#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет на Python "cloudscrapersafe" нацелился на защиту Cloudflare, внедрив логику для передачи данных кредитной карты боту Telegram, что выявило риски в цепочках поставок пакетов. Он изменил запросы.Класс Session предназначен для отслеживания HTTP-запросов к платежным шлюзам, гарантируя, что собранные данные будут незаметно отправлены злоумышленнику.
-----

6 июля 2025 года в индекс пакетов Python (PyPI) был загружен вредоносный пакет Python под названием cloudscrapersafe, замаскированный под утилиту для обхода защиты Cloudflare от ботов. Этот пакет был модифицированным вариантом известной библиотеки cloudscraper, которая помогает получить доступ к веб-сайтам, защищенным в Cloudflare в режиме "Я под атакой" (IUAM). Несмотря на потенциально законное использование, cloudscrapersafe содержал встроенную логику, предназначенную для перехвата и передачи информации о кредитной карте жестко запрограммированному боту Telegram. PyPI незамедлительно удалил пакет после выявления его вредоносных намерений.

Вредоносный пакет сохранил исходные функциональные возможности cloudscraper, но включил два специальных блока кода, которые отслеживали HTTP-запросы и ответы на конфиденциальные финансовые данные. Эти вредоносные дополнения запускались при определенных условиях, в частности, когда POST-запросы отправлялись на конечные точки, связанные со шлюзами онлайн-платежей. При обнаружении совпадения пакет мог извлекать данные кредитной карты, такие как номера карт и даты истечения срока действия, либо из данных формы, либо из полезной нагрузки в формате JSON. Если пакет обнаружит, что транзакция прошла успешно, он выполнит запрос GET к API Telegram bot для извлечения собранных данных.

Внедренная вредоносная логика была нацелена на класс "requests.Session`, в частности, был изменен метод "request()". После отправки запроса и получения ответа другой блок вредоносного кода анализировал объект ответа, чтобы определить, можно ли извлечь информацию о кредитной карте. Механизм эксфильтрации включал отправку запроса GET на конечную точку Telegram-бота с использованием запутанных функций, чтобы гарантировать, что URL-адрес и параметры запроса были незаметно восстановлены из списков кодов символов.

Этот инцидент подчеркивает растущую сложность атак на цепочки поставок в экосистеме Python. Клонировав хорошо известный инструмент, работающий в несколько неоднозначной этической области, и внедрив дискретную, но опасную полезную нагрузку, злоумышленник воспользовался доверием сообщества и автоматизацией пакетов для облегчения атаки. В конечном счете, этот случай показывает, что значительные риски могут возникнуть из-за незначительных преднамеренных модификаций привычных пакетов, а не из-за необычных или малоизвестных образцов вредоносного ПО.

#ParsedReport #CompletenessMedium
19-07-2025

UAC-0001 cyberattacks on the security and defense sector using the LAMEHUG software tool, which uses LLM (large language model) (CERT-UA#16039)

https://cert.gov.ua/article/6284730

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Lamehug_tool

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1047, T1059.006, T1074.001, T1083, T1204.002

IOCs:
File: 6
Domain: 2
Hash: 12
Path: 1
Command: 1
Email: 1
Url: 1
IP: 2

Soft:
PyInstaller, Microsoft Office

Algorithms:
zip

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LAMEHUG - это вредоносная программа на основе Python с возможностью генерации команд через LLM API. Она собирает системную информацию, выполняет поиск документов Office и фильтрует данные через SFTP или HTTP POST. Связанная с APT28, она демонстрирует активную доработку и вариативность в развертывании.
-----

Рассматриваемый ZIP-архив содержит вредоносный исполняемый файл под названием "Dodatok.pif", классифицированный CERT-UA как LAMEHUG, который, как известно, разработан с использованием Python и поставляется в комплекте с PyInstaller. LAMEHUG использует большую языковую модель (LLM), в частности Qwen 2.5-Coder-32B-Instruct, доступ к которой осуществляется через huggingface.co сервисный API. Его основная функция заключается в генерации командных инструкций на основе текстового описания, что приводит к потенциальному вредоносному выполнению в зараженных системах.

Связь с хакерской группой UAC-0001 (APT28) была установлена с умеренной уверенностью, что указывает на то, что этот инструмент может быть связан с известной деятельностью по кибершпионажу. Инструмент способен собирать и сохранять основную системную информацию, такую как конфигурации оборудования, запущенные процессы, активные службы и сетевые подключения, в текстовом файле, расположенном по адресу "%PROGRAMDATA%\info\info.txt". Кроме того, LAMEHUG выполняет рекурсивный поиск документов Microsoft Office и других типов файлов (таких как TXT и PDF) в пользовательских каталогах, включая "Документы", "Загрузки" и "Рабочий стол". Обнаруженные файлы впоследствии копируются в тот же каталог "%PROGRAMDATA%\info\".

Методы эксфильтрации различаются в разных версиях LAMEHUG, с возможностью передачи данных через SFTP или HTTP POST-запросы, что обеспечивает гибкость в операциях эксфильтрации данных. Было замечено множество хэшей файлов, связанных с LAMEHUG, в том числе для "Dodatok.pif" и других исполняемых версий. Это подчеркивает эволюционный характер его развертывания и вариантов, что свидетельствует о постоянном процессе разработки и усовершенствования его создателями. Использование управляемой искусственным интеллектом генерации команд придает этой вредоносной программе особое поведение, повышая ее способность эффективно взаимодействовать с целевыми системами и манипулировать ими.

#ParsedReport #CompletenessLow
20-07-2025

Weekly Threat Infrastructure Investigation(Week28)

https://disconinja.hatenablog.com/entry/2025/07/20/135815

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Viper
Asyncrat
Havoc

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее расследование в Японии выявило 15 серверов управления, связанных с Cobalt Strike, инструментом, используемым хакерами, что указывает на активные кампании и повышенный риск кибератак.
-----

В ходе целенаправленного исследования инфраструктуры командования и контроля (C2) в Японии в период с 7 по 14 июля 2025 года было выявлено в общей сложности 15 серверов C2. В исследовании использовалась поисковая функция Censys, которая показала, что в регионе функционируют различные ресурсы C2, включая известные случаи, связанные с кобальтовым залеганием. Cobalt Strike - это хорошо известный инструмент для тестирования на проникновение, который все чаще используется хакерами в злонамеренных целях, что делает его обнаружение важным при анализе хакерской среды. Наличие нескольких серверов C2 указывает на потенциальные активные кампании или на то, что несколько хакеров используют эту инфраструктуру для управления. Эти данные свидетельствуют о явном риске, связанном с неправильным использованием таких инструментов для организации атак, подчеркивая необходимость повышенной бдительности при мониторинге и обеспечении безопасности инфраструктур, которые уязвимы для использования этими платформами C2.

#ParsedReport #CompletenessMedium
19-07-2025

Tracking GLOBAL GROUP Ransomware from Mamona to Market Scale

https://www.picussecurity.com/resource/blog/tracking-global-group-ransomware-from-mamona-to-market-scale

Report completeness: Medium

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Wevtutil_tool
Credential_harvesting_technique
Qtox_tool
Vssadmin_tool

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1070.001, T1071.001, T1076, T1078, T1106, T1110.001, T1190, T1486, have more...

IOCs:
File: 1
Url: 2
IP: 1
Path: 1

Soft:
Linux, macOS, ESXi, Outlook

Algorithms:
chacha20-poly1305, zip

Functions:
DeleteLogs

Win API:
OpenProcess, TerminateProcess

Languages:
javascript, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GLOBAL GROUP, опубликованная на форуме Ramp4u, является продолжением Mamona RIP и Black Lock и использует Golang для кросс-платформенного шифрования с помощью ChaCha20-Poly1305. Он нацелен на все диски, используя партнерский портал для управления процессами и получения выкупа, и при сбоях в работе OPSEC данные жертвы становятся доступны. Усилия по обеспечению безопасности должны быть сосредоточены на обнаружении многопоточного шифрования, мониторинге расширений файлов и предотвращении несанкционированного доступа.
-----

GLOBAL GROUP - это группа программ-вымогателей, которая появилась в июне 2025 года на форуме по киберпреступности Ramp4u как программа-вымогатель как услуга (RaaS). Это продолжение семейств программ-вымогателей Mamona RIP и Black Lock, демонстрирующее преемственность в полезной нагрузке и инфраструктуре программ-вымогателей. Программа-вымогатель разработана в Golang и создает монолитные двоичные файлы для Windows, Linux и macOS, используя модель параллелизма Go для шифрования. Он использует алгоритм шифрования ChaCha20-Poly1305 для обеспечения конфиденциальности и целостности сообщений, ориентируясь на все доступные диски и добавляя пользовательские расширения файлов к зашифрованным файлам. В результате сбоя в системе безопасности данные жертвы могут быть получены через незащищенный REST API, подключенный к российскому VPS-серверу, что указывает на небрежную работу. В состав GLOBAL GROUP входит сложный партнерский портал, который позволяет партнерам настраивать параметры полезной нагрузки, завершать антивирусные процессы и очищать системные журналы. Портал позволяет выполнять компиляцию для различных операционных систем и оснащен чатовым интерфейсом, управляемым искусственным интеллектом, для переговоров о выкупе, при этом требования могут достигать 9,5 BTC. Операционная модель группы основана на использовании брокеров начального доступа (IAB) для предоставления доступа к скомпрометированным сетям. Усилия по обнаружению должны быть сосредоточены на процессах многопоточного шифрования, необычных расширениях файлов и злоупотреблении утилитами командной строки, сохраняя при этом бдительность в отношении несанкционированного доступа и перехвата сеанса.

#ParsedReport #CompletenessMedium
19-07-2025

DeedRAT Backdoor Enhanced by Chinese APTs with Advanced Capabilities

https://lab52.io/blog/deedrat-backdoor-enhanced-by-chinese-apts-with-advanced-capabilities/

Report completeness: Medium

Threats:
Deed_rat
Dll_sideloading_technique

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1027.002, T1082, T1140, T1547, T1547.001, T1566.001, T1574.002

IOCs:
File: 3
Registry: 1
Domain: 1
Path: 1
Hash: 3

Algorithms:
xor, zip, rc4

Functions:
SetUnhandledException

Win API:
GetModuleHandleW, RtlDecompressBuffer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, использующая модульный бэкдор DeedRAT, использует уязвимость, связанную с загрузкой DLL-файлов в антивирусе VIPRE. DeedRAT позволяет манипулировать файлами и поддерживает различные протоколы для обмена данными C2, используя при этом сложные методы обхода и шифрования.
-----

Аналитическая группа LAB52 из S2 Group выявила новую фишинговую кампанию, использующую модульный бэкдор DeedRAT, посредством использования уязвимости при боковой загрузке библиотеки DLL в легитимном двоичном файле с подписью MambaSafeModeUI.exe, который является частью программного обеспечения премиум-класса VIPRE Antivirus. Это первый случай, когда данный конкретный двоичный файл был использован для подобных вредоносных действий. Злоумышленники используют уязвимость для скрытой загрузки полезной нагрузки DeedRAT в память. DeedRAT позволяет злоумышленникам выполнять различные вредоносные задачи в зараженных системах, включая манипулирование файлами, перечисление каталогов и выполнение дополнительного кода. Анализируемый образец взаимодействует со своим сервером управления (C2) по протоколу TCP, одновременно поддерживая другие протоколы, такие как HTTP, DNS, UDP, PIPE и TLS.

Образец вредоносной программы состоит из ZIP-архива, содержащего три файла: MicRun.exe, SBAMBRES.DLL и SBAMBRES.DLL.CC. При запуске MicRun.exe извлекает путь к вредоносной библиотеке DLL и расшифровывает его в памяти перед запуском. Эта вредоносная программа использует мьютекс для предотвращения одновременного запуска нескольких экземпляров и устанавливает связь с сервером C2, расположенным по адресу luckybear669.kozow.com на портах 80 и 443.

DeedRAT использует константу 0xDEED4554 для проверки целостности своего шелл-кода. Полезная нагрузка сжимается с использованием алгоритма LZ1 и распаковывается с помощью API RtlDecompressBuffer. Вредоносная программа модифицирует свой процесс обработки исключений, чтобы включить ведение журнала всех исключений, сохраняя их в файле журнала ошибок, и использует генератор псевдослучайных чисел, созданный на основе серийного номера системного тома, для генерации строк и обфускации модулей с помощью хеширования API. Его модульная конструкция позволяет использовать независимые области памяти для каждого компонента, а зашифрованные строки, относящиеся к серверу C2, и логика сохранения данных надежно хранятся в куче памяти.

Недавние изменения в функциональности DeedRAT включают в себя отказ от ранее использовавшегося шифрования RC4, теперь используется пользовательская схема шифрования на основе линейного конгруэнтного генератора, которая, хотя и не является криптографически защищенной, усложняет усилия по обнаружению. Внедрение нового модуля NetAgent расширяет возможности вредоносного ПО за счет управления запросами к серверу и поддержки многопоточности подключений. Примечательно, что был введен новый формат аргументов для настроек постоянства, генерируемый псевдослучайной функцией, потенциально служащей уникальным идентификатором, который настраивается в зависимости от машины и типа постоянства.

Этот анализ показывает, как хакеры, стоящие за DeedRAT, продолжают использовать уязвимости в законном программном обеспечении для распространения вредоносного ПО, одновременно совершенствуя свои методы и дизайн вредоносного ПО, что свидетельствует о продолжающемся развитии и усилении стратегий обхода мер безопасности.

#ParsedReport #CompletenessLow
20-07-2025

WordPress Redirect Malware Hidden in Google Tag Manager Code

https://blog.sucuri.net/2025/07/wordpress-redirect-malware-hidden-in-google-tag-manager-code.html

Report completeness: Low

Victims:
Wordpress website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1190, T1505.003

IOCs:
Domain: 1

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали Google Tag Manager (GTM) на сайтах WordPress для перенаправления пользователей на спам-домены. Вредоносный скрипт GTM, внедренный в базу данных, выполнял перенаправления на стороне клиента без прямого доступа к файлам, затрагивая более 200 сайтов. Смягчение последствий включает мониторинг GTM-тегов, обновление WordPress и усиление мер безопасности.
-----

В недавних инцидентах, связанных с веб-сайтами WordPress, злоумышленники использовали Google Tag Manager (GTM) для перенаправления пользователей на спам-домены. В одном примечательном случае сообщалось о перенаправлении, которое происходило примерно через 4-5 секунд после того, как пользователи заходили на зараженный сайт. В результате взлома был вставлен скрипт GTM, содержащийся в базе данных WordPress, а не в файлах тем или плагинов. Вредоносный скрипт GTM использовал контролируемый идентификатор контейнера для загрузки внешнего JavaScript, который выполнял перенаправление на стороне клиента на домен, связанный со спам-кампаниями.

Анализ показал, что этот GTM-контейнер присутствовал на более чем 200 зараженных веб-сайтах, которые были идентифицированы с помощью общедоступных данных WWW. Метод, используемый злоумышленниками, позволял им выполнять вредоносные действия без прямого доступа к файловой системе веб-сайта, что позволяло избежать обнаружения традиционными файловыми сканерами. JavaScript, выполняемый при загрузке, отвечал за получение дополнительного кода из CDN Google, который управлял процессом перенаправления, в конечном итоге доставляя полезную нагрузку, контролируемую злоумышленниками.

Для устранения таких угроз администраторам веб-сайтов рекомендуется удалить все подозрительные GTM-метки, войдя в учетную запись GTM и идентифицировав те, которые связаны с атакой. Кроме того, проведение всестороннего сканирования веб-сайта имеет решающее значение для обнаружения других потенциальных вредоносных программ или бэкдоров. Также важно убедиться, что WordPress, наряду с любыми установленными расширениями, обновлен с учетом последних исправлений безопасности. Необходим регулярный мониторинг трафика сайта и активности GTM на предмет аномалий, а также усиление безопасности страниц wp-администратора с помощью таких мер, как двухфакторная аутентификация.

#ParsedReport #CompletenessMedium
20-07-2025

Unmasking Malicious APKs: Android Malware Blending Click Fraud and Credential Theft

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/unmasking-malicious-apks-android-malware-blending-click-fraud-and-credential-theft/

Report completeness: Medium

Threats:
Credential_stealing_technique

Victims:
Facebook, Tiktok, Banks, Social platforms, Finance app users

Industry:
Financial, Entertainment

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1401, T1406, T1407, T1409, T1410, T1411, T1412, T1417, T1426, T1437, have more...

IOCs:
Hash: 1
Domain: 5
File: 2
Url: 2

Soft:
Android, Google Chrome, TikTok

Algorithms:
base64, aes

Functions:
TabTextApi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные приложения Android APK используют тактику социальной инженерии и обходят меры безопасности для развертывания различных типов вредоносных программ, включая программы для кражи учетных данных и приложения для мошенничества с рекламой. Была отмечена кампания с использованием поддельного APK-файла Facebook, в которой использовались методы уклонения, такие как инструмент ApkSignatureKillerEx, с потенциальными ссылками на операторов, говорящих на китайском языке.
-----

Вредоносные пакеты для Android (APK) используются в мобильных кампаниях, которые эксплуатируют доверие пользователей и используют тактику социальной инженерии. Эти угрозы способны извлекать конфиденциальные данные, включая учетные данные для входа в систему. Значительное скопление вредоносных программ сочетает в себе олицетворение бренда с монетизацией трафика и действует в нескольких регионах. Различные типы вредоносных программ нацелены либо на сбор локальных данных, либо на создание мошеннического рекламного трафика. Сложные варианты могут выполнять кражу учетных данных, обнаружение в изолированной среде и шифрование командно-контрольных сообщений (C2).

Вредоносные APK-файлы часто маскируются под законные приложения, заставляя пользователей устанавливать их вручную из ненадежных источников. Они используют разрешительную систему Android для доступа к конфиденциальной информации, остаются активными в фоновом режиме и перехватывают сетевой трафик для монетизации. Они могут имитировать взаимодействие с пользователем, чтобы увеличить показатели рекламы или перенаправить пользователей через каналы партнерского маркетинга.

К различным категориям вредоносных приложений относятся приложения для мошенничества с рекламой, похитители учетных данных, нацеленные на финансовые или социальные сервисы, сборщики фоновых данных и приложения для вознаграждения за выполнение заданий, вводящие в заблуждение. Расширенные варианты выдают себя за популярные приложения, такие как TikTok и Facebook, используя социальную инженерию для распространения APK.

В одном конкретном случае речь шла о поддельном APK-файле Facebook, поставляемом с помощью фишинга, который запрашивал обширные разрешения, включая законные и пользовательские поддельные разрешения. Вредоносная программа раскрывает конечные точки C2 API и имеет модульную серверную часть, способную поддерживать несколько кампаний. Индикаторы указывают на потенциальные связи с китайскоязычными операторами, основываясь на наличии упрощенного китайского языка в коде. Операционная модель включает в себя общие наборы инструментов и платформы "вредоносное ПО как услуга", что обеспечивает быструю масштабируемость и снижает риск обнаружения.

Были отмечены передовые методы уклонения, в том числе использование ApkSignatureKillerEx для обхода проверки подписи Android и API отчетов о сбоях для сбора телеметрии с устройств. Сложность этих мобильных угроз подчеркивает необходимость осведомленности пользователей и усовершенствованных механизмов обнаружения.

#ParsedReport #CompletenessMedium
20-07-2025

Detecting Auto-color malware with Wazuh

https://wazuh.com/blog/detecting-auto-color-malware-with-wazuh/

Report completeness: Medium

Threats:
Auto-color
Netstat_tool

Victims:
Government institutions, Universities

Industry:
Education, Government

Geo:
Asia, America

TTPs:

IOCs:
File: 8
Hash: 7

Soft:
Ubuntu, Linux, Unix, sudo

Algorithms:
sha256, sha1, md5

Functions:
open

Links:
https://github.com/microsoft/SysmonForLinux/blob/main/INSTALL.md