружение произошло 4 июля на нескольких затронутых конечных точках, где действия включали отключение восстановления, создание учетных записей пользователей, выполнение команд для бокового перемещения и возможное удаленное удаление дампов реестра.

На одной из конечных точек подозрительное поведение было обнаружено и заблокировано защитником Microsoft, который обнаружил сброс данных реестра из svchost.exe. Это было подтверждено журналами EVTX, которые содержали доказательства несанкционированной установки драйверов. Другая атака в тот же день привела к запуску программы-вымогателя canary files, при этом дополнительная телеметрия EDR подтвердила аналогичную тактику, включая использование svchost.exe для продолжения атаки.

Последующий инцидент, произошедший 13 июля, продемонстрировал знание хакером целевой среды, поскольку программа-вымогатель была запущена вскоре после тестового входа в систему с использованием действительных учетных данных. Быстрое выполнение задач, включая манипулирование svchost.exe и bcdedit.exe , указывает на продуманный подход к проникновению и запуску программы-вымогателя.

Хотя программа—вымогатель Crux ассоциирует себя с BlackByte group - признанным хакером, использующим программы-вымогатели как услугу (RaaS) с 2021 года, - это утверждение не было независимо подтверждено. Наблюдаемое предпочтение использованию законных процессов Windows подчеркивает необходимость постоянного мониторинга необычных действий, связанных с этими процессами, особенно в средах, где доступен протокол RDP. Меры безопасности должны быть направлены на упрочнение доступа по протоколу RDP и расширение возможностей обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с этим новым вариантом программы-вымогателя.

#ParsedReport #CompletenessLow
19-07-2025

From Cloudflare Bypass to Credit Card Theft

https://www.imperva.com/blog/from-cloudflare-bypass-to-credit-card-theft/

Report completeness: Low

Threats:
Supply_chain_technique

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1195.002

IOCs:
File: 3
Url: 3

Soft:
Telegram

Algorithms:
base64

Functions:
request

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет на Python "cloudscrapersafe" нацелился на защиту Cloudflare, внедрив логику для передачи данных кредитной карты боту Telegram, что выявило риски в цепочках поставок пакетов. Он изменил запросы.Класс Session предназначен для отслеживания HTTP-запросов к платежным шлюзам, гарантируя, что собранные данные будут незаметно отправлены злоумышленнику.
-----

6 июля 2025 года в индекс пакетов Python (PyPI) был загружен вредоносный пакет Python под названием cloudscrapersafe, замаскированный под утилиту для обхода защиты Cloudflare от ботов. Этот пакет был модифицированным вариантом известной библиотеки cloudscraper, которая помогает получить доступ к веб-сайтам, защищенным в Cloudflare в режиме "Я под атакой" (IUAM). Несмотря на потенциально законное использование, cloudscrapersafe содержал встроенную логику, предназначенную для перехвата и передачи информации о кредитной карте жестко запрограммированному боту Telegram. PyPI незамедлительно удалил пакет после выявления его вредоносных намерений.

Вредоносный пакет сохранил исходные функциональные возможности cloudscraper, но включил два специальных блока кода, которые отслеживали HTTP-запросы и ответы на конфиденциальные финансовые данные. Эти вредоносные дополнения запускались при определенных условиях, в частности, когда POST-запросы отправлялись на конечные точки, связанные со шлюзами онлайн-платежей. При обнаружении совпадения пакет мог извлекать данные кредитной карты, такие как номера карт и даты истечения срока действия, либо из данных формы, либо из полезной нагрузки в формате JSON. Если пакет обнаружит, что транзакция прошла успешно, он выполнит запрос GET к API Telegram bot для извлечения собранных данных.

Внедренная вредоносная логика была нацелена на класс "requests.Session`, в частности, был изменен метод "request()". После отправки запроса и получения ответа другой блок вредоносного кода анализировал объект ответа, чтобы определить, можно ли извлечь информацию о кредитной карте. Механизм эксфильтрации включал отправку запроса GET на конечную точку Telegram-бота с использованием запутанных функций, чтобы гарантировать, что URL-адрес и параметры запроса были незаметно восстановлены из списков кодов символов.

Этот инцидент подчеркивает растущую сложность атак на цепочки поставок в экосистеме Python. Клонировав хорошо известный инструмент, работающий в несколько неоднозначной этической области, и внедрив дискретную, но опасную полезную нагрузку, злоумышленник воспользовался доверием сообщества и автоматизацией пакетов для облегчения атаки. В конечном счете, этот случай показывает, что значительные риски могут возникнуть из-за незначительных преднамеренных модификаций привычных пакетов, а не из-за необычных или малоизвестных образцов вредоносного ПО.

#ParsedReport #CompletenessMedium
19-07-2025

UAC-0001 cyberattacks on the security and defense sector using the LAMEHUG software tool, which uses LLM (large language model) (CERT-UA#16039)

https://cert.gov.ua/article/6284730

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Lamehug_tool

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1047, T1059.006, T1074.001, T1083, T1204.002

IOCs:
File: 6
Domain: 2
Hash: 12
Path: 1
Command: 1
Email: 1
Url: 1
IP: 2

Soft:
PyInstaller, Microsoft Office

Algorithms:
zip

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LAMEHUG - это вредоносная программа на основе Python с возможностью генерации команд через LLM API. Она собирает системную информацию, выполняет поиск документов Office и фильтрует данные через SFTP или HTTP POST. Связанная с APT28, она демонстрирует активную доработку и вариативность в развертывании.
-----

Рассматриваемый ZIP-архив содержит вредоносный исполняемый файл под названием "Dodatok.pif", классифицированный CERT-UA как LAMEHUG, который, как известно, разработан с использованием Python и поставляется в комплекте с PyInstaller. LAMEHUG использует большую языковую модель (LLM), в частности Qwen 2.5-Coder-32B-Instruct, доступ к которой осуществляется через huggingface.co сервисный API. Его основная функция заключается в генерации командных инструкций на основе текстового описания, что приводит к потенциальному вредоносному выполнению в зараженных системах.

Связь с хакерской группой UAC-0001 (APT28) была установлена с умеренной уверенностью, что указывает на то, что этот инструмент может быть связан с известной деятельностью по кибершпионажу. Инструмент способен собирать и сохранять основную системную информацию, такую как конфигурации оборудования, запущенные процессы, активные службы и сетевые подключения, в текстовом файле, расположенном по адресу "%PROGRAMDATA%\info\info.txt". Кроме того, LAMEHUG выполняет рекурсивный поиск документов Microsoft Office и других типов файлов (таких как TXT и PDF) в пользовательских каталогах, включая "Документы", "Загрузки" и "Рабочий стол". Обнаруженные файлы впоследствии копируются в тот же каталог "%PROGRAMDATA%\info\".

Методы эксфильтрации различаются в разных версиях LAMEHUG, с возможностью передачи данных через SFTP или HTTP POST-запросы, что обеспечивает гибкость в операциях эксфильтрации данных. Было замечено множество хэшей файлов, связанных с LAMEHUG, в том числе для "Dodatok.pif" и других исполняемых версий. Это подчеркивает эволюционный характер его развертывания и вариантов, что свидетельствует о постоянном процессе разработки и усовершенствования его создателями. Использование управляемой искусственным интеллектом генерации команд придает этой вредоносной программе особое поведение, повышая ее способность эффективно взаимодействовать с целевыми системами и манипулировать ими.

#ParsedReport #CompletenessLow
20-07-2025

Weekly Threat Infrastructure Investigation(Week28)

https://disconinja.hatenablog.com/entry/2025/07/20/135815

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Viper
Asyncrat
Havoc

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее расследование в Японии выявило 15 серверов управления, связанных с Cobalt Strike, инструментом, используемым хакерами, что указывает на активные кампании и повышенный риск кибератак.
-----

В ходе целенаправленного исследования инфраструктуры командования и контроля (C2) в Японии в период с 7 по 14 июля 2025 года было выявлено в общей сложности 15 серверов C2. В исследовании использовалась поисковая функция Censys, которая показала, что в регионе функционируют различные ресурсы C2, включая известные случаи, связанные с кобальтовым залеганием. Cobalt Strike - это хорошо известный инструмент для тестирования на проникновение, который все чаще используется хакерами в злонамеренных целях, что делает его обнаружение важным при анализе хакерской среды. Наличие нескольких серверов C2 указывает на потенциальные активные кампании или на то, что несколько хакеров используют эту инфраструктуру для управления. Эти данные свидетельствуют о явном риске, связанном с неправильным использованием таких инструментов для организации атак, подчеркивая необходимость повышенной бдительности при мониторинге и обеспечении безопасности инфраструктур, которые уязвимы для использования этими платформами C2.

#ParsedReport #CompletenessMedium
19-07-2025

Tracking GLOBAL GROUP Ransomware from Mamona to Market Scale

https://www.picussecurity.com/resource/blog/tracking-global-group-ransomware-from-mamona-to-market-scale

Report completeness: Medium

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Wevtutil_tool
Credential_harvesting_technique
Qtox_tool
Vssadmin_tool

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1070.001, T1071.001, T1076, T1078, T1106, T1110.001, T1190, T1486, have more...

IOCs:
File: 1
Url: 2
IP: 1
Path: 1

Soft:
Linux, macOS, ESXi, Outlook

Algorithms:
chacha20-poly1305, zip

Functions:
DeleteLogs

Win API:
OpenProcess, TerminateProcess

Languages:
javascript, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GLOBAL GROUP, опубликованная на форуме Ramp4u, является продолжением Mamona RIP и Black Lock и использует Golang для кросс-платформенного шифрования с помощью ChaCha20-Poly1305. Он нацелен на все диски, используя партнерский портал для управления процессами и получения выкупа, и при сбоях в работе OPSEC данные жертвы становятся доступны. Усилия по обеспечению безопасности должны быть сосредоточены на обнаружении многопоточного шифрования, мониторинге расширений файлов и предотвращении несанкционированного доступа.
-----

GLOBAL GROUP - это группа программ-вымогателей, которая появилась в июне 2025 года на форуме по киберпреступности Ramp4u как программа-вымогатель как услуга (RaaS). Это продолжение семейств программ-вымогателей Mamona RIP и Black Lock, демонстрирующее преемственность в полезной нагрузке и инфраструктуре программ-вымогателей. Программа-вымогатель разработана в Golang и создает монолитные двоичные файлы для Windows, Linux и macOS, используя модель параллелизма Go для шифрования. Он использует алгоритм шифрования ChaCha20-Poly1305 для обеспечения конфиденциальности и целостности сообщений, ориентируясь на все доступные диски и добавляя пользовательские расширения файлов к зашифрованным файлам. В результате сбоя в системе безопасности данные жертвы могут быть получены через незащищенный REST API, подключенный к российскому VPS-серверу, что указывает на небрежную работу. В состав GLOBAL GROUP входит сложный партнерский портал, который позволяет партнерам настраивать параметры полезной нагрузки, завершать антивирусные процессы и очищать системные журналы. Портал позволяет выполнять компиляцию для различных операционных систем и оснащен чатовым интерфейсом, управляемым искусственным интеллектом, для переговоров о выкупе, при этом требования могут достигать 9,5 BTC. Операционная модель группы основана на использовании брокеров начального доступа (IAB) для предоставления доступа к скомпрометированным сетям. Усилия по обнаружению должны быть сосредоточены на процессах многопоточного шифрования, необычных расширениях файлов и злоупотреблении утилитами командной строки, сохраняя при этом бдительность в отношении несанкционированного доступа и перехвата сеанса.

#ParsedReport #CompletenessMedium
19-07-2025

DeedRAT Backdoor Enhanced by Chinese APTs with Advanced Capabilities

https://lab52.io/blog/deedrat-backdoor-enhanced-by-chinese-apts-with-advanced-capabilities/

Report completeness: Medium

Threats:
Deed_rat
Dll_sideloading_technique

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1027.002, T1082, T1140, T1547, T1547.001, T1566.001, T1574.002

IOCs:
File: 3
Registry: 1
Domain: 1
Path: 1
Hash: 3

Algorithms:
xor, zip, rc4

Functions:
SetUnhandledException

Win API:
GetModuleHandleW, RtlDecompressBuffer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, использующая модульный бэкдор DeedRAT, использует уязвимость, связанную с загрузкой DLL-файлов в антивирусе VIPRE. DeedRAT позволяет манипулировать файлами и поддерживает различные протоколы для обмена данными C2, используя при этом сложные методы обхода и шифрования.
-----

Аналитическая группа LAB52 из S2 Group выявила новую фишинговую кампанию, использующую модульный бэкдор DeedRAT, посредством использования уязвимости при боковой загрузке библиотеки DLL в легитимном двоичном файле с подписью MambaSafeModeUI.exe, который является частью программного обеспечения премиум-класса VIPRE Antivirus. Это первый случай, когда данный конкретный двоичный файл был использован для подобных вредоносных действий. Злоумышленники используют уязвимость для скрытой загрузки полезной нагрузки DeedRAT в память. DeedRAT позволяет злоумышленникам выполнять различные вредоносные задачи в зараженных системах, включая манипулирование файлами, перечисление каталогов и выполнение дополнительного кода. Анализируемый образец взаимодействует со своим сервером управления (C2) по протоколу TCP, одновременно поддерживая другие протоколы, такие как HTTP, DNS, UDP, PIPE и TLS.

Образец вредоносной программы состоит из ZIP-архива, содержащего три файла: MicRun.exe, SBAMBRES.DLL и SBAMBRES.DLL.CC. При запуске MicRun.exe извлекает путь к вредоносной библиотеке DLL и расшифровывает его в памяти перед запуском. Эта вредоносная программа использует мьютекс для предотвращения одновременного запуска нескольких экземпляров и устанавливает связь с сервером C2, расположенным по адресу luckybear669.kozow.com на портах 80 и 443.

DeedRAT использует константу 0xDEED4554 для проверки целостности своего шелл-кода. Полезная нагрузка сжимается с использованием алгоритма LZ1 и распаковывается с помощью API RtlDecompressBuffer. Вредоносная программа модифицирует свой процесс обработки исключений, чтобы включить ведение журнала всех исключений, сохраняя их в файле журнала ошибок, и использует генератор псевдослучайных чисел, созданный на основе серийного номера системного тома, для генерации строк и обфускации модулей с помощью хеширования API. Его модульная конструкция позволяет использовать независимые области памяти для каждого компонента, а зашифрованные строки, относящиеся к серверу C2, и логика сохранения данных надежно хранятся в куче памяти.

Недавние изменения в функциональности DeedRAT включают в себя отказ от ранее использовавшегося шифрования RC4, теперь используется пользовательская схема шифрования на основе линейного конгруэнтного генератора, которая, хотя и не является криптографически защищенной, усложняет усилия по обнаружению. Внедрение нового модуля NetAgent расширяет возможности вредоносного ПО за счет управления запросами к серверу и поддержки многопоточности подключений. Примечательно, что был введен новый формат аргументов для настроек постоянства, генерируемый псевдослучайной функцией, потенциально служащей уникальным идентификатором, который настраивается в зависимости от машины и типа постоянства.

Этот анализ показывает, как хакеры, стоящие за DeedRAT, продолжают использовать уязвимости в законном программном обеспечении для распространения вредоносного ПО, одновременно совершенствуя свои методы и дизайн вредоносного ПО, что свидетельствует о продолжающемся развитии и усилении стратегий обхода мер безопасности.

#ParsedReport #CompletenessLow
20-07-2025

WordPress Redirect Malware Hidden in Google Tag Manager Code

https://blog.sucuri.net/2025/07/wordpress-redirect-malware-hidden-in-google-tag-manager-code.html

Report completeness: Low

Victims:
Wordpress website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1190, T1505.003

IOCs:
Domain: 1

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали Google Tag Manager (GTM) на сайтах WordPress для перенаправления пользователей на спам-домены. Вредоносный скрипт GTM, внедренный в базу данных, выполнял перенаправления на стороне клиента без прямого доступа к файлам, затрагивая более 200 сайтов. Смягчение последствий включает мониторинг GTM-тегов, обновление WordPress и усиление мер безопасности.
-----

В недавних инцидентах, связанных с веб-сайтами WordPress, злоумышленники использовали Google Tag Manager (GTM) для перенаправления пользователей на спам-домены. В одном примечательном случае сообщалось о перенаправлении, которое происходило примерно через 4-5 секунд после того, как пользователи заходили на зараженный сайт. В результате взлома был вставлен скрипт GTM, содержащийся в базе данных WordPress, а не в файлах тем или плагинов. Вредоносный скрипт GTM использовал контролируемый идентификатор контейнера для загрузки внешнего JavaScript, который выполнял перенаправление на стороне клиента на домен, связанный со спам-кампаниями.

Анализ показал, что этот GTM-контейнер присутствовал на более чем 200 зараженных веб-сайтах, которые были идентифицированы с помощью общедоступных данных WWW. Метод, используемый злоумышленниками, позволял им выполнять вредоносные действия без прямого доступа к файловой системе веб-сайта, что позволяло избежать обнаружения традиционными файловыми сканерами. JavaScript, выполняемый при загрузке, отвечал за получение дополнительного кода из CDN Google, который управлял процессом перенаправления, в конечном итоге доставляя полезную нагрузку, контролируемую злоумышленниками.

Для устранения таких угроз администраторам веб-сайтов рекомендуется удалить все подозрительные GTM-метки, войдя в учетную запись GTM и идентифицировав те, которые связаны с атакой. Кроме того, проведение всестороннего сканирования веб-сайта имеет решающее значение для обнаружения других потенциальных вредоносных программ или бэкдоров. Также важно убедиться, что WordPress, наряду с любыми установленными расширениями, обновлен с учетом последних исправлений безопасности. Необходим регулярный мониторинг трафика сайта и активности GTM на предмет аномалий, а также усиление безопасности страниц wp-администратора с помощью таких мер, как двухфакторная аутентификация.

#ParsedReport #CompletenessMedium
20-07-2025

Unmasking Malicious APKs: Android Malware Blending Click Fraud and Credential Theft

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/unmasking-malicious-apks-android-malware-blending-click-fraud-and-credential-theft/

Report completeness: Medium

Threats:
Credential_stealing_technique

Victims:
Facebook, Tiktok, Banks, Social platforms, Finance app users

Industry:
Financial, Entertainment

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1401, T1406, T1407, T1409, T1410, T1411, T1412, T1417, T1426, T1437, have more...

IOCs:
Hash: 1
Domain: 5
File: 2
Url: 2

Soft:
Android, Google Chrome, TikTok

Algorithms:
base64, aes

Functions:
TabTextApi

#ParsedReport #GeneratedSchema
Generated with GPT-4