#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая версия macOS.Вредоносная программа ZuRu использует для развертывания троянское приложение Termius, предназначенное для разработчиков. В ней используется модифицированный маяк Khepri C2 для скрытого удаленного доступа и уклонения. Вредоносная программа изменяет двоичный файл помощника Termius, использует проверки MD5 на целостность полезной нагрузки и взаимодействует через порт 53, маскируя свои операции доменом-приманкой.
-----

Была обнаружена новая версия macOS.Вредоносная программа ZuRu использует троянскую версию приложения Termius для облегчения своего развертывания. Этот вариант, обнаруженный в конце мая 2025 года, продолжает тенденцию, установившуюся с момента его первоначального обнаружения в 2021 году, и ориентирован на разработчиков и ИТ-специалистов. Хакеры усовершенствовали свой подход, внедрив модифицированный радиомаяк Khepri command-and-control (C2), который позволяет осуществлять скрытый удаленный доступ, используя при этом сложную тактику уклонения от механизмов обнаружения.

Способ доставки для macOS.Вариант ZuRu предполагает вмешательство в SSH-клиент Termius. Размер обычного приложения, обычно составляющего 225 МБ, изменен на 248 МБ для размещения дополнительных исполняемых файлов в пакете Termius Helper.app. В частности, исходный двоичный файл Termius Helper переименовывается, а его заменяет новый вредоносный двоичный файл Mach-O с именем Termius Helper. Этот двоичный файл-самозванец запускает как переименованную легитимную версию, так и загрузчик с именем .localized, который извлекает маяк Khepri C2 и сохраняет его в каталоге /tmp/.fseventsd.

Маяк Khepri в этом варианте работает иначе, чем в предыдущих версиях; вместо внедрения вредоносных программ.библиотеки dylib используют троянское вспомогательное приложение, чтобы обойти механизмы обнаружения, которые фокусируются на динамическом поведении библиотеки. Маяк может работать в режиме пропуска или в фоновом режиме и обмениваться данными с сервером C2 каждые пять секунд. Это ускоренное сердцебиение повышает его скрытность. Связь осуществляется через порт 53, и маяк использует домен-приманку, www.baidu.com для маскировки своих истинных операций. Вредоносная программа обходит macOS Gatekeeper, заменяя подпись кода разработчика специальной подписью, используя доверие, присущее подписанным приложениям.

Кроме того, локализованный загрузчик обеспечивает целостность полезной нагрузки с помощью проверки хэша MD5 и обновляет себя по мере необходимости, что повышает его устойчивость и постоянство. Возможности, предоставляемые платформой Khepri, включают передачу файлов, разведку, выполнение процессов и команд с перехватом выходных данных, что создает серьезный риск для скомпрометированных систем. Стратегия ZuRu нацелена на пользователей серверных инструментов, таких как Termius, SecureCRT и Navicat, что указывает на намерение внедриться в ИТ-среду и среды разработки. Зависимость вредоносного ПО от загрузки скомпрометированных приложений подчеркивает важность тщательной проверки программного обеспечения для устранения таких угроз. Эволюционирующий характер macOS.ZuRu отражает текущие проблемы в среде хакеров.

#ParsedReport #CompletenessLow
23-07-2025

Back to Business: Lumma Stealer Returns with Stealthier Methods

https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html

Report completeness: Low

Actors/Campaigns:
Water_kurita

Threats:
Lumma_stealer
Fakecaptcha_technique
Clickfix_technique

Victims:
Organizations, Individuals, Employees, Users

Industry:
E-commerce

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1071.001, T1078, T1204.002, T1583.006

IOCs:
Hash: 3
File: 2
Url: 55

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma Stealer вновь появилась с обновленной тактикой кражи конфиденциальной информации с помощью мошеннических каналов, таких как поддельное программное обеспечение. После удаления, она адаптировалась, используя GitHub для доставки и использования законных сервисов, сигнализируя о сохраняющихся рисках для организаций.
-----

Недавно Lumma Stealer вновь появилась на свет, продемонстрировав изменение тактики после своего уничтожения в мае 2025 года. Вредоносная программа, которая отлично справляется с кражей конфиденциальной информации, такой как учетные данные и файлы, теперь распространяется по более скрытным каналам и использует более хитрые методы уклонения. Пользователей заманивают к загрузке Lumma Stealer с помощью таких средств, как поддельное взломанное программное обеспечение, вводящие в заблуждение веб-сайты и реклама в социальных сетях. Эта угроза позиционируется как вредоносное ПО как услуга (MaaS), что позволяет даже неопытным киберпреступникам легко внедрять ее, что увеличивает риск для организаций, сотрудники которых недостаточно осведомлены о кибербезопасности.

После масштабной операции правоохранительных органов, в результате которой было захвачено более 2300 доменов, являющихся неотъемлемой частью инфраструктуры командования и контроля Lumma Stealer, непосредственные последствия показали снижение ее оперативных возможностей. Эти захваты затронули важные домены, используемые в качестве панелей входа в систему, что фактически нарушило фильтрацию данных и основные механизмы распространения вредоносного ПО. Однако недавний мониторинг выявил тихое возрождение новых кампаний, использующих новую тактику, включая использование GitHub в качестве платформы доставки и использование поддельных сайтов с капчей для распространения вредоносного ПО.

Команда разработчиков Lumma Stealer продемонстрировала значительную адаптивность. После завершения разработки разработчик публично признал сбой и заявил, что восстановил доступ к серверу, адаптировав свою конфигурацию, что говорит о вероятности дальнейших попыток восстановления. Изначально полагаясь на Cloudflare для защиты своей вредоносной инфраструктуры, операторы изменили тактику своей работы, привлекая законных поставщиков облачных услуг и услуг передачи данных, особенно из России.

Эти события подчеркивают сохраняющуюся угрозу Lumma Stealer, подчеркивая необходимость того, чтобы организации проводили тщательное обучение сотрудников кибербезопасности, чтобы помочь им распознавать мошеннические действия. Постоянная бдительность и активный обмен информацией об угрозах между сообществом специалистов по кибербезопасности и правоохранительными органами имеют жизненно важное значение для эффективной борьбы с этим меняющимся ландшафтом угроз. Организации должны усилить свою защиту с помощью передовых средств кибербезопасности, чтобы снизить риски, связанные с постоянными инновациями киберпреступников, поскольку даже значительные меры правоохранительных органов могут лишь временно избавить от таких угроз.

#ParsedReport #CompletenessLow
22-07-2025

npm is Package Hijacked in Expanding Supply Chain Attack

https://socket.dev/blog/npm-is-package-hijacked-in-expanding-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Scavenger

Victims:
Developers, Ci systems, Npm package maintainers

Geo:
Jordan

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.012, T1071.001, T1112, T1195.002, T1204.002, T1219, T1552, T1555.003, have more...

IOCs:
File: 10

Soft:
Chrome, macOS, Linux, Electron

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания скомпрометировала популярные библиотеки npm, в частности пакет "is", развернув загрузчик вредоносных программ на JavaScript (Scavenger), который извлекает сведения о системе и устанавливает удаленную оболочку через WebSocket. Атака использует кражу учетных данных для публикации вредоносных версий пакетов, затрагивая несколько пакетов и выявляя уязвимости в системах управления зависимостями.
-----

Фишинговая кампания, нацеленная на npm, активизировалась, поскольку злоумышленники проникают в популярные библиотеки для внедрения вредоносных программ. Наиболее уязвимым является пакет "is", который еженедельно загружается примерно на 2,8 миллиона устройств и предоставляет служебные функции для проверки типов и валидации. Злоумышленники внедрили в этот пакет вредоносный загрузчик JavaScript, используя пользовательский декодер, который работает с 94-символьным алфавитом. Загрузчик восстанавливает свою полезную нагрузку непосредственно в памяти и выполняет ее с помощью "новой функции" JavaScript, что означает, что он не оставляет на диске никаких отслеживаемых артефактов. После активации вредоносная программа извлекает сведения о системе с помощью модуля операционной системы Node, собирает все переменные среды из файла process.env и динамически импортирует библиотеку ws для передачи этих данных по WebSocket-соединению. Это позволяет злоумышленнику получать исполняемые сообщения JavaScript в режиме реального времени, фактически предоставляя им удаленную оболочку на компьютере жертвы.

Кроме того, было скомпрометировано несколько версий различных пакетов, включая "eslint-config-prettier", "eslint-plugin-prettier" и "got-fetch`. В некоторые из этих пакетов также была включена библиотека DLL, специфичная для Windows, с именем "node-gyp.dll", что предполагает стратегию двойной загрузки, направленную на максимальное расширение сферы охвата атаки. Внедренная вредоносная программа, известная как Scavenger, использует сложные тактические приемы, такие как методы антианализа и зашифрованные командно-контрольные сообщения. В первую очередь она нацелена на сбор конфиденциальных данных браузера и другой информации о контексте разработки, такой как файлы `.npmrc`. После развертывания он может скрыть свое присутствие, перезаписав свой собственный "index.js", что усложняет удаление и требует сброса файлов блокировки в дополнение к простому удалению `node_modules`.

Атака, по-видимому, была осуществлена после кражи учетных данных с помощью фишинга, что позволило злоумышленникам публиковать вредоносные версии скомпрометированных пакетов. Ситуация усугубилась, когда были похищены токены npm сопровождающих, что позволило автоматически распространять вредоносные обновления по всей экосистеме разработчиков. В отчетах указывается, что пользователи, зараженные вредоносной программой Scavenger, сталкивались с серьезными проблемами в работе, включая отключение функций безопасности в Chrome и потенциальную компрометацию SSH-ключей, что в конечном итоге потребовало принятия комплексных мер по восстановлению, таких как замена SSD-накопителя и полная переустановка системы. Эта кампания иллюстрирует критические уязвимости, присущие системам управления зависимостями, и подчеркивает необходимость проявлять бдительность в отношении угроз цепочке поставок.

#ParsedReport #CompletenessLow
23-07-2025

Coyote in the Wild: First-Ever Malware That Abuses UI Automation

https://www.akamai.com/blog/security-research/active-exploitation-coyote-malware-first-ui-automation-abuse-in-the-wild

Report completeness: Low

Threats:
Coyote

Victims:
Brazilian users, Brazilian companies

Industry:
Financial

Geo:
Brazilian, Latin america, Brasil

ChatGPT TTPs:
do not use without manual check
T1056.001, T1056.004, T1071.001, T1204.002, T1566.002

IOCs:
File: 3

Wallets:
electrum

Crypto:
binance, bitcoin

Win API:
GetForegroundWindow

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Akamai сообщают о новом варианте банковского трояна Coyote, использующего платформу автоматизации пользовательского интерфейса Microsoft для извлечения учетных данных из 75 финансовых учреждений Бразилии. Coyote использует кейлоггинг, фишинговые оверлеи и UIA для усиления своих атак, манипулируя пользовательскими интерфейсами для введения жертв в заблуждение и сбора конфиденциальных данных даже в автономном режиме.
-----

Исследователи Akamai выявили новый вариант банковского трояна Coyote, что стало первым подтвержденным случаем злонамеренного использования платформы автоматизации пользовательского интерфейса Microsoft (UIA) в дикой природе. Этот конкретный вариант предназначен для пользователей в Бразилии и использует UIA для получения учетных данных примерно от 75 банковских учреждений и криптовалютных бирж. Выявление случаев злоупотребления UIA со стороны Coyote, которые ранее были обнаружены в феврале 2024 года, подчеркивает эволюцию вредоносного ПО и растущую изощренность его методов.

Для сбора банковской информации Coyote использует традиционные тактики, такие как кейлоггинг и фишинговые оверлеи, а для распространения - программу установки Squirrel. Один из ключевых выводов, сделанных в ходе продолжительного анализа операций Coyote, показывает, что она может использовать UIA для сбора конфиденциальных данных. Во время заражения Coyote собирает исчерпывающую информацию о системе, включая имя компьютера и пользователя жертвы, но основное внимание уделяет финансовым услугам, к которым жертва имеет доступ.

Вредоносная программа использует функцию Windows API GetForegroundWindow() для идентификации активного окна и последующей проверки названия окна на соответствие жестко запрограммированному списку целевых финансовых веб-сайтов. Если совпадений не найдено, Coyote обращается к UIA для проверки дочерних элементов пользовательского интерфейса активного окна, просматривая вкладки браузера или адресные строки, чтобы получить возможные веб-адреса. Этот метод расширяет возможности Coyote по идентификации банковских операций жертвы или операций по обмену криптовалют, даже при работе в автономном режиме.

Более того, использование вредоносным по UIA отражает более широкую тенденцию, в соответствии с которой разработчики вредоносных программ быстро внедряют новые методы в свои атаки. UIA позволяет злоумышленникам манипулировать пользовательскими интерфейсами приложений и взаимодействовать с ними для создания более сложных тактик социальной инженерии, которые включают изменение адресных строк браузера, чтобы ввести жертв в заблуждение и заставить их посещать вредоносные серверы без четких визуальных указателей.

Продолжающееся развитие Coyote демонстрирует необходимость для защитников кибербезопасности сохранять бдительность в отношении возникающих угроз. Служба поиска управляемых угроз Akamai активно отслеживает использование UIA на предмет аномальных моделей и предупреждает пользователей о потенциальной вредоносной активности. Понимание тактики Coyote необходимо организациям для разработки эффективных мер обнаружения и реагирования на эту и подобные угрозы.

#ParsedReport #CompletenessLow
23-07-2025

Scavenger Malware Distributed via eslint-config-prettier NPM Package Supply Chain Compromise

https://invokere.com/posts/2025/07/scavenger-malware-distributed-via-eslint-config-prettier-npm-package-supply-chain-compromise/

Report completeness: Low

Threats:
Supply_chain_technique
Scavenger
Dll_sideloading_technique

Industry:
Energy

ChatGPT TTPs:
do not use without manual check
T1027, T1057, T1071.001, T1132.001, T1140, T1195.002, T1218.011, T1497.001, T1562.001, T1566.002, have more...

IOCs:
File: 26

Soft:
Microsoft Visual Studio, qemu

Wallets:
harmony_wallet, exodus_wallet

Algorithms:
xxtea, crc-32, xor, base64

Functions:
WriteConsoleW, logDiskSpace

Win API:
NtQuerySystemInformation, GetSystemFirmwareTable, IsDebuggerPresent, NTCLose, NtSetInformationThread, NtAllocateVirtualMemory, GetTempFileNameA

Links:
https://github.com/Invoke-RE/community-malware-research/blob/main/Research/Loaders/Scavenger/IOCs.md
https://github.com/JustasMasiulis/xorstr/tree/master
have more...
https://github.com/hexamine22

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Scavenger Loader использует скомпрометированный пакет NPM для проникновения в системы, используя методы антианализа и динамического разрешения функций. Она взаимодействует с серверами C2 по протоколу HTTP, используя зашифрованные ключи и динамическую полезную нагрузку для извлечения конфиденциальных данных, включая файлы конфигурации npm.
-----

Вредоносная программа Scavenger Loader нацелена на жертв с помощью скомпрометированного пакета NPM eslint-config-prettier, который был распространен после фишинговой атаки на его разработчика. После запуска вредоносная программа использует различные методы антианализа, чтобы избежать обнаружения. Он определяет технические характеристики системы и проверяет наличие определенного каталога, указывая, был ли компьютер уже взломан. Вредоносная программа предназначена для определения того, запущена ли она в консольной среде, и использует механизмы защиты от виртуальных машин.

Функциональность основного загрузчика заключена в единую монолитную функцию, которая включает в себя проверку пользовательских перехватчиков — общих индикаторов присутствия антивируса и EDR — в таких функциях, как IsDebuggerPresent и NTCLose. Загрузчик компилируется в виде библиотеки DLL, и его точка входа запускает основные процессы загрузчика в отдельном потоке. Примечательно, что вредоносная программа использует динамическое разрешение функций во время выполнения, что является отклонением от традиционной тактики вредоносных программ, которые обычно разрешают функции заранее.

Для связи с серверами управления (C2) Scavenger Loader выполняет HTTP-запросы с использованием библиотеки C++ libcurl, пытаясь связаться с рядом жестко запрограммированных доменов C2. Он создает сеансовый ключ с помощью комбинации полученных ключей в кодировке Base64 и статических значений, используя блочный шифр XXTEA для защиты связи. Если ожидаемый ответ от C2 не соответствует проверочным проверкам, загрузчик перезапускает свои проверки для предотвращения анализа.

После запуска вредоносная программа запрашивает у C2 доступную полезную нагрузку в формате JSON, которая определяет ее поведение в зависимости от среды зараженной системы. Загрузчик может загружать различные модули-перехватчики, которые собирают конфиденциальные данные на основе определенных конфигураций. Эти модули зашифрованы и загружаются через определенную структуру URL-адресов, а после расшифровки могут быть запущены или загружены в виде DLL-файлов.

Кроме того, Scavenger Loader извлекает файлы конфигурации npm из системы жертвы, которые часто содержат конфиденциальные токены аутентификации, которые могут еще больше усложнить сценарий атаки. Наблюдаемые методы компрометации цепочки поставок указывают на более широкую тенденцию, при которой вредоносное ПО распространяется через законные программные зависимости, что подчеркивает важность бдительности при управлении модулями и их внедрении.

#ParsedReport #CompletenessMedium
23-07-2025

From Help Desk to Hypervisor: Defending Your VMware vSphere Estate from UNC3944

https://cloud.google.com/blog/topics/threat-intelligence/defending-vsphere-from-unc3944/

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: sabotage, financially_motivated)

Threats:
Lolbin_technique
Kerberoasting_technique
Winrm_tool
Teleport_tool

Industry:
Aerospace, Retail, Healthcare, Transport

Geo:
America

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1020, T1021, T1047, T1070, T1078, T1087, T1098, T1106, T1136, have more...

IOCs:
File: 21

Soft:
Active Directory, ESXi, PostgreSQL, Linux, HashiCorp Vault, cURL, sudo, Debian, systemd, vSphere client, have more...

Algorithms:
sha256

Functions:
assert_running_as_root

Languages:
powershell

Links:
https://github.com/lamw/vcenter-event-mapping/blob/master/vsphere-7.0u3.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года финансово мотивированный хакер UNC3944 использовал социальную инженерию и тактику "жизни за пределами земли", нацелившись на такие сектора, как розничная торговля и авиалинии, используя слабые процедуры службы поддержки для первоначального доступа. Они получили контроль над средами vSphere, внедряя программы-вымогатели непосредственно с хостов ESXi, обходя традиционные меры безопасности, что привело к масштабному шифрованию данных и административному захвату. Стратегии смягчения последствий включают расширенное ведение журнала, строгие протоколы сброса паролей и защиту от фишинга MFA для повышения безопасности и предотвращения подобных атак.
-----

В середине 2025 года Google Threat Intelligence Group (GITG) обнаружила агрессивную киберкампанию UNC3944, финансово мотивированной хакерской группы, нацеленной на такие секторы, как розничная торговля, авиалинии и страхование. Эта группа известна своей изощренной тактикой, в частности стратегией "жизни за пределами земли" (LoTL), которая предполагает использование законных административных инструментов и процессов для проведения атак. Их методология атаки начинается с тактики социальной инженерии, такой как выдача себя за сотрудников, чтобы заставить сотрудников службы поддержки сбросить пароли Active Directory и, таким образом, получить первоначальный доступ к корпоративным сетям.

Как только доступ получен, группа проводит внутреннюю разведку в поисках конфиденциальной информации, хранящейся на сетевых ресурсах, или скомпрометированных решений для хранения паролей. Используя слабые процедуры службы поддержки, UNC3944 устраняет необходимость в сложных методах взлома, позволяя незаметно получить доступ к привилегированным учетным записям администратора. Затем злоумышленники получают доступ к средам vSphere, манипулируя Active Directory и используя такие инструменты, как графический интерфейс сервера vCenter, для достижения широкого контроля над виртуальной инфраструктурой.

Важно отметить, что атаки UNC3944 выявили критическую оплошность: недостаточную видимость среды vSphere, в которой традиционные меры безопасности конечных точек оказываются неэффективными. хакеры эффективно используют гипервизоры, внедряя программы-вымогатели непосредственно с хоста ESXi, что позволяет им шифровать файлы виртуальной машины и отключать возможности резервного копирования, не вызывая обычных предупреждений. Это потенциально может привести к полному административному захвату с минимальным количеством улик, оставленных судебно-медицинской экспертизой.

Для снижения этих рисков крайне важно принять несколько мер обнаружения. Организации должны внедрить надежное ведение журнала событий vCenter и аудит узлов ESXi, сопоставлять сброс паролей Active Directory и отслеживать аномальное поведение, указывающее на разведку, например, подозрительные входы в систему или массовый доступ к конфиденциальным файлам. Также особое внимание уделяется обеспечению более строгих мер безопасности, включая запрет на сброс пароля по телефону для привилегированных учетных записей, внедрение многофакторной аутентификации, защищенной от фишинга (MFA), и установление четких процедур проверки личности.

В результате таких взломов хакеры часто уничтожают системы резервного копирования, чтобы гарантировать невозможность восстановления данных после атаки. Это усугубляется отсутствием административного уровня, когда одни и те же учетные записи управляют как виртуализацией, так и резервным копированием, что приводит к уязвимостям.

#ParsedReport #CompletenessMedium
23-07-2025

Interlock Ransomware Analysis, Simulation, and Mitigation - CISA Alert AA25-203A

https://www.picussecurity.com/resource/blog/cisa-alert-aa25-203a-interlock-ransomware-analysis

Report completeness: Medium

Threats:
Interlock
Fakecaptcha_technique
Clickfix_technique
Cobalt_strike_tool
Anydesk_tool
Putty_tool
Credential_harvesting_technique
Lumma_stealer
Berserkstealer
Azcopy_tool
Kerberoasting_technique
Interlockrat
Systembc
Nodesnake
Blackbasta
Rhysida
Ransomware.linux
Kryptik
Wacapew
Deathransom
Ransom/win32.rapidstop.d

Industry:
Critical_infrastructure

Geo:
America

TTPs:
Tactics: 12
Technics: 23

IOCs:
File: 6

Soft:
ChatGPT, AnyConnect, Chrome, Linux, WinSCP

Algorithms:
base64, aes

Functions:
remove, Get-PSDrive, Get-Service

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock, действующая с сентября 2024 года, нацелена на критически важную инфраструктуру, используя тактику двойного вымогательства, шифрования данных и угрозы утечки. Первоначальный доступ к ней осуществляется с помощью скачиваний с мобильных устройств и социальной инженерии, а разведка и кража учетных данных осуществляются с помощью таких инструментов, как Cobalt Strike и Lumma. Программа-вымогатель использует AES и RSA для шифрования и избегает обнаружения, маскируясь; для безопасной передачи данных при эксфильтрации используются AzCopy и WinSCP.
-----

Программа-вымогатель Interlock, финансово мотивированная хакерская группа, впервые обнаруженная в сентябре 2024 года, известна своими оппортунистическими атаками на критически важную инфраструктуру и различные секторы в Северной Америке и Европе. С конца 2024 года они проводят атаки, которые носят особенно разрушительный характер, особенно затрагивая виртуализированные среды, работающие как на операционных системах Windows, так и на Linux. Злоумышленники используют тактику двойного вымогательства, при которой они не только шифруют данные жертв, но и угрожают утечкой конфиденциальной информации, если их требования о выкупе не будут выполнены. Их переговорный процесс уникален; вместо того, чтобы изначально предоставлять конкретные суммы выкупа, они присваивают жертвам уникальный идентификатор для связи на платформах на базе Tor, демонстрируя свою приверженность усилению давления на цели, не соблюдающие требования.

Первоначальный доступ для блокировки можно получить с помощью передовых методов, в том числе путем скачивания с взломанных веб-сайтов и метода, называемого ClickFix. Эта тактика использует социальную инженерию, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, замаскированные под законные операции, такие как ввод КАПЧИ. Получив доступ, операторы вредоносного ПО проводят тщательную разведку и используют инструменты удаленного доступа, такие как Cobalt Strike, AnyDesk и PuTTY. Они также используют устройства для кражи учетных данных, такие как Lumma и Berserk, для сбора информации, а также множество регистраторов нажатий клавиш для перехвата конфиденциальных данных.

Чтобы обеспечить устойчивость в сетях жертвы, операторы блокировки вносят изменения в реестр и размещают вредоносные двоичные файлы в папке запуска Windows. Примечательно, что программа-вымогатель маскируется под законные файлы, такие как conhost.exe, чтобы избежать обнаружения. После проникновения злоумышленники повышают привилегии, потенциально используя Kerberoasting для таргетинга на учетные записи с высокими привилегиями. В процессе шифрования используется комбинация алгоритмов AES и RSA, к уязвимым файлам добавляются расширения .interlock или .1nt3rlock, а исходный двоичный файл программы-вымогателя часто удаляется после выполнения, чтобы устранить криминалистические следы.

Утечка данных обычно осуществляется с помощью таких инструментов, как AzCopy, которые загружают украденные файлы в хранилище Azure, управляемое злоумышленниками. Кроме того, они могут использовать средства передачи файлов, такие как WinSCP, для безопасного перемещения данных. Программа-вымогатель Interlock подчеркивает свою постоянную угрозу, внедряя пользовательские трояны для удаленного доступа (RATs) и средства управления коммуникациями (C2). Разработанные группой методики подчеркивают важность надежных мер безопасности для организаций, подверженных риску подобных атак.

#ParsedReport #CompletenessLow
23-07-2025

Gunra Ransomware Threat Emerges as New Ransomware DLS Collection Status

https://asec.ahnlab.com/ko/89153/

Report completeness: Low

Threats:
Gunra
Conti
Blackbasta
Shadow_copies_delete_technique

Industry:
E-commerce, Government

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1486, T1490

IOCs:
Command: 1
File: 2
Hash: 5

Algorithms:
chacha20, md5