#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года финансово мотивированный хакер UNC3944 использовал социальную инженерию и тактику "жизни за пределами земли", нацелившись на такие сектора, как розничная торговля и авиалинии, используя слабые процедуры службы поддержки для первоначального доступа. Они получили контроль над средами vSphere, внедряя программы-вымогатели непосредственно с хостов ESXi, обходя традиционные меры безопасности, что привело к масштабному шифрованию данных и административному захвату. Стратегии смягчения последствий включают расширенное ведение журнала, строгие протоколы сброса паролей и защиту от фишинга MFA для повышения безопасности и предотвращения подобных атак.
-----

В середине 2025 года Google Threat Intelligence Group (GITG) обнаружила агрессивную киберкампанию UNC3944, финансово мотивированной хакерской группы, нацеленной на такие секторы, как розничная торговля, авиалинии и страхование. Эта группа известна своей изощренной тактикой, в частности стратегией "жизни за пределами земли" (LoTL), которая предполагает использование законных административных инструментов и процессов для проведения атак. Их методология атаки начинается с тактики социальной инженерии, такой как выдача себя за сотрудников, чтобы заставить сотрудников службы поддержки сбросить пароли Active Directory и, таким образом, получить первоначальный доступ к корпоративным сетям.

Как только доступ получен, группа проводит внутреннюю разведку в поисках конфиденциальной информации, хранящейся на сетевых ресурсах, или скомпрометированных решений для хранения паролей. Используя слабые процедуры службы поддержки, UNC3944 устраняет необходимость в сложных методах взлома, позволяя незаметно получить доступ к привилегированным учетным записям администратора. Затем злоумышленники получают доступ к средам vSphere, манипулируя Active Directory и используя такие инструменты, как графический интерфейс сервера vCenter, для достижения широкого контроля над виртуальной инфраструктурой.

Важно отметить, что атаки UNC3944 выявили критическую оплошность: недостаточную видимость среды vSphere, в которой традиционные меры безопасности конечных точек оказываются неэффективными. хакеры эффективно используют гипервизоры, внедряя программы-вымогатели непосредственно с хоста ESXi, что позволяет им шифровать файлы виртуальной машины и отключать возможности резервного копирования, не вызывая обычных предупреждений. Это потенциально может привести к полному административному захвату с минимальным количеством улик, оставленных судебно-медицинской экспертизой.

Для снижения этих рисков крайне важно принять несколько мер обнаружения. Организации должны внедрить надежное ведение журнала событий vCenter и аудит узлов ESXi, сопоставлять сброс паролей Active Directory и отслеживать аномальное поведение, указывающее на разведку, например, подозрительные входы в систему или массовый доступ к конфиденциальным файлам. Также особое внимание уделяется обеспечению более строгих мер безопасности, включая запрет на сброс пароля по телефону для привилегированных учетных записей, внедрение многофакторной аутентификации, защищенной от фишинга (MFA), и установление четких процедур проверки личности.

В результате таких взломов хакеры часто уничтожают системы резервного копирования, чтобы гарантировать невозможность восстановления данных после атаки. Это усугубляется отсутствием административного уровня, когда одни и те же учетные записи управляют как виртуализацией, так и резервным копированием, что приводит к уязвимостям.

#ParsedReport #CompletenessMedium
23-07-2025

Interlock Ransomware Analysis, Simulation, and Mitigation - CISA Alert AA25-203A

https://www.picussecurity.com/resource/blog/cisa-alert-aa25-203a-interlock-ransomware-analysis

Report completeness: Medium

Threats:
Interlock
Fakecaptcha_technique
Clickfix_technique
Cobalt_strike_tool
Anydesk_tool
Putty_tool
Credential_harvesting_technique
Lumma_stealer
Berserkstealer
Azcopy_tool
Kerberoasting_technique
Interlockrat
Systembc
Nodesnake
Blackbasta
Rhysida
Ransomware.linux
Kryptik
Wacapew
Deathransom
Ransom/win32.rapidstop.d

Industry:
Critical_infrastructure

Geo:
America

TTPs:
Tactics: 12
Technics: 23

IOCs:
File: 6

Soft:
ChatGPT, AnyConnect, Chrome, Linux, WinSCP

Algorithms:
base64, aes

Functions:
remove, Get-PSDrive, Get-Service

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Interlock, действующая с сентября 2024 года, нацелена на критически важную инфраструктуру, используя тактику двойного вымогательства, шифрования данных и угрозы утечки. Первоначальный доступ к ней осуществляется с помощью скачиваний с мобильных устройств и социальной инженерии, а разведка и кража учетных данных осуществляются с помощью таких инструментов, как Cobalt Strike и Lumma. Программа-вымогатель использует AES и RSA для шифрования и избегает обнаружения, маскируясь; для безопасной передачи данных при эксфильтрации используются AzCopy и WinSCP.
-----

Программа-вымогатель Interlock, финансово мотивированная хакерская группа, впервые обнаруженная в сентябре 2024 года, известна своими оппортунистическими атаками на критически важную инфраструктуру и различные секторы в Северной Америке и Европе. С конца 2024 года они проводят атаки, которые носят особенно разрушительный характер, особенно затрагивая виртуализированные среды, работающие как на операционных системах Windows, так и на Linux. Злоумышленники используют тактику двойного вымогательства, при которой они не только шифруют данные жертв, но и угрожают утечкой конфиденциальной информации, если их требования о выкупе не будут выполнены. Их переговорный процесс уникален; вместо того, чтобы изначально предоставлять конкретные суммы выкупа, они присваивают жертвам уникальный идентификатор для связи на платформах на базе Tor, демонстрируя свою приверженность усилению давления на цели, не соблюдающие требования.

Первоначальный доступ для блокировки можно получить с помощью передовых методов, в том числе путем скачивания с взломанных веб-сайтов и метода, называемого ClickFix. Эта тактика использует социальную инженерию, чтобы обманом заставить пользователей запускать вредоносные сценарии PowerShell, замаскированные под законные операции, такие как ввод КАПЧИ. Получив доступ, операторы вредоносного ПО проводят тщательную разведку и используют инструменты удаленного доступа, такие как Cobalt Strike, AnyDesk и PuTTY. Они также используют устройства для кражи учетных данных, такие как Lumma и Berserk, для сбора информации, а также множество регистраторов нажатий клавиш для перехвата конфиденциальных данных.

Чтобы обеспечить устойчивость в сетях жертвы, операторы блокировки вносят изменения в реестр и размещают вредоносные двоичные файлы в папке запуска Windows. Примечательно, что программа-вымогатель маскируется под законные файлы, такие как conhost.exe, чтобы избежать обнаружения. После проникновения злоумышленники повышают привилегии, потенциально используя Kerberoasting для таргетинга на учетные записи с высокими привилегиями. В процессе шифрования используется комбинация алгоритмов AES и RSA, к уязвимым файлам добавляются расширения .interlock или .1nt3rlock, а исходный двоичный файл программы-вымогателя часто удаляется после выполнения, чтобы устранить криминалистические следы.

Утечка данных обычно осуществляется с помощью таких инструментов, как AzCopy, которые загружают украденные файлы в хранилище Azure, управляемое злоумышленниками. Кроме того, они могут использовать средства передачи файлов, такие как WinSCP, для безопасного перемещения данных. Программа-вымогатель Interlock подчеркивает свою постоянную угрозу, внедряя пользовательские трояны для удаленного доступа (RATs) и средства управления коммуникациями (C2). Разработанные группой методики подчеркивают важность надежных мер безопасности для организаций, подверженных риску подобных атак.

#ParsedReport #CompletenessLow
23-07-2025

Gunra Ransomware Threat Emerges as New Ransomware DLS Collection Status

https://asec.ahnlab.com/ko/89153/

Report completeness: Low

Threats:
Gunra
Conti
Blackbasta
Shadow_copies_delete_technique

Industry:
E-commerce, Government

Geo:
Ukrainian, Russian

ChatGPT TTPs:
do not use without manual check
T1486, T1490

IOCs:
Command: 1
File: 2
Hash: 5

Algorithms:
chacha20, md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra, появившаяся в апреле 2025 года, демонстрирует сходство кода с Conti и оказывает давление на жертв, заставляя их вести переговоры в течение пяти дней. Он шифрует файлы, удаляет теневые копии и предоставляет уведомления о требовании выкупа, подчеркивая растущую угрозу программ-вымогателей и необходимость принятия надежных мер безопасности.
-----

AhnLab TIP обеспечивает детальный мониторинг активности групп вымогателей, уделяя особое внимание их присутствию на форумах и торговых площадках. Платформа позволяет пользователям отслеживать тенденции среди наиболее активных групп вымогателей, что может помочь в прогнозировании целенаправленных атак и совершенствовании мер по выявлению внутренних угроз. Такой упреждающий подход является ключом к предотвращению потенциального ущерба от подобных атак. В первой половине 2025 года появилось несколько групп программ-вымогателей, которые, в частности, создали новые специализированные сайты для утечки информации (DLS). Одна особенно опасная группа, Gunra ransomware, была идентифицирована в связи с ее деятельностью, начавшейся 10 апреля 2025 года, и примечательна тем, что демонстрирует сходство кода с ранее печально известной программой-вымогателем Conti.

По оценкам экспертов, Gunra частично использовала исходный код Conti, а также усовершенствовала свой подход к переговорам и тактике социальной инженерии. В частности, Gunra использует стратегию, которая заставляет жертв начать переговоры в строго установленный пятидневный срок, что отличает ее от многих аналогичных программ-вымогателей. В блоге подробно описывается процесс работы программы-вымогателя Gunra, раскрывается ее метод шифрования файлов и подход к управлению системными ресурсами. В блоге создается поток, посвященный шифрованию файлов, на основе количества логических ядер процессора, обнаруженных на зараженной машине. После шифрования Gunra пытается удалить теневые копии томов зараженной системы, чтобы затруднить восстановление.

Кроме того, Gunra генерирует уведомление о требовании выкупа под названием "R3ADM3.txt" в папке, содержащей зашифрованные файлы, в соответствии с типичными протоколами программ-вымогателей, предлагая жертвам посетить указанный сайт для получения инструкций по оплате, которые облегчат расшифровку. Растущее число сайтов, использующих DLS-программы-вымогатели, представляет все большую угрозу безопасности как для частных лиц, так и для организаций. Следовательно, для защиты критически важных активов рекомендуется использовать ряд строгих протоколов безопасности. К ним относятся резервное копирование важных данных в удаленное хранилище, отключенное от основной сервисной сети, обеспечение надежного контроля доступа и проведение регулярных тренировок по восстановлению хранилища резервных копий. Организации нуждаются не только в резервном копировании, но и в комплексной стратегии реагирования для повышения целостности и возможностей восстановления своих систем резервного копирования.

#ParsedReport #CompletenessLow
23-07-2025

Surveillance Malware Hidden in npm and PyPI Packages Targets Developers with Keyloggers, Webcam Capture, and Credential Theft

https://socket.dev/blog/surveillance-malware-hidden-in-npm-and-pypi-packages

Report completeness: Low

Threats:
Credential_harvesting_technique
Supply_chain_technique

Victims:
Developers, Users

TTPs:

IOCs:
File: 23
Url: 3

Soft:
Outlook, Slack, Gmail, Node.js

Functions:
setCookie

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Четыре вредоносных пакета для npm и PyPI, которые были загружены более чем 56 000 раз, используются в качестве вредоносных программ для наблюдения, позволяющих вести кейлоггинг, захват экрана и кражу учетных данных. В пакетах используются такие методы, как самовоспроизведение, уклонение от обнаружения и утечка данных по электронной почте, конечные точки C2, веб-узлы и обфускация, чтобы избежать проверки безопасности и выявления уязвимостей в цепочках поставок программного обеспечения.
-----

Исследование Socket выявило четыре вредоносных пакета в реестре npm и индексе пакетов Python (PyPI), общее количество загрузок которых превысило 56 000. Эти пакеты служат проводниками вредоносных программ для слежки, которые компрометируют среду пользователей, интегрируя функции для ведения кейлоггинга, захвата экрана, доступа к веб-камере и кражи учетных данных. Выявленное вредоносное ПО относится к категории вредоносных программ для наблюдения, которые характеризуются скрытыми операциями по мониторингу и извлечению пользовательских данных без согласия пользователя, что отличает его от традиционного шпионского ПО.

Первый проблемный пакет, vfunctions, представляет собой инструмент наблюдения на PyPI, который не только захватывает изображения с веб-камеры, но и обладает возможностями самовоспроизведения в файлах Python. Он обеспечивает постоянство, копируя себя в папку запуска Windows, и использует протоколы SMTP, часто с помощью жестко заданных учетных данных, для отправки данных на адреса электронной почты, контролируемые хакерами.

Другой пакет, dpsdatahub, маскируется под законную утилиту управления данными, в то же время тайно внедряя постоянный кейлоггер. Этот кейлоггер отслеживает вводимые пользователем данные, собирает данные сеанса и отправляет эту информацию на конечную точку управления (C2) каждые пять секунд. Вредоносная программа отслеживает системные данные, собирая важные данные, такие как характеристики браузера и оборудования, и избегая обнаружения за счет использования сетевых запросов, не связанных с cors.

Пакет nodejs-backpack, замаскированный под инструмент разработки для Node.js, выполняет несанкционированное профилирование и захватывает скриншоты. Фильтрация системных метаданных происходит через веб-интерфейс Slack, при этом код предназначен для маскировки конечной точки путем фрагментации URL-адреса, что позволяет избежать статического обнаружения. Он включает в себя законные функциональные возможности для поддержания видимости полезности, что еще больше повышает его потенциал для использования.

Наконец, в пакете m0m0x01d используется браузерный кейлоггинг с упором на формы входа в систему, который позволяет отфильтровывать захваченные нажатия клавиш с помощью сложного двухэтапного механизма, включающего ретрансляцию почтовых сообщений и несколько конечных точек в Burp Collaborator. Такая конструкция позволяет вредоносному ПО маскировать свои действия в рамках законных средств тестирования на проникновение, тем самым избегая элементарного контроля безопасности при осуществлении своей вредоносной деятельности.

Обнаружение этих вредоносных пакетов выявляет уязвимости в цепочках поставок программного обеспечения, подчеркивая важность упреждающих мер и надежных технологий безопасности. Методы, используемые в этих пакетах, включают в себя компрометацию цепочки поставок, маскировку, действия пользователя и различные формы утечки данных. Этот анализ подчеркивает постоянный риск, связанный с вредоносными зависимостями, и подчеркивает необходимость проявлять бдительность при разработке и внедрении для защиты от таких сложных угроз.

#ParsedReport #CompletenessMedium
23-07-2025

Researching a new loader running TorNet and PureHVNC

https://sect.iij.ad.jp/blog/2025/07/loader-executing-tornet-and-purehvnc/

Report completeness: Medium

Threats:
Tornet
Purehvnc_tool
Bloat_technique
Dll_sideloading_technique
Junk_code_technique
Lumma_stealer
Unicorn_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1056.001, T1059.001, T1071.001, T1082, T1105, T1547.001, T1566.001, T1571, have more...

IOCs:
File: 16
Hash: 9
Registry: 1
Path: 1

Soft:
net framework, task scheduler

Algorithms:
lzma, zip, sha256, aes-128-ecb, aes, base64, murmur2, aes-256-cbc, gzip

Functions:
main

Win API:
LoadLibraryA, CreateProcessA, VirtualAllocEx, WriteProcessMemory, SetThreadContext, ResumeThread, SetThreadExecutionState

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 12, dump: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года был обнаружен новый загрузчик, который облегчает запуск двух типов вредоносных программ, TorNet и PureHVNC, используя передовые технологии, такие как дополнительная загрузка DLL и хеширование API с помощью MurmurHash2. TorNet действует как загрузчик, использующий сеть TOR, в то время как PureHVNC - это RAT с расширенными возможностями наблюдения, что указывает на растущую сложность вредоносного ПО.
-----

В мае 2025 года на VirusTotal был загружен ранее незаметный загрузчик, заключенный в ZIP-файл, который включал в себя легальный исполняемый файл и вредоносную DLL-библиотеку, а также другие файлы, предназначенные для сокрытия его истинного назначения. Загрузчик продемонстрировал уникальные характеристики, запустив два специфических типа вредоносных программ: TorNet и PureHVNC. В нем использовалось хеширование API с помощью специального алгоритма MurmurHash2 и была реализована дополнительная загрузка DLL-библиотеки, чтобы загрузить вредоносный компонент, маскируясь при этом законной цифровой подписью.

Вредоносный загрузчик устанавливает атрибуты, позволяющие ему скрываться от стандартных файловых обозревателей, тем самым ограничивая видимость пользователя и создавая путь для сохранения данных путем внесения изменений в реестр. Примечательно, что он использует бессмысленные вызовы функций в обход ключевых взаимодействий с API в качестве средства защиты от анализа, что усложняет отслеживание его операций. Загрузчик хэширует имена API с определенным начальным значением, что также наблюдалось в известных предыдущих вредоносных программах, что указывает на возможную эволюцию методов вредоносного кодирования.

После активации загрузчик внедряет два типа вредоносных программ. TorNet работает как загрузчик, который использует сеть TOR для связи с серверами управления (C2). В нем используется протокол конфигурации, который предусматривает десериализацию с помощью буферов протоколов, что указывает на структурированный подход к безопасному управлению конфигурациями, такими как адреса серверов. Этот метод подчеркивает необходимость использования сложных методов шифрования, включая AES-256-CBC для первоначального хранения и DES3-ECB для последующей передачи данных.

PureHVNC, классифицируемый как троян удаленного доступа (RAT), аналогичным образом использует декодирование и десериализацию base64, обеспечивая постоянный доступ к зараженным устройствам. Его способность собирать информацию об устройстве и передавать ее обратно на сервер C2 расширяет возможности активного наблюдения. Оба типа вредоносных программ демонстрируют сходство в своем дизайне и операционных целях, что указывает на потенциальную связь между их разработчиками.

Анализ этих двух типов вредоносных программ выявил изменения в стратегиях сохранения в PureHVNC, в результате чего были удалены опции хранения в реестре, чтобы избежать судебной экспертизы. Несмотря на то, что функциональные возможности загрузчика не являются полностью новыми, его инновационная интеграция одновременной загрузки вредоносных программ и уникальных методов хэширования свидетельствует о растущей искушенности хакеров, что требует повышенного внимания и готовности к будущим вариантам подобных атак. В исследовании подчеркивается необходимость того, чтобы специалисты по анализу угроз сохраняли бдительность, поскольку методы, рассмотренные здесь, могут проявиться вновь или спровоцировать более сложные кибератаки.

#ParsedReport #CompletenessMedium
24-07-2025

Threat actors go gaming: Electron-based stealers in disguise

https://www.acronis.com/en-us/tru/posts/threat-actors-go-gaming-electron-based-stealers-in-disguise/

Report completeness: Medium

Threats:
Hexon
Cooee
Findzip
Growtopia

Victims:
Individuals, Gamers, Discord users

Industry:
Entertainment

Geo:
Turkish, Brazil, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1071.001, T1078, T1083, T1105, T1176, T1204.001, T1204.002, have more...

IOCs:
Url: 7
File: 31
Hash: 33

Soft:
Discord, Electron, Node.js, Chromium, Slack, Microsoft Teams, Telegram, Steam, Android, macOS, have more...

Algorithms:
sha256, zip

Languages:
javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, использующая Leet Stealer, RMC Stealer и Sniffer Stealer, нацелена на геймеров через установщиков поддельных игр, используя социальную инженерию и Discord для распространения. Эти инфокрады собирают конфиденциальную информацию, такую как данные браузера и токены Discord, что приводит к несанкционированному доступу и финансовым потерям. Кампания подчеркивает использование передовых методов обфускации и вредоносных программ в качестве сервиса, что указывает на эволюцию хакеров.
-----

Подразделение Acronis по исследованию угроз выявило вредоносную кампанию с использованием Leet Stealer, RMC Stealer и Sniffer Stealer, продаваемых как инди-игры. Эти разновидности вредоносного ПО распространяются через мошеннические веб-сайты и поддельные каналы YouTube, в основном через Discord. Кампания использует социальную инженерию, чтобы заставить пользователей загружать вредоносные программы, замаскированные под программы для установки игр. Вредоносное ПО работает как инфокрад, извлекая конфиденциальную информацию, такую как данные браузера, цифровые учетные данные и токены Discord. Жертвы сталкиваются с несанкционированным доступом к учетной записи, финансовыми потерями и попытками вымогательства. Программа RMC Stealer содержала незашифрованный исходный код, который помогал в анализе поведения. Распространение вредоносных программ все чаще использует Discord, особенно для приложений на базе электронных устройств. Leet Stealer, представленный в конце 2024 года, предлагает вредоносное ПО в качестве услуги и активно разрабатывается, включая его разновидности. Вводящие в заблуждение разработчики игр утверждали, что они подключены к законным платформам, таким как Steam. Большинство образцов были получены из Бразилии, что указывает на локальные атаки, но с международным охватом через игровые платформы. Установщик Baruda Quest создавал проблемы с обнаружением из-за большого размера файла и эффективной обфускации; он использовал установщик Nullsoft с вредоносным JavaScript в app.asar. Вредоносная программа использовала методы обхода "песочницы" для отслеживания системных показателей. Она собирает конфиденциальные данные из браузеров и учетных записей Discord, позволяя злоумышленникам захватывать учетные записи без паролей. Вредоносная программа также может загружать дополнительные вредоносные программы, что указывает на потенциал для масштабных атак. Кампания демонстрирует эволюцию тактики, сочетающую технические и психологические манипуляции с целью эксплуатации пользователей.

#ParsedReport #CompletenessHigh
24-07-2025

Unmasking the new Chaos RaaS group attacks

https://blog.talosintelligence.com/new-chaos-ransomware/

Report completeness: High

Actors/Campaigns:
Chaos_raas (motivation: cyber_criminal, financially_motivated)

Threats:
Chaos_ransomware
Blacksuit_ransomware
Royal_ransomware
Lolbin_technique
Microsoft_quick_assist_tool
Nltest_tool
Atexec_tool
Impacket_tool
Anydesk_tool
Screenconnect_tool
Optitune_tool
Syncro_tool
Splashtop_tool
Kerberoasting_technique
Shadow_copies_delete_technique

Industry:
Government

Geo:
New zealand, India

TTPs:
Tactics: 8
Technics: 2

IOCs:
Email: 1
File: 20
Command: 4
Registry: 1
IP: 2
Path: 2
Hash: 3

Soft:
ESXi, Linux, Windows delivery optimization, Windows registry, active directory, GoodSync, Photoshop, Microsoft Outlook, Hyper-V, OpenSSH, have more...

Algorithms:
ecdh, curve25519, aes-256, ecc, xor

Functions:
Set-Location

Languages:
powershell

Platforms:
cross-platform, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/07/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Chaos, входящая в группу RaaS, использует тактику двойного вымогательства, используя спам и социальную инженерию для получения доступа. Особенности включают многопоточное шифрование AES-256, методы антианализа и кроссплатформенный таргетинг. Группа использует инструменты RMM для сохранения и эксфильтрации данных, демонстрируя расширенные возможности уклонения от уплаты налогов и ориентируясь на предприятия в США.
-----

Cisco Talos Incident Response (Talos IR) сообщила о серии атак, совершенных новой группой программ-вымогателей (RaaS), известной как Chaos, которая занимается охотой на крупную дичь с помощью тактики двойного вымогательства. Было замечено, что участники хаоса используют начальные спам-кампании с минимальными усилиями, которые перерастают в социальную инженерию на основе голоса для получения несанкционированного доступа. После компрометации целей они используют инструменты удаленного мониторинга и управления (RMM) для обеспечения постоянных подключений и полагаются на законные приложения для обмена файлами для извлечения конфиденциальных данных. Программа-вымогатель отличается многопоточным быстрым выборочным шифрованием и использует многочисленные методы антианализа, направляя свои атаки как на локальные, так и на сетевые ресурсы.

Программа-вымогатель Chaos использует гибридный криптографический процесс, используя эллиптическую кривую Диффи-Хеллмана (ECDH) в сочетании с AES-256 для шифрования файлов. Группа реализует уникальные ключи шифрования для каждого файла и использует сложные конфигурации командной строки во время операций, чтобы оптимизировать скорость работы, не подвергая риску данные. Операция шифрования сопровождается изменением расширения файла, в результате чего к зашифрованным файлам добавляется ".chaos". Талос с умеренной уверенностью предположил, что в состав этой группировки могут входить бывшие члены банды BlackSuit (Королевской) из-за сходства в командах шифрования и структурах писем с требованием выкупа.

В стратегическом плане Chaos group сделала себе имя, продвигая свою кроссплатформенную программу-вымогатель, совместимую с системами Windows, Linux, ESXi и NAS, и уделяя особое внимание возможностям высокоскоростного шифрования и надежным функциям безопасности. Их деятельность в основном нацелена на предприятия в США, демонстрируя оппортунистический подход без определенной вертикальной направленности. Группа распространяет угрозы в случае неплатежей, включая DDoS-атаки на сервисы жертв и публичное раскрытие украденных данных, что еще больше усиливает давление на жертв.

Технические аспекты их эксплойтов включают манипулирование командами PowerShell, проведение разведки в сетях жертв, чтобы инициировать сбор информации с помощью сведений о контроллере домена и учетных данных пользователя, а также использование существующих законных инструментов для утечки данных. Заслуживающие внимания тактические приемы, которые были замечены в использовании, включают изменение параметров реестра Windows для сокрытия учетных данных для доступа, установку различного программного обеспечения RMM для поддержания присутствия и выполнение сценариев для подготовки среды к дальнейшим атакам.

Программа-вымогатель обладает значительными возможностями обхода средств анализа, такими как прекращение операций при обнаружении сред отладки или изолированных программных блоков, что усложняет работу аналитиков безопасности по обнаружению. Кроме того, он инкапсулирует свои сообщения о выкупе в пользовательский XOR-шифр, чтобы запутать коммуникации, демонстрируя сложный подход к защите данных и операционной безопасности. В целом, появление программы-вымогателя Chaos представляет значительную угрозу в меняющемся мире, поскольку передовые технологии повышают эффективность атак и в то же время затрудняют усилия по смягчению последствий.

#ParsedReport #CompletenessHigh
24-07-2025

Cyber Stealer Analysis: When Your Malware Developer Has FOMO About Features

https://www.esentire.com/blog/cyber-stealer-analysis-when-your-malware-developer-has-fomo-about-features

Report completeness: High

Threats:
Growtopia
Putty_tool
Teamviewer_tool
Anydesk_tool
Dns_amplification_technique
Slowloris_technique
Xmr_miner
Realvnc_tool
Ultra_vnc_tool
Remmina_tool
Radmin_tool

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1056.001, T1059.001, T1071.001, T1078, T1095, T1105, T1112, have more...

IOCs:
Path: 6
Command: 2
File: 16
Registry: 2
Hash: 1
Url: 4

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Opera GX, Vivaldi, Comodo Dragon, Orbitum, Amigo, Torch, Kometa, have more...

Wallets:
atomicwallet, jaxx, electrum, bitcoincore, metamask, coinomi, trezor, daedalus, yoroi, wassabi, have more...

Crypto:
ethereum, cardano, monero, dogecoin, binance, solana, tezos, kucoin, pancakeswap, uniswap, have more...

Algorithms:
zip, sha256, aes, base64, aes-gcm

Functions:
GetMasterKey

Win API:
CryptUnprotectData, GetAsyncKeyState

Languages:
powershell

Platforms:
apple

Links:
https://pastebin.com/u/cyberproduct