#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VIP-кейлоггер - это сложная вредоносная программа для кражи данных, предназначенная для веб-браузеров и учетных данных пользователей, распространяемая с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы. Она использует блокировку процессов и запускается из памяти, чтобы избежать обнаружения, одновременно регистрируя нажатия клавиш и перехватывая учетные данные из браузеров. Вредоносная программа обеспечивает сохраняемость, помещая скрипт в папку автозагрузки для выполнения при входе пользователя в систему.
-----

Кейлоггер VIP - это сложная разновидность вредоносного ПО, специально разработанная для кражи данных, при этом атаки в первую очередь нацелены на веб-браузеры и учетные данные пользователей. Распространение вредоносного ПО осуществляется с помощью фишинговых кампаний, когда вредоносные электронные письма содержат вложения или ссылки, которые приводят к заражению. В ходе недавней кампании хакеры использовали автоматический It-инжектор для развертывания VIP-кейлоггера, что ознаменовало заметный отход от предыдущих методов распространения.

Кампания начинается с рассылки фишингового электронного письма, содержащего ZIP-файл под названием "платежная квитанция_usd 86 780,00.pdf.pdf.z". В этом архиве содержится вредоносный исполняемый файл, маскирующийся под законный документ под названием "платежная квитанция_usd 86 780,00 pdf.exe ." Когда жертвы открывают этот исполняемый файл, он активирует встроенный Скрипт автозапуска, который удаляет два зашифрованных файла во временную папку системы. Эти файлы, названные leucoryx и avenes, расшифровываются во время выполнения с помощью данных, считываемых из временного каталога, с помощью пользовательской функции XOR. Этот механизм позволяет вредоносной программе избегать обнаружения и традиционных антивирусных решений, запускаясь в памяти.

Скрипт AutoIt сначала расшифровывает полезную нагрузку, которая затем вводится в легитимный процесс RegSvcs.exe с использованием методов "опустошения процессов". Этот скрытый метод позволяет вредоносному ПО запускаться, не вызывая тревоги. Операционный процесс включает в себя использование DllCall для выделения исполняемой памяти и передачи в нее расшифрованной полезной нагрузки с последующим выполнением полезной нагрузки непосредственно из памяти. Кроме того, для обеспечения сохраняемости вредоносная программа помещает в папку автозагрузки скрипт .vbs, который запускает основную полезную нагрузку при каждом входе пользователя в систему, что позволяет ей работать в фоновом режиме.

Последняя полезная нагрузка, VIP-кейлоггер, предназначена для регистрации нажатий клавиш, перехвата учетных данных из основных браузеров, таких как Chrome, Microsoft Edge и Mozilla Firefox, и отслеживания активности в буфере обмена. Используя эти методы, хакеры обеспечивают непрерывную работу вредоносного ПО, избегая при этом механизмов обнаружения. Всесторонний анализ, представленный в предыдущем исследовании, позволяет глубже понять функциональность и поведение VIP-кейлоггера, подчеркивая злонамеренность, присущую таким хакерам.

#ParsedReport #CompletenessHigh
29-07-2025

MaaS Appeal: An Infostealer Rises From TheAshes

https://www.elastic.co/security-labs/maas-appeal-an-infostealer-rises-from-the-ashes

Report completeness: High

Actors/Campaigns:
Sordeal

Threats:
Novablight
Nova_stealer
Malicord
Shadow_copies_delete_technique
Credential_stealing_technique
Xaitax_tool
Big_head

Victims:
Internet users

Industry:
Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
Url: 9
Domain: 5
File: 12
Registry: 1
Command: 2
Hash: 3

Soft:
Telegram, Discord, Steam, Electron, Windows Defender, virtualbox, qemu, Windows security, chrome, Windows Security Center, have more...

Wallets:
exodus_wallet, atomicwallet

Algorithms:
sha256, zip

Functions:
setValues, setPassphrase, captureSystemInfo, captureScreen, captureTaskList, captureAVDetails, Get-CimInstance, captureClipboardContent, Get-Clipboard, captureWebcamVideo, have more...

Languages:
php, powershell

YARA: Found

Links:
https://github.com/KSCHcuck1
have more...
https://web.archive.org/web/20231216010712/https:/github.com/KSCH-58
https://github.com/CrackedProgramer412/caca

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NOVABLIGHT - это NodeJS-инфокрад от Sordeal Group, который отслеживает учетные данные пользователей и криптовалютные кошельки с помощью загрузки вредоносных установщиков игр. Он использует продвинутую систему обфускации, тактику обхода средств безопасности и такие функции, как мониторинг буфера обмена в поисках криптовалютных адресов, а также эксфильтрацию данных через Telegram и Discord.
-----

NOVABLIGHT - это сложный инфокрад на базе NodeJS, который позиционируется как вредоносное ПО как услуга (MaaS), предназначенное в первую очередь для кражи учетных данных пользователей и компрометации криптовалютных кошельков. Это продукт франкоязычной хакерской группы, известной как Sordeal Group, которая также выпустила другие вредоносные программы, такие как Nova Sentinel и MALICORD. Инфраструктура, поддерживающая NOVABLIGHT, использует Telegram и Discord для продаж, лицензирования и взаимодействия с сообществом, причем лицензии предоставляются на срок от одного до двенадцати месяцев.

Вредоносные кампании, в которых используется NOVABLIGHT, часто инициируются с помощью загрузки поддельных установщиков видеоигр, которые обманом заставляют пользователей запускать вредоносное ПО, замаскированное под законное программное обеспечение. Методы обфускации вредоносного ПО затрудняют его распознавание системами обнаружения, о чем свидетельствует низкий уровень обнаружения в результатах VirusTotal. Infostealer использует модульную архитектуру, позволяющую настраивать его функции, сохраняя при этом неактивный код, который может быть активирован при желании.

Ключевые функциональные возможности NOVABLIGHT включают в себя тактику уклонения, направленную на предотвращение анализа, такую как идентификация среды виртуальных машин, проверка определенных имен пользователей и отключение известных средств безопасности, включая защитник Windows. Вредоносная программа может установить контроль, выполнив пакетные сценарии для отключения функций безопасности Windows и поиска ценных данных в системе. В ней есть функция "clipper", которая отслеживает активность буфера обмена, специально предназначенная для перехвата и подмены адресов криптовалют и платежных сервисов.

Возможности вредоносной программы распространяются на внедрение вредоносного кода в популярные электронные приложения, изменяя их функциональность для облегчения кражи учетных данных. Например, она может изменять основные файлы таких приложений, как VPN-клиент Mullvad, для сбора конфиденциальной информации. Кроме того, NOVABLIGHT может нарушить работоспособность системы, постоянно отключая сетевые подключения и нарушая работу сред восстановления системы.

Процесс кражи данных является комплексным и включает в себя сбор системной информации с помощью методов, которые извлекают содержимое буфера обмена, выполнение процессов и сохранение паролей Wi-Fi. Отфильтрованные данные передаются по различным каналам, включая веб-панель вредоносного ПО и API для Telegram и Discord. Вредоносная программа использует избыточную архитектуру, используя несколько служб размещения файлов, чтобы избежать единой точки сбоя.

#ParsedReport #CompletenessMedium
29-07-2025

Sealed Chain of Deception: Actors leveraging Node.JS to Launch JSCeal

https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/

Report completeness: Medium

Threats:
Jsceal
Weevilproxy
Man-in-the-browser_technique
Zeus
Mitm_technique

Industry:
Financial, Energy, Petroleum, Entertainment

Geo:
Asian, Russian, German

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1056.001, T1056.004, T1059.001, T1070.001, T1078, T1090.002, T1113, have more...

IOCs:
File: 27
Domain: 106
Registry: 1
Url: 1
Hash: 153

Soft:
Node.JS, TradingView, Windows Defender, Telegram

Wallets:
harmony_wallet, bybit, solflare, metamask

Crypto:
binance, kucoin, monero, bitcoin, dogecoin

Algorithms:
zip

Functions:
TaskScheduler, TaskService, GetFolder, TaskCreation, CreateOrUpdate, TaskLogonType, Remove-Item, Get-ChildItem, Set-ItemProperty

Languages:
powershell, javascript

Links:
https://github.com/wixtoolset
https://github.com/rprichard/winpty
have more...
https://github.com/dahall/taskscheduler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания JSCEAL нацелена на пользователей криптовалюты с помощью вредоносной рекламы, загрузки мошеннических приложений, похожих на популярные торговые платформы. В ней используется модульная стратегия заражения файлами JavaScript, позволяющая в режиме реального времени красть учетные данные и манипулировать крипто-кошельками, что усложняет обнаружение из-за использования действительных сертификатов и средств защиты от анализа.
-----

Исследовательская компания Check Point Research (CPR) выявила сложную хакерскую кампанию под названием JSCEAL, которая нацелена на пользователей криптовалютных приложений. Кампания использует вредоносную рекламу для поощрения загрузки мошеннических приложений, которые выдают себя за почти 50 широко признанных платформ для торговли криптовалютами. Только за первую половину 2025 года хакеры использовали около 35 000 вредоносных рекламных объявлений, которые собрали миллионы просмотров по всей Европе.

Кампания JSCEAL включает в себя модульный и многоуровневый процесс заражения, использующий скомпилированные файлы JavaScript (JSC) с помощью Node.js для запуска вредоносного ПО, которое крадет конфиденциальную информацию, связанную с криптовалютой, такую как учетные данные и кошельки. Разработчики разработали уникальную стратегию развертывания, которая разделяет функциональность установщика на несколько компонентов, включая сценарии проверки, которые требуют одновременной работы как вредоносного сайта, так и установщика, что усложняет усилия по обнаружению. Этот метод, наряду с использованием механизмов антианализа, привел к заметно более низкому уровню обнаружения с помощью решений для обеспечения безопасности, даже после многократной отправки вредоносных компонентов в VirusTotal.

Кампания впервые была запущена в марте 2024 года и с тех пор значительно расширилась, используя передовые методы, позволяющие избежать обнаружения, включая использование действительных сертификатов для установщиков, в основном связанных с российскими компаниями, не связанными с ИТ. Начальный этап работы JSCEAL включает в себя размещение вредоносной рекламы, часто с использованием украденных аккаунтов в социальных сетях, чтобы побудить жертв загрузить вредоносный установщик MSI с сайта, контролируемого злоумышленником. После установки цепочка заражения активирует ряд сложных скриптов, начиная с бэкдора, который облегчает взаимодействие с серверами управления (C2).

Благодаря внедрению JSCEAL злоумышленники могут собирать обширную системную информацию о жертвах, манипулировать крипто-кошельками и выполнять удаленные команды через PowerShell. Возможности вредоносной программы включают в себя захват учетных данных в режиме реального времени посредством перехвата веб-трафика, что соответствует характеристикам троянской программы "Человек в браузере". Среди своих функциональных возможностей JSCEAL может красть файлы cookie браузера, управлять именами пользователей и паролями, а также манипулировать веб-расширениями, связанными с криптографией.

Продолжающееся использование полезных данных JSC в рамках киберпреступности иллюстрирует заметную тенденцию, когда законные структуры используются в качестве оружия для утечки данных и получения финансовой выгоды. Эта меняющаяся ситуация подчеркивает растущую обеспокоенность в отношении кибербезопасности, поскольку сочетание сложной обфускации и скомпилированного кода затрудняет традиционные подходы к анализу и обнаружению. В целом, кампания JSCEAL представляет собой сложную и эволюционирующую угрозу, что подчеркивает необходимость в надежных методах обнаружения вредоносных программ JSC.

#ParsedReport #CompletenessLow
29-07-2025

Geopolitical game under the tariff stick: APT Group target the China-Africa community with a shared future

https://ti.qianxin.com/blog/articles/apt-group-target-the-china-africa-community-with-a-shared-future-en/

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
China-africa cooperation units, Domestically produced systems and win platforms

Geo:
Asia, China, Africa, Asian

ChatGPT TTPs:
do not use without manual check
T1055, T1195, T1566.001

IOCs:
Path: 1
File: 2
Hash: 2

Algorithms:
zip, md5

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году OceanLotus (APT10) осуществлял кибершпионаж с помощью атак на цепочки поставок в Юго-Восточной Азии, используя методы загрузки в память троянской программы на базе Rust и проводя фишинговые кампании, нацеленные на китайско-африканское сотрудничество. Это отражает их стратегию сбора разведданных в условиях растущей напряженности в торговле между США и Китаем.
-----

В 2025 году группа OceanLotus, также известная как APT10, занялась кибершпионажем, сосредоточившись на атаках на цепочки поставок, нацеленных на ключевые платформы и системы в Юго-Восточной Азии, на фоне обострения торговой напряженности между регионом и Соединенными Штатами. Эта группа пыталась собрать разведданные о внутренних системах и извлечь информацию, связанную с Пятнадцатым пятилетним планом Китая, в частности, о стратегиях, которые могли бы уменьшить дисбаланс в торговле с США.

Используя эти кибероперации в качестве предвестника политических и экономических маневров, OceanLotus специально инициировала кампании по борьбе с фишингом низкого уровня, направленные против организаций, участвующих в китайско-африканском сотрудничестве. Эта стратегия, вероятно, является частью более широких усилий по сбору данных, которые послужат основой для дипломатических инициатив и экономических стратегий в Африке, что отражает смещение акцентов в некоторых странах Юго-Восточной Азии по мере диверсификации их торговли и цепочки поставок.

Что касается поведения вредоносного ПО, то в отчете указывается, что OceanLotus group использовала технологию загрузки в память, связанную с существующим троянцем на базе Rust, что облегчает выполнение вредоносного кода, не оставляя существенных следов. Этот метод предполагает глубокое понимание тактики уклонения, что позволяет группе оставаться незаметной при выполнении своих операций по кибер-цепочке поставок.

Организациям, обеспокоенным этими угрозами, рекомендуется внедрять специальные решения для обеспечения безопасности, способные блокировать вредоносные вложения, особенно те, которые связаны с такими сложными кампаниями. Акцент на использовании передовых механизмов защиты от угроз подчеркивает необходимость принятия упреждающих мер кибербезопасности во все более враждебной киберпространстве, особенно в условиях, когда геополитическая напряженность выливается в тактику ведения кибервойн.

#ParsedReport #CompletenessHigh
29-07-2025

Who is TraderTraitor?

https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist

Report completeness: High

Actors/Campaigns:
Tradertraitor (motivation: cyber_espionage, cyber_criminal, financially_motivated)
Bluenoroff
Lazarus (motivation: financially_motivated, cyber_espionage)
Ta444
Dream_job

Threats:
Supply_chain_technique
Jump_cloud_tool
Rn_stealer
Spear-phishing_technique
Volgmer
Rn_loader
Gophergrabber
Go-stealer
Golangghost
Clickfix_technique
Threatneedle
Agamemnon
Wagent
Signbt
Copperhedge
Tiedye
Typosquatting_technique

Victims:
Bybit, Dmm bitcoin, Jumpcloud, Ginco, Safewallet, Ronin network, Axie infinity, Wazirx

Industry:
Software_development, Financial, Government

Geo:
Korea, North korean, Indian, North korea, Korean, Japan, Japanese

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 1
Domain: 1

Soft:
Slack, Telegram, Node.js, Docker, macOS, Innorix Agent, Electron, Discord

Wallets:
bybit

Crypto:
bitcoin, axie_infinity

Algorithms:
rc4, aes-256, md5

Languages:
javascript, python

Platforms:
cross-platform, apple

Links:
https://github.com/wiz-sec-public/wiz-research-iocs

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TraderTraitor, северокорейская APT-группа, нацелена на криптовалютный сектор, используя сложные методы, такие как фишинг и троянские приложения, для облегчения краж, включая взлом Bybit на сумму 1,5 миллиарда долларов. Их методы включают использование облачных сервисов и вредоносных обновлений, уделяя особое внимание быстрым атакам и сбору данных с помощью вредоносных программ, таких как RN Stealer, что создает значительные риски для криптоорганизаций.
-----

TraderTraitor представляет собой группу кибератак, спонсируемых северокорейским государством, организованных группами APT (АПТ), включая Lazarus Group, APT38 и другие. Эта операция в первую очередь имеет финансовую подоплеку, в частности, нацелена на криптовалютную и блокчейн-экосистему для финансирования государственных программ Северной Кореи в условиях жестких санкций. Агентства США, включая ФБР и CISA, связали TraderTraitor со значительными хищениями криптовалюты, такими как взлом биткоин-биржи DMM на 308 миллионов долларов и взлом системы обмена криптовалют на 1,5 миллиарда долларов. Криптобиржа Bybit.

Деятельность TraderTraitor характеризуется использованием сложных методов, включая социальную инженерию, троянские приложения и взлом цепочки поставок. Например, группа использует тактику фишинга под видом предложений о работе, нацеленных на сотрудников, занимающих должности, связанные с криптографией, для развертывания вредоносных приложений, которые кажутся функциональными. Эти троянские приложения используют уязвимости, маскируясь под законные криптографические инструменты, обеспечивая при этом полезную нагрузку, такую как троянский вирус удаленного доступа MANUSCRYPT, который позволяет красть конфиденциальную информацию и учетные данные криптовалюты.

Компания TraderTraitor известна своим акцентом на атаки, ориентированные на облако, когда вместо прямого компрометации облачных провайдеров группа атакует компании, зависящие от этих сервисов. Примером такой тактики является взлом платформы JumpCloud в июле 2023 года, когда TraderTraitor использовал скомпрометированного поставщика для распространения вредоносных обновлений, которые затронули нижестоящие криптовалютные компании. Продолжая демонстрировать свои возможности, TraderTraitor использовали общедоступные хранилища программного обеспечения для вредоносной деятельности, проникая в среды на базе GitHub для внедрения скомпрометированных пакетов, предназначенных для разработчиков в секторе финансовых технологий.

Методы злоумышленников эволюционировали, в частности, проявилась тенденция к быстрому хищению и манипулированию законными транзакциями; в некоторых случаях атаки осуществляются в течение нескольких дней после первоначального взлома. Проникновение в среду Safe{Wallet}, приведшее к взлому Bybit, отражает этот стремительный прогресс, поскольку злоумышленники злоупотребляли украденными учетными данными для доступа к облаку, чтобы изменять функциональность веб-приложений и перехватывать криптовалютные транзакции в режиме реального времени.

Что касается конкретных методологий, то операции TraderTraitor включали использование проблем с неправильным кодированием, чтобы побудить разработчиков к выполнению вредоносных скриптов, что открывало пути для дальнейшего проникновения. Вредоносное ПО, такое как RN Stealer, специально разработано для сбора конфиденциальных данных, включая облачные конфигурации и учетные данные пользователя, что позволяет осуществлять широкое перемещение в скомпрометированных средах.

Используя сложные методы разведки и используя поставщиков облачных услуг в качестве точек входа, TraderTraitor продемонстрировал значительный набор навыков в сочетании тактики национального государства с тактикой, типичной для киберпреступников. Их деятельность представляет значительный риск для организаций в секторе криптовалют и подчеркивает важность строгих мер безопасности для противодействия этим изощренным хакерам.

#ParsedReport #CompletenessLow
29-07-2025

Comprehensive analysis of ArmouryLoader loader - - Typical loader family series analysis 5

https://www.4hou.com/posts/xyE9

Report completeness: Low

Threats:
Armouryloader
Smokeloader
Coffeeloader
Hijackloader
Shipcome
Spybind
Trojan/win32.armouryloader-

Geo:
China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1055, T1059.003, T1070.004, T1140, T1204.002, T1218.011, T1484.001, T1547.001, have more...

IOCs:
File: 10
Hash: 2

Soft:
WeChat

Algorithms:
xor, md5

Functions:
in, GetDeviceIndex, Certificate-related

Win API:
GetModuleHandleW

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ArmouryLoader, обнаруженный в 2024 году, представляет собой сложный вредоносный загрузчик, который использует программное обеспечение Asus Armoury Crate, используя передовые методы обфускации и обхода, включая OpenCL для расшифровки полезной нагрузки. Он включает в себя несколько этапов развертывания и сохранения вредоносного ПО, а также использует тактику контроля памяти и маскировки действий.
-----

Antian CERT предоставил информацию об изменяющемся ландшафте угроз, связанных с вредоносными программами, уделив особое внимание ArmouryLoader. Этот загрузчик отличается своими возможностями не только по развертыванию различных типов вредоносных программ, но и по обходу мер обнаружения и безопасности. Первоначально разработанный в 2024 году, ArmouryLoader работает за счет использования экспортных функций программного обеспечения Asus Armoury Crate system management, которое определяет его название и функциональность.

Загрузчик демонстрирует надежные механизмы сохранения, обфускации и обхода. Он включает в себя восемь рабочих этапов, каждый из которых зависит от выполнения независимых задач; первый, третий, пятый и седьмой этапы в основном связаны с выполнением вредоносных действий, в то время как промежуточные этапы облегчают загрузку полезной нагрузки. Например, на этапе загрузки ArmouryLoader использует OpenCL для расшифровки вредоносной полезной нагрузки, для чего требуется специальное оборудование, такое как графический процессор или 32-разрядный центральный процессор, чтобы избежать дальнейшего обнаружения, особенно в изолированных средах.

ArmouryLoader использует передовые методы обфускации, включая внедрение лишних инструкций и самоподшифровывающийся код. В его методе расшифровки используется OpenCL, что значительно усложняет статический анализ. Загрузчик также реализует сложные тактические приемы для поддержания постоянства, такие как использование запланированных задач и изменение атрибутов файлов для предотвращения несанкционированных модификаций или удалений.

Значительная часть его работы связана с управлением памятью для чтения конфиденциальных данных с помощью легальных библиотек DLL, умело маскируя свою деятельность путем подделки стека вызовов, тем самым снижая риск обнаружения решениями endpoint security. Кроме того, при предоставлении полезной нагрузки, такой как SmokeLoader и CoffeeLoader, ArmouryLoader способен перехватывать основные процессы для выполнения шеллкода, что еще больше улучшает его методы обфускации.

Технологически ArmouryLoader использует собственную технологию "Gate of Heaven" для выполнения 64-разрядного кода уникальным образом, минуя обычные перехватчики функций. Это помогает ему маскировать свои операции и обходить системы безопасности, что значительно усложняет обнаружение угроз.

В ответ на эти передовые технологии решения для обеспечения безопасности, такие как Antian Zhijia, активно отслеживают присутствие ArmouryLoader, выявляя шаблоны и поведение, связанные с вредоносной активностью. Инструмент использует мониторинг в режиме реального времени и автоматическое обнаружение для анализа взаимодействия с файлами и предотвращения распространения потенциальных инфекций, когда такие загрузчики доставляются различными способами, включая вложения в электронную почту и загруженные файлы.

#ParsedReport #CompletenessMedium
29-07-2025

RedHook: A New Android Banking Trojan Targeting Users in Vietnam

https://cyble.com/blog/redhook-new-android-banking-targeting-in-vietnam/

Report completeness: Medium

Threats:
Redhook

Victims:
Financial institutions, Government entities, Individual users

Industry:
Financial, Government

Geo:
Indonesian, Vietnamese, Vietnam, Chinese

TTPs:
Tactics: 7
Technics: 12

IOCs:
Domain: 6
Url: 4
Hash: 9

Soft:
Android

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RedHook - это банковский троян для Android, нацеленный на вьетнамских пользователей и использующий фишинг для выдачи себя за доверенные учреждения. Он собирает конфиденциальные данные через API MediaProjection, использует сервер управления в режиме реального времени и имеет низкий уровень обнаружения, что указывает на передовые методы уклонения. Вредоносная программа связана с китайскоязычным хакером и эволюционирует от традиционного мошенничества к изощренной финансовой краже.
-----

RedHook - это продвинутый банковский троян для Android, который специально нацелен на вьетнамских пользователей, используя тактику фишинга. Он маскируется под законные приложения от надежных финансовых и правительственных учреждений, вступая в контакт через мошеннический веб-сайт, который выдает себя за Государственный банк Вьетнама. Это вредоносное ПО, обнаруженное Cyble Research and Intelligence Labs (CRIL), обладает способностью выполнять различные вредоносные действия удаленно, управляя скомпрометированными устройствами через сервер управления (C2) через WebSocket.

После установки RedHook использует ряд методов для получения конфиденциальной информации. Он предлагает пользователям включить специальные возможности и разрешения на наложение, что позволяет троянцу захватывать содержимое экрана через Android MediaProjection API. Вредоносная программа взаимодействует с сервером C2 в режиме реального времени, поддерживая в общей сложности 34 команды, которые облегчают удаленное управление зараженными устройствами, включая такие задачи, как сбор SMS-сообщений, выполнение автоматизированных задач и захват скриншотов.

RedHook демонстрирует низкий уровень обнаружения антивирусным программным обеспечением, что значительно усиливает его скрытное присутствие в хакерской среде. Он собирает конфиденциальные данные с помощью серии тщательно продуманных фишинговых действий, сначала предлагая пользователям загрузить изображения своих документов, удостоверяющих личность, а затем запрашивая банковские реквизиты, такие как номера счетов и пароли. Интерфейс, используемый для этих попыток фишинга, даже переведен на индонезийский язык, что указывает на потенциальное повторное использование шаблонов для различных целевых аудиторий.

Кроме того, архитектура RedHook включает в себя функцию кейлоггинга, которая регистрирует нажатия клавиш вместе с соответствующим контекстом приложения, отправляя эту информацию на сервер C2. Открытые ресурсы в общедоступной корзине AWS S3 позволили получить представление об инфраструктуре вредоносного ПО, выявив оперативные материалы, такие как скриншоты, поддельные шаблоны и доказательства предыдущих мошеннических действий, направленных против граждан Вьетнама.

Разработка RedHook, по-видимому, связана с китайскоязычным хакером или группой, на что указывают строки на китайском языке, найденные в его коде. Анализ показывает, что это вредоносное ПО эволюционировало от традиционного мошенничества в области социальной инженерии к более изощренному средству кражи финансовых средств, демонстрируя тревожную тенденцию в области угроз кибербезопасности, которые сочетают фишинг с передовыми инвазивными методами.

Появление RedHook подчеркивает необходимость того, чтобы пользователи, особенно в регионах с высоким уровнем риска, таких как Вьетнам, применяли комплексные стратегии обнаружения мобильных угроз, а организации активно обменивались разведывательной информацией, чтобы смягчить эскалацию и влияние таких хакеров.

#ParsedReport #CompletenessMedium
29-07-2025

Scattered Spider

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/scattered-spider

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: information_theft, cyber_criminal, financially_motivated)

Threats:
Dragonforce_ransomware
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Screenconnect_tool
Splashtop_tool
Tailscale_tool
Teamviewer_tool
Anydesk_tool
Avemaria_rat
Raccoon_stealer
Vidar_stealer
Rattyrat
Lolbin_technique
Smishing_technique
Spear-phishing_technique

Industry:
Critical_infrastructure, E-commerce, Government

Geo:
Australian, Russia, Canadian, United kingdom

TTPs:
Tactics: 9
Technics: 43

IOCs:
File: 1
Domain: 1

Soft:
Pulseway, Active Directory, ESXi, Slack, Microsoft Teams, Microsoft Exchange, remote desktop services

Crypto:
bitcoin

Languages:
java

Links:
https://github.com/cisagov/Decider/