#ParsedReport #CompletenessLow
24-07-2025

A Spike in the Desert: How GreyNoise Uncovered a Global Pattern of VOIP-Based Telnet Attacks

https://www.greynoise.io/blog/how-greynoise-uncovered-global-pattern-voip-based-telnet-attacks

Report completeness: Low

Threats:
Mirai

Victims:
Small utilities, Isps

Industry:
Telco, Iot

Geo:
Mexico

ChatGPT TTPs:
do not use without manual check
T1046, T1059.004, T1078.001, T1087, T1110.001, T1583.003

IOCs:
IP: 8780

Links:
https://github.com/GreyNoise-Intelligence/greynoise-mcp-server

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Концентрация вредоносных IP-адресов в Нью-Мексико была связана с активностью ботнета, которая в основном определялась по сигнатуре JA4t. Среди показателей были слабые учетные данные telnet и поведение, соответствующее вредоносному ПО Mirai, нацеленному на уязвимые устройства Интернета вещей и системы VOIP. Осознание этой проблемы привело к снижению вредоносного трафика.
-----

Недавний анализ выявил значительную концентрацию вредоносных IP-адресов, исходящих из небольшого района в Нью-Мексико, который, по-видимому, был задействован в ботнетической деятельности. Этот необычный трафик, охватывающий около 90 IP-адресов из сообщества, насчитывающего примерно 3000 жителей, был отследен до единственного интернет-провайдера (ISP). Примечательно, что на отличительную сигнатуру JA4t, а именно на 5840_2-4-8-1-3_1460_1, приходилось около 90% трафика от этого провайдера, что указывает на то, что скомпрометированные устройства, вероятно, имели схожие аппаратные конфигурации.

Расследование выявило множество признаков компрометации ботнета, включая попытки входа в telnet с использованием ненадежных учетных данных или учетных данных по умолчанию и необычно высокий объем сеансов. Наблюдаемое поведение при сканировании соответствовало известным вариантам ботнета Mirai, типа вредоносного ПО, известного тем, что оно использует устройства Интернета вещей. Кроме того, некоторые из выявленных IP-адресов были связаны с устройствами, поддерживающими VOIP, что позволяет предположить, что эти уязвимые системы, которые, вероятно, не получают надлежащего контроля безопасности, представляют собой более широкую категорию уязвимой инфраструктуры, предназначенной для операций ботнета.

Вскоре после того, как следственная группа поделилась предварительными выводами в социальных сетях, вредоносный трафик от утилиты New Mexico значительно сократился, что указывает на то, что разоблачение и осведомленность, возможно, повлияли на работу ботнета. Этот инцидент подчеркивает сохраняющуюся уязвимость систем VOIP и потенциальную возможность того, что небольшие коммунальные службы и интернет-провайдеры могут непреднамеренно внести свой вклад в инфраструктуру глобальных ботнетов, особенно тех, которые используют тактику Mirai, используя доступные системы в пределах своей досягаемости.

#ParsedReport #CompletenessHigh
23-07-2025

Understanding Current CastleLoader Campaigns

https://catalyst.prodaft.com/public/report/understanding-current-castleloader-campaigns

Report completeness: High

Threats:
Castleloader
Stealc
Redline_stealer
Deerstealer
Netsupportmanager_rat
Sectop_rat
Hijackloader
Clickfix_technique

Victims:
Government entities

Industry:
Government, Software_development

TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 3
Url: 1
Hash: 3
Domain: 2

Soft:
SQL Server Management Studio, Docker

Algorithms:
zip

Functions:
unsecuredCopyToClipboard, Get-Item, Set-Location

Languages:
powershell, php, autoit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это вредоносная программа-загрузчик, использующая фишинговые технологии ClickFix, использующая имитацию доменов для обмана пользователей и принуждения их к выполнению вредоносных команд. После заражения устройства могут быть нацелены на похитителей информации и "крыс". Вредоносная программа использует гибкую платформу распространения, которая подключается к серверу C2 для дальнейшей доставки полезной нагрузки, использует веб-панель управления для оперативного контроля и извлекает выгоду из подробного анализа пользовательских данных для усиления будущих атак.
-----

В мире угроз все чаще доминирует вредоносная программа-загрузчик, известная как CastleLoader, которая появилась в начале 2025 года. Эта вредоносная программа использует фишинговые технологии ClickFix, используя домены, имитирующие законные приложения и библиотеки для разработки программного обеспечения, такие как тематические страницы Cloudflare, для обмана пользователей. Жертв заманивают на выполнение вредоносных команд, в результате чего они загружают вредоносное ПО, предназначенное для конкретной кампании, которое варьируется в зависимости от целей злоумышленников. Следовательно, зараженные устройства могут стать жертвой похитителей информации и троянских программ удаленного доступа (RAT), предоставляя злоумышленникам доступ к бэкдору для дальнейших эксплойтов.

В своей работе CastleLoader использует гибкую платформу распространения, способную предоставлять широкий спектр вредоносных программ. Каждая кампания распространения отличается друг от друга, но у них есть общий механизм распаковки и выполнения загруженных полезных файлов непосредственно в память в виде динамически подключаемых библиотек (DLL). Первоначальная вредоносная программа часто устанавливает соединение с сервером управления (C2), что облегчает поиск дополнительных вредоносных компонентов из различных источников, усложняя идентификацию и повышая устойчивость к контрмерам. В ходе недавних кампаний, в частности, было заражено более 400 критически важных объектов, включая многочисленные правительственные учреждения США.

Инфраструктура C2, связанная с CastleLoader, оснащена сложной веб-панелью управления, которая позволяет осуществлять всесторонний контроль за операциями вредоносного ПО. Эта панель поддерживает модель "вредоносное ПО как услуга" (MaaS), что подчеркивает организованный характер действий злоумышленников. Он отслеживает показатели заражения, управляет полезной нагрузкой от вредоносных программ и позволяет детально корректировать кампании на основе географического таргетинга и условий эксплуатации. Административные средства управления оптимизируют выполнение полезной нагрузки и управление ею, а расширенные функции, такие как автоматическое извлечение ZIP-файлов и повышение привилегий, обеспечивают повышенную операционную безопасность.

Кроме того, хакеры используют аналитические данные, полученные из URL-адресов вредоносных загрузчиков, регистрируя подробные пользовательские данные, такие как IP-адреса и строки пользовательского агента. Эти данные служат основой для будущих стратегий кампании, позволяя лучше настраивать вредоносную нагрузку. Возможность манипулировать трафиком и перенаправлять его еще больше помогает избежать обнаружения и повышает эффективность тактики фишинга.

CastleLoader, благодаря своей сложности в эксплуатации и развивающимся методам доставки, знаменует собой заметный сдвиг в среде хакеров, демонстрируя хорошо скоординированный и адаптивный подход хакеров. Поскольку в кампаниях используются как сложные технические механизмы, так и социальная инженерия, уровень заражения, превышающий 28% среди тех, кто перешел по вредоносным ссылкам, подчеркивает срочность разработки мер кибербезопасности для борьбы с этими динамичными угрозами.

#ParsedReport #CompletenessMedium
24-07-2025

Hybrid Analysis Blog: New Advanced Stealer (SHUYAL) Targets Credentials Across 19 Popular Browsers

https://hybrid-analysis.blogspot.com/2025/07/new-advanced-stealer-shuyal-targets.html

Report completeness: Medium

Threats:
Shuyal

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1012, T1027, T1056.001, T1057, T1070.004, T1071.001, T1074.001, T1082, T1113, T1115, have more...

IOCs:
Command: 1
File: 8
Hash: 1

Soft:
Chrome, Opera, OperaGx, Vivaldi, Chromium, Waterfox, Slimjet, Coccoc, Maxthon, 360browser, have more...

Algorithms:
zip, sha256, des

Win API:
CreatePipe, TerminateProcess, SHGetSpecialFolderPathA, CopyFileA, GetFileAttributesExW, CryptUnprotectData, OpenClipboard, GetClipboardData, GdiplusStartup, BitBlt, have more...

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SHUYAL - это сложная вредоносная программа-похититель, нацеленная на 19 браузеров и использующая передовые методы уклонения, такие как самоудаление и отключение диспетчера задач. Она собирает конфиденциальные данные, включая учетные данные браузера и токены Discord, и отправляет их через бота Telegram, сохраняя при этом скрытность с помощью методов сохранения и отслеживания журналов.
-----

Был проведен анализ нового усовершенствованного средства кражи данных, известного как "SHUYAL", которое демонстрирует значительные возможности для кражи учетных данных из широкого спектра 19 веб-браузеров, включая популярные опции, такие как Chrome, Brave, Edge, и браузеры, ориентированные на конфиденциальность, такие как Tor. Эта ранее недокументированная вредоносная программа использует передовые методы уклонения, включая возможность самоудаления и сложные механизмы, позволяющие избежать обнаружения, такие как отключение диспетчера задач Windows во время ее выполнения.

SHUYAL предназначен для проведения обширной разведки, сбора важной системной информации, такой как модели дисководов и серийные номера, а также сведений о периферийных устройствах ввода и конфигурациях мониторов. Вредоносная программа может удаленно извлекать данные, включая украденные учетные данные и другую конфиденциальную информацию, с помощью Telegram-бота и использует различные методы поиска данных. Примечательно, что она захватывает токены Discord вместе со скриншотами пользователей и содержимым буфера обмена, демонстрируя свой комплексный подход к краже данных.

Чтобы оставаться незаметным, SHUYAL использует процедуры самоудаления, которые стирают следы его деятельности, эффективно удаляя записи из баз данных браузера и любые файлы, созданные во время его работы. Его способность запускать несколько процессов позволяет ему эффективно выполнять разведывательные задачи, а также обеспечивает его выживание с помощью механизмов сохранения, таких как копирование в папку автозагрузки пользователя.

Для извлечения регистрационной информации из целевых браузеров используются специальные файлы, в которых хранятся учетные данные, и эти файлы впоследствии копируются для последующей фильтрации. Например, в ходе этого процесса файл регистрационных данных Chrome переименовывается в "chrome_Data.db". Вредоносная программа также создает файл журнала, в котором подробно описываются ее операции и целевые приложения.

Работоспособность SHUYAL обеспечивается за счет различных вызовов API, в том числе для создания снимков экрана и сжатия файлов в архивы для последующей фильтрации. Ключевые команды PowerShell используются для решения таких задач, как сжатие каталога "runtime", что позволяет вредоносному ПО эффективно упаковывать украденные данные.

#ParsedReport #CompletenessMedium
24-07-2025

Azure Front Door AiTM Phishing

https://www.aitm-feed.com/blog/azure-front-door-aitm-phishing

Report completeness: Medium

Threats:
Aitm_technique

Victims:
The world food programme, Unicef, Major swiss newspapers, U.s. department of state

Industry:
Foodtech

Geo:
France

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1071.001, T1102.002, T1140, T1204.001, T1518.001, T1539, T1557.002, T1566.002, have more...

IOCs:
Domain: 19
File: 5
IP: 4

Soft:
sendgrid, CryptoJS, Telegram

Algorithms:
base64, zip

Functions:
decodeURIComponent

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной фишинговой кампании Microsoft Azure Front Door используется для проведения промежуточных атак, нацеленных на крупные организации. В ней используются передовые методы обфускации и перенаправления, несколько промежуточных доменов и динамические обновления контента, позволяющие избежать обнаружения и управлять отправкой данных, включая многофакторную аутентификацию.
-----

В ходе недавнего расследования была обнаружена сложная фишинговая инфраструктура, использующая службу Microsoft Azure Front Door для проведения атак с использованием промежуточного контрагента (AiTM). Эту схему особенно сложно обнаружить из-за использования законных доменов Microsoft и умело организованных цепочек перенаправления, которые скрывают намерения фишинга. Эта кампания направлена на громкие организации, в том числе и Всемирная продовольственная программа, ЮНИСЕФ, крупных швейцарских газет и адресов электронной почты США state.gov , что делает его заметным опасным.

Фишинговая инфраструктура разделена на два основных компонента, называемых Инфраструктурой 1 и инфраструктурой 2. Обе они демонстрируют высокий уровень сложности и схожую полезную нагрузку от фишинга, но отличаются механикой перенаправления и тактикой обфускации. В инфраструктуре 1 используется более продвинутая система обфускации, использующая несколько перенаправлений (обычно от 6 до 7), прежде чем попасть на конечную фишинговую страницу. Она запускается с ранее законного веб-сайта, ritba.org который генерирует хэш для операций на стороне клиента. Этот хэш сохраняется в URL-адресе до тех пор, пока код состояния не укажет на окончание перенаправления. Поскольку пользователи проходят через сайты-посредники, хэш остается недоступным для этих сайтов и используется JavaScript только на более поздних этапах процесса.

Цепочка перенаправлений включает в себя различные домены для сбора телеметрии, такие как sophos.com и awstrack.me, прежде чем перенаправить пользователя на адреса входа в Azure, где происходит расшифровка хэша. На последней фишинговой странице используются сложные уровни обфускации, включая методы кодирования и шифрования с помощью библиотеки CryptoJS. Страница динамически обновляет содержимое на основе пользовательского ввода без перезагрузки, что позволяет ей работать незаметно, не запуская обычные механизмы обнаружения.

Кроме того, фишинговая страница объединяет динамические элементы, которые могут управлять различными типами отправки данных, включая комбинации электронной почты и паролей и многофакторную аутентификацию. Она блокирует известные методы создания отчетов, предотвращая использование определенных доменов электронной почты, и использует множество методов, препятствующих обратному проектированию. К ним относятся запутывание имен переменных, предотвращение доступа при щелчке правой кнопкой мыши и использование строк в шестнадцатеричном коде для дальнейшего усложнения процесса расшифровки.

Эта продвинутая фишинговая кампания демонстрирует эволюцию тактики злоумышленников, указывая на растущую тенденцию повторного использования сложных кодовых баз в различных системах, повышая их устойчивость к обнаружению и автоматизации. Поскольку эти фишинговые схемы продолжают развиваться, понимание их операционных механизмов становится критически важным для защиты кибербезопасности от возникающих угроз.

#ParsedReport #CompletenessLow
29-07-2025

Geopolitical game under the tariff stick: APT organization targets the China-Africa community with a shared future

https://www.ctfiot.com/262515.html

Report completeness: Low

Threats:
Supply_chain_technique
Harpoon_technique

Industry:
Government

Geo:
Asian, Africa, China

ChatGPT TTPs:
do not use without manual check
T1195, T1566.001, T1566.002, T1620

IOCs:
Path: 1
File: 1
Hash: 2

Soft:
WeChat

Algorithms:
md5

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хайлян, хакер, занимающийся кибершпионажем, нацелился на страны Юго-Восточной Азии с помощью сложной атаки на цепочки поставок и низкоуровневого фишинга, чтобы собрать информацию о торговой политике и сотрудничестве. Их тактика включает в себя методы загрузки данных из памяти, использующие известные уязвимости, что подчеркивает необходимость усиления мер кибербезопасности.
-----

В контексте растущей геополитической напряженности организация Hailian стала заметным хакером, занимающимся изощренным кибершпионажем, нацеленным на страны Юго-Восточной Азии. В первой половине 2025 года компания Hailian осуществила атаку на цепочку поставок высокого уровня, направленную на внутреннюю систему и платформу win в стране Юго-Восточной Азии, используя это вторжение для сбора разведданных о внешнеторговой политике, влияющей на национальный 15-й пятилетний план. Эта операция подчеркнула настоятельную необходимость для целевой страны противодействовать давлению, вызванному как сокращением экспорта, так и необходимостью пересмотра цепочки поставок в связи с возобновлением тарифной напряженности, инициированной Соединенными Штатами.

Параллельно компания Hailian приняла стратегию расширения своей деятельности за пределы Азии, нацелившись на инициативы по сбору разведывательной информации в Африке. Используя фишинговые атаки низкого уровня, в частности, с помощью электронных писем harpoon, адресованных подразделениям по сотрудничеству между Китаем и Африкой, Хайлян стремился получить важную информацию о сотрудничестве, которая могла бы способствовать дипломатическому прогрессу и послужить основой для будущих взаимодействий в регионе. Этот агрессивный кибершпионаж отражает более широкую тенденцию, когда страны адаптируют свои экономические стратегии для диверсификации цепочек поставок в условиях геополитической нестабильности.

Активные действия организации подчеркивают важность надежных мер кибербезопасности как в государственном, так и в частном секторах. Внедрение передовых решений для защиты от угроз, таких как система Tianqing, дополненная движком "Liuhe", имеет решающее значение для перехвата вредоносных вложений и противодействия настойчивым хакерам. Вредоносная нагрузка, связанная с операциями Hailian, включает в себя методы загрузки памяти, предназначенные для использования ранее выявленных уязвимостей, - метод, который требует постоянной бдительности и обновления средств защиты для снижения рисков, создаваемых развивающимися хакерами, такими как Hailian. Поскольку геополитический ландшафт продолжает меняться, понимание этих хакеров и борьба с ними будут иметь жизненно важное значение для поддержания национальной и организационной безопасности.

#ParsedReport #CompletenessMedium
29-07-2025

Oyster Backdoor: The Malvertising Menace Masquerading as Popular Tools

https://www.cyberproof.com/blog/oyster-backdoor-the-malvertising-menace-masquerading-as-popular-tools/

Report completeness: Medium

Threats:
Oyster
Seo_poisoning_technique
Putty_tool
Rhysida
Screenconnect_tool

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1003, T1027, T1053.005, T1059.003, T1082, T1105, T1189, T1195.001, T1218.011, T1569.002, have more...

IOCs:
Hash: 4
File: 2
Domain: 5
IP: 2

Soft:
WinSCP, Google Chrome, Microsoft Teams, FireFox

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Oyster, распространяемый посредством SEO-атак и маскирующийся под легальное программное обеспечение, обеспечивает удаленный доступ для киберпреступников. Он может красть данные и устанавливать дополнительные вредоносные программы, обеспечивая постоянство с помощью запланированных задач.
-----

В начале июня 2025 года вредоносный бэкдор, известный как Oyster, также известный как Broomstick или CleanupLoader, был распространен с помощью тактики SEO-отравления, маскируясь под легальное программное обеспечение, такое как PuTTY, KeyPass и WinSCP. Этот бэкдор стал известной угрозой как минимум с 2023 года, в первую очередь он нацелен на то, чтобы пользователи загружали обманчивые установщики для широко используемых приложений, таких как Google Chrome и Microsoft Teams. Черный ход Oyster особенно важен, поскольку он облегчает заражение программами-вымогателями, например, теми, которые связаны с группой программ-вымогателей Rhysida.

Примечательный инцидент произошел в июле 2025 года, когда пользователь случайно загрузил зараженный установщик, выдававший себя за приложение PuTTY. Хотя бэкдор в конечном итоге был обнаружен и заблокирован, анализ показал, что злоумышленник не производил прямых манипуляций со взломанной системой. В отчете подробно описываются технические аспекты атаки, особое внимание уделяется цепочке убийств, связанной с бэкдором Oyster.

Как только Oyster проникает в систему — как правило, с помощью поддельных установщиков, получаемых с помощью SEO—оптимизации или вредоносной рекламы, - бэкдор Oyster предоставляет киберпреступникам удаленный доступ. Он предназначен для сбора системной информации, кражи учетных данных, выполнения команд и загрузки дополнительных вредоносных программ. Чтобы сохранить свое присутствие на зараженной машине, бэкдор устанавливает запланированные задачи, которые обеспечивают его работу. В этом задокументированном случае аналитики CyberProof Security Operations Center (SOC) определили, что пользователь, скорее всего, загрузил вредоносный установщик с определенного удаленного URL-адреса, и отметили рост числа отозванных сертификатов, используемых в вредоносных кампаниях.

Анализ журналов веб-прокси-серверов показал, что поиск, инициированный пользователем, мог привести к появлению дополнительных вредоносных ссылок, предназначенных для распространения вредоносных программ, что привело к дальнейшим попыткам SEO-заражения. После запуска вредоносного установщика бэкдор развернет вредоносный DLL-файл, что подтверждается следующим процессом rundll32.exe.

Бэкдор Oyster устанавливает постоянство с помощью запланированной задачи с надписью "FireFox Agent INC", которая настроена на выполнение каждые три минуты. Этот механизм использует вредоносную библиотеку DLL (с именем zqin.dll) через платформу rundll32.exe, чтобы обеспечить ее постоянное присутствие в скомпрометированной системе. Этот случай подчеркивает постоянную эволюцию и изощренность методов распространения вредоносных программ и необходимость принятия надежных мер безопасности для борьбы с такими угрозами.

#ParsedReport #CompletenessLow
29-07-2025

Atomic Stealer Evolves

https://blog.polyswarm.io/atomic-stealer-evolves

Report completeness: Low

Threats:
Amos_stealer
Spear-phishing_technique

Geo:
North korean, Italy, Canada, United kingdom, Russia, France

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1056.001, T1059.002, T1071.001, T1098, T1547.015, T1566.001

IOCs:
Hash: 6

Soft:
macos

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4