#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RedHook - это банковский троян для Android, нацеленный на вьетнамских пользователей и использующий фишинг для выдачи себя за доверенные учреждения. Он собирает конфиденциальные данные через API MediaProjection, использует сервер управления в режиме реального времени и имеет низкий уровень обнаружения, что указывает на передовые методы уклонения. Вредоносная программа связана с китайскоязычным хакером и эволюционирует от традиционного мошенничества к изощренной финансовой краже.
-----

RedHook - это продвинутый банковский троян для Android, который специально нацелен на вьетнамских пользователей, используя тактику фишинга. Он маскируется под законные приложения от надежных финансовых и правительственных учреждений, вступая в контакт через мошеннический веб-сайт, который выдает себя за Государственный банк Вьетнама. Это вредоносное ПО, обнаруженное Cyble Research and Intelligence Labs (CRIL), обладает способностью выполнять различные вредоносные действия удаленно, управляя скомпрометированными устройствами через сервер управления (C2) через WebSocket.

После установки RedHook использует ряд методов для получения конфиденциальной информации. Он предлагает пользователям включить специальные возможности и разрешения на наложение, что позволяет троянцу захватывать содержимое экрана через Android MediaProjection API. Вредоносная программа взаимодействует с сервером C2 в режиме реального времени, поддерживая в общей сложности 34 команды, которые облегчают удаленное управление зараженными устройствами, включая такие задачи, как сбор SMS-сообщений, выполнение автоматизированных задач и захват скриншотов.

RedHook демонстрирует низкий уровень обнаружения антивирусным программным обеспечением, что значительно усиливает его скрытное присутствие в хакерской среде. Он собирает конфиденциальные данные с помощью серии тщательно продуманных фишинговых действий, сначала предлагая пользователям загрузить изображения своих документов, удостоверяющих личность, а затем запрашивая банковские реквизиты, такие как номера счетов и пароли. Интерфейс, используемый для этих попыток фишинга, даже переведен на индонезийский язык, что указывает на потенциальное повторное использование шаблонов для различных целевых аудиторий.

Кроме того, архитектура RedHook включает в себя функцию кейлоггинга, которая регистрирует нажатия клавиш вместе с соответствующим контекстом приложения, отправляя эту информацию на сервер C2. Открытые ресурсы в общедоступной корзине AWS S3 позволили получить представление об инфраструктуре вредоносного ПО, выявив оперативные материалы, такие как скриншоты, поддельные шаблоны и доказательства предыдущих мошеннических действий, направленных против граждан Вьетнама.

Разработка RedHook, по-видимому, связана с китайскоязычным хакером или группой, на что указывают строки на китайском языке, найденные в его коде. Анализ показывает, что это вредоносное ПО эволюционировало от традиционного мошенничества в области социальной инженерии к более изощренному средству кражи финансовых средств, демонстрируя тревожную тенденцию в области угроз кибербезопасности, которые сочетают фишинг с передовыми инвазивными методами.

Появление RedHook подчеркивает необходимость того, чтобы пользователи, особенно в регионах с высоким уровнем риска, таких как Вьетнам, применяли комплексные стратегии обнаружения мобильных угроз, а организации активно обменивались разведывательной информацией, чтобы смягчить эскалацию и влияние таких хакеров.

#ParsedReport #CompletenessMedium
29-07-2025

Scattered Spider

https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/scattered-spider

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: information_theft, cyber_criminal, financially_motivated)

Threats:
Dragonforce_ransomware
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Screenconnect_tool
Splashtop_tool
Tailscale_tool
Teamviewer_tool
Anydesk_tool
Avemaria_rat
Raccoon_stealer
Vidar_stealer
Rattyrat
Lolbin_technique
Smishing_technique
Spear-phishing_technique

Industry:
Critical_infrastructure, E-commerce, Government

Geo:
Australian, Russia, Canadian, United kingdom

TTPs:
Tactics: 9
Technics: 43

IOCs:
File: 1
Domain: 1

Soft:
Pulseway, Active Directory, ESXi, Slack, Microsoft Teams, Microsoft Exchange, remote desktop services

Crypto:
bitcoin

Languages:
java

Links:
https://github.com/cisagov/Decider/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Spider group (UNC3944) нацелена на крупные корпорации, сосредоточившись на ИТ-службах поддержки для кражи данных и вымогательства с использованием передовой социальной инженерии, включая “push-бомбардировку” и подмену SIM-карт. Они внедряют сложные вредоносные программы, такие как DragonForce ransomware, и поддерживают постоянство с помощью регистрации токенов MFA и средств удаленного мониторинга, одновременно используя фишинговые атаки для получения первоначального доступа.
-----

В совместном документе по кибербезопасности, опубликованном несколькими федеральными и международными агентствами, говорится о недавней деятельности хакерской группы Scattered Spider, известной также как UNC3944, Scatter Swine и других. Эта группа в основном нацелена на крупные корпорации, уделяя особое внимание их ИТ-службам поддержки, которые способствуют краже данных с целью вымогательства. В рекомендациях освещаются обновленные тактики, методы и процедуры (TTP), раскрывающие использование передовых методов социальной инженерии и различных вредоносных программ, включая недавно обнаруженную программу-вымогатель DragonForce. Операции Scattered Spider, как правило, включают в себя сочетание кражи и шифрования конфиденциальных данных, при этом их тактика развивается таким образом, чтобы избежать обнаружения.

Характерно, что Scattered Spider использует сложные тактики социальной инженерии, такие как “push-бомбардировка”, когда они бомбардируют сотрудников повторяющимися запросами на многофакторную аутентификацию (MFA) и замену SIM-карты для получения несанкционированного доступа к учетным записям. Группа имеет большой опыт в монетизации сетевого доступа с помощью тактики вымогательства и программ-вымогателей. Они часто используют законные инструменты удаленного доступа в злонамеренных целях, используя безобидное программное обеспечение для сокрытия своей деятельности.

Первоначальные угрозы, как правило, возникают в результате фишинговых атак, когда разрозненные атаки Spider нацелены на сотрудников в зависимости от их ролей в организациях, часто применяя индивидуальную тактику фишинга. После получения первоначального доступа они устанавливают постоянство, регистрируя свои собственные токены MFA и используя инструменты удаленного мониторинга. Известно также, что они манипулируют средами единого входа (SSO) для облегчения захвата учетных записей и повышения привилегий.

После подключения к сети их операции включают в себя обширные процессы обнаружения, нацеленные на сайты SharePoint, хранилища учетных данных и другие конфиденциальные ресурсы. Они активно используют методы эксфильтрации данных и инструменты ETL для сбора данных для контролируемого извлечения. Примечательно, что они могут ориентироваться на облачные сервисы, такие как AWS, для управления перемещениями внутри сети и быстрого поиска данных.

Чтобы скрыть свою деятельность, Scattered Spider создает учетные данные в скомпрометированной среде, участвует в совещаниях по реагированию на инциденты и использует сменяющиеся имена компьютеров и прокси-сети, чтобы избежать обнаружения. В рекомендациях подчеркивается важность выполнения рекомендаций по обеспечению безопасности для снижения рисков, связанных с такими злоумышленниками, и организациям рекомендуется незамедлительно сообщать властям о любых инцидентах, связанных с программами-вымогателями, или связанных с ними сообщениях.

#ParsedReport #CompletenessLow
30-07-2025

Email-Delivered RMM: Abusing PDFs for Silent Initial

https://labs.withsecure.com/publications/email-delivered-rmm.html

Report completeness: Low

Threats:
Fleetdeck_tool
Atera_tool
Bluetrait_tool
Screenconnect_tool
Blackbasta
Conti
Blackcat
Action1_tool
Optitune_tool
Syncro_tool
Superops_tool

Industry:
Government, Energy, Financial

Geo:
Luxembourg, Dutch, France, Netherlands

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1078, T1078.004, T1204.001, T1219, T1566.001, T1566.002, T1588.002

IOCs:
Url: 41
Hash: 65

Soft:
Microsoft Word

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С ноября 2024 года целенаправленные кибератаки использовали инструменты удаленного мониторинга и управления (RMM) с помощью вредоносных PDF-файлов в электронных письмах организациям во Франции и Люксембурге. Злоумышленники используют социальную инженерию для распространения ссылок для установщиков RMM, избегая обнаружения и предоставляя удаленный доступ, а некоторые используют для распространения такие платформы, как Zendesk. Это иллюстрирует сдвиг в сторону использования законного программного обеспечения для кибератак, подчеркивая необходимость усиления защиты от такой тактики.
-----

С ноября 2024 года участились целенаправленные кибератаки с использованием инструментов удаленного мониторинга и управления (RMM), встроенных в PDF-документы. Атаки в основном нацелены на организации во Франции и Люксембурге с помощью электронных писем, содержащих PDF-файлы со ссылками на установщиков инструментов RMM. Эти PDF-файлы создаются таким образом, чтобы они выглядели правдоподобно, и часто напоминают счета-фактуры или контракты. Злоумышленники используют методы социальной инженерии, такие как подделка электронной почты и выдача себя за сотрудников, чтобы повысить доверие к электронной почте. Ссылки в PDF-файлах ведут на уникальные URL-адреса для загрузки, предоставляемые поставщиками RMM. Злоумышленники используют такие платформы, как Zendesk, для распространения вредоносных PDF-файлов в обход средств защиты электронной почты. Инструменты RMM, такие как FleetDeck, Atera и Bluetrait, пользуются популярностью благодаря простоте использования и минимальной настройке. Наблюдаемый метод включает использование перенаправляющего URL-адреса для ScreenConnect, чтобы скрыть обнаружение домена RMM. Исторические данные указывают на более ранние случаи использования RMM, начиная с июля 2024 года. Эта тенденция подчеркивает растущую угрозу, исходящую от неправомерного использования законного программного обеспечения и изощренной тактики социальной инженерии.

#ParsedReport #CompletenessMedium
30-07-2025

Cobalt Strike Beacon delivered via GitHub and social media

https://securelist.com/cobalt-strike-attacks-using-quora-github-social-media/117085/

Report completeness: Medium

Actors/Campaigns:
Eastwind

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Dll_hijacking_technique
Dll_sideloading_technique

Victims:
Russian it industry, Large and medium-sized businesses

Industry:
Petroleum

Geo:
Peru, Malaysia, Japan, China, Russian

TTPs:
Tactics: 1
Technics: 4

IOCs:
File: 7
Url: 16
Hash: 16

Algorithms:
xor, base64

Win API:
messageboxw

Links:
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fmashcheeva/?icid=gl\_OpenTIP\_acq\_ona\_smm\_\_onl\_b2b\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_800905ef70012b0a&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL
https://opentip.kaspersky.com/https%3a%2f%2fgithub.com%2fkimoeli/?icid=gl\_OpenTIP\_acq\_ona\_smm\_\_onl\_b2b\_securelist\_lnk\_sm-team\_\_\_\_\_\_\_cfb3ac56d75a208b&utm\_source=SL&utm\_medium=SL&utm\_campaign=SL

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2024 года в ходе кибератаки на российский ИТ-сектор был использован специальный фишинг с перехватом DLL-файлов для развертывания Cobalt Strike Beacon. Злоумышленники общались через социальные сети и платформы, такие как GitHub, используя запутанные вызовы API и шеллкод с шифрованием XOR для связи C2 с целями, в том числе в Азии и Латинской Америке.
-----

В конце 2024 года была проведена масштабная кибератака на российскую ИТ-индустрию и различные международные организации. Злоумышленники использовали множество методов, чтобы избежать обнаружения, в первую очередь используя социальные сети и платформы пользовательского контента для распространения информации о своих вредоносных программах. Среди известных платформ, использовавшихся для этой цели, были GitHub, Microsoft Learn Challenge и российские социальные сети. Эта кампания, в основном, была основана на широко известном Cobalt Strike Beacon и оставалась активной с ноября 2024 года по апрель 2025 года, после небольшой паузы возобновившись с немного измененными образцами атак.

Атака началась с фишинговых электронных писем, которые содержали вредоносные вложения, замаскированные под законные сообщения от государственных компаний, особенно в нефтегазовом секторе. Злоумышленники стремились создать ложную легитимность, чтобы побудить свои цели открыть эти вложенные файлы, что привело к компрометации. Важным методом, использованным в этой атаке, был захват библиотеки DLL (T1574.001). Злоумышленники воспользовались утилитой отправки сообщений о сбоях (BsSndRpt.exe), переименовав свой вредоносный код в nau.exe. Они заменили основные библиотечные файлы (BugSplatRc64.dll) вредоносной версией, предназначенной для загрузки вместо законной библиотеки DLL, что облегчило выполнение их кода.

Запутывание функций API в этой вредоносной библиотеке было достигнуто с помощью динамического разрешения API (T1027.007), которое было разработано для динамического скрытия вызовов функций во время выполнения. Чтобы манипулировать законной утилитой, злоумышленники изменили вызовы, такие как MessageBoxW, для перенаправления на функцию в вредоносной библиотеке, эффективно маскируя свою активность от мер безопасности, особенно в изолированных средах.

Функция вредоносного ПО, называемая NewMessageBox, выполняла двухэтапный процесс создания шеллкода. Первоначально она извлекала HTML-контент из специально разработанных URL-адресов, хранящихся в библиотеке вредоносных программ. Этот поиск проводился по определенным строкам, определенным в коде, что позволило злоумышленникам использовать популярные платформы для размещения вредоносной полезной нагрузки. Вредоносные профили, хотя и не использовали реальные учетные записи пользователей, подчеркивали появляющуюся тактику использования надежных платформ, таких как GitHub и сайты вопросов и ответов, для хранения информации, которая может спровоцировать дальнейшие действия в скомпрометированных системах.

Извлеченные полезные данные в конечном итоге привели к загрузке шеллкода, зашифрованного методом XOR, который, как было проанализировано, содержал отражающий загрузчик, который вводил маяк Cobalt Strike в память целевого процесса (T1620). Связь с сервером C2 осуществлялась через зашифрованный URL-адрес, что отражает аналогичные методы, использованные в других кампаниях, таких как EastWind, с совпадающими целями среди российских ИТ-компаний и международных бизнес-секторов, особенно в таких странах, как Китай, Япония, Малайзия и Перу.

#ParsedReport #CompletenessHigh
28-07-2025

Lets Be Objective: A Deep Dive into 0bj3ctivityStealer's Features

https://www.trellix.com/en-hk/blogs/research/a-deep-dive-into-obj3ctivitystealers-features/

Report completeness: High

Threats:
0bj3ctivitystealer
Steganography_technique
Vmdetector
Process_hollowing_technique
Junk_code_technique
Masslogger
Spear-phishing_technique
Process_injection_technique

Industry:
Government

Geo:
Montenegro, Australia, Germany, Asia, America

TTPs:
Tactics: 8
Technics: 39

IOCs:
Url: 3
File: 7
Command: 1
Path: 40
Hash: 10

Soft:
Hyper-V, VirtualBox, Chromium, Telegram, Discord, Pidgin, Outlook, Foxmail, Chrome, Task Scheduler, have more...

Wallets:
zcash, jaxx, exodus_wallet, electrum, atomicwallet, guarda_wallet, coinomi, auvitas, metamask, rabet, have more...

Crypto:
ethereum, litecoin, bitcoin, binance, starcoin

Algorithms:
base64, sha256, md5, sha1

Win API:
CheckRemoteDebuggerPresent

Languages:
javascript, powershell, python, cscript

Links:
https://github.com/0xd4d/dnlib
https://github.com/trellix-arc/tig-threat-research/blob/main/0bj3ctivityStealer/0b3ctivityStealer\_NET\_strings\_decryptor.py
https://github.com/trellix-arc/tig-threat-research/blob/main/0bj3ctivityStealer/image\_payload\_extractor.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
0bj3ctivityStealer - это сложная вредоносная программа для кражи данных, которая использует фишинг для первоначального заражения, запутанный JavaScript и стеганографию для сокрытия доставки полезной нагрузки. Он нацелен на веб-браузеры, приложения для обмена сообщениями и криптовалютные кошельки для извлечения конфиденциальных данных и общается в основном через Telegram, что подчеркивает его скрытный характер.
-----

0bj3ctivityStealer - это недавно обнаруженная сложная вредоносная программа для кражи данных, которая демонстрирует расширенные возможности для извлечения информации из различных приложений. Первоначальное заражение происходит через фишинговые электронные письма, обычно содержащие заманчивые темы и поддельные заказы на покупку. Переход по вредоносной ссылке приводит жертву к размещенному в облаке файлу JavaScript, который сильно запутан и содержит минимальное количество допустимого кода. После выполнения он загружает изображение в формате JPG из Интернета, которое скрывает следующий этап вредоносного ПО с помощью стеганографии. Затем скрипт PowerShell извлекает полезные данные из изображения, считывая значения в пикселях, что в конечном итоге позволяет незаметно развернуть сам stealer через загрузчик.

Важная особенность 0bj3ctivityStealer заключается в его методах обфускации, которые включают использование нежелательного кода и рандомизированных имен функций. Кроме того, он использует проверки для обнаружения виртуальных машин или сред отладки, завершая работу при выполнении таких условий. Такое поведение подчеркивает основную цель: избежать использования инструментов анализа и не привлекать внимания во время выполнения.

После активации 0bj3ctivityStealer собирает обширную системную информацию и специально нацелен на веб-браузеры, включая варианты на базе Chromium и Gecko. Он также ищет конфиденциальные данные из популярных приложений для обмена мгновенными сообщениями, почтовых клиентов и криптовалютных кошельков, извлекая сохраненные учетные данные и соответствующие файлы без попыток расшифровки, особенно в тех случаях, когда используется шифрование.

Коммуникация вредоносного ПО в основном осуществляется через Telegram, отправляя собранные данные в одном направлении на свой командный сервер, хотя у него также есть возможности SMTP, которые были замечены, но отключены в последних образцах. Его обнаружение было заметным в различных географических регионах, при этом о высокой активности сообщалось в Соединенных Штатах, Германии и Черногории, что свидетельствует скорее о оппортунистическом подходе к атаке, чем о целенаправленной кампании.

0bj3ctivityStealer является примером развивающейся тенденции в области кражи информации, используя сложные методы распространения и широкий спектр тактик таргетинга, которые включают фишинг, пользовательские скрипты PowerShell и методы уклонения. Значительное воздействие на критически важные секторы, такие как государственное управление и производство, подчеркивает потенциальную возможность серьезных утечек данных, что подчеркивает необходимость усиления мониторинга и принятия упреждающих мер безопасности для борьбы с такими сложными угрозами.

#ParsedReport #CompletenessLow
30-07-2025

Analysis of the latest Silver Fox attack campaign disguised as a Flash plugin

https://medium.com/@knownsec404team/analysis-of-the-latest-silver-fox-attack-campaign-disguised-as-a-flash-plugin-7cd92d193de1?source=rss-f1efd6b74751------2

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Golden_eyed_dog

Threats:
Winos

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1059.003, T1105, T1189, T1204.002, T1547.001, T1566.002

IOCs:
File: 5
Hash: 9
IP: 16
Domain: 1

Soft:
Zoom, Youdao, letsvpn

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Silver Fox использует социальную инженерию для распространения трояна Silver Fox, замаскированного под легальное программное обеспечение, что побуждает пользователей загружать троян Winos для кражи данных и удаленного управления. Это модульное вредоносное ПО, созданное в Golang, эволюционировало, позволяя различным субъектам использовать обновленные методы уклонения.
-----

Кампания по атакам Silver Fox получила широкое распространение с 2022 года и продолжает представлять серьезную угрозу для хакеров, особенно в китайской интернет-экосистеме. Эта кампания, в первую очередь, характеризуется распространением троянской программы Silver Fox, которая умело маскируется под легальные программные средства, такие как Google Translate или обычно используемые установочные пакеты. При использовании ложных подсказок на мошеннических страницах загрузки ничего не подозревающие пользователи загружают вредоносные файлы. Эти загрузки обычно состоят из установочных пакетов в форматах MSI или EXE, которые после запуска запускают троян Winos — печально известную вредоносную программу из арсенала Silver Fox.

Оперативный метод атаки Silver Fox в значительной степени основан на методах социальной инженерии, включая фишинговые электронные письма, мгновенные сообщения и поддельные веб-сайты. Как показал анализ, процесс компрометации начинается с установки программы, которая выглядит законно, и при ее запуске также запускается сопутствующий пакетный файл, предназначенный для незаметной загрузки и выполнения вредоносной полезной нагрузки. Ключевым компонентом этой операции является использование внешне безобидного исполняемого файла с именем "javaw.exe", который помогает установить постоянное присутствие вредоносного ПО путем записи дополнительных вредоносных исполняемых файлов в системный реестр.

Троян Winos, появившийся в результате этой первоначальной компрометации, создан в Golang и обладает возможностями, способствующими краже данных и удаленному управлению ими. Важно отметить, что разработка вредоносного ПО Silver Fox не стоит на месте; из-за утечки основного исходного кода для различных троянских программ оно превратилось из единой структуры в высокомодульное и широко распространяемое семейство вредоносных программ. Этот сдвиг парадигмы привел к более широкому использованию вредоносных компонентов различными участниками, включая APT-группы, которые могут легко адаптировать свою методологию с помощью обновленных методов обхода, таких как обфускация кода и обходы в песочнице.

Способность операторов Silver Fox обманом заставлять пользователей загружать вредоносный контент подкрепляется стратегией имитации высокочастотных приложений, что увеличивает вероятность заражения среди обычных пользователей. Такая стратегия адаптации позволяет злоумышленникам добиваться существенных результатов при низких затратах, сохраняя при этом высокую отдачу от своей преступной деятельности.

#ParsedReport #CompletenessLow
30-07-2025

Google Redirect Abuse in 2024: Key Trends & Tactics

https://cofense.com/blog/google-redirect-abuse-in-2024-key-trends-tactics

Report completeness: Low

Industry:
Education

Geo:
Austria, France, Brazil, Albanian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.001, T1562.001, T1566.002

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4