#ParsedReport #CompletenessHigh
24-07-2025

Dropping Elephant APT Group Targets Turkish Defense Industry With New Campaign and Capabilities: LOLBAS, VLC Player, and Encrypted Shellcode

https://arcticwolf.com/resources/blog/dropping-elephant-apt-group-targets-turkish-defense-industry/

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage, cyber_criminal)
Greedy_sponge
Venom_spider

Threats:
Lolbas_technique
Dll_sideloading_technique
Spear-phishing_technique
Watering_hole_technique
Badnews_rat
Vajraspy
Lolbin_technique
Process_injection_technique
Timestomp_technique
Allakore_rat
Systembc
Giftedcrook
Polymorphism_technique

Victims:
Major turkish defense contractors, Weapons manufacturers, Precision-guided missile systems manufacturer, Defense sector entities, Industrial base companies

Industry:
Aerospace, Energy, Government, Healthcare, Ngo, Education, Maritime, Military

Geo:
Indian, Mexico, Ukraine, China, Asia, Japanese, Swedish, Iran, Turkey, Turkish, United kingdom, Norwegian, German, Dutch, French, Pakistan, Nederlands

TTPs:
Tactics: 5
Technics: 21

IOCs:
Domain: 4
IP: 2
File: 7
Path: 3
Hash: 8

Soft:
Task Scheduler, Linux, Windows Defender Application Control

Algorithms:
sha256, exhibit

Functions:
strtok

Win API:
CreateThread, GetComputerNameW, GetUserNameW, QueueUserAPC, CreateStreamOnHGlobal

Languages:
powershell, php

Platforms:
x64, cross-platform, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Dropping Elephant APT проводит кампанию по кибершпионажу, направленную против турецких оборонных подрядчиков, используя пятиэтапную атаку с использованием вредоносных файлов LNK и дополнительной загрузки DLL для уклонения от защиты. Вредоносная программа захватывает системную информацию, осуществляет эксфильтрацию данных через PowerShell и использует передовые методы, такие как манипулирование расширениями файлов, чтобы избежать обнаружения, что указывает на стратегическую направленность на военную обстановку в Турции.
-----

Команда Arctic Wolf Labs сообщила о новой кампании кибершпионажа, приписываемой группе APT, известной как Dropping Elephant, нацеленной на турецких оборонных подрядчиков, особенно в секторе высокоточных ракетных систем. В этой кампании используется сложный пятиэтапный метод атаки, который начинается с вредоносных файлов LNK, замаскированных под приглашения на конференцию, чтобы заманить жертв на выполнение этих файлов. Стратегия использования включает в себя легальные двоичные файлы, такие как VLC Media Player и Microsoft Task Scheduler, для обхода защиты с помощью методов сторонней загрузки DLL, что означает эволюцию от предыдущих атак, в которых использовались варианты DLL x64, к использованию исполняемых файлов x86 PE с улучшенной структурой команд.

Кампания согласуется с более широким геополитическим контекстом, в частности с расширением военного сотрудничества Турции с Пакистаном на фоне сохраняющейся напряженности в регионе, что позволяет предположить стратегические мотивы, стоящие за нападением. Анализ инфраструктуры освещаются оперативные меры безопасности, в частности, использование тактики олицетворения для создания командования и контроля (С2) центров, на примере вредоносных доменов expouav.org имитируя законных сайте конференции.

После запуска исходного файла LNK скрипты PowerShell используются для загрузки дополнительных вредоносных компонентов, которые запускаются через цепочку загрузки на основе PowerShell, чтобы обеспечить постоянство в зараженных системах. Заметным методом обхода является манипулирование расширениями файлов и использование запланированного задания для использования медиаплеера VLC для загрузки вредоносного кода. Интеграция обфускации строк в командные строки позволяет хакерам обходить механизмы обнаружения.

Основная функциональность вредоносного ПО включает в себя системное профилирование, такое как сбор информации о компьютере и пользователях, проверка на наличие особенностей окружающей среды, позволяющих избежать обнаружения, и захват скриншотов для фильтрации данных. Передача данных на сервер C2 осуществляется с помощью структурированных команд, проанализированных с помощью функции strtok, что позволяет хакеру отправлять команды и получать сгенерированные данные обратно из скомпрометированных систем.

Dropping Elephant демонстрирует адаптивный подход, отражающий более глубокое понимание как технических, так и геополитических условий, при стратегическом выборе целей в оборонном секторе Турции. Внедрение устоявшейся тактики "жизни за пределами суши" (LOLBA) в сочетании с методами социальной инженерии, такими как скрытый фишинг, повышает вероятность использования, поскольку их методы развиваются для дальнейшего обхода контроля безопасности.

Чтобы снизить риски, связанные с такими кампаниями, организациям рекомендуется повысить осведомленность пользователей, использовать надежные решения для обнаружения конечных точек и реагирования на них, а также внедрять упреждающие меры безопасности, такие как системы предотвращения вторжений и защищенные шлюзы электронной почты. Сегментация сети, последовательные обновления системы и применение принципов наименьших привилегий способствуют многоуровневой защите от APT, таких как те, которые были представлены при удалении Elephant.

#ParsedReport #CompletenessHigh
23-07-2025

Illusory Wishes: China-nexus APT Targets the Tibetan Community

https://www.zscaler.com/blogs/security-research/illusory-wishes-china-nexus-apt-targets-tibetan-community

Report completeness: High

Actors/Campaigns:
Ghostchat (motivation: cyber_espionage)
Phantomprayers (motivation: cyber_espionage)
Signsight
Ta428

Threats:
Gh0st_rat
Downtown
Dll_sideloading_technique
Process_injection_technique

Victims:
Tibetan community

Industry:
Telco

Geo:
Tibet, China, Tibetan

TTPs:
Tactics: 2
Technics: 27

IOCs:
Domain: 6
File: 13
Url: 6
Path: 3
Registry: 3
Hash: 14
IP: 1

Soft:
WebRTC, Windows registry, Windows service, PyInstaller

Algorithms:
aes-128, aes, xor, cbc, rc4, md5, zip

Win API:
VirtualProtect, NtMapViewOfSection, NtWriteVirtualMemory, RtlCreateUserThread, NtCreateSection, RtlCreateUserProcess, VirtualAlloc, decompress, ExitWindowsEx, SeShutdownPrivilege, have more...

Languages:
php, javascript, python

Platforms:
x86

Links:
https://github.com/ThreatLabz/tools/blob/main/operation\_ghostchat\_phantomprayers/gh0st\_rat\_config\_decoder.py
https://github.com/ThreatLabz/iocs/blob/main/operation\_ghostchat\_phantomprayers/phantomprayers\_check\_in\_data.csv

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года две скоординированные кибератаки, операция "GhostChat" и операция "PhantomPrayers", были нацелены на тибетскую общину с использованием многоступенчатых методов заражения и внедрения вредоносных программ, таких как "Призрачная КРЫСА" и "Фантомнет", во время празднования дня рождения Далай-ламы. Атаки включали в себя загрузку библиотек DLL, социальную инженерию и вредоносные ссылки на законных веб-сайтах для распространения вредоносного программного обеспечения, что усложняло обнаружение из-за зашифрованных данных и пользовательских алгоритмов. Эти кампании выявляют постоянные угрозы со стороны китайских APT-групп, что требует тщательного мониторинга меняющихся тактик и поведения вредоносных программ.
-----

В июне 2025 года операции "GhostChat" и "PhantomPrayers" были направлены против тибетской общины во время празднования 90-летия Далай-ламы. Обе кампании были связаны с группой APT, работающей в Китае. Они использовали повышенную активность в Интернете для взлома законных веб-платформ и распространения вредоносных программ.

В ходе атак были применены многоэтапные методы заражения с использованием бэкдоров Ghost RAT и PhantomNet (SManager). Стратегическая веб-компрометация включала вредоносные ссылки на законный сайт, направляя жертв на мошенническую имитацию tibetfund.org.

Были использованы методы социальной инженерии, такие как сфабрикованные онлайн-приглашения, которые побуждали пользователей загружать вредоносное программное обеспечение, замаскированное под безопасное зашифрованное приложение для общения в чате. Такие методы, как дополнительная загрузка библиотеки DLL, позволяли выполнять вредоносный код через скомпрометированную подлинную библиотеку DLL.

Вредоносная библиотека DLL создавала системную устойчивость, избегала обнаружения с помощью вызовов Windows API и использовала зашифрованную полезную нагрузку для последующих этапов атаки. Конфигурация Ghost RAT была зашифрована с помощью специального алгоритма, что усложняло обнаружение.

Кампания PhantomPrayers была похожа на GhostChat, но хранила шеллкод во внешнем файле и включала интерактивный интерфейс для повышения легитимности. Оба семейства вредоносных программ использовали структуры подключаемых библиотек DLL и зашифрованные сообщения C2. PhantomNet обладал возможностями для временных операций и модульной функциональностью с помощью загружаемых плагинов.

Эти кампании являются примером эволюционирующей тактики спонсируемых государством противников, нацеленных на конкретные сообщества.

#ParsedReport #CompletenessLow
24-07-2025

EncryptHub Hacker Infiltrates Steam Game with Dual Malware Attack

https://www.secureblink.com/cyber-security-news/encrypt-hub-hacker-infiltrates-steam-game-with-dual-malware-attack

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal, financially_motivated)

Threats:
Fickle_stealer
Hijackloader
Plaguebot
Vidar_stealer
Ransomhub
Blacksuit_ransomware
Dll_sideloading_technique
Process_injection_technique
Uac_bypass_technique
Supply_chain_technique

Victims:
Steam, Aether forge studios, Chemia, Individual users

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1005, T1021.001, T1036.005, T1041, T1055, T1056.001, T1059.001, T1071.001, T1078, T1105, have more...

IOCs:
File: 2
Domain: 1

Soft:
Steam, Telegram, Windows Defender, Discord

Languages:
rust, powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа EncryptHub взломала Steam с помощью игры "Chemia", используя две вредоносные программы: HijackLoader и Fickle Stealer, используя доверие геймеров. В ходе атаки использовались передовые методы уклонения, дополнительная загрузка библиотек DLL и PowerShell для фильтрации данных, что выявило уязвимости в играх раннего доступа.
-----

Киберпреступная группировка EncryptHub успешно взломала платформу Steam, нацелившись на игру для выживания в раннем доступе "Chemia", что ознаменовало значительный сдвиг в сторону атак, нацеленных на потребителей. Этот инцидент, произошедший 22 июля 2025 года, был связан с развертыванием двух полезных вредоносных программ: HijackLoader и Fickle Stealer, которые были доставлены через инфраструктуру управления Telegram (C2). Стратегия атаки использует доверие игроков к законным загрузкам игр, эффективно маскируя вредоносные действия в среде, которой в остальном можно доверять.

Первоначально EncryptHub внедрил HijackLoader (идентифицированный как CVKRUTNP.exe) в устройства жертвы, обеспечивая постоянство и функционирование в качестве механизма доставки вторичных полезных данных. Вскоре после этого Fickle Stealer, распространяемый с помощью вредоносного DLL-файла (cclib.dll), использовал сценарии PowerShell ("worker.ps1") для извлечения дополнительных вредоносных компонентов из взломанного домена. Вредоносная программа продемонстрировала продвинутые меры защиты от обнаружения, позволяющие ей незаметно работать во время игрового процесса, используя при этом законные имена процессов, чтобы органично вписаться в обычные системные операции.

Атака продемонстрировала возможности EncryptHub, особенно его многовекторный подход, который включает в себя SMS-фишинг и тактику олицетворения для получения первоначального доступа. С июня 2024 года, когда было взломано более 600 организаций, EncryptHub воспользовался уязвимостями игровых платформ, особенно тех, которые находятся на стадии раннего доступа и которые, как считается, имеют более низкие стандарты безопасности.

Как в HijackLoader, так и в Fickle Stealer используются сложные методы утечки данных: в HijackLoader используется дополнительная загрузка библиотек DLL и внедрение процессов для обхода мер безопасности, в то время как Fickle Stealer предназначен для сбора конфиденциальных данных, включая учетные данные и финансовую информацию, с использованием PowerShell для дальнейшего проникновения. Вредоносная программа Fickle Stealer дополняет возможности ранее обнаруженной полезной нагрузки Vidar, предназначенной для скрытой работы и взаимодействия с Telegram для сбора данных в режиме реального времени.

Инцидент отражает более широкие проблемы безопасности в игровой индустрии, особенно учитывая тенденцию к снижению осведомленности пользователей о рисках безопасности. Рекомендации по устранению таких угроз включают внедрение комплексного сканирования на наличие вредоносных программ, обязательную многофакторную аутентификацию для разработчиков и усовершенствование протоколов реагирования на инциденты. Игровые платформы должны уделять приоритетное внимание надежным мерам безопасности, которые защищают пользовательские данные без ущерба для удобства пользователей. Поскольку хакеры все больше внимания уделяют потребительским платформам, сотрудничество между разработчиками, экспертами по безопасности и пользователями имеет важное значение для создания надежных механизмов защиты от этих развивающихся угроз. Атака EncryptHub служит важным показателем появления хакеров в игровом секторе, подчеркивая необходимость принятия упреждающих и скоординированных стратегий обеспечения безопасности во всей отрасли.

#ParsedReport #CompletenessMedium
24-07-2025

Active exploitation of on-premise SharePoint Server vulnerabilities ToolShell

https://labs.withsecure.com/publications/toolshell.html

Report completeness: Medium

Threats:
Toolshell_vuln
Godzilla_webshell
Godzilla_loader
Remoteexec_tool
Asmloader_tool
Shellcodeloader
Netstat_tool
Badpotato_tool
Hrsword_tool
Process_injection_technique
W32/w3wplaunch.a!deepguard

Victims:
Microsoft sharepoint server users

Industry:
Government

Geo:
China

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2024-38094 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (-, 2016, 2019)

CVE-2020-0688 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft exchange_server (2010, 2013, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036, T1055, T1055.001, T1068, T1070.004, T1071.001, T1090.001, T1136.001, have more...

IOCs:
IP: 7
File: 5
Command: 5
Path: 2
Hash: 2

Soft:
SharePoint Server, ASP.NET

Algorithms:
cbc, aes, sha256, base64

Functions:
getBasicsInfo, GetSystemInformation

Languages:
swift

Links:
https://github.com/BeichenDream/BadPotato
https://github.com/Ridter/cve-2020-0688/blob/master/ExchangeCmdPy.py#L338
have more...
https://github.com/Ridter/MSSQL\_CLR/blob/6f1df259cbd7f8790550861f6a72d6d2f4cbe241/Database/CLR\_module/Sharploader.cs#L190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
19 июля 2025 года Microsoft раскрыла факт активного использования уязвимостей CVE-2025-53770 и CVE-2025-53771 в серверах SharePoint, позволяющих удаленно выполнять код без проверки подлинности. Злоумышленники используют веб-оболочку Godzilla для постоянного доступа и инструмент "BadPotato" для повышения привилегий. Среди примечательных признаков - конкретные схемы атак и IP-адреса, связанные с операциями, что указывает на причастность китайскоязычных хакеров.
-----

19 июля 2025 года корпорация Майкрософт сообщила, что уязвимости, идентифицированные как CVE-2025-53770 и CVE-2025-53771, а также более ранние варианты CVE-2025-49704 и CVE-2025-49706, активно использовались на локальных серверах SharePoint, что получило название "ToolShell". Самые ранние попытки использовать эти уязвимости были зафиксированы 7 июля 2025 года. Успешная эксплуатация позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) на уязвимых серверах SharePoint без проверки подлинности, предоставляя им доступ к конфиденциальному внутреннему контенту, конфигурациям и возможность развертывания веб-оболочек для дальнейших действий по эксплуатации, включая разведку сети и горизонтальное перемещение.

Анализ телеметрии выявил последовательную схему использования, характеризующуюся отправкой запроса POST на конечную точку "/_layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx" с информацией о ссылке, указывающей на внутреннюю страницу выхода из системы. Примечательно, что идентифицированные IP-адреса, служившие источниками этих атак, включали в себя 75.83.18.243 и 185.141.119.189. Среди инструментов, используемых злоумышленниками, - Godzilla webshell, который обладает функциями, предназначенными для загрузки файлов и базового поиска информации, а также загрузчиком, содержащим идентифицируемые жестко закодированные строки. Есть признаки того, что эта веб-оболочка обеспечивает постоянный доступ к скомпрометированным серверам путем кражи ASP.NET машинных ключей, несмотря на применение исправлений.

Хакер использовал "BadPotato" для повышения привилегий в рамках рабочего процесса IIS, впоследствии создав новую учетную запись локального администратора и установив сеанс протокола удаленного рабочего стола (RDP) на устройстве жертвы, что предполагало настройку обратного туннеля с использованием быстрого обратного прокси (FRP). Во время этого сеанса RDP был запущен двоичный файл с именем "sysdiag-all-x64-6.0.7.2-2025.07.21.1.exe", программа установки, связанная с решением Huorong security solution. Эта программа установки содержит инструменты, такие как HRSword, которые, как известно, ослабляют или обходят меры безопасности конечных точек. В предыдущих примерах аналогичного использования локальных серверов SharePoint также использовались решения Huorong для обеспечения безопасности.

Более того, методология использования, продемонстрированная хакерами, включала запуск "rundll32.exe" для внедрения шеллкода в процессы через рабочий процесс IIS, тем самым загружая конфигурацию FRP. Всестороннее использование уникальных методов и сигнатур вредоносного ПО позволяет предположить причастность хакеров, говорящих на китайском языке, хотя конкретная причина остается неясной.

В ответ на эти выводы WithSecure предприняла активные меры по привлечению различных заинтересованных сторон, включая государственные сертификаты и отраслевых партнеров. Они сообщили, что их решения для обеспечения безопасности уже блокировали попытки злоумышленников до начала кампании по использованию.

#ParsedReport #CompletenessLow
25-07-2025

ToolShell Aftermath: What Defenders Should Do After Patching CVE-2025-53770

https://www.nextron-systems.com/2025/07/25/toolshell-aftermath-what-defenders-should-do-after-patching-cve-2025-53770/

Report completeness: Low

Threats:
Toolshell_vuln
Thor

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1078, T1105, T1140, T1190, T1505.003, T1552.004

IOCs:
File: 3
Path: 5

Soft:
Event Tracing for Windows, SharePoint server, ASP.NET

Algorithms:
base64

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
have more...
https://github.com/SigmaHQ/sigma/pull/5537/files
https://github.com/Neo23x0/signature-base/blob/master/yara/expl\_sharepoint\_jul25.yar
https://github.com/Neo23x0/signature-base/blob/60a9c5269564f11ac05f8e828283a1716c89ed21/yara/gen\_webshells.yar#L5078

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53770 предоставляет доступ к серверам SharePoint без проверки подлинности RCE, что позволяет злоумышленникам развертывать веб-оболочки для кражи учетных данных и утечки ключей. Механизмы обнаружения, включая правила YARA и Sigma, имеют жизненно важное значение для выявления потенциальных угроз, что подчеркивает необходимость проведения оценки после обновления для обеспечения целостности системы.
-----

Цепочка уязвимостей ToolShell, идентифицированная как CVE-2025-53770, представляет значительный риск для локальных серверов SharePoint, поскольку позволяет выполнять удаленный код без проверки подлинности (RCE). Злоумышленники используют эту уязвимость для установки вредоносных веб-оболочек ASPX на скомпрометированные серверы, к которым впоследствии можно получить доступ без учетных данных для входа, что облегчает дальнейшую эксплуатацию, включая кражу криптографических ключей. Dropper использует PowerShell для записи декодированных полезных данных base64 на диск, при этом имена файлов веб-оболочки обычно включают такие варианты, как “spinstall0.aspx” и “ghostfile399.aspx”, которые можно найти в определенных путях к файлам в структуре каталогов SharePoint.

Обнаружение таких угроз и реагирование на них подчеркивают необходимость не только исправления уязвимостей, но и внедрения надежных механизмов обнаружения. Подход Nextron подчеркивает важность создания структурированной информации об обнаружении, включающей метаданные, теги семейств вредоносных программ и ссылки на хакеров. Такие инструменты, как THOR, сканер по запросу, поддерживают всесторонний анализ с помощью правил YARA и Sigma, позволяя обнаруживать различные артефакты, включая деревья текущих процессов и состояния реестра. Эта возможность позволяет выявлять потенциальные угрозы, которые могут быть упущены из виду при использовании других традиционных методов сканирования. Кроме того, Aurora, легкий агент для конечных точек в режиме реального времени, обеспечивает мгновенный контроль за действиями конечных точек, не полагаясь на уже существующие журналы, что обеспечивает сохранение критически важных возможностей обнаружения даже в условиях ограниченных возможностей.

Учитывая природу неавторизованного удаленного доступа, предоставляемого ToolShell, организациям, имеющим незащищенные серверы SharePoint, настоятельно рекомендуется опасаться возможного взлома. Ключевыми признаками успешного взлома являются наличие вредоносных веб-оболочек, сбор учетных данных и несанкционированный доступ к криптографическим ключам. Таким образом, даже при отсутствии предупреждений EDR или всестороннего ведения журнала, оценка компрометации после обновления становится необходимой для проверки целостности системы и обнаружения любых сохраняющихся угроз. Этот процесс проверки помогает организациям избежать использования "черных ходов", которые могут быть использованы, подчеркивая критическую важность интеграции таких оценок в общую стратегию реагирования на инциденты.

#ParsedReport #CompletenessMedium
25-07-2025

Reverse engineering a Lumma infection

https://labs.withsecure.com/publications/reverse-engineering-a-lumma-infection.html

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Process_injection_technique
Heavens_gate_technique
Lolbin_technique
Clickfix_technique

Geo:
Japan, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1057, T1059.003, T1071.001, T1082, T1105, T1119, T1140, T1204.002, have more...

IOCs:
File: 17
Coin: 2
Path: 1

Soft:
Telegram, Steam, DiscordCanary, DiscordPTB, curl

Algorithms:
base64, sha256, xor, chacha20

Functions:
Main, LookupPointer, eval, CallWindowsProcA

Win API:
VirtualProtect, CallWindowProcA, GetProcAddress, LoadLibraryA, LoadLibraryW, LoadLibrary, CreateProcessW, VirtualAlloc, GetThreadContext, ReadProcessMemory, have more...

Languages:
powershell, python, dotnet

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 11, table: 2, code: 32, dump: 62, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это вредоносная программа для кражи информации, связанная с начальными загрузчиками .NET /C#, использующая такие методы, как удаленное внедрение процессов и командно-контрольная связь для утечки данных. В нем используются сложные методы, в том числе хеширование по протоколу SHA-256 и расшифровка ChaCha20, которые часто распространяются через Telegram и привязаны к брокерам начального доступа. Согласно последним отчетам, в период с марта по май 2025 года по всему миру было взломано более 394 000 компьютеров с Windows.
-----

Lumma - это вредоносная программа для кражи информации, которая набрала популярность за последние пару лет и с которой часто сталкивается команда обнаружения и реагирования WithSecure. В недавнем анализе заражение Lumma было связано с первоначальным загрузчиком, разработанным на .NET/C#, и было рассмотрено в выборках в период с февраля по март 2025 года. Заражение обычно происходит по вектору атаки, когда хакеры извлекают учетные данные пользователей, возможно, с помощью фишинга или использования средств для кражи информации, таких как Lumma, часто при содействии брокеров начального доступа (IAB), которые помогают получить доступ к целевым системам.

Вредоносная программа, которая также имеет версию на C++, находится в разработке с конца 2022 года и распространяется через такие каналы, как Telegram, демонстрируя различные уровни обслуживания. Разработчики программы внедрили технологию упаковки, которая делает ее "полностью необнаруживаемой" (FUD), тем самым препятствуя прямому распространению среди жертв. Последние данные указывают на значительную волну заражений: Microsoft сообщила о более чем 394 000 взломанных компьютерах с Windows по всему миру в период с марта по май 2025 года.

Анализ показал, что Lumma использует сложное поведение, указывающее на наличие сложного вредоносного ПО. Он использует структуры IMAGE_SECTION_HEADER для идентификации и извлечения разделов, специально предназначенных для .КОДОВАЯ часть двоичного файла с помощью методов хэширования с использованием SHA-256. Во время выполнения вредоносная программа создает собственные копии, подключается к различным доменам управления (C2) и известна своей специфической связью с такими платформами, как Steam, что предполагает различные оперативные тактики для утечки данных.

Вредоносная программа использует удаленное внедрение процессов и манипулирует памятью с помощью таких функций, как VirtualAlloc и WriteProcessMemory, чтобы обеспечить успешное извлечение данных и скрытую работу. Он проверяет наличие бинарной упаковки и выполняет несколько предполетных проверок, включая языковые настройки, что указывает на его конструкцию, направленную на ограничение обнаружения и повышение эффективности в целевых средах.

Lumma способна расшифровывать адреса домена C2 с помощью ChaCha20 и инициировать HTTP POST-запросы, что является стандартным поведением для похитителей информации при извлечении данных. Эти действия подчеркивают его многогранные возможности, включая потенциальный доступ к данным через браузер и поиск пользовательских файлов, что свидетельствует о значительной сложности операций по сравнению с обычными вредоносными двоичными файлами.

По мере того как ситуация с кражей информации продолжает развиваться, Lumma демонстрирует адаптивную природу вредоносных программ, использующих обновленные тактики, методы и процедуры (TTP), которые используют хакеры, что делает непрерывный мониторинг и анализ первостепенными для защиты кибербезопасности. Организациям рекомендуется усилить меры безопасности, заблокировав определенные TLD, связанные с такими вредоносными программами, использовать 2FA для защиты конфиденциальных учетных записей и проводить обучение сотрудников борьбе с фишингом для снижения рисков, связанных с такими угрозами, как Lumma.

#ParsedReport #CompletenessLow
26-07-2025

Weekly Threat Infrastructure Investigation(Week29)

https://disconinja.hatenablog.com/entry/2025/07/26/114152

Report completeness: Low

Threats:
Cobalt_strike_tool
Netsupportmanager_rat
Sliver_c2_tool
Redguard_tool
Brc4_tool

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1071, T1105, T1219

IOCs:
IP: 15