#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце 2024 года в ходе кибератаки на российский ИТ-сектор был использован специальный фишинг с перехватом DLL-файлов для развертывания Cobalt Strike Beacon. Злоумышленники общались через социальные сети и платформы, такие как GitHub, используя запутанные вызовы API и шеллкод с шифрованием XOR для связи C2 с целями, в том числе в Азии и Латинской Америке.
-----

В конце 2024 года была проведена масштабная кибератака на российскую ИТ-индустрию и различные международные организации. Злоумышленники использовали множество методов, чтобы избежать обнаружения, в первую очередь используя социальные сети и платформы пользовательского контента для распространения информации о своих вредоносных программах. Среди известных платформ, использовавшихся для этой цели, были GitHub, Microsoft Learn Challenge и российские социальные сети. Эта кампания, в основном, была основана на широко известном Cobalt Strike Beacon и оставалась активной с ноября 2024 года по апрель 2025 года, после небольшой паузы возобновившись с немного измененными образцами атак.

Атака началась с фишинговых электронных писем, которые содержали вредоносные вложения, замаскированные под законные сообщения от государственных компаний, особенно в нефтегазовом секторе. Злоумышленники стремились создать ложную легитимность, чтобы побудить свои цели открыть эти вложенные файлы, что привело к компрометации. Важным методом, использованным в этой атаке, был захват библиотеки DLL (T1574.001). Злоумышленники воспользовались утилитой отправки сообщений о сбоях (BsSndRpt.exe), переименовав свой вредоносный код в nau.exe. Они заменили основные библиотечные файлы (BugSplatRc64.dll) вредоносной версией, предназначенной для загрузки вместо законной библиотеки DLL, что облегчило выполнение их кода.

Запутывание функций API в этой вредоносной библиотеке было достигнуто с помощью динамического разрешения API (T1027.007), которое было разработано для динамического скрытия вызовов функций во время выполнения. Чтобы манипулировать законной утилитой, злоумышленники изменили вызовы, такие как MessageBoxW, для перенаправления на функцию в вредоносной библиотеке, эффективно маскируя свою активность от мер безопасности, особенно в изолированных средах.

Функция вредоносного ПО, называемая NewMessageBox, выполняла двухэтапный процесс создания шеллкода. Первоначально она извлекала HTML-контент из специально разработанных URL-адресов, хранящихся в библиотеке вредоносных программ. Этот поиск проводился по определенным строкам, определенным в коде, что позволило злоумышленникам использовать популярные платформы для размещения вредоносной полезной нагрузки. Вредоносные профили, хотя и не использовали реальные учетные записи пользователей, подчеркивали появляющуюся тактику использования надежных платформ, таких как GitHub и сайты вопросов и ответов, для хранения информации, которая может спровоцировать дальнейшие действия в скомпрометированных системах.

Извлеченные полезные данные в конечном итоге привели к загрузке шеллкода, зашифрованного методом XOR, который, как было проанализировано, содержал отражающий загрузчик, который вводил маяк Cobalt Strike в память целевого процесса (T1620). Связь с сервером C2 осуществлялась через зашифрованный URL-адрес, что отражает аналогичные методы, использованные в других кампаниях, таких как EastWind, с совпадающими целями среди российских ИТ-компаний и международных бизнес-секторов, особенно в таких странах, как Китай, Япония, Малайзия и Перу.

#ParsedReport #CompletenessHigh
28-07-2025

Lets Be Objective: A Deep Dive into 0bj3ctivityStealer's Features

https://www.trellix.com/en-hk/blogs/research/a-deep-dive-into-obj3ctivitystealers-features/

Report completeness: High

Threats:
0bj3ctivitystealer
Steganography_technique
Vmdetector
Process_hollowing_technique
Junk_code_technique
Masslogger
Spear-phishing_technique
Process_injection_technique

Industry:
Government

Geo:
Montenegro, Australia, Germany, Asia, America

TTPs:
Tactics: 8
Technics: 39

IOCs:
Url: 3
File: 7
Command: 1
Path: 40
Hash: 10

Soft:
Hyper-V, VirtualBox, Chromium, Telegram, Discord, Pidgin, Outlook, Foxmail, Chrome, Task Scheduler, have more...

Wallets:
zcash, jaxx, exodus_wallet, electrum, atomicwallet, guarda_wallet, coinomi, auvitas, metamask, rabet, have more...

Crypto:
ethereum, litecoin, bitcoin, binance, starcoin

Algorithms:
base64, sha256, md5, sha1

Win API:
CheckRemoteDebuggerPresent

Languages:
javascript, powershell, python, cscript

Links:
https://github.com/0xd4d/dnlib
https://github.com/trellix-arc/tig-threat-research/blob/main/0bj3ctivityStealer/0b3ctivityStealer\_NET\_strings\_decryptor.py
https://github.com/trellix-arc/tig-threat-research/blob/main/0bj3ctivityStealer/image\_payload\_extractor.py
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
0bj3ctivityStealer - это сложная вредоносная программа для кражи данных, которая использует фишинг для первоначального заражения, запутанный JavaScript и стеганографию для сокрытия доставки полезной нагрузки. Он нацелен на веб-браузеры, приложения для обмена сообщениями и криптовалютные кошельки для извлечения конфиденциальных данных и общается в основном через Telegram, что подчеркивает его скрытный характер.
-----

0bj3ctivityStealer - это недавно обнаруженная сложная вредоносная программа для кражи данных, которая демонстрирует расширенные возможности для извлечения информации из различных приложений. Первоначальное заражение происходит через фишинговые электронные письма, обычно содержащие заманчивые темы и поддельные заказы на покупку. Переход по вредоносной ссылке приводит жертву к размещенному в облаке файлу JavaScript, который сильно запутан и содержит минимальное количество допустимого кода. После выполнения он загружает изображение в формате JPG из Интернета, которое скрывает следующий этап вредоносного ПО с помощью стеганографии. Затем скрипт PowerShell извлекает полезные данные из изображения, считывая значения в пикселях, что в конечном итоге позволяет незаметно развернуть сам stealer через загрузчик.

Важная особенность 0bj3ctivityStealer заключается в его методах обфускации, которые включают использование нежелательного кода и рандомизированных имен функций. Кроме того, он использует проверки для обнаружения виртуальных машин или сред отладки, завершая работу при выполнении таких условий. Такое поведение подчеркивает основную цель: избежать использования инструментов анализа и не привлекать внимания во время выполнения.

После активации 0bj3ctivityStealer собирает обширную системную информацию и специально нацелен на веб-браузеры, включая варианты на базе Chromium и Gecko. Он также ищет конфиденциальные данные из популярных приложений для обмена мгновенными сообщениями, почтовых клиентов и криптовалютных кошельков, извлекая сохраненные учетные данные и соответствующие файлы без попыток расшифровки, особенно в тех случаях, когда используется шифрование.

Коммуникация вредоносного ПО в основном осуществляется через Telegram, отправляя собранные данные в одном направлении на свой командный сервер, хотя у него также есть возможности SMTP, которые были замечены, но отключены в последних образцах. Его обнаружение было заметным в различных географических регионах, при этом о высокой активности сообщалось в Соединенных Штатах, Германии и Черногории, что свидетельствует скорее о оппортунистическом подходе к атаке, чем о целенаправленной кампании.

0bj3ctivityStealer является примером развивающейся тенденции в области кражи информации, используя сложные методы распространения и широкий спектр тактик таргетинга, которые включают фишинг, пользовательские скрипты PowerShell и методы уклонения. Значительное воздействие на критически важные секторы, такие как государственное управление и производство, подчеркивает потенциальную возможность серьезных утечек данных, что подчеркивает необходимость усиления мониторинга и принятия упреждающих мер безопасности для борьбы с такими сложными угрозами.

#ParsedReport #CompletenessLow
30-07-2025

Analysis of the latest Silver Fox attack campaign disguised as a Flash plugin

https://medium.com/@knownsec404team/analysis-of-the-latest-silver-fox-attack-campaign-disguised-as-a-flash-plugin-7cd92d193de1?source=rss-f1efd6b74751------2

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Golden_eyed_dog

Threats:
Winos

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1059.003, T1105, T1189, T1204.002, T1547.001, T1566.002

IOCs:
File: 5
Hash: 9
IP: 16
Domain: 1

Soft:
Zoom, Youdao, letsvpn

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Silver Fox использует социальную инженерию для распространения трояна Silver Fox, замаскированного под легальное программное обеспечение, что побуждает пользователей загружать троян Winos для кражи данных и удаленного управления. Это модульное вредоносное ПО, созданное в Golang, эволюционировало, позволяя различным субъектам использовать обновленные методы уклонения.
-----

Кампания по атакам Silver Fox получила широкое распространение с 2022 года и продолжает представлять серьезную угрозу для хакеров, особенно в китайской интернет-экосистеме. Эта кампания, в первую очередь, характеризуется распространением троянской программы Silver Fox, которая умело маскируется под легальные программные средства, такие как Google Translate или обычно используемые установочные пакеты. При использовании ложных подсказок на мошеннических страницах загрузки ничего не подозревающие пользователи загружают вредоносные файлы. Эти загрузки обычно состоят из установочных пакетов в форматах MSI или EXE, которые после запуска запускают троян Winos — печально известную вредоносную программу из арсенала Silver Fox.

Оперативный метод атаки Silver Fox в значительной степени основан на методах социальной инженерии, включая фишинговые электронные письма, мгновенные сообщения и поддельные веб-сайты. Как показал анализ, процесс компрометации начинается с установки программы, которая выглядит законно, и при ее запуске также запускается сопутствующий пакетный файл, предназначенный для незаметной загрузки и выполнения вредоносной полезной нагрузки. Ключевым компонентом этой операции является использование внешне безобидного исполняемого файла с именем "javaw.exe", который помогает установить постоянное присутствие вредоносного ПО путем записи дополнительных вредоносных исполняемых файлов в системный реестр.

Троян Winos, появившийся в результате этой первоначальной компрометации, создан в Golang и обладает возможностями, способствующими краже данных и удаленному управлению ими. Важно отметить, что разработка вредоносного ПО Silver Fox не стоит на месте; из-за утечки основного исходного кода для различных троянских программ оно превратилось из единой структуры в высокомодульное и широко распространяемое семейство вредоносных программ. Этот сдвиг парадигмы привел к более широкому использованию вредоносных компонентов различными участниками, включая APT-группы, которые могут легко адаптировать свою методологию с помощью обновленных методов обхода, таких как обфускация кода и обходы в песочнице.

Способность операторов Silver Fox обманом заставлять пользователей загружать вредоносный контент подкрепляется стратегией имитации высокочастотных приложений, что увеличивает вероятность заражения среди обычных пользователей. Такая стратегия адаптации позволяет злоумышленникам добиваться существенных результатов при низких затратах, сохраняя при этом высокую отдачу от своей преступной деятельности.

#ParsedReport #CompletenessLow
30-07-2025

Google Redirect Abuse in 2024: Key Trends & Tactics

https://cofense.com/blog/google-redirect-abuse-in-2024-key-trends-tactics

Report completeness: Low

Industry:
Education

Geo:
Austria, France, Brazil, Albanian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.001, T1562.001, T1566.002

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры все чаще используют методы AMP и перенаправления Google в фишинговых кампаниях, используя домены Google и CAPTCHA, чтобы избежать обнаружения защищенными шлюзами электронной почты. Это включает в себя манипулирование URL-адресами и внедрение вредоносных ссылок в сервисы Google, что усложняет меры безопасности и отражает эволюцию их тактики обхода улучшенных мер безопасности.
-----

хакеры демонстрируют постоянную адаптацию своих методов для использования ускоренных мобильных страниц Google (AMP) и методов перенаправления, особенно в фишинговых кампаниях. Google AMP, предназначенный для повышения производительности веб-сайтов, все чаще используется злоумышленниками, которые манипулируют его функциями в обход протоколов безопасности. Недавние анализы показывают, что количество злоупотреблений Google AMP оставалось стабильно высоким вплоть до 2024 года, что указывает на то, что эта тактика продолжает развиваться в ответ на улучшение мер безопасности.

Одной из важных тактик является злоупотребление перенаправлением Google, при котором хакеры используют различные URL-адреса Google и домены верхнего уровня (TLD) для конкретной страны, такие как .br и .fr, чтобы скрыть вредоносный контент от обнаружения защищенными шлюзами электронной почты (SEGs). Эта манипуляция особенно эффективна, поскольку пользователи SEGs обычно доверяют доменам Google из-за их устоявшейся репутации. Кроме того, такие сервисы Google, как Maps и Translate, также используются для облегчения вредоносной переадресации, что еще больше запутывает истинные адресаты ссылок.

В фишинговых электронных письмах, в которых используются URL-адреса для перенаправления Google AMP, было выявлено заметное увеличение числа проблем с использованием CAPTCHA, на долю которых приходится 63,3% таких электронных писем в ходе недавнего анализа. Эта тенденция, вероятно, связана со способностью CAPTCHA препятствовать автоматическим поисковым системам, используемым SEG для оценки безопасности ссылок, поскольку для обхода CAPTCHA требуется ручной ввод пользователем. хакеры стратегически используют эти проблемы, чтобы предотвратить обнаружение и обеспечить успех своих попыток фишинга.

Дальнейшее изучение тактики выявило использование альтернативных доменов верхнего уровня, позволяющих отказаться от стандартных URL-адресов Google AMP и перейти к методам, использующим hxxps :// google . com/url?sa, которые маскируют вредоносные ссылки в привычных URL-адресах Google. Такой подход использует надежный характер домена Google для обхода мер безопасности. Когда пользователи переходят по таким манипулируемым ссылкам, их запросы могут проходить через систему отслеживания Google, что потенциально может привести их к вредоносным сайтам по незнанию.

Кроме того, использование поддоменов Google Translate стало двухуровневым методом перенаправления пользователей на фишинговые сайты с учетными данными. Эта тактика включает в себя встраивание URL-адресов перенаправления в HTML переведенных страниц, что эффективно маскирует истинный адресат. В некоторых случаях фишинговый контент размещается непосредственно на страницах Google Translate и отображается в браузерах пользователей, что еще больше усложняет задачу обнаружения.

Компания Cofense Intelligence отметила, что в 2024 году использование URL-адресов для перенаправления Google за пределами Google AMP становится все более распространенным явлением. Эти данные указывают на то, что первоначально основное внимание уделялось Google AMP, а затем переходу к новой тактике перенаправления Google, что, вероятно, отражает стратегический сдвиг хакеров, направленный на повышение эффективности их кампаний по обходу SEGS, ориентированных на обнаружение угроз, связанных с Google AMP. Эта эволюция подчеркивает постоянные проблемы, с которыми сталкиваются инфраструктуры безопасности при адаптации к инновационным методам фишинга.

#ParsedReport #CompletenessLow
30-07-2025

Intel Drops #1

https://intelinsights.substack.com/p/intel-drops-1

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1589

IOCs:
IP: 2
Domain: 2

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на компании из ЕС и США, использует электронные письма с вложениями в формате PDF, содержащими QR-коды, которые перенаправляют на сайты для сбора учетных данных. Эта тактика указывает на скоординированные действия одного хакера, использующего согласованные темы и сообщения для повышения успеха кражи.
-----

Продолжающаяся фишинговая кампания нацелена конкретно на компании в ЕС и США, связанные с IP-адресами 51.89.86.103 и 23.26.201.168. В рамках этой кампании используются электронные письма с вложением в формате PDF, содержащим QR-код. При сканировании QR-код перенаправляет пользователей на веб-сайты по сбору учетных данных под названием "dallasonrasolutions.cloud" и "withbible.com". Соответствие финансовой тематики сообщений электронной почты в сочетании с идентичными сайтами сбора учетных данных позволяет предположить, что это совместная работа одного хакера или группы.

Дальнейший анализ заголовков электронных писем показывает, что в обоих случаях попытки фишинга использовалось идентичное сообщение HELO, что подтверждает предположение о скоординированной кампании. Методичный подход к внедрению QR-кода в, казалось бы, легальный PDF-файл предполагает развитие тактики фишинга, направленной на повышение вероятности успеха при краже учетных данных. Эта кампания подчеркивает важность бдительности в отношении попыток фишинга, поскольку злоумышленники используют обманные методы для получения конфиденциальной информации от целевых организаций.

#ParsedReport #CompletenessLow
30-07-2025

GOLD BLADE remote DLL sideloading attack deploys RedLoader

https://news.sophos.com/en-us/2025/07/29/gold-blade-remote-dll-sideloading-attack-deploys-redloader/

Report completeness: Low

Actors/Campaigns:
Red_wolf (motivation: cyber_criminal)

Threats:
Dll_sideloading_technique
Redloader

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.003, T1071.001, T1105, T1106, T1574.002

IOCs:
File: 4
Domain: 4
Path: 1
Hash: 2

Algorithms:
zip, sha1, sha256

Links:
https://github.com/sophoslabs/IoCs/blob/master/2507%20Gold%20Blade%20DLL%20sideloading%20RedLoader.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа GOLD BLADE усовершенствовала свои методы атаки, используя вредоносные файлы LNK с WebDAV для обмена данными C2, внедряя пользовательское вредоносное ПО RedLoader. Их цепочка заражения включает в себя замаскированный ADNotificationManager.exe, который загружает вредоносную библиотеку DLL, облегчая дальнейшее выполнение полезной нагрузки и сохраняя контроль над скомпрометированными системами.
-----

В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее использовавшимся методом WebDAV для установления связи командования и контроля (C2) для своего пользовательского вредоносного ПО RedLoader. Эта новая цепочка заражения начинается с развертывания файла LNK, который маскируется под документ PDF. При запуске этого файла выполняется conhost.exe, который использует WebDAV для подключения к домену CloudFlare.

Злоумышленники используют вредоносный исполняемый файл, переименованную подписанную версию программного обеспечения Adobe ADNotificationManager.exe, замаскированную под резюме, которая размещена в их инфраструктуре. Этот исполняемый файл стратегически размещен рядом с вредоносной полезной нагрузкой RedLoader stage 1, DLL-файлом под названием netutils.dll. Во время выполнения переименованный ADNotificationManager.exe файл загружает вредоносную библиотеку DLL, фактически инициируя цепочку заражения RedLoader.

Полезная нагрузка 1-го этапа не только создает запланированную задачу в системе жертвы, но и загружает отдельный исполняемый файл, необходимый для 2-го этапа заражения. Запланированная задача с именем BrowserQE\BrowserQE_<Имя компьютера в кодировке Base64> использует как PCALua.exe, так и conhost.exe для выполнения полезной нагрузки RedLoader stage 2, которая представляет собой конкретный исполняемый файл с именем BrowserQE_<Имя компьютера в кодировке Base64>.exe. Примечательно, что, хотя имя является уникальным для каждой жертвы, хэш SHA256 остается неизменным во всех экземплярах. Эта полезная нагрузка этапа 2 устанавливает связь C2, позволяя злоумышленникам сохранять контроль над скомпрометированными системами.

Эта эволюция в методологии атак, использующая ранее известные методы в сочетании с новыми методами исполнения, подчеркивает адаптивные стратегии GOLD BLADE group, направленные на повышение эффективности их киберопераций.

#technique

EXEfromCER
This is a proof of concept to deliver a binary payload via an X.509 TLS certificate. It embeds a full Windows executable inside a custom extension of an X.509 certificate and serves it via HTTPS. The client extracts the payload from the certificate and executes it.

https://github.com/jeanlucdupont/EXEfromCER