#ParsedReport #CompletenessLow
22-07-2025

Beware of RokRAT malware distribution using malicious Hangul (.HWP) documents

https://asec.ahnlab.com/ko/89116/

Report completeness: Low

Threats:
Rokrat
Dll_sideloading_technique
Spear-phishing_technique

Geo:
North korea, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1082, T1105, T1203, T1204.002, T1566.001, T1574.002

IOCs:
File: 11
Hash: 4

Soft:
ShellRunas, Dropbox

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа RokRAT теперь распространяется через документы на языке Хангыль (HWP), используя соблазнительные ссылки для запуска программы ShellRunas.exe, которая загружает credui.библиотека dll для установки вредоносного ПО. Этот сложный метод усиливает усилия социальной инженерии, подчеркивая необходимость усовершенствованных мер обнаружения.
-----

Недавний анализ, проведенный аналитическим центром безопасности AhnLab (ASEC), выявил изменения в методе распространения вредоносного ПО RokRAT, которое теперь распространяется с помощью документов на языке хангыль (HWP) вместо ранее распространенной тактики с использованием файлов быстрого доступа (LNK). Это изменение направлено на снижение скептицизма пользователей, поскольку документы, замаскированные под безобидные отчеты о продажах зерна в Северной Корее, публикуются под такими названиями, как "250615_ Статус работы офиса продаж зерна".

Внутри документа пользователи обнаруживают гиперссылку с надписью "Ссылка на приложение material.docx". При нажатии на эту ссылку запускается окно предупреждения, в котором пользователю предлагается запустить файл с именем ShellRunas.exe, который находится в каталоге %TEMP%. Примечательно, что ShellRunas.exe встроен в документ в виде OLE-объекта, который процесс Hangul автоматически генерирует в папке %TEMP% пользователя при обращении к соответствующей странице документа.

В дополнение к ShellRunas.exe, документ также содержит второй OLE-объект, связанный с credui.dll, который аналогичным образом генерируется в каталоге %TEMP%. Выполнение ShellRunas.exe, легитимного исполняемого файла, подписанного сертификатом Microsoft, облегчает загрузку вредоносного credui.библиотека dll использует метод, известный как боковая загрузка библиотеки DLL. Этот подход позволяет злоумышленнику выполнить вредоносный код под видом доверенного приложения. После запуска credui.библиотека dll загружает из Dropbox измененный файл изображения с именем Father.jpg. Хотя изображение выглядит безобидным, в нем скрыт шелл-код, который внедряет вредоносную программу RokRAT в память.

RokRAT - это мощная вредоносная программа, способная извлекать пользовательские данные и выполнять различные команды по указанию злоумышленника. Развивающаяся тактика распространения RokRAT, которая использует социальную инженерию с помощью, казалось бы, невинных ссылок на документы, подчеркивает необходимость повышенной бдительности и внедрения эффективных мер обнаружения для противодействия этим сложным угрозам.

#ParsedReport #CompletenessLow
22-07-2025

Beware of malicious LNK distribution that steals information by disguising the card company's security email authentication window

https://asec.ahnlab.com/ko/89126/

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1055.002, T1056.001, T1059.001, T1105, T1170, T1204.001, T1204.002, T1218.011, T1566.001, have more...

IOCs:
Path: 2
File: 4
Hash: 5
Url: 3
Domain: 1

Soft:
chrome, chrome, opera, firefox, outlook

Algorithms:
md5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый хакер использует вредоносные файлы LNK, которые выдают себя за электронные письма для проверки подлинности по системе безопасности, используя динамически загружаемые библиотеки DLL для кейлоггинга и кражи информации. Атака начинается с того, что HTML-файл создает вредоносную библиотеку DLL (sys.dll), запускаемую с помощью rundll32.exe, которая загружает дополнительные библиотеки DLL, которые функционируют как инфокрады и вредоносные программы-бэкдоры. Это отражает эволюцию тактики социальной инженерии, направленной на то, чтобы обманом заставить пользователей запускать вредоносные файлы.
-----

Аналитический центр безопасности AhnLab (ASEC) сообщил о новом методе хакерской атаки, использующем вредоносные файлы LNK, которые выдают себя за защищенные окна аутентификации по электронной почте от компаний-эмитентов кредитных карт. Эти файлы LNK созданы таким образом, чтобы они напоминали законные названия финансовых учреждений, а разработанная стратегия кражи информации позволила отказаться от использования сценариев PowerShell, которые использовались ранее. Вместо этого атака теперь использует динамически загружаемые DLL-файлы, что расширяет возможности ведения кейлоггинга и сбора пользовательской информации при выполнении файлов-приманок для маскировки своих злонамеренных намерений.

Вредоносные действия начинаются при запуске HTML-файла, который, в свою очередь, создает вредоносную библиотеку DLL, идентифицируемую как sys.dll, и текстовый файл с именем user.txt, содержащий URL-адрес для загрузки дополнительных полезных файлов. После его создания sys.dll выполняется с помощью rundll32.exe, что приводит к развитию атаки. Затем он загружает три дополнительных DLL-файла (app, net, notepad.log), как указано в user.txt, процесс выполняется с помощью рефлексивного метода. Этот метод заключается во внедрении библиотеки DLL приложения непосредственно в запущенный процесс, такой как chrome.exe, что позволяет вредоносному ПО скрытно работать, загружая библиотеку DLL непосредственно в память, что позволяет обойти многие традиционные механизмы обнаружения.

Загруженные DLL-файлы выполняют различные функции: app и net служат в качестве вредоносных программ Infostealer, которым поручено тайно собирать конфиденциальную пользовательскую информацию, в то время как notepad.log выполняет функцию вредоносного ПО с черным ходом, вероятно, обеспечивая несанкционированный удаленный доступ к скомпрометированным системам. Распространение этих вредоносных файлов LNK, часто замаскированных под безопасные документы или электронные письма, свидетельствует о продолжающемся развитии тактики социальной инженерии, направленной на то, чтобы обманом заставить пользователей запускать вредоносные файлы. Сложность вектора атаки вызывает опасения, особенно в связи с тем, что все чаще происходит выдача себя за авторитетные организации. Поэтому пользователям рекомендуется проявлять повышенную осторожность в отношении этих угроз, учитывая обманчивый характер этих вредоносных действий, которые провоцируют непреднамеренное выполнение вредоносного программного обеспечения.

#ParsedReport #CompletenessHigh
22-07-2025

#StopRansomware: Interlock

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-203a

Report completeness: High

Threats:
Interlock
Kerberoasting_technique
Clickfix_technique
Rhysida
Lumma_stealer
Darkgate
Cobalt_strike_tool
Systembc
Interlockrat
Nodesnake
Berserkstealer
Anydesk_tool
Putty_tool
Azcopy_tool
Screenconnect_tool
Fakecaptcha_technique
Process_injection_technique
Fortra_tool

Victims:
Business, Critical infrastructure sectors, Universities

Industry:
Government, Critical_infrastructure, Education, Healthcare

Geo:
America

TTPs:
Tactics: 13
Technics: 25

IOCs:
File: 12
Command: 1
Hash: 38

Soft:
Linux, Tor browser, Google Chrome, Microsoft Edge, Windows Registry, Chrome, WinSCP, ESXi, macOS, PSExec, have more...

Crypto:
bitcoin

Algorithms:
sha1, sha256, base64, aes

Functions:
Get-Service, Get-PSDrive, remove

Languages:
powershell

Platforms:
cross-platform

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock нацелена на предприятия Северной Америки и Европы, используя модель двойного вымогательства с загрузкой с места происшествия и социальной инженерией для получения первоначального доступа. Он использует PowerShell для обеспечения сохраняемости, перехватывает учетные данные и шифрует данные с помощью AES и RSA, оставляя файлы с расширением .interlock. Вредоносная программа поражает как Windows, так и Linux, используя передовые методы фильтрации и подчеркивая важность строгих мер безопасности.
-----

Версия программы-вымогателя Interlock впервые появилась в конце сентября 2024 года и была нацелена на предприятия и критически важную инфраструктуру в Северной Америке и Европе. Отличающаяся оппортунистическими и финансово мотивированными атаками, Interlock использует модель двойного вымогательства, которая включает в себя как утечку данных, так и шифрование системы. Первоначальные методы доступа нетипичны для программ-вымогателей, в основном они включают в себя загрузку с взломанных веб-сайтов и метод социальной инженерии ClickFix, который обманом заставляет пользователей запускать вредоносные скрипты под предлогом устранения неполадок в их системах.

Получив доступ, эти злоумышленники развертывают сценарии PowerShell, которые могут обеспечить постоянство, изменяя конфигурации запуска Windows и регистрируя ключи. Примечательно, что эти сценарии могут маскировать вредоносные действия, используя законные имена файлов, тем самым избегая обнаружения. Установив точки соприкосновения, злоумышленники используют устройства для кражи учетных данных и кейлоггеры для сбора конфиденциальной информации о пользователях и учетных данных для входа в систему, что может облегчить перемещение по сети жертвы, используя такие методы, как протокол удаленного рабочего стола (RDP). Такие инструменты, как Cobalt Strike и SystemBC, используются для командования и контроля операций.

Шифрование происходит после фильтрации данных с использованием комбинации алгоритмов Advanced Encryption Standard (AES) и Rivest-Shamir-Adleman (RSA), в результате чего жертвы получают файлы с расширениями .interlock или .1nt3rlock. Механизм, лежащий в основе шифрования, включает в себя исполняемые файлы, которые могут самоуничтожаться, что затрудняет восстановление. Кроме того, программа-вымогатель Interlock использует сложные методы эксфильтрации с помощью таких инструментов, как AzCopy, нацеленных на учетные записи хранилища Microsoft Azure, наряду с традиционными средствами передачи файлов.

Вредоносная программа предназначена для работы как в среде Windows, так и в среде Linux, и обладает особыми возможностями шифрования виртуальных машин, а в будущем, возможно, и более широких систем. Угроза усугубляется тем, что авторы могут использовать методы Kerberoasting для взлома учетных записей администраторов, повышая тем самым свои привилегии доступа. Организациям настоятельно рекомендуется внедрять многофакторную аутентификацию, поддерживать современные системы, сегментировать сети и использовать надежные средства обнаружения конечных точек и реагирования на них, чтобы снизить риски, связанные с программами-вымогателями Interlock. В рекомендациях подчеркивается важность своевременного уведомления соответствующих органов о случаях использования программ-вымогателей.

#ParsedReport #CompletenessLow
22-07-2025

Cato CTRL Threat Research: Investigation of RMM Tools Leveraged by Ransomware Gangs in Real-World Incidents

https://www.catonetworks.com/blog/cato-ctrl-investigation-of-rmm-tools/

Report completeness: Low

Threats:
Hunters_international
Anydesk_tool
Screenconnect_tool
Medusa_ransomware
Simplehelp_tool
Living_off_ai_technique
Bloodhound_tool

Victims:
Manufacturing organization, Construction organization, Non-profit organization

Industry:
Military, Education, Healthcare

ChatGPT TTPs:
do not use without manual check
T1021, T1047, T1053, T1059.001, T1078, T1102, T1105, T1136, T1210, T1219, have more...

Soft:
PDQ Deploy

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инструменты RMM все чаще становятся мишенью программ-вымогателей из-за их легитимности и возможностей доступа, позволяющих осуществлять первоначальный доступ, сохранение и эксфильтрацию данных в обход мер безопасности. В ходе известных инцидентов такие группы, как Hunters International, использовали AnyDesk для длительного доступа, а Medusa использовала вредоносные установки для проникновения. Организациям следует усилить мониторинг и контроль доступа, чтобы смягчить эти возникающие угрозы.
-----

Инструменты RMM все чаще становятся мишенью банд вымогателей из-за их надежного статуса и функциональных возможностей. Расследования выявили злоупотребления инструментами RMM, такими как AnyDesk и ScreenConnect, в ходе кампаний по вымогательству в период с конца 2024 по начало 2025 года. Эти инструменты использовались для первоначального доступа, сохранения данных, перемещения по сети и утечки данных из сети в обход традиционных мер безопасности. Инструменты RMM работают аналогично RATs, что затрудняет обнаружение вредоносных действий, которые могут выглядеть как законные ИТ-операции. Группы программ-вымогателей предпочитают коммерческие RMM из-за их модульной конструкции и законного использования, что помогает избежать обнаружения. В третьем квартале 2024 года Международная группа Hunters использовала AnyDesk и ScreenConnect для обеспечения доступа, прежде чем совершить атаку на производственную компанию в Великобритании. В четвертом квартале 2024 года Medusa group использовала вредоносную программу установки ScreenConnect против строительной фирмы из США для внутренней разведки. В первом квартале 2025 года одна некоммерческая организация в США была взломана неустановленной группой, использующей SimpleHelp и AnyDesk для перемещения по сети. Анализ включал тесты сетевого поведения инструментов RMM для выявления уникальных моделей трафика, указывающих на несанкционированное использование. Организациям рекомендуется внедрять надежные средства оперативного контроля, отслеживать использование RMM, обеспечивать безопасный доступ с помощью строгой аутентификации и улучшать механизмы обнаружения поведенческих нарушений. Этот подход направлен на то, чтобы отличать законное управление от потенциально вредоносных действий, улучшая защиту от вторжений на основе RMM.

#ParsedReport #CompletenessLow
22-07-2025

How to protect yourself from Toolshell-Critical Zero-Day chains in Microsoft Sharepoint

https://rt-solar.ru/solar-4rays/blog/5721/

Report completeness: Low

Threats:
Toolshell_vuln
Proxylogon_exploit

Geo:
Russian

CVEs:
CVE-2025-49701 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20424, 2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49703 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft 365_apps (-)
- microsoft office (2019)
- microsoft office_long_term_servicing_channel (2021, 2024)
- microsoft sharepoint_server (2016, 2019)
- microsoft word (2016)
have more...
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


IOCs:
Path: 4
File: 3
IP: 14
Hash: 1

Soft:
Microsoft Sharepoint, SharePoint server

Platforms:
x64

#ParsedReport #CompletenessMedium
22-07-2025

Lookout Discovers Iranian APT MuddyWater Leveraging DCHSpy During Israel-Iran Conflict

https://www.lookout.com/threat-intelligence/article/lookout-discovers-iranian-dchsy-surveillanceware

Report completeness: Medium

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)
Faraja

Threats:
Dchspy
Sandstrike
Metasploit_tool
Androrat_rat
Ahmyth_rat
Bouldspy
Guardzoo_tool
Spymax

Victims:
Activists, Journalists, Government entities, Private entities, Enemy soldiers, Assad's forces, Baháʼí practitioners

Industry:
Software_development, Government, Telco, Petroleum, Financial

Geo:
Iranian, Syria, Asia, Canada, America, Iranians, Iran, Africa, Middle east, Romania, Israel

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1041, T1059.006, T1071.001, T1105, T1204.002, T1402, T1409, T1412, have more...

IOCs:
Url: 15
Hash: 7
Domain: 1

Soft:
StarLink, Android, WhatsApp, Telegram, HideVPN, EarthVPN

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lookout обнаружил новые образцы DCHSpy, инструмента слежки за Android от иранской группы MuddyWater, который собирает конфиденциальные данные и маскируется под законные приложения. Распространение вредоносного ПО в основном происходит через вредоносные URL-адреса на платформах обмена сообщениями, используя социально-политические настроения. Скомпрометированные данные шифруются и загружаются на сервер C2 с использованием протокола SFTP, что свидетельствует о передовой тактике работы.
-----

Компания Lookout обнаружила четыре новых образца DCHSpy, программного обеспечения для слежки за Android, которое использовалось иранской группой кибершпионажа MuddyWater вскоре после эскалации израильско-иранского конфликта. DCHSpy, предположительно разработанный и поддерживаемый MuddyWater, собирает различные конфиденциальные данные с зараженных устройств, включая данные WhatsApp, SMS-сообщения, журналы вызовов, контакты, файлы, данные о местоположении, а также может записывать аудио и изображения с помощью микрофона и камеры устройства. Эта вредоносная программа особенно примечательна своей способностью маскироваться под законные приложения, такие как VPN и банковские приложения, чтобы заманивать цели.

Группа MuddyWater связана с Министерством разведки и безопасности Ирана (MOIS) и нацелена на широкий круг организаций в различных секторах, включая телекоммуникации, местное управление, оборону и энергетику, в таких регионах, как Ближний Восток, Азия и Северная Америка. Возрождение DCHSpy, по-видимому, совпало с сохраняющейся геополитической напряженностью, демонстрируя способность MuddyWater разрабатывать и внедрять передовые инструменты наблюдения с новыми функциями, такими как возможность извлечения конкретных файловых данных, представляющих интерес.

Что касается распространения, то DCHSpy в основном распространяется через вредоносные URL-адреса, размещаемые на популярных платформах обмена сообщениями, таких как Telegram. Исследователи заметили, что в последних версиях DCHSpy используются запутанные темы и языки, которые привлекают несогласных в Иране, используя социально-политические настроения для увеличения числа пользователей. Вредоносное ПО было обнаружено в приложениях, которые выдают себя за VPN-сервисы, такие как EarthVPN и ComodoVPN, особенно в те моменты, когда в Иране продвигаются законные сервисы, такие как Starlink, для обхода интернет-цензуры.

Как только данные с зараженного устройства оказываются скомпрометированными, они шифруются и загружаются на сервер управления (C2) с использованием протокола безопасной передачи файлов (SFTP). Эта инфраструктура указывает на сложную операцию, аналогичную другой вредоносной программе для Android, SandStrike, которая, как сообщалось ранее, использовалась против практикующих Бахаи.

MuddyWater уже много лет использует различные семейства мобильных вредоносных программ для слежки. Lookout отслеживает около 17 различных типов мобильных вредоносных программ, связанных как минимум с 10 иранскими точками доступа (APT). Эти последние образцы DCHSpy свидетельствуют о продолжающемся совершенствовании возможностей иранского программного обеспечения для слежки, особенно в связи с ростом политических волнений в регионе. Lookout продолжает внимательно следить за деятельностью MuddyWater и информировать своих клиентов о любых значительных изменениях в этой области.

#ParsedReport #CompletenessLow
22-07-2025

CVE-202553770/TOOLSHELL: HUNTING DOWN THE ATTACKER TECHNIQUES &VICTIMS

https://theravenfile.com/2025/07/22/cve-2025-53770-toolshell-hunting-down-the-attacker-techniques-victims/

Report completeness: Low

Actors/Campaigns:
Arcanedoor

Threats:
Toolshell_vuln
Barracuda_tool

Victims:
Microsoft sharepoint users

Geo:
Ireland, Iran, Greece, Germany, Russia

CVEs:
CVE-2025-53700 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1036, T1070.004, T1071.001, T1090.002, T1105, T1210, T1497.003, T1562.001

IOCs:
Coin: 1
Hash: 5
File: 6
IP: 11

Soft:
Twitter, Microsoft SharePoint Server, Microsoft SharePoint, Sharepoint Server, Chrome, Microsoft Edge, Chromium

Algorithms:
md5, sha256, ecdsa, base64

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование уязвимости десериализации CVE-2025-53770 в Microsoft SharePoint Server широко распространено, особенно в Иране и других регионах. Злоумышленники используют измененные файлы журналов для маскировки вредоносных действий и используют процессы Microsoft Edge для тактики уклонения, используя при этом надежные службы для управления.
-----

В статье рассматривается продолжающаяся эксплуатация критической уязвимости десериализации, идентифицированной как CVE-2025-53770, для локального сервера Microsoft SharePoint Server. Эта уязвимость активно используется в реальных атаках, что заставляет корпорацию Майкрософт временно принимать меры по ее устранению, пока разрабатывается полное исправление. Анализ показывает значительное распространение уязвимых систем в Иране, за которым следуют Соединенные Штаты, Ирландия, Германия и Россия. Примечательно, что Греция стала пятым регионом, наиболее подверженным влиянию конкретной версии SharePoint (16.0.0.17928), которая была выпущена в июне 2025 года.

Ключевой аспект эксплойта заключается в том, что хакеры используют вредоносные файлы, такие как измененный файл журнала (MD5: bd3d4d19c81f11175d7f43234d3dc8d8), чтобы обойти механизмы обнаружения. Этот файл связан с протоколом клиентских обновлений Google (CUP), используемым Chrome и другими приложениями Google для проверки обновлений и синхронизации времени. Злоумышленники манипулировали этим трафиком, используя его в качестве приманки, чтобы чередовать вредоносные действия с законными сетевыми запросами, эффективно маскируясь под безобидные.

При изучении цепочки эксплойтов анализ выявил злоупотребление служебными процессами Microsoft Edge, выделив три различные роли, которые эти процессы играют в атаке. К ним относятся запуск фоновых служб с отключенной "изолированной системой" для обеспечения операций высокого уровня и обход брандмауэра и прокси-фильтров путем имитации действий браузера. В частности, это включает в себя ручной вызов аварийной телеметрии Chromium, чтобы скрыть сообщения об ошибках и манипулировать средами выполнения, особенно в защищенных или изолированных контекстах. Такое поведение соответствует общепризнанной тактике уклонения и имитации, наблюдаемой в продвинутых платформах после эксплуатации.

В ходе расследования была выявлена инфраструктура, используемая злоумышленниками, которая в основном опирается на авторитетные сервисы, такие как Microsoft, Google Cloudflare, Akamai и Fastly, для связи командования и контроля. Однако в нем также указывается, что G-Core Labs является необычным хостинг-провайдером, участвовавшим в предыдущих кампаниях по использованию уязвимостей нулевого дня против Barracuda и ArcaneDoor. Подход злоумышленников отражает использование устаревших вредоносных компонентов, что указывает на предпочтение устоявшихся методов обхода современных технологий обнаружения. Кроме того, серверы VULTR упоминаются в качестве хостинга для вредоносных эксплойтов, что подчеркивает разнообразие инфраструктуры, используемой для их работы. В целом, анализ дает критическую информацию о динамике эксплойтов и методах работы задействованных хакеров.

#ParsedReport #CompletenessLow
22-07-2025

New version of ACRStealer is in circulation with active modifications

https://asec.ahnlab.com/ko/89115/

Report completeness: Low

Threats:
Acr_stealer
Heavens_gate_technique
Amatera_stealer

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1071.004, T1095, T1105, T1119

IOCs:
IP: 6
Hash: 5

Soft:
Steam, chrome

Algorithms:
rc4, base64, md5, cbc, aes-256, aes

Win API:
NtCreateFile, NtDeviceIoControlFile

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4