#ParsedReport #CompletenessMedium
19-07-2025

Tracking GLOBAL GROUP Ransomware from Mamona to Market Scale

https://www.picussecurity.com/resource/blog/tracking-global-group-ransomware-from-mamona-to-market-scale

Report completeness: Medium

Actors/Campaigns:
Huanebashes

Threats:
Global-group-raas
Mamona
Wevtutil_tool
Credential_harvesting_technique
Qtox_tool
Vssadmin_tool

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1070.001, T1071.001, T1076, T1078, T1106, T1110.001, T1190, T1486, have more...

IOCs:
File: 1
Url: 2
IP: 1
Path: 1

Soft:
Linux, macOS, ESXi, Outlook

Algorithms:
chacha20-poly1305, zip

Functions:
DeleteLogs

Win API:
OpenProcess, TerminateProcess

Languages:
javascript, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GLOBAL GROUP, опубликованная на форуме Ramp4u, является продолжением Mamona RIP и Black Lock и использует Golang для кросс-платформенного шифрования с помощью ChaCha20-Poly1305. Он нацелен на все диски, используя партнерский портал для управления процессами и получения выкупа, и при сбоях в работе OPSEC данные жертвы становятся доступны. Усилия по обеспечению безопасности должны быть сосредоточены на обнаружении многопоточного шифрования, мониторинге расширений файлов и предотвращении несанкционированного доступа.
-----

GLOBAL GROUP - это группа программ-вымогателей, которая появилась в июне 2025 года на форуме по киберпреступности Ramp4u как программа-вымогатель как услуга (RaaS). Это продолжение семейств программ-вымогателей Mamona RIP и Black Lock, демонстрирующее преемственность в полезной нагрузке и инфраструктуре программ-вымогателей. Программа-вымогатель разработана в Golang и создает монолитные двоичные файлы для Windows, Linux и macOS, используя модель параллелизма Go для шифрования. Он использует алгоритм шифрования ChaCha20-Poly1305 для обеспечения конфиденциальности и целостности сообщений, ориентируясь на все доступные диски и добавляя пользовательские расширения файлов к зашифрованным файлам. В результате сбоя в системе безопасности данные жертвы могут быть получены через незащищенный REST API, подключенный к российскому VPS-серверу, что указывает на небрежную работу. В состав GLOBAL GROUP входит сложный партнерский портал, который позволяет партнерам настраивать параметры полезной нагрузки, завершать антивирусные процессы и очищать системные журналы. Портал позволяет выполнять компиляцию для различных операционных систем и оснащен чатовым интерфейсом, управляемым искусственным интеллектом, для переговоров о выкупе, при этом требования могут достигать 9,5 BTC. Операционная модель группы основана на использовании брокеров начального доступа (IAB) для предоставления доступа к скомпрометированным сетям. Усилия по обнаружению должны быть сосредоточены на процессах многопоточного шифрования, необычных расширениях файлов и злоупотреблении утилитами командной строки, сохраняя при этом бдительность в отношении несанкционированного доступа и перехвата сеанса.

#ParsedReport #CompletenessMedium
19-07-2025

DeedRAT Backdoor Enhanced by Chinese APTs with Advanced Capabilities

https://lab52.io/blog/deedrat-backdoor-enhanced-by-chinese-apts-with-advanced-capabilities/

Report completeness: Medium

Threats:
Deed_rat
Dll_sideloading_technique

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1027.002, T1082, T1140, T1547, T1547.001, T1566.001, T1574.002

IOCs:
File: 3
Registry: 1
Domain: 1
Path: 1
Hash: 3

Algorithms:
xor, zip, rc4

Functions:
SetUnhandledException

Win API:
GetModuleHandleW, RtlDecompressBuffer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая фишинговая кампания, использующая модульный бэкдор DeedRAT, использует уязвимость, связанную с загрузкой DLL-файлов в антивирусе VIPRE. DeedRAT позволяет манипулировать файлами и поддерживает различные протоколы для обмена данными C2, используя при этом сложные методы обхода и шифрования.
-----

Аналитическая группа LAB52 из S2 Group выявила новую фишинговую кампанию, использующую модульный бэкдор DeedRAT, посредством использования уязвимости при боковой загрузке библиотеки DLL в легитимном двоичном файле с подписью MambaSafeModeUI.exe, который является частью программного обеспечения премиум-класса VIPRE Antivirus. Это первый случай, когда данный конкретный двоичный файл был использован для подобных вредоносных действий. Злоумышленники используют уязвимость для скрытой загрузки полезной нагрузки DeedRAT в память. DeedRAT позволяет злоумышленникам выполнять различные вредоносные задачи в зараженных системах, включая манипулирование файлами, перечисление каталогов и выполнение дополнительного кода. Анализируемый образец взаимодействует со своим сервером управления (C2) по протоколу TCP, одновременно поддерживая другие протоколы, такие как HTTP, DNS, UDP, PIPE и TLS.

Образец вредоносной программы состоит из ZIP-архива, содержащего три файла: MicRun.exe, SBAMBRES.DLL и SBAMBRES.DLL.CC. При запуске MicRun.exe извлекает путь к вредоносной библиотеке DLL и расшифровывает его в памяти перед запуском. Эта вредоносная программа использует мьютекс для предотвращения одновременного запуска нескольких экземпляров и устанавливает связь с сервером C2, расположенным по адресу luckybear669.kozow.com на портах 80 и 443.

DeedRAT использует константу 0xDEED4554 для проверки целостности своего шелл-кода. Полезная нагрузка сжимается с использованием алгоритма LZ1 и распаковывается с помощью API RtlDecompressBuffer. Вредоносная программа модифицирует свой процесс обработки исключений, чтобы включить ведение журнала всех исключений, сохраняя их в файле журнала ошибок, и использует генератор псевдослучайных чисел, созданный на основе серийного номера системного тома, для генерации строк и обфускации модулей с помощью хеширования API. Его модульная конструкция позволяет использовать независимые области памяти для каждого компонента, а зашифрованные строки, относящиеся к серверу C2, и логика сохранения данных надежно хранятся в куче памяти.

Недавние изменения в функциональности DeedRAT включают в себя отказ от ранее использовавшегося шифрования RC4, теперь используется пользовательская схема шифрования на основе линейного конгруэнтного генератора, которая, хотя и не является криптографически защищенной, усложняет усилия по обнаружению. Внедрение нового модуля NetAgent расширяет возможности вредоносного ПО за счет управления запросами к серверу и поддержки многопоточности подключений. Примечательно, что был введен новый формат аргументов для настроек постоянства, генерируемый псевдослучайной функцией, потенциально служащей уникальным идентификатором, который настраивается в зависимости от машины и типа постоянства.

Этот анализ показывает, как хакеры, стоящие за DeedRAT, продолжают использовать уязвимости в законном программном обеспечении для распространения вредоносного ПО, одновременно совершенствуя свои методы и дизайн вредоносного ПО, что свидетельствует о продолжающемся развитии и усилении стратегий обхода мер безопасности.

#ParsedReport #CompletenessLow
20-07-2025

WordPress Redirect Malware Hidden in Google Tag Manager Code

https://blog.sucuri.net/2025/07/wordpress-redirect-malware-hidden-in-google-tag-manager-code.html

Report completeness: Low

Victims:
Wordpress website owners

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1190, T1505.003

IOCs:
Domain: 1

Soft:
WordPress

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники использовали Google Tag Manager (GTM) на сайтах WordPress для перенаправления пользователей на спам-домены. Вредоносный скрипт GTM, внедренный в базу данных, выполнял перенаправления на стороне клиента без прямого доступа к файлам, затрагивая более 200 сайтов. Смягчение последствий включает мониторинг GTM-тегов, обновление WordPress и усиление мер безопасности.
-----

В недавних инцидентах, связанных с веб-сайтами WordPress, злоумышленники использовали Google Tag Manager (GTM) для перенаправления пользователей на спам-домены. В одном примечательном случае сообщалось о перенаправлении, которое происходило примерно через 4-5 секунд после того, как пользователи заходили на зараженный сайт. В результате взлома был вставлен скрипт GTM, содержащийся в базе данных WordPress, а не в файлах тем или плагинов. Вредоносный скрипт GTM использовал контролируемый идентификатор контейнера для загрузки внешнего JavaScript, который выполнял перенаправление на стороне клиента на домен, связанный со спам-кампаниями.

Анализ показал, что этот GTM-контейнер присутствовал на более чем 200 зараженных веб-сайтах, которые были идентифицированы с помощью общедоступных данных WWW. Метод, используемый злоумышленниками, позволял им выполнять вредоносные действия без прямого доступа к файловой системе веб-сайта, что позволяло избежать обнаружения традиционными файловыми сканерами. JavaScript, выполняемый при загрузке, отвечал за получение дополнительного кода из CDN Google, который управлял процессом перенаправления, в конечном итоге доставляя полезную нагрузку, контролируемую злоумышленниками.

Для устранения таких угроз администраторам веб-сайтов рекомендуется удалить все подозрительные GTM-метки, войдя в учетную запись GTM и идентифицировав те, которые связаны с атакой. Кроме того, проведение всестороннего сканирования веб-сайта имеет решающее значение для обнаружения других потенциальных вредоносных программ или бэкдоров. Также важно убедиться, что WordPress, наряду с любыми установленными расширениями, обновлен с учетом последних исправлений безопасности. Необходим регулярный мониторинг трафика сайта и активности GTM на предмет аномалий, а также усиление безопасности страниц wp-администратора с помощью таких мер, как двухфакторная аутентификация.

#ParsedReport #CompletenessMedium
20-07-2025

Unmasking Malicious APKs: Android Malware Blending Click Fraud and Credential Theft

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/unmasking-malicious-apks-android-malware-blending-click-fraud-and-credential-theft/

Report completeness: Medium

Threats:
Credential_stealing_technique

Victims:
Facebook, Tiktok, Banks, Social platforms, Finance app users

Industry:
Financial, Entertainment

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1401, T1406, T1407, T1409, T1410, T1411, T1412, T1417, T1426, T1437, have more...

IOCs:
Hash: 1
Domain: 5
File: 2
Url: 2

Soft:
Android, Google Chrome, TikTok

Algorithms:
base64, aes

Functions:
TabTextApi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные приложения Android APK используют тактику социальной инженерии и обходят меры безопасности для развертывания различных типов вредоносных программ, включая программы для кражи учетных данных и приложения для мошенничества с рекламой. Была отмечена кампания с использованием поддельного APK-файла Facebook, в которой использовались методы уклонения, такие как инструмент ApkSignatureKillerEx, с потенциальными ссылками на операторов, говорящих на китайском языке.
-----

Вредоносные пакеты для Android (APK) используются в мобильных кампаниях, которые эксплуатируют доверие пользователей и используют тактику социальной инженерии. Эти угрозы способны извлекать конфиденциальные данные, включая учетные данные для входа в систему. Значительное скопление вредоносных программ сочетает в себе олицетворение бренда с монетизацией трафика и действует в нескольких регионах. Различные типы вредоносных программ нацелены либо на сбор локальных данных, либо на создание мошеннического рекламного трафика. Сложные варианты могут выполнять кражу учетных данных, обнаружение в изолированной среде и шифрование командно-контрольных сообщений (C2).

Вредоносные APK-файлы часто маскируются под законные приложения, заставляя пользователей устанавливать их вручную из ненадежных источников. Они используют разрешительную систему Android для доступа к конфиденциальной информации, остаются активными в фоновом режиме и перехватывают сетевой трафик для монетизации. Они могут имитировать взаимодействие с пользователем, чтобы увеличить показатели рекламы или перенаправить пользователей через каналы партнерского маркетинга.

К различным категориям вредоносных приложений относятся приложения для мошенничества с рекламой, похитители учетных данных, нацеленные на финансовые или социальные сервисы, сборщики фоновых данных и приложения для вознаграждения за выполнение заданий, вводящие в заблуждение. Расширенные варианты выдают себя за популярные приложения, такие как TikTok и Facebook, используя социальную инженерию для распространения APK.

В одном конкретном случае речь шла о поддельном APK-файле Facebook, поставляемом с помощью фишинга, который запрашивал обширные разрешения, включая законные и пользовательские поддельные разрешения. Вредоносная программа раскрывает конечные точки C2 API и имеет модульную серверную часть, способную поддерживать несколько кампаний. Индикаторы указывают на потенциальные связи с китайскоязычными операторами, основываясь на наличии упрощенного китайского языка в коде. Операционная модель включает в себя общие наборы инструментов и платформы "вредоносное ПО как услуга", что обеспечивает быструю масштабируемость и снижает риск обнаружения.

Были отмечены передовые методы уклонения, в том числе использование ApkSignatureKillerEx для обхода проверки подписи Android и API отчетов о сбоях для сбора телеметрии с устройств. Сложность этих мобильных угроз подчеркивает необходимость осведомленности пользователей и усовершенствованных механизмов обнаружения.

#ParsedReport #CompletenessMedium
20-07-2025

Detecting Auto-color malware with Wazuh

https://wazuh.com/blog/detecting-auto-color-malware-with-wazuh/

Report completeness: Medium

Threats:
Auto-color
Netstat_tool

Victims:
Government institutions, Universities

Industry:
Education, Government

Geo:
Asia, America

TTPs:

IOCs:
File: 8
Hash: 7

Soft:
Ubuntu, Linux, Unix, sudo

Algorithms:
sha256, sha1, md5

Functions:
open

Links:
https://github.com/microsoft/SysmonForLinux/blob/main/INSTALL.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Auto-color - это скрытый бэкдор для Linux, предназначенный для правительственных и академических учреждений, замаскированный под вредоносную утилиту. Он изменяет системные файлы для обеспечения сохраняемости, блокирует связь C2 и использует методы обхода, требующие ручного запуска с правами суперпользователя. Обнаружение включает в себя пользовательские правила в Wazuh для отслеживания конкретных видов вредоносного поведения, таких как изменение файлов и создание библиотек.
-----

Auto-color - это скрытый бэкдор для Linux, предназначенный для правительственных учреждений и университетов в Северной Америке и Азии. Он приписывается неизвестному хакеру и использует различные методы обхода, позволяющие ему сохранять постоянное присутствие в зараженных системах незамеченным. Замаскированная под безобидную утилиту для улучшения цвета, она устанавливает вредоносную библиотеку с именем "libcext.so.2" и переименовывает себя в "/var/log/cross/auto-color" во время последующей установки. Первоначальный вектор заражения вредоносной программы неясен, но она требует ручного запуска на конечных устройствах Linux, как правило, с правами суперпользователя.

При запуске Auto-color изменяет системные файлы для обеспечения сохраняемости, в частности, изменяя файл "/etc/ld.preload". Это позволяет вредоносной программе подключаться к стандартным функциям библиотеки C, способствуя глубокой интеграции с системой и расширяя возможности ее обхода. В частности, Auto-color реализует механизм скрытия командно-контрольных сообщений (C2) путем фильтрации сетевых подключений и манипулирования файлом "/proc/net/tcp", используя динамические IP-адреса, хранящиеся в файлах конфигурации с именами, подобными "/tmp/cross/config-err-XXXXXXXXX".." Вредоносная программа поддерживает шифрование своих сообщений C2, использует обратную оболочку, выполняет произвольные команды и использует функции, подобные руткитам, для сокрытия своих следов, что затрудняет усилия по обнаружению, расследованию или удалению.

Для обнаружения автоцвета в средах Linux с помощью Wazuh можно реализовать ряд пользовательских правил обнаружения в сочетании с SysmonForLinux для расширенного мониторинга журналов. В частности, платформа безопасности Wazuh использует установленные правила обнаружения, связанные с поведением Auto-color, такими как дублирование файлов в "/var/log/cross/" и создание вредоносных библиотечных файлов. Интеграция с модулем мониторинга целостности файлов (FIM) от Wazuh служит для запуска оповещений об изменениях файлов в отслеживаемых каталогах, позволяя идентифицировать присутствие Auto-color с помощью проверки контрольной суммы на соответствие известным вредоносным хэшам.

Платформа обнаружения включает идентификаторы правил, которые сигнализируют о конкретных вредоносных действиях, включая дублирование исполняемого файла (ID 100401), создание вредоносной библиотеки (ID 100402), модификацию файла предварительной загрузки (ID 100403), удаление исходного исполняемого файла (ID 100404) и создание файлов конфигурации для связи C2 (ID 100404). 100405). Эти правила облегчают постоянный мониторинг системы на наличие признаков заражения автоцветами, обеспечивая своевременное оповещение и реагирование на обнаруженные угрозы.

#ParsedReport #CompletenessLow
21-07-2025

ToolShell Campaign: New SharePoint Zero-Day (CVE-2025-53770) Triggers Widespread Exploitation

https://socradar.io/toolshell-sharepoint-zero-day-cve-2025-53770/

Report completeness: Low

Threats:
Toolshell_vuln

Industry:
Government

Geo:
Berlin, Netherlands, Iran, Ireland, Malaysia

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1001, T1036, T1047, T1055, T1059.001, T1071.001, T1078, T1087, T1105, T1190, have more...

IOCs:
File: 2
IP: 3
Hash: 3

Soft:
Microsoft SharePoint, Microsoft SharePoint Server, ASP.NET, SharePoint Server, Outlook, Microsoft Defender for Endpoint, Firefox

Languages:
powershell

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-07-19-Microsoft-SharePoint-vulnerabilities-CVE-2025-49704-and-49706.txt
https://gist.github.com/gboddin/bf6ff340022a1e5f02450125409e5277

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость CVE-2025-53770 является критически важным для Microsoft SharePoint для уязвимости нулевого дня, позволяющая удаленное выполнение кода через небезопасной десериализации, с CVSS оценку 9.8. Эксплуатации техники включают обработку входов и используя украденные MachineKeys ASP.NET для постоянного доступа. CISA предписывает внести исправления к 21 июля 2025 года из-за растущего риска использования, особенно очевидного в случае атак, связанных с кампанией ToolShell.
-----

Критическая уязвимость нулевого дня в Microsoft SharePoint, обозначенная как CVE-2025-53770, в настоящее время является объектом целенаправленных атак, позволяя хакерам обходить аутентификацию и выполнять удаленное выполнение кода (RCE) без предварительной аутентификации. Эта уязвимость связана с небезопасной десериализации непроверенных данных и был назначен CVSS оценку 9.8. Злоумышленники могут эксплуатировать его, манипулируя вредоносных входных данных для выполнения произвольных команд дистанционно и получить постоянный доступ через украли MachineKeys ASP.NET . Примечательно, что эта уязвимость основана на проблемах, которые были первоначально исправлены в июле 2025 года, но исследователи выявили существенные упущения в этих исправлениях, что побудило Microsoft выпустить второе исправление, более эффективное.

Агентство кибербезопасности и защиты инфраструктуры США (CISA) внесло CVE-2025-53770 в свой каталог известных эксплуатируемых уязвимостей (KEV), обязав федеральные агентства внедрить исправление к 21 июля 2025 года. Связанная с этим уязвимость CVE-2025-53771, которая имеет более низкую оценку CVSS - 6,3, связана с неправильными ограничениями имен путей в SharePoint.

Использование CVE-2025-53770 было осуществлено в рамках кампании, известной как ToolShell, которая ранее использовала две другие уязвимости SharePoint (CVE-2025-49706, обход аутентификации, и CVE-2025-49704, ошибка при внедрении кода). ToolShell демонстрирует технологию цепочки, с помощью которой злоумышленники могут повысить привилегии и достичь RCE, используя границы доверия. Процесс включает десериализацию вредоносных полезных данных, извлечение криптографических ключей с сервера и создание поддельных полезных данных __VIEWSTATE, которые SharePoint принимает как законные.

О распространенности этой угрозы свидетельствуют недавние сообщения о том, что по меньшей мере 54 различные организации в различных секторах были взломаны с помощью этих уязвимостей. Активные атаки включали загрузку пользовательских .NET модулей и использование украденных ключей, подчеркивая необходимость того, чтобы организации, использующие незащищенные локальные серверы SharePoint, определяли приоритетность применения обновлений для системы безопасности. Текущая статистика показывает, что в Интернете доступно более 16 000 серверов SharePoint, что вызывает серьезную озабоченность в Соединенных Штатах, Иране и ряде других стран.

Несмотря на то, что исправление устраняет возможности дальнейшего использования, оно не аннулирует доступ, полученный злоумышленниками до установки обновлений. Поскольку исправления Microsoft не заменяют украденные криптографические ключи, ранее выполненные вредоносные программы остаются в силе, что позволяет продолжать их использование, если организации не предпримут дополнительные меры безопасности. Рекомендации по устранению неполадок включают применение исправлений, изменение значений machineKey, отключение уязвимых серверов от Интернета и принятие тщательных мер реагирования на инциденты в связи с аномальными действиями в журналах SharePoint server. Ситуация с использованием этих уязвимостей подчеркивает важность строгих мер безопасности и упреждающего реагирования на угрозы для защиты от постоянных хакерских атак.

#ParsedReport #CompletenessMedium
17-07-2025

Scanception: A QRiosity-Driven Phishing Campaign

https://cyble.com/blog/scanception-a-qriosity-driven-phishing-campaign/

Report completeness: Medium

Actors/Campaigns:
Scanception

Threats:
Qshing_technique
Credential_harvesting_technique
Aitm_technique
Spear-phishing_technique

Industry:
Foodtech, Healthcare, Financial

Geo:
Apac, Emea, America

TTPs:
Tactics: 5
Technics: 12

IOCs:
Url: 408
File: 1
Hash: 644

Soft:
Office 365, Selenium, PhantomJS, Burp Suite

Algorithms:
aes, base64, exhibit

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/Scanception\_%20A\_QRiosity-Driven\_Phishing\_Campaign

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по удалению данных "Scanception" использует фишинг с использованием QR-кодов и методы уклонения от получения учетных данных, обходя обнаружение с помощью фишинговых PDF-файлов с низким уровнем обнаружения и целенаправленной социальной инженерии. Он перенаправляет жертв на поддельные страницы входа в Office 365, захватывая не только учетные данные для входа, но и токены 2FA, используя многоэтапный процесс, который повышает сохранность скомпрометированных учетных записей. Службы безопасности должны активно отслеживать IOC и быть бдительными в отношении новых тактик фишинга в различных отраслях.
-----

Текущая кампания по удалению данных "Scanception" использует сложную тактику, сочетающую фишинг на основе QR-кодов с передовыми методами уклонения от получения учетных данных. Эта кампания была выявлена CRIL, которая за три месяца отследила более 600 уникальных фишинговых PDF-файлов и электронных писем, в основном с использованием убедительных предлогов социальной инженерии, имитирующих подлинные корпоративные коммуникации. PDF—файлы предназначены для обеспечения достоверности и часто ориентированы на конкретные отрасли, включая технологии, здравоохранение, производство и BFSI (финансовую), и имеют заметно низкий уровень обнаружения в VirusTotal: почти в 80% случаев они не обнаруживаются.

Атака обычно начинается с фишингового электронного письма, содержащего PDF-файл, в котором получателю предлагается отсканировать QR-код для получения дополнительной информации. Этот метод эффективно обходит традиционные фильтры электронной почты и системы безопасности, перенаправляя жертв на вредоносные сайты, размещенные на законных платформах, таких как YouTube, Google и Cisco. Такое стратегическое злоупотребление авторитетной инфраструктурой повышает вероятность взаимодействия с пользователем, одновременно избегая механизмов обнаружения. Примечательно, что эта кампания повышает свои шансы на успех благодаря точному таргетингу, основанному на отрасли, географии и ролях пользователей.

Как только жертвы открывают PDF-файл, они обнаруживают документы, которые выглядят хорошо оформленными, с официальными логотипами и подробным содержанием, соответствующим их роли. Встроенный QR-код ведет на фишинговую страницу, имитирующую портал входа в Office 365. Чтобы усилить защиту от автоматизированных средств анализа, эти страницы спроектированы таким образом, чтобы обнаруживать такие инструменты; при обнаружении какой-либо автоматизации жертвы перенаправляются с фишингового сайта, что препятствует дальнейшему расследованию.

Фишинговая инфраструктура использует многоэтапный процесс сбора учетных данных, который включает в себя не только первоначальные учетные данные для входа в систему, но и потенциально важные токены двухфакторной аутентификации (2FA). Такой подход "противник посередине" (AITM) позволяет злоумышленникам передавать перехваченные учетные данные непосредственно на законный портал входа в систему Microsoft, обеспечивая длительный доступ к учетным записям жертв. После атаки жертвы могут быть перенаправлены на законные веб-сайты, чтобы еще больше скрыть любые вредоносные действия.

Для Scanception характерна глобально скоординированная стратегия, которая оказала заметное влияние на организации в более чем 70 секторах и охватывает более 50 стран. Усиление тактики фишинга наряду с активным использованием методов защиты от вредоносных программ свидетельствует о значительном изменении в поведении хакеров, что подчеркивает важность принятия упреждающих мер со стороны служб безопасности. Постоянный мониторинг индикаторов компрометации (IOC), анализ цепочек перенаправлений и отслеживание новых тактик фишинга необходимы для борьбы с такими угрозами. Кроме того, составление карты инфраструктуры злоумышленников, мониторинг на предмет подражания бренду и получение информации из скрытых веб-источников могут усилить защиту от этого меняющегося ландшафта рисков.