#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания, использующая Leet Stealer, RMC Stealer и Sniffer Stealer, нацелена на геймеров через установщиков поддельных игр, используя социальную инженерию и Discord для распространения. Эти инфокрады собирают конфиденциальную информацию, такую как данные браузера и токены Discord, что приводит к несанкционированному доступу и финансовым потерям. Кампания подчеркивает использование передовых методов обфускации и вредоносных программ в качестве сервиса, что указывает на эволюцию хакеров.
-----

Подразделение Acronis по исследованию угроз выявило вредоносную кампанию с использованием Leet Stealer, RMC Stealer и Sniffer Stealer, продаваемых как инди-игры. Эти разновидности вредоносного ПО распространяются через мошеннические веб-сайты и поддельные каналы YouTube, в основном через Discord. Кампания использует социальную инженерию, чтобы заставить пользователей загружать вредоносные программы, замаскированные под программы для установки игр. Вредоносное ПО работает как инфокрад, извлекая конфиденциальную информацию, такую как данные браузера, цифровые учетные данные и токены Discord. Жертвы сталкиваются с несанкционированным доступом к учетной записи, финансовыми потерями и попытками вымогательства. Программа RMC Stealer содержала незашифрованный исходный код, который помогал в анализе поведения. Распространение вредоносных программ все чаще использует Discord, особенно для приложений на базе электронных устройств. Leet Stealer, представленный в конце 2024 года, предлагает вредоносное ПО в качестве услуги и активно разрабатывается, включая его разновидности. Вводящие в заблуждение разработчики игр утверждали, что они подключены к законным платформам, таким как Steam. Большинство образцов были получены из Бразилии, что указывает на локальные атаки, но с международным охватом через игровые платформы. Установщик Baruda Quest создавал проблемы с обнаружением из-за большого размера файла и эффективной обфускации; он использовал установщик Nullsoft с вредоносным JavaScript в app.asar. Вредоносная программа использовала методы обхода "песочницы" для отслеживания системных показателей. Она собирает конфиденциальные данные из браузеров и учетных записей Discord, позволяя злоумышленникам захватывать учетные записи без паролей. Вредоносная программа также может загружать дополнительные вредоносные программы, что указывает на потенциал для масштабных атак. Кампания демонстрирует эволюцию тактики, сочетающую технические и психологические манипуляции с целью эксплуатации пользователей.

#ParsedReport #CompletenessHigh
24-07-2025

Unmasking the new Chaos RaaS group attacks

https://blog.talosintelligence.com/new-chaos-ransomware/

Report completeness: High

Actors/Campaigns:
Chaos_raas (motivation: cyber_criminal, financially_motivated)

Threats:
Chaos_ransomware
Blacksuit_ransomware
Royal_ransomware
Lolbin_technique
Microsoft_quick_assist_tool
Nltest_tool
Atexec_tool
Impacket_tool
Anydesk_tool
Screenconnect_tool
Optitune_tool
Syncro_tool
Splashtop_tool
Kerberoasting_technique
Shadow_copies_delete_technique

Industry:
Government

Geo:
New zealand, India

TTPs:
Tactics: 8
Technics: 2

IOCs:
Email: 1
File: 20
Command: 4
Registry: 1
IP: 2
Path: 2
Hash: 3

Soft:
ESXi, Linux, Windows delivery optimization, Windows registry, active directory, GoodSync, Photoshop, Microsoft Outlook, Hyper-V, OpenSSH, have more...

Algorithms:
ecdh, curve25519, aes-256, ecc, xor

Functions:
Set-Location

Languages:
powershell

Platforms:
cross-platform, x64, intel

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/07/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Chaos, входящая в группу RaaS, использует тактику двойного вымогательства, используя спам и социальную инженерию для получения доступа. Особенности включают многопоточное шифрование AES-256, методы антианализа и кроссплатформенный таргетинг. Группа использует инструменты RMM для сохранения и эксфильтрации данных, демонстрируя расширенные возможности уклонения от уплаты налогов и ориентируясь на предприятия в США.
-----

Cisco Talos Incident Response (Talos IR) сообщила о серии атак, совершенных новой группой программ-вымогателей (RaaS), известной как Chaos, которая занимается охотой на крупную дичь с помощью тактики двойного вымогательства. Было замечено, что участники хаоса используют начальные спам-кампании с минимальными усилиями, которые перерастают в социальную инженерию на основе голоса для получения несанкционированного доступа. После компрометации целей они используют инструменты удаленного мониторинга и управления (RMM) для обеспечения постоянных подключений и полагаются на законные приложения для обмена файлами для извлечения конфиденциальных данных. Программа-вымогатель отличается многопоточным быстрым выборочным шифрованием и использует многочисленные методы антианализа, направляя свои атаки как на локальные, так и на сетевые ресурсы.

Программа-вымогатель Chaos использует гибридный криптографический процесс, используя эллиптическую кривую Диффи-Хеллмана (ECDH) в сочетании с AES-256 для шифрования файлов. Группа реализует уникальные ключи шифрования для каждого файла и использует сложные конфигурации командной строки во время операций, чтобы оптимизировать скорость работы, не подвергая риску данные. Операция шифрования сопровождается изменением расширения файла, в результате чего к зашифрованным файлам добавляется ".chaos". Талос с умеренной уверенностью предположил, что в состав этой группировки могут входить бывшие члены банды BlackSuit (Королевской) из-за сходства в командах шифрования и структурах писем с требованием выкупа.

В стратегическом плане Chaos group сделала себе имя, продвигая свою кроссплатформенную программу-вымогатель, совместимую с системами Windows, Linux, ESXi и NAS, и уделяя особое внимание возможностям высокоскоростного шифрования и надежным функциям безопасности. Их деятельность в основном нацелена на предприятия в США, демонстрируя оппортунистический подход без определенной вертикальной направленности. Группа распространяет угрозы в случае неплатежей, включая DDoS-атаки на сервисы жертв и публичное раскрытие украденных данных, что еще больше усиливает давление на жертв.

Технические аспекты их эксплойтов включают манипулирование командами PowerShell, проведение разведки в сетях жертв, чтобы инициировать сбор информации с помощью сведений о контроллере домена и учетных данных пользователя, а также использование существующих законных инструментов для утечки данных. Заслуживающие внимания тактические приемы, которые были замечены в использовании, включают изменение параметров реестра Windows для сокрытия учетных данных для доступа, установку различного программного обеспечения RMM для поддержания присутствия и выполнение сценариев для подготовки среды к дальнейшим атакам.

Программа-вымогатель обладает значительными возможностями обхода средств анализа, такими как прекращение операций при обнаружении сред отладки или изолированных программных блоков, что усложняет работу аналитиков безопасности по обнаружению. Кроме того, он инкапсулирует свои сообщения о выкупе в пользовательский XOR-шифр, чтобы запутать коммуникации, демонстрируя сложный подход к защите данных и операционной безопасности. В целом, появление программы-вымогателя Chaos представляет значительную угрозу в меняющемся мире, поскольку передовые технологии повышают эффективность атак и в то же время затрудняют усилия по смягчению последствий.

#ParsedReport #CompletenessHigh
24-07-2025

Cyber Stealer Analysis: When Your Malware Developer Has FOMO About Features

https://www.esentire.com/blog/cyber-stealer-analysis-when-your-malware-developer-has-fomo-about-features

Report completeness: High

Threats:
Growtopia
Putty_tool
Teamviewer_tool
Anydesk_tool
Dns_amplification_technique
Slowloris_technique
Xmr_miner
Realvnc_tool
Ultra_vnc_tool
Remmina_tool
Radmin_tool

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1027, T1056.001, T1059.001, T1071.001, T1078, T1095, T1105, T1112, have more...

IOCs:
Path: 6
Command: 2
File: 16
Registry: 2
Hash: 1
Url: 4

Soft:
Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Opera GX, Vivaldi, Comodo Dragon, Orbitum, Amigo, Torch, Kometa, have more...

Wallets:
atomicwallet, jaxx, electrum, bitcoincore, metamask, coinomi, trezor, daedalus, yoroi, wassabi, have more...

Crypto:
ethereum, cardano, monero, dogecoin, binance, solana, tezos, kucoin, pancakeswap, uniswap, have more...

Algorithms:
zip, sha256, aes, base64, aes-gcm

Functions:
GetMasterKey

Win API:
CryptUnprotectData, GetAsyncKeyState

Languages:
powershell

Platforms:
apple

Links:
https://pastebin.com/u/cyberproduct

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cyber Stealer - это модульный инфокрад и ботнет, который собирает конфиденциальные данные с помощью HTTP POST-запросов и может динамически обновлять URL-адрес своего сервера C2. Он использует передовые методы кражи данных, включая кражу криптовалюты и кейлоггинг, при этом избегая механизмов обнаружения. Кроме того, он использует многоуровневую модель подписки и ориентирован на различные приложения, поддерживая постоянное подключение с помощью проверки работоспособности и резервных URL-адресов.
-----

Киберкрад, обнаруженный в мае 2025 года, представляет собой быстро развивающуюся сеть инфокрадов и ботнетов, которая активно обновляется на основе отзывов пользователей на хакерских форумах. Эта вредоносная программа имеет сложную структуру, способную красть различную конфиденциальную информацию, включая пароли, кредитные карты, файлы cookie и многое другое, и сжимать эти украденные данные в zip-архив для отправки на сервер Command & Control (C2) с помощью HTTP POST-запросов.

Вредоносная программа поддерживает постоянную связь со своим C2 с помощью различных механизмов, включая проверку работоспособности и процессы фильтрации данных, и способна динамически обновлять свой URL-адрес C2 с помощью таких сервисов, как Pastebin. Кроме того, она имеет резервный механизм с жестко заданным URL-адресом для обеспечения постоянного подключения. Его модульная конструкция включает в себя передовые инструменты для кражи криптовалют, майнинга, заражения DNS, кейлоггинга и снятия скриншотов, которые управляются с помощью административной панели, позволяющей точно настраивать их в зависимости от потребностей хакеров.

Cyber Stealer работает по многоуровневой модели подписки, предлагая различные пакеты, начиная от базовых функций и заканчивая расширенными возможностями, такими как защита от DDoS-атак и сертификат с электронной подписью для обхода Windows SmartScreen. Вредоносная программа нацелена на широкий спектр приложений, включая веб-браузеры, криптовалютные кошельки, почтовые сервисы и облачные хранилища, что делает ее универсальным инструментом для кражи данных и других вредоносных действий.

Вредоносная программа написана на C#, планируется выпуск версии на C++, и реализует методы, позволяющие избежать обнаружения, помечая диск C:\ как исключительный в защитнике Windows. Она захватывает отпечаток компьютера жертвы, чтобы создать уникальный идентификатор оборудования (HWID) для отслеживания. Cyber Stealer использует устаревшие методы кражи учетных данных, в частности, из браузеров на базе Chromium и популярных приложений, а также пытается собирать информацию из различных игровых клиентов и менеджеров паролей.

Отфильтрованные данные структурированы таким образом, что позволяют хакерам легко просматривать журналы и управлять ими, предоставляя интерфейс для настройки различных вредоносных действий, от отравления DNS до замены буфера обмена для криптовалютных транзакций. Архитектура вредоносного ПО поддерживает оптимизированные операции по загрузке и выполнению произвольных полезных нагрузок, проведению DDoS-атак и развертыванию обратных прокси-серверов, что позволяет злоумышленникам закрепиться в сети жертвы.

#ParsedReport #CompletenessLow
23-07-2025

Toptals GitHub Organization Hijacked: 10 Malicious Packages Published

https://socket.dev/blog/toptal-s-github-organization-hijacked-10-malicious-packages-published

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Toptal, Developer community, Open source projects like prettier, Is package users

TTPs:

IOCs:
File: 1
Url: 2

Soft:
curl, sudo

Links:
https://github.com/toptal/picasso

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент с системой безопасности Toptal выявил 73 незащищенных репозитория GitHub, 10 из которых содержали вредоносный код, нацеленный на токены GitHub с помощью скриптов npm. Этот инцидент свидетельствует об эволюции тактики фишинга в экосистеме npm и тенденции к атакам на цепочки поставок. Ключевые методы включают компрометацию цепочки поставок, кражу учетных данных и уничтожение данных.
-----

Недавнее открытие, сделанное исследовательской группой Socket по изучению угроз, выявило серьезный инцидент с безопасностью, связанный с организацией Toptal на GitHub, где 73 хранилища были открыты для публичного доступа. Было обнаружено, что по меньшей мере 10 из этих хранилищ содержат вредоносный код, специально разработанный для извлечения токенов аутентификации GitHub и выполнения разрушительных действий в системах-жертвах. Вредоносные программы были встроены в файлы package.json этих репозиториев и использовали перехватчики жизненного цикла npm, в частности, для сценариев предварительной и последующей установки. Прежде чем эти скомпрометированные пакеты были обнаружены и удалены, их загрузили около 5000 раз.

Атака основана на двухплатформенной стратегии, позволяющей вредоносному по наносить ущерб независимо от операционной системы жертвы. Инцидент свидетельствует об эволюции методов фишинга в экосистеме npm, при этом злоумышленники могут адаптировать свою стратегию для использования различных целей или экспериментировать с новыми методами уничтожения. Также существует вероятность инсайдерской угрозы, поскольку злоумышленник, имеющий законный доступ, может способствовать одновременному внесению изменений в многочисленные репозитории.

Кроме того, инцидент отражает более широкую тенденцию нацеливания на цепочки поставок, при этом злоумышленники, вероятно, сосредоточились на инструментах разработки и системных пакетах для разработки, чтобы максимизировать свое влияние на несколько организаций. Характеристики компрометации совпадают с недавними атаками на цепочки поставок, такими как фишинговая кампания npm, направленная на проекты с открытым исходным кодом, и захват популярных пакетов npm, в которых особое внимание уделяется сбору учетных данных и использованию действительных учетных записей для распространения вредоносного кода.

Как только компрометация была обнаружена, Toptal быстро отреагировала, отменив версии вредоносных пакетов и вернувшись к стабильным версиям, тем самым снизив вероятность дальнейшего распространения вредоносного кода. Это превентивное реагирование, вероятно, минимизировало дополнительный ущерб в сообществе разработчиков.

Методы, использованные в этой атаке, сопоставленные с различными тактиками MITRE ATT&CK, включают в себя компрометацию цепочки поставок (T1195.002), использование действительных учетных записей (T1078), кражу учетных данных из хранилища паролей (T1555), проникновение по каналам управления (C2) (T1041) и уничтожение данных (T1485). Этот инцидент подчеркивает важность бдительности в цепочках поставок программного обеспечения и потенциальных уязвимостей, присутствующих в популярных пакетах с открытым исходным кодом.

#ParsedReport #CompletenessLow
24-07-2025

APT-C-06 (DarkHotel) attack campaign using malware as bait

https://mp.weixin.qq.com/s/Cx-v95Ua8U7I77-yQFckpA

Report completeness: Low

Actors/Campaigns:
Darkhotel

Threats:
Darkseal
Dll_hijacking_technique
Meterpreter_tool
Thinmon_tool
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1053.005, T1055.001, T1105, T1140, T1195.001, T1204.002, T1574.001, T1620

IOCs:
File: 3
Hash: 3

Soft:
WeChat

Algorithms:
xor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский хакер APT-C-06 использует вредоносные программы установки "hana9.30_x64_9.exe" и "winrar-x64-540.exe" для взлома систем через Baidu Netdisk и USB-накопители. Их полезная нагрузка DarkSeal выполняется через "dllhost.exe", используя для скрытности перехват DLL. В этой кампании особое внимание уделяется функциям начального доступа и промежуточного этапа, в то время как DarkSeal остается постоянным инструментом в продолжающихся атаках APT-C-06.
-----

С октября 2024 года северокорейский хакер APT-C-06 использует программу установки вредоносного метода ввода под названием "hana9.30_x64_9.exe". В июне наблюдалось увеличение числа заражений пользователей, что совпало с появлением дополнительного варианта вредоносного ПО "winrar-x64-540.exe." Эта вредоносная программа получает доступ к целевым компьютерам через такие платформы, как Baidu Netdisk, WeChat и USB flash-накопители, а затем внедряет полезную нагрузку второго этапа, известную как DarkSeal, которая уже несколько лет используется в APT-C-06.

Работа DarkSeal заключается в создании процесса "dllhost.exe" и внедрении в него шелл-кода через удаленный поток. Этот метод эффективно заменяет изначально установленную вредоносную программу на, казалось бы, безобидное приложение. Методология работы этого вредоносного компонента стабилизировалась с 2022 года, что указывает на постоянную последовательность действий в стратегиях атак APT-C-06. DarkSeal инициирует выполнение запланированной задачи, используя процессы перехвата и дешифрования библиотек DLL для загрузки дополнительной полезной нагрузки. Как правило, конечная полезная нагрузка, которая была идентифицирована как Meterpreter, может также включать компоненты Thinmon.

Шифрование данных в рамках этих полезных нагрузок использует метод исключения или дешифрования, связанный с жестко закодированным ключом, что позволяет программе разделить расшифрованную информацию на два сегмента: первый сегмент содержит шеллкод, который облегчает отражательную загрузку второго сегмента - фактической полезной нагрузки PE, содержащей функциональный код. Полезные функции, реализуемые в рамках последних кампаний APT-C-06, часто подразделяются на три этапа: начальный доступ, промежуточные функции и окончательное развертывание DarkSeal. Однако текущая кампания, по-видимому, сосредоточена в основном на начальном доступе и полезных нагрузках на промежуточных этапах, в то же время полагаясь на DarkSeal как на постоянный элемент атак. Устойчивость DarkSeal на фоне изменений в полезной нагрузке на начальном и среднем этапах разработки указывает на его значительную роль в сохранении угрозы APT-C-06.

#ParsedReport #CompletenessLow
24-07-2025

Imperva Customers Protected Against Critical ToolShell ZeroDay in Microsoft SharePoint

https://www.imperva.com/blog/imperva-customers-protected-against-critical-toolshell-zero%E2%80%91day-in-microsoft-sharepoint/

Report completeness: Low

Threats:
Toolshell_vuln

Industry:
Entertainment

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1055.002, T1059.001, T1071.001, T1078.002, T1190, T1210, T1505.003

IOCs:
File: 3
Command: 1
Url: 1

Soft:
Microsoft SharePoint, SharePoint Server

Algorithms:
base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessLow
24-07-2025

Fire Ant: A Deep-Dive into Hypervisor-Level Espionage

https://www.sygnia.co/blog/fire-ant-a-deep-dive-into-hypervisor-level-espionage/

Report completeness: Low

Actors/Campaigns:
Fire_ant (motivation: cyber_espionage, financially_motivated)
Unc3886 (motivation: cyber_espionage)
Unc3668

Threats:
Virtualpita
Lsadump_tool
Neo-regeorg_tool
Medusa_rootkit
Credential_harvesting_technique
Portproxy_tool

Industry:
Telco, Critical_infrastructure

CVEs:
CVE-2022-1388 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- f5 big-ip_access_policy_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_advanced_firewall_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_analytics (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_acceleration_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
- f5 big-ip_application_security_manager (le11.6.5, le12.1.6, <13.1.5, <14.1.4.6, <15.1.5.1)
have more...
CVE-2023-34048 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware vcenter_server (le5.5, 7.0, 8.0)

CVE-2023-20867 [Vulners]
CVSS V3.1: 3.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vmware tools (<12.2.5)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003, T1003.001, T1021.001, T1021.004, T1036.003, T1037, T1047, T1055, T1059.001, T1059.006, have more...

IOCs:
File: 13
Path: 1

Soft:
ESXi, Linux, esxcli, Active Directory

Languages:
java, python, php, powershell

Links:
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenter\_ExtraCertFromMdb.py
have more...
https://github.com/3gstudent/Homework-of-Python/blob/master/vCenter\_GenerateLoginCookie.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания кибершпионажа Fire Ant, потенциально связанная с UNC3886, нацелена на среды VMware и использует CVE-2023-34048 для удаленного выполнения кода без проверки подлинности. Злоумышленники обеспечивают постоянный доступ с помощью бэкдоров и несанкционированных VIB-рассылок, используя методы, позволяющие избежать обнаружения, манипулируя инфраструктурой и сохраняя контроль над сетями.
-----

Расследование Sygnia кампании кибершпионажа Fire Ant выявило сложную атаку, направленную на среды VMware ESXi и vCenter, а также сетевые устройства. Действующий с начала 2025 года и потенциально связанный с хакерской группой UNC3886, Fire Ant использовал уязвимости для обеспечения постоянного доступа в сегментированных сетях. Злоумышленники использовали методы на уровне гипервизора, чтобы избежать обнаружения и сохранить позиции в изолированных средах.

Первоначальный взлом произошел из-за использования CVE-2023-34048, уязвимости для записи за пределы системы в реализации DCERPC от vCenter. Это позволило хакеру выполнить удаленное выполнение кода без проверки подлинности, получив контроль над уровнем управления виртуализацией. После этого они извлекли учетные данные для учетной записи службы vpxuser, на которую не распространяются ограничения по блокировке, что позволило им получить доступ к подключенным хостам ESXi.

Оказавшись внутри, Fire Ant установил надежную защиту, развернув несколько бэкдоров, включая постоянный двоичный файл с именем "ksmd" на серверах vCenter. Этот двоичный файл облегчал удаленное выполнение команд и операций с файлами, в то время как на хостах ESXi были развернуты дополнительные пакеты несанкционированной установки VMware (VIBs) для обеспечения доступа. Эти VIBs содержали сценарии для запуска двоичных файлов при запуске системы, что еще больше усиливало присутствие злоумышленников.

Злоумышленники использовали возможности выполнения команд на гостевых виртуальных машинах, не требуя прямых учетных данных пользователя, используя CVE-2023-20867, что позволило им манипулировать процессами и извлекать учетные данные с помощью таких инструментов, как PowerCLI. Они выполняли закодированные команды PowerShell и использовали двоичный файл для исправления логики управления VMX, чтобы обойти гостевую аутентификацию. Более того, они использовали такие методы, как команды portproxy на скомпрометированных балансировщиках нагрузки (используя CVE-2022-1388), для создания туннелей, облегчающих несанкционированный доступ между сетями и манипулирование надежными путями, чтобы избежать обнаружения.

Оперативная устойчивость имела первостепенное значение, поскольку Fire Ant быстро адаптировался к усилиям по устранению неполадок. Они часто повторно подключались к средам через резервные точки доступа, использовали переименованные инструменты и изменяли конфигурации, чтобы продолжать работу даже после первоначальных попыток очистки. Участники сохраняли контроль над процессами ведения журнала, чтобы не привлекать внимания криминалистов, что еще больше усложняло усилия по реагированию.

Чтобы противостоять этим типам атак, организации должны внедрять строгие меры безопасности для инфраструктуры виртуализации. Это включает своевременное применение исправлений безопасности для серверов ESXi и vCenter, применение политики строгих паролей и регулярную смену паролей. Более того, ограничение прямого доступа к хостам ESXi и использование vCenter для административных действий могут повысить эффективность защиты. Включение режимов блокировки и безопасной загрузки на хостах ESXi также может предотвратить несанкционированный доступ и установку вредоносных компонентов, тем самым повышая общую безопасность от таких приложений, как Fire Ant.

#ParsedReport #CompletenessHigh
24-07-2025

Dropping Elephant APT Group Targets Turkish Defense Industry With New Campaign and Capabilities: LOLBAS, VLC Player, and Encrypted Shellcode

https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage, cyber_criminal)
Greedy_sponge
Venom_spider

Threats:
Lolbas_technique
Dll_sideloading_technique
Spear-phishing_technique
Watering_hole_technique
Badnews_rat
Vajraspy
Lolbin_technique
Process_injection_technique
Timestomp_technique
Allakore_rat
Systembc
Giftedcrook
Polymorphism_technique

Victims:
Major turkish defense contractors, Weapons manufacturers, Precision-guided missile systems manufacturer, Defense sector entities, Industrial base companies

Industry:
Aerospace, Energy, Government, Healthcare, Ngo, Education, Maritime, Military

Geo:
Indian, Mexico, Ukraine, China, Asia, Japanese, Swedish, Iran, Turkey, Turkish, United kingdom, Norwegian, German, Dutch, French, Pakistan, Nederlands

TTPs:
Tactics: 5
Technics: 21

IOCs:
Domain: 4
IP: 2
File: 7
Path: 3
Hash: 8

Soft:
Task Scheduler, Linux, Windows Defender Application Control

Algorithms:
sha256, exhibit

Functions:
strtok

Win API:
CreateThread, GetComputerNameW, GetUserNameW, QueueUserAPC, CreateStreamOnHGlobal

Languages:
powershell, php

Platforms:
x64, cross-platform, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Dropping Elephant APT проводит кампанию по кибершпионажу, направленную против турецких оборонных подрядчиков, используя пятиэтапную атаку с использованием вредоносных файлов LNK и дополнительной загрузки DLL для уклонения от защиты. Вредоносная программа захватывает системную информацию, осуществляет эксфильтрацию данных через PowerShell и использует передовые методы, такие как манипулирование расширениями файлов, чтобы избежать обнаружения, что указывает на стратегическую направленность на военную обстановку в Турции.
-----

Команда Arctic Wolf Labs сообщила о новой кампании кибершпионажа, приписываемой группе APT, известной как Dropping Elephant, нацеленной на турецких оборонных подрядчиков, особенно в секторе высокоточных ракетных систем. В этой кампании используется сложный пятиэтапный метод атаки, который начинается с вредоносных файлов LNK, замаскированных под приглашения на конференцию, чтобы заманить жертв на выполнение этих файлов. Стратегия использования включает в себя легальные двоичные файлы, такие как VLC Media Player и Microsoft Task Scheduler, для обхода защиты с помощью методов сторонней загрузки DLL, что означает эволюцию от предыдущих атак, в которых использовались варианты DLL x64, к использованию исполняемых файлов x86 PE с улучшенной структурой команд.

Кампания согласуется с более широким геополитическим контекстом, в частности с расширением военного сотрудничества Турции с Пакистаном на фоне сохраняющейся напряженности в регионе, что позволяет предположить стратегические мотивы, стоящие за нападением. Анализ инфраструктуры освещаются оперативные меры безопасности, в частности, использование тактики олицетворения для создания командования и контроля (С2) центров, на примере вредоносных доменов expouav.org имитируя законных сайте конференции.

После запуска исходного файла LNK скрипты PowerShell используются для загрузки дополнительных вредоносных компонентов, которые запускаются через цепочку загрузки на основе PowerShell, чтобы обеспечить постоянство в зараженных системах. Заметным методом обхода является манипулирование расширениями файлов и использование запланированного задания для использования медиаплеера VLC для загрузки вредоносного кода. Интеграция обфускации строк в командные строки позволяет хакерам обходить механизмы обнаружения.

Основная функциональность вредоносного ПО включает в себя системное профилирование, такое как сбор информации о компьютере и пользователях, проверка на наличие особенностей окружающей среды, позволяющих избежать обнаружения, и захват скриншотов для фильтрации данных. Передача данных на сервер C2 осуществляется с помощью структурированных команд, проанализированных с помощью функции strtok, что позволяет хакеру отправлять команды и получать сгенерированные данные обратно из скомпрометированных систем.

Dropping Elephant демонстрирует адаптивный подход, отражающий более глубокое понимание как технических, так и геополитических условий, при стратегическом выборе целей в оборонном секторе Турции. Внедрение устоявшейся тактики "жизни за пределами суши" (LOLBA) в сочетании с методами социальной инженерии, такими как скрытый фишинг, повышает вероятность использования, поскольку их методы развиваются для дальнейшего обхода контроля безопасности.

Чтобы снизить риски, связанные с такими кампаниями, организациям рекомендуется повысить осведомленность пользователей, использовать надежные решения для обнаружения конечных точек и реагирования на них, а также внедрять упреждающие меры безопасности, такие как системы предотвращения вторжений и защищенные шлюзы электронной почты. Сегментация сети, последовательные обновления системы и применение принципов наименьших привилегий способствуют многоуровневой защите от APT, таких как те, которые были представлены при удалении Elephant.