#ParsedReport #CompletenessMedium
19-07-2025

UAC-0001 cyberattacks on the security and defense sector using the LAMEHUG software tool, which uses LLM (large language model) (CERT-UA#16039)

https://cert.gov.ua/article/6284730

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Lamehug_tool

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1047, T1059.006, T1074.001, T1083, T1204.002

IOCs:
File: 6
Domain: 2
Hash: 12
Path: 1
Command: 1
Email: 1
Url: 1
IP: 2

Soft:
PyInstaller, Microsoft Office

Algorithms:
zip

Languages:
python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LAMEHUG - это вредоносная программа на основе Python с возможностью генерации команд через LLM API. Она собирает системную информацию, выполняет поиск документов Office и фильтрует данные через SFTP или HTTP POST. Связанная с APT28, она демонстрирует активную доработку и вариативность в развертывании.
-----

Рассматриваемый ZIP-архив содержит вредоносный исполняемый файл под названием "Dodatok.pif", классифицированный CERT-UA как LAMEHUG, который, как известно, разработан с использованием Python и поставляется в комплекте с PyInstaller. LAMEHUG использует большую языковую модель (LLM), в частности Qwen 2.5-Coder-32B-Instruct, доступ к которой осуществляется через huggingface.co сервисный API. Его основная функция заключается в генерации командных инструкций на основе текстового описания, что приводит к потенциальному вредоносному выполнению в зараженных системах.

Связь с хакерской группой UAC-0001 (APT28) была установлена с умеренной уверенностью, что указывает на то, что этот инструмент может быть связан с известной деятельностью по кибершпионажу. Инструмент способен собирать и сохранять основную системную информацию, такую как конфигурации оборудования, запущенные процессы, активные службы и сетевые подключения, в текстовом файле, расположенном по адресу "%PROGRAMDATA%\info\info.txt". Кроме того, LAMEHUG выполняет рекурсивный поиск документов Microsoft Office и других типов файлов (таких как TXT и PDF) в пользовательских каталогах, включая "Документы", "Загрузки" и "Рабочий стол". Обнаруженные файлы впоследствии копируются в тот же каталог "%PROGRAMDATA%\info\".

Методы эксфильтрации различаются в разных версиях LAMEHUG, с возможностью передачи данных через SFTP или HTTP POST-запросы, что обеспечивает гибкость в операциях эксфильтрации данных. Было замечено множество хэшей файлов, связанных с LAMEHUG, в том числе для "Dodatok.pif" и других исполняемых версий. Это подчеркивает эволюционный характер его развертывания и вариантов, что свидетельствует о постоянном процессе разработки и усовершенствования его создателями. Использование управляемой искусственным интеллектом генерации команд придает этой вредоносной программе особое поведение, повышая ее способность эффективно взаимодействовать с целевыми системами и манипулировать ими.

#ParsedReport #CompletenessLow
20-07-2025

Weekly Threat Infrastructure Investigation(Week28)

https://disconinja.hatenablog.com/entry/2025/07/20/135815

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Viper
Asyncrat
Havoc

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее расследование в Японии выявило 15 серверов управления, связанных с Cobalt Strike, инструментом, используемым хакерами, что указывает на активные кампании и повышенный риск кибератак.
-----

В ходе целенаправленного исследования инфраструктуры командования и контроля (C2) в Японии в период с 7 по 14 июля 2025 года было выявлено в общей сложности 15 серверов C2. В исследовании использовалась поисковая функция Censys, которая показала, что в регионе функционируют различные ресурсы C2, включая известные случаи, связанные с кобальтовым залеганием. Cobalt Strike - это хорошо известный инструмент для тестирования на проникновение, который все чаще используется хакерами в злонамеренных целях, что делает его обнаружение важным при анализе хакерской среды. Наличие нескольких серверов C2 указывает на потенциальные активные кампании или на то, что несколько хакеров используют эту инфраструктуру для управления. Эти данные свидетельствуют о явном риске, связанном с неправильным использованием таких инструментов для организации атак, подчеркивая необходимость повышенной бдительности при мониторинге и обеспечении безопасности инфраструктур, которые уязвимы для использования этими платформами C2.

#ParsedReport #CompletenessMedium
19-07-2025

Tracking GLOBAL GROUP Ransomware from Mamona to Market Scale

https://www.picussecurity.com/resource/blog/tracking-global-group-ransomware-from-mamona-to-market-scale

Report completeness: Medium

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Wevtutil_tool
Credential_harvesting_technique
Qtox_tool
Vssadmin_tool

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1070.001, T1071.001, T1076, T1078, T1106, T1110.001, T1190, T1486, have more...

IOCs:
File: 1
Url: 2
IP: 1
Path: 1

Soft:
Linux, macOS, ESXi, Outlook

Algorithms:
chacha20-poly1305, zip

Functions:
DeleteLogs

Win API:
OpenProcess, TerminateProcess

Languages:
javascript, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GLOBAL GROUP, опубликованная на форуме Ramp4u, является продолжением Mamona RIP и Black Lock и использует Golang для кросс-платформенного шифрования с помощью ChaCha20-Poly1305. Он нацелен на все диски, используя партнерский портал для управления процессами и получения выкупа, и при сбоях в работе OPSEC данные жертвы становятся доступны. Усилия по обеспечению безопасности должны быть сосредоточены на обнаружении многопоточного шифрования, мониторинге расширений файлов и предотвращении несанкционированного доступа.
-----

GLOBAL GROUP - это группа программ-вымогателей, которая появилась в июне 2025 года на форуме по киберпреступности Ramp4u как программа-вымогатель как услуга (RaaS). Это продолжение семейств программ-вымогателей Mamona RIP и Black Lock, демонстрирующее преемственность в полезной нагрузке и инфраструктуре программ-вымогателей. Программа-вымогатель разработана в Golang и создает монолитные двоичные файлы для Windows, Linux и macOS, используя модель параллелизма Go для шифрования. Он использует алгоритм шифрования ChaCha20-Poly1305 для обеспечения конфиденциальности и целостности сообщений, ориентируясь на все доступные диски и добавляя пользовательские расширения файлов к зашифрованным файлам. В результате сбоя в системе безопасности данные жертвы могут быть получены через незащищенный REST API, подключенный к российскому VPS-серверу, что указывает на небрежную работу. В состав GLOBAL GROUP входит сложный партнерский портал, который позволяет партнерам настраивать параметры полезной нагрузки, завершать антивирусные процессы и очищать системные журналы. Портал позволяет выполнять компиляцию для различных операционных систем и оснащен чатовым интерфейсом, управляемым искусственным интеллектом, для переговоров о выкупе, при этом требования могут достигать 9,5 BTC. Операционная модель группы основана на использовании брокеров начального доступа (IAB) для предоставления доступа к скомпрометированным сетям. Усилия по обнаружению должны быть сосредоточены на процессах многопоточного шифрования, необычных расширениях файлов и злоупотреблении утилитами командной строки, сохраняя при этом бдительность в отношении несанкционированного доступа и перехвата сеанса.

#ParsedReport #CompletenessMedium
19-07-2025

DeedRAT Backdoor Enhanced by Chinese APTs with Advanced Capabilities

https://lab52.io/blog/deedrat-backdoor-enhanced-by-chinese-apts-with-advanced-capabilities/

Report completeness: Medium

Threats:
Deed_rat
Dll_sideloading_technique

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1027.002, T1082, T1140, T1547, T1547.001, T1566.001, T1574.002

IOCs:
File: 3
Registry: 1
Domain: 1
Path: 1
Hash: 3

Algorithms:
xor, zip, rc4

Functions:
SetUnhandledException

Win API:
GetModuleHandleW, RtlDecompressBuffer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, использующая модульный бэкдор DeedRAT, использует уязвимость, связанную с загрузкой DLL-файлов в антивирусе VIPRE. DeedRAT позволяет манипулировать файлами и поддерживает различные протоколы для обмена данными C2, используя при этом сложные методы обхода и шифрования.
-----

Аналитическая группа LAB52 из S2 Group выявила новую фишинговую кампанию, использующую модульный бэкдор DeedRAT, посредством использования уязвимости при боковой загрузке библиотеки DLL в легитимном двоичном файле с подписью MambaSafeModeUI.exe, который является частью программного обеспечения премиум-класса VIPRE Antivirus. Это первый случай, когда данный конкретный двоичный файл был использован для подобных вредоносных действий. Злоумышленники используют уязвимость для скрытой загрузки полезной нагрузки DeedRAT в память. DeedRAT позволяет злоумышленникам выполнять различные вредоносные задачи в зараженных системах, включая манипулирование файлами, перечисление каталогов и выполнение дополнительного кода. Анализируемый образец взаимодействует со своим сервером управления (C2) по протоколу TCP, одновременно поддерживая другие протоколы, такие как HTTP, DNS, UDP, PIPE и TLS.

Образец вредоносной программы состоит из ZIP-архива, содержащего три файла: MicRun.exe, SBAMBRES.DLL и SBAMBRES.DLL.CC. При запуске MicRun.exe извлекает путь к вредоносной библиотеке DLL и расшифровывает его в памяти перед запуском. Эта вредоносная программа использует мьютекс для предотвращения одновременного запуска нескольких экземпляров и устанавливает связь с сервером C2, расположенным по адресу luckybear669.kozow.com на портах 80 и 443.

DeedRAT использует константу 0xDEED4554 для проверки целостности своего шелл-кода. Полезная нагрузка сжимается с использованием алгоритма LZ1 и распаковывается с помощью API RtlDecompressBuffer. Вредоносная программа модифицирует свой процесс обработки исключений, чтобы включить ведение журнала всех исключений, сохраняя их в файле журнала ошибок, и использует генератор псевдослучайных чисел, созданный на основе серийного номера системного тома, для генерации строк и обфускации модулей с помощью хеширования API. Его модульная конструкция позволяет использовать независимые области памяти для каждого компонента, а зашифрованные строки, относящиеся к серверу C2, и логика сохранения данных надежно хранятся в куче памяти.

Недавние изменения в функциональности DeedRAT включают в себя отказ от ранее использовавшегося шифрования RC4, теперь используется пользовательская схема шифрования на основе линейного конгруэнтного генератора, которая, хотя и не является криптографически защищенной, усложняет усилия по обнаружению. Внедрение нового модуля NetAgent расширяет возможности вредоносного ПО за счет управления запросами к серверу и поддержки многопоточности подключений. Примечательно, что был введен новый формат аргументов для настроек постоянства, генерируемый псевдослучайной функцией, потенциально служащей уникальным идентификатором, который настраивается в зависимости от машины и типа постоянства.

Этот анализ показывает, как хакеры, стоящие за DeedRAT, продолжают использовать уязвимости в законном программном обеспечении для распространения вредоносного ПО, одновременно совершенствуя свои методы и дизайн вредоносного ПО, что свидетельствует о продолжающемся развитии и усилении стратегий обхода мер безопасности.

#ParsedReport #CompletenessLow
20-07-2025

WordPress Redirect Malware Hidden in Google Tag Manager Code

https://blog.sucuri.net/2025/07/wordpress-redirect-malware-hidden-in-google-tag-manager-code.html

Report completeness: Low

Victims:
Wordpress website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1190, T1505.003

IOCs:
Domain: 1

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали Google Tag Manager (GTM) на сайтах WordPress для перенаправления пользователей на спам-домены. Вредоносный скрипт GTM, внедренный в базу данных, выполнял перенаправления на стороне клиента без прямого доступа к файлам, затрагивая более 200 сайтов. Смягчение последствий включает мониторинг GTM-тегов, обновление WordPress и усиление мер безопасности.
-----

В недавних инцидентах, связанных с веб-сайтами WordPress, злоумышленники использовали Google Tag Manager (GTM) для перенаправления пользователей на спам-домены. В одном примечательном случае сообщалось о перенаправлении, которое происходило примерно через 4-5 секунд после того, как пользователи заходили на зараженный сайт. В результате взлома был вставлен скрипт GTM, содержащийся в базе данных WordPress, а не в файлах тем или плагинов. Вредоносный скрипт GTM использовал контролируемый идентификатор контейнера для загрузки внешнего JavaScript, который выполнял перенаправление на стороне клиента на домен, связанный со спам-кампаниями.

Анализ показал, что этот GTM-контейнер присутствовал на более чем 200 зараженных веб-сайтах, которые были идентифицированы с помощью общедоступных данных WWW. Метод, используемый злоумышленниками, позволял им выполнять вредоносные действия без прямого доступа к файловой системе веб-сайта, что позволяло избежать обнаружения традиционными файловыми сканерами. JavaScript, выполняемый при загрузке, отвечал за получение дополнительного кода из CDN Google, который управлял процессом перенаправления, в конечном итоге доставляя полезную нагрузку, контролируемую злоумышленниками.

Для устранения таких угроз администраторам веб-сайтов рекомендуется удалить все подозрительные GTM-метки, войдя в учетную запись GTM и идентифицировав те, которые связаны с атакой. Кроме того, проведение всестороннего сканирования веб-сайта имеет решающее значение для обнаружения других потенциальных вредоносных программ или бэкдоров. Также важно убедиться, что WordPress, наряду с любыми установленными расширениями, обновлен с учетом последних исправлений безопасности. Необходим регулярный мониторинг трафика сайта и активности GTM на предмет аномалий, а также усиление безопасности страниц wp-администратора с помощью таких мер, как двухфакторная аутентификация.

#ParsedReport #CompletenessMedium
20-07-2025

Unmasking Malicious APKs: Android Malware Blending Click Fraud and Credential Theft

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/unmasking-malicious-apks-android-malware-blending-click-fraud-and-credential-theft/

Report completeness: Medium

Threats:
Credential_stealing_technique

Victims:
Facebook, Tiktok, Banks, Social platforms, Finance app users

Industry:
Financial, Entertainment

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1401, T1406, T1407, T1409, T1410, T1411, T1412, T1417, T1426, T1437, have more...

IOCs:
Hash: 1
Domain: 5
File: 2
Url: 2

Soft:
Android, Google Chrome, TikTok

Algorithms:
base64, aes

Functions:
TabTextApi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные приложения Android APK используют тактику социальной инженерии и обходят меры безопасности для развертывания различных типов вредоносных программ, включая программы для кражи учетных данных и приложения для мошенничества с рекламой. Была отмечена кампания с использованием поддельного APK-файла Facebook, в которой использовались методы уклонения, такие как инструмент ApkSignatureKillerEx, с потенциальными ссылками на операторов, говорящих на китайском языке.
-----

Вредоносные пакеты для Android (APK) используются в мобильных кампаниях, которые эксплуатируют доверие пользователей и используют тактику социальной инженерии. Эти угрозы способны извлекать конфиденциальные данные, включая учетные данные для входа в систему. Значительное скопление вредоносных программ сочетает в себе олицетворение бренда с монетизацией трафика и действует в нескольких регионах. Различные типы вредоносных программ нацелены либо на сбор локальных данных, либо на создание мошеннического рекламного трафика. Сложные варианты могут выполнять кражу учетных данных, обнаружение в изолированной среде и шифрование командно-контрольных сообщений (C2).

Вредоносные APK-файлы часто маскируются под законные приложения, заставляя пользователей устанавливать их вручную из ненадежных источников. Они используют разрешительную систему Android для доступа к конфиденциальной информации, остаются активными в фоновом режиме и перехватывают сетевой трафик для монетизации. Они могут имитировать взаимодействие с пользователем, чтобы увеличить показатели рекламы или перенаправить пользователей через каналы партнерского маркетинга.

К различным категориям вредоносных приложений относятся приложения для мошенничества с рекламой, похитители учетных данных, нацеленные на финансовые или социальные сервисы, сборщики фоновых данных и приложения для вознаграждения за выполнение заданий, вводящие в заблуждение. Расширенные варианты выдают себя за популярные приложения, такие как TikTok и Facebook, используя социальную инженерию для распространения APK.

В одном конкретном случае речь шла о поддельном APK-файле Facebook, поставляемом с помощью фишинга, который запрашивал обширные разрешения, включая законные и пользовательские поддельные разрешения. Вредоносная программа раскрывает конечные точки C2 API и имеет модульную серверную часть, способную поддерживать несколько кампаний. Индикаторы указывают на потенциальные связи с китайскоязычными операторами, основываясь на наличии упрощенного китайского языка в коде. Операционная модель включает в себя общие наборы инструментов и платформы "вредоносное ПО как услуга", что обеспечивает быструю масштабируемость и снижает риск обнаружения.

Были отмечены передовые методы уклонения, в том числе использование ApkSignatureKillerEx для обхода проверки подписи Android и API отчетов о сбоях для сбора телеметрии с устройств. Сложность этих мобильных угроз подчеркивает необходимость осведомленности пользователей и усовершенствованных механизмов обнаружения.

#ParsedReport #CompletenessMedium
20-07-2025

Detecting Auto-color malware with Wazuh

https://wazuh.com/blog/detecting-auto-color-malware-with-wazuh/

Report completeness: Medium

Threats:
Auto-color
Netstat_tool

Victims:
Government institutions, Universities

Industry:
Education, Government

Geo:
Asia, America

TTPs:

IOCs:
File: 8
Hash: 7

Soft:
Ubuntu, Linux, Unix, sudo

Algorithms:
sha256, sha1, md5

Functions:
open

Links:
https://github.com/microsoft/SysmonForLinux/blob/main/INSTALL.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Auto-color - это скрытый бэкдор для Linux, предназначенный для правительственных и академических учреждений, замаскированный под вредоносную утилиту. Он изменяет системные файлы для обеспечения сохраняемости, блокирует связь C2 и использует методы обхода, требующие ручного запуска с правами суперпользователя. Обнаружение включает в себя пользовательские правила в Wazuh для отслеживания конкретных видов вредоносного поведения, таких как изменение файлов и создание библиотек.
-----

Auto-color - это скрытый бэкдор для Linux, предназначенный для правительственных учреждений и университетов в Северной Америке и Азии. Он приписывается неизвестному хакеру и использует различные методы обхода, позволяющие ему сохранять постоянное присутствие в зараженных системах незамеченным. Замаскированная под безобидную утилиту для улучшения цвета, она устанавливает вредоносную библиотеку с именем "libcext.so.2" и переименовывает себя в "/var/log/cross/auto-color" во время последующей установки. Первоначальный вектор заражения вредоносной программы неясен, но она требует ручного запуска на конечных устройствах Linux, как правило, с правами суперпользователя.

При запуске Auto-color изменяет системные файлы для обеспечения сохраняемости, в частности, изменяя файл "/etc/ld.preload". Это позволяет вредоносной программе подключаться к стандартным функциям библиотеки C, способствуя глубокой интеграции с системой и расширяя возможности ее обхода. В частности, Auto-color реализует механизм скрытия командно-контрольных сообщений (C2) путем фильтрации сетевых подключений и манипулирования файлом "/proc/net/tcp", используя динамические IP-адреса, хранящиеся в файлах конфигурации с именами, подобными "/tmp/cross/config-err-XXXXXXXXX".." Вредоносная программа поддерживает шифрование своих сообщений C2, использует обратную оболочку, выполняет произвольные команды и использует функции, подобные руткитам, для сокрытия своих следов, что затрудняет усилия по обнаружению, расследованию или удалению.

Для обнаружения автоцвета в средах Linux с помощью Wazuh можно реализовать ряд пользовательских правил обнаружения в сочетании с SysmonForLinux для расширенного мониторинга журналов. В частности, платформа безопасности Wazuh использует установленные правила обнаружения, связанные с поведением Auto-color, такими как дублирование файлов в "/var/log/cross/" и создание вредоносных библиотечных файлов. Интеграция с модулем мониторинга целостности файлов (FIM) от Wazuh служит для запуска оповещений об изменениях файлов в отслеживаемых каталогах, позволяя идентифицировать присутствие Auto-color с помощью проверки контрольной суммы на соответствие известным вредоносным хэшам.

Платформа обнаружения включает идентификаторы правил, которые сигнализируют о конкретных вредоносных действиях, включая дублирование исполняемого файла (ID 100401), создание вредоносной библиотеки (ID 100402), модификацию файла предварительной загрузки (ID 100403), удаление исходного исполняемого файла (ID 100404) и создание файлов конфигурации для связи C2 (ID 100404). 100405). Эти правила облегчают постоянный мониторинг системы на наличие признаков заражения автоцветами, обеспечивая своевременное оповещение и реагирование на обнаруженные угрозы.