#ParsedReport #CompletenessLow
30-07-2025

Analysis of the latest Silver Fox attack campaign disguised as a Flash plugin

https://medium.com/@knownsec404team/analysis-of-the-latest-silver-fox-attack-campaign-disguised-as-a-flash-plugin-7cd92d193de1?source=rss-f1efd6b74751------2

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Golden_eyed_dog

Threats:
Winos

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1036.005, T1059.003, T1105, T1189, T1204.002, T1547.001, T1566.002

IOCs:
File: 5
Hash: 9
IP: 16
Domain: 1

Soft:
Zoom, Youdao, letsvpn

Languages:
golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7, code: 7, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Silver Fox использует социальную инженерию для распространения трояна Silver Fox, замаскированного под легальное программное обеспечение, что побуждает пользователей загружать троян Winos для кражи данных и удаленного управления. Это модульное вредоносное ПО, созданное в Golang, эволюционировало, позволяя различным субъектам использовать обновленные методы уклонения.
-----

Кампания по атакам Silver Fox получила широкое распространение с 2022 года и продолжает представлять серьезную угрозу для хакеров, особенно в китайской интернет-экосистеме. Эта кампания, в первую очередь, характеризуется распространением троянской программы Silver Fox, которая умело маскируется под легальные программные средства, такие как Google Translate или обычно используемые установочные пакеты. При использовании ложных подсказок на мошеннических страницах загрузки ничего не подозревающие пользователи загружают вредоносные файлы. Эти загрузки обычно состоят из установочных пакетов в форматах MSI или EXE, которые после запуска запускают троян Winos — печально известную вредоносную программу из арсенала Silver Fox.

Оперативный метод атаки Silver Fox в значительной степени основан на методах социальной инженерии, включая фишинговые электронные письма, мгновенные сообщения и поддельные веб-сайты. Как показал анализ, процесс компрометации начинается с установки программы, которая выглядит законно, и при ее запуске также запускается сопутствующий пакетный файл, предназначенный для незаметной загрузки и выполнения вредоносной полезной нагрузки. Ключевым компонентом этой операции является использование внешне безобидного исполняемого файла с именем "javaw.exe", который помогает установить постоянное присутствие вредоносного ПО путем записи дополнительных вредоносных исполняемых файлов в системный реестр.

Троян Winos, появившийся в результате этой первоначальной компрометации, создан в Golang и обладает возможностями, способствующими краже данных и удаленному управлению ими. Важно отметить, что разработка вредоносного ПО Silver Fox не стоит на месте; из-за утечки основного исходного кода для различных троянских программ оно превратилось из единой структуры в высокомодульное и широко распространяемое семейство вредоносных программ. Этот сдвиг парадигмы привел к более широкому использованию вредоносных компонентов различными участниками, включая APT-группы, которые могут легко адаптировать свою методологию с помощью обновленных методов обхода, таких как обфускация кода и обходы в песочнице.

Способность операторов Silver Fox обманом заставлять пользователей загружать вредоносный контент подкрепляется стратегией имитации высокочастотных приложений, что увеличивает вероятность заражения среди обычных пользователей. Такая стратегия адаптации позволяет злоумышленникам добиваться существенных результатов при низких затратах, сохраняя при этом высокую отдачу от своей преступной деятельности.

#ParsedReport #CompletenessLow
30-07-2025

Google Redirect Abuse in 2024: Key Trends & Tactics

https://cofense.com/blog/google-redirect-abuse-in-2024-key-trends-tactics

Report completeness: Low

Industry:
Education

Geo:
Austria, France, Brazil, Albanian

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204.001, T1562.001, T1566.002

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры все чаще используют методы AMP и перенаправления Google в фишинговых кампаниях, используя домены Google и CAPTCHA, чтобы избежать обнаружения защищенными шлюзами электронной почты. Это включает в себя манипулирование URL-адресами и внедрение вредоносных ссылок в сервисы Google, что усложняет меры безопасности и отражает эволюцию их тактики обхода улучшенных мер безопасности.
-----

хакеры демонстрируют постоянную адаптацию своих методов для использования ускоренных мобильных страниц Google (AMP) и методов перенаправления, особенно в фишинговых кампаниях. Google AMP, предназначенный для повышения производительности веб-сайтов, все чаще используется злоумышленниками, которые манипулируют его функциями в обход протоколов безопасности. Недавние анализы показывают, что количество злоупотреблений Google AMP оставалось стабильно высоким вплоть до 2024 года, что указывает на то, что эта тактика продолжает развиваться в ответ на улучшение мер безопасности.

Одной из важных тактик является злоупотребление перенаправлением Google, при котором хакеры используют различные URL-адреса Google и домены верхнего уровня (TLD) для конкретной страны, такие как .br и .fr, чтобы скрыть вредоносный контент от обнаружения защищенными шлюзами электронной почты (SEGs). Эта манипуляция особенно эффективна, поскольку пользователи SEGs обычно доверяют доменам Google из-за их устоявшейся репутации. Кроме того, такие сервисы Google, как Maps и Translate, также используются для облегчения вредоносной переадресации, что еще больше запутывает истинные адресаты ссылок.

В фишинговых электронных письмах, в которых используются URL-адреса для перенаправления Google AMP, было выявлено заметное увеличение числа проблем с использованием CAPTCHA, на долю которых приходится 63,3% таких электронных писем в ходе недавнего анализа. Эта тенденция, вероятно, связана со способностью CAPTCHA препятствовать автоматическим поисковым системам, используемым SEG для оценки безопасности ссылок, поскольку для обхода CAPTCHA требуется ручной ввод пользователем. хакеры стратегически используют эти проблемы, чтобы предотвратить обнаружение и обеспечить успех своих попыток фишинга.

Дальнейшее изучение тактики выявило использование альтернативных доменов верхнего уровня, позволяющих отказаться от стандартных URL-адресов Google AMP и перейти к методам, использующим hxxps :// google . com/url?sa, которые маскируют вредоносные ссылки в привычных URL-адресах Google. Такой подход использует надежный характер домена Google для обхода мер безопасности. Когда пользователи переходят по таким манипулируемым ссылкам, их запросы могут проходить через систему отслеживания Google, что потенциально может привести их к вредоносным сайтам по незнанию.

Кроме того, использование поддоменов Google Translate стало двухуровневым методом перенаправления пользователей на фишинговые сайты с учетными данными. Эта тактика включает в себя встраивание URL-адресов перенаправления в HTML переведенных страниц, что эффективно маскирует истинный адресат. В некоторых случаях фишинговый контент размещается непосредственно на страницах Google Translate и отображается в браузерах пользователей, что еще больше усложняет задачу обнаружения.

Компания Cofense Intelligence отметила, что в 2024 году использование URL-адресов для перенаправления Google за пределами Google AMP становится все более распространенным явлением. Эти данные указывают на то, что первоначально основное внимание уделялось Google AMP, а затем переходу к новой тактике перенаправления Google, что, вероятно, отражает стратегический сдвиг хакеров, направленный на повышение эффективности их кампаний по обходу SEGS, ориентированных на обнаружение угроз, связанных с Google AMP. Эта эволюция подчеркивает постоянные проблемы, с которыми сталкиваются инфраструктуры безопасности при адаптации к инновационным методам фишинга.

#ParsedReport #CompletenessLow
30-07-2025

Intel Drops #1

https://intelinsights.substack.com/p/intel-drops-1

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1589

IOCs:
IP: 2
Domain: 2

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на компании из ЕС и США, использует электронные письма с вложениями в формате PDF, содержащими QR-коды, которые перенаправляют на сайты для сбора учетных данных. Эта тактика указывает на скоординированные действия одного хакера, использующего согласованные темы и сообщения для повышения успеха кражи.
-----

Продолжающаяся фишинговая кампания нацелена конкретно на компании в ЕС и США, связанные с IP-адресами 51.89.86.103 и 23.26.201.168. В рамках этой кампании используются электронные письма с вложением в формате PDF, содержащим QR-код. При сканировании QR-код перенаправляет пользователей на веб-сайты по сбору учетных данных под названием "dallasonrasolutions.cloud" и "withbible.com". Соответствие финансовой тематики сообщений электронной почты в сочетании с идентичными сайтами сбора учетных данных позволяет предположить, что это совместная работа одного хакера или группы.

Дальнейший анализ заголовков электронных писем показывает, что в обоих случаях попытки фишинга использовалось идентичное сообщение HELO, что подтверждает предположение о скоординированной кампании. Методичный подход к внедрению QR-кода в, казалось бы, легальный PDF-файл предполагает развитие тактики фишинга, направленной на повышение вероятности успеха при краже учетных данных. Эта кампания подчеркивает важность бдительности в отношении попыток фишинга, поскольку злоумышленники используют обманные методы для получения конфиденциальной информации от целевых организаций.

#ParsedReport #CompletenessLow
30-07-2025

GOLD BLADE remote DLL sideloading attack deploys RedLoader

https://news.sophos.com/en-us/2025/07/29/gold-blade-remote-dll-sideloading-attack-deploys-redloader/

Report completeness: Low

Actors/Campaigns:
Red_wolf (motivation: cyber_criminal)

Threats:
Dll_sideloading_technique
Redloader

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.003, T1071.001, T1105, T1106, T1574.002

IOCs:
File: 4
Domain: 4
Path: 1
Hash: 2

Algorithms:
zip, sha1, sha256

Links:
https://github.com/sophoslabs/IoCs/blob/master/2507%20Gold%20Blade%20DLL%20sideloading%20RedLoader.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа GOLD BLADE усовершенствовала свои методы атаки, используя вредоносные файлы LNK с WebDAV для обмена данными C2, внедряя пользовательское вредоносное ПО RedLoader. Их цепочка заражения включает в себя замаскированный ADNotificationManager.exe, который загружает вредоносную библиотеку DLL, облегчая дальнейшее выполнение полезной нагрузки и сохраняя контроль над скомпрометированными системами.
-----

В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее использовавшимся методом WebDAV для установления связи командования и контроля (C2) для своего пользовательского вредоносного ПО RedLoader. Эта новая цепочка заражения начинается с развертывания файла LNK, который маскируется под документ PDF. При запуске этого файла выполняется conhost.exe, который использует WebDAV для подключения к домену CloudFlare.

Злоумышленники используют вредоносный исполняемый файл, переименованную подписанную версию программного обеспечения Adobe ADNotificationManager.exe, замаскированную под резюме, которая размещена в их инфраструктуре. Этот исполняемый файл стратегически размещен рядом с вредоносной полезной нагрузкой RedLoader stage 1, DLL-файлом под названием netutils.dll. Во время выполнения переименованный ADNotificationManager.exe файл загружает вредоносную библиотеку DLL, фактически инициируя цепочку заражения RedLoader.

Полезная нагрузка 1-го этапа не только создает запланированную задачу в системе жертвы, но и загружает отдельный исполняемый файл, необходимый для 2-го этапа заражения. Запланированная задача с именем BrowserQE\BrowserQE_<Имя компьютера в кодировке Base64> использует как PCALua.exe, так и conhost.exe для выполнения полезной нагрузки RedLoader stage 2, которая представляет собой конкретный исполняемый файл с именем BrowserQE_<Имя компьютера в кодировке Base64>.exe. Примечательно, что, хотя имя является уникальным для каждой жертвы, хэш SHA256 остается неизменным во всех экземплярах. Эта полезная нагрузка этапа 2 устанавливает связь C2, позволяя злоумышленникам сохранять контроль над скомпрометированными системами.

Эта эволюция в методологии атак, использующая ранее известные методы в сочетании с новыми методами исполнения, подчеркивает адаптивные стратегии GOLD BLADE group, направленные на повышение эффективности их киберопераций.

#technique

EXEfromCER
This is a proof of concept to deliver a binary payload via an X.509 TLS certificate. It embeds a full Windows executable inside a custom extension of an X.509 certificate and serves it via HTTPS. The client extracts the payload from the certificate and executes it.

https://github.com/jeanlucdupont/EXEfromCER

#ParsedReport #CompletenessMedium
31-07-2025

Unmasking LockBit: A Deep Dive into DLL Sideloading and Masquerading Tactics

https://www.security.com/threat-intelligence/lockbit-ransomware-attack-techniques

Report completeness: Medium

Actors/Campaigns:
Syrphid
Lockbitsupp

Threats:
Dll_sideloading_technique
Lockbit
Redline_stealer
Meshagent_tool
Teamviewer_tool
Nssm_tool
Nltest_tool
Ransom.blackmatter!gm1

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1055.002, T1059.001, T1059.001, T1059.003, T1082, T1087.002, T1105, T1106, have more...

IOCs:
File: 23
Path: 5
Hash: 12
Domain: 1

Soft:
Windows Defender, Windows service, PsExec

Languages:
powershell, java

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель LockBit использует дополнительную загрузку и маскировку библиотек DLL, чтобы избежать обнаружения. Используя легальные приложения, злоумышленники загружают вредоносные библиотеки DLL, замаскированные под надежные файлы, запуская процессы шифрования. Они получают доступ с помощью инструментов удаленного рабочего стола, запускают полезные приложения и выполняют команды с высокими привилегиями, демонстрируя адаптивность методов атаки.
-----

Злоумышленники, использующие программу-вымогатель LockBit, значительно адаптировали свои методы, в частности, с помощью дополнительной загрузки библиотек DLL и маскировки, которые направлены на то, чтобы избежать обнаружения при максимальном воздействии. Дополнительная загрузка библиотеки DLL заключается в том, чтобы заставить законное приложение загрузить вредоносную библиотеку динамических ссылок (DLL) вместо ее подлинного аналога. LockBit достигает этого, объединяя вредоносную библиотеку DLL с законным приложением с цифровой подписью. Злоумышленники размещают вредоносную библиотеку DLL в каталоге, который легальное приложение ищет первым, часто под видом файла с идентичным именем. При запуске легального программного обеспечения оно непреднамеренно выполняет вредоносный код, позволяя LockBit инициировать шифрование, оставаясь при этом надежным.

Маскировка дополняет этот подход, при котором злоумышленники маскируют вредоносные файлы под законные системные файлы или приложения. Методы, используемые LockBit, включают переименование исполняемых файлов-вымогателей в обычные системные имена процессов (например, svchost.exe) и подделку имен процессов, чтобы они выглядели как безопасные сервисы. Этому также способствует использование подлинных значков и размещение вредоносного контента в каталогах, обычно предназначенных для законных файлов. Недавний анализ показал, что злоумышленники использовали дополнительную загрузку DLL с помощью законных файлов, таких как Jarsigner.exe и MpCmdRun.exe, внедряя вредоносные библиотеки DLL, которые автоматически загружаются при запуске, тем самым инициируя процессы вымогательства.

В наблюдаемых инцидентах с использованием LockBit злоумышленники обычно получают доступ с помощью широко известных инструментов удаленного рабочего стола, таких как TeamViewer и MeshAgent. После проникновения в систему они загружают и выполняют файлы непосредственно на взломанных компьютерах. Такие инструменты, как NSSM, использовались для работы с троянами удаленного доступа (RATs) в качестве служб Windows, в то время как PsExec выполнял команды с правами системного пользователя. Злоумышленники также использовали групповую политику для развертывания полезной нагрузки, применяя запутанные сценарии PowerShell для дальнейшего шифрования файлов, что демонстрирует универсальность их стратегий.

LockBit идентифицирован как программа-вымогатель как услуга (RaaS), используемая киберпреступной группой Syrphid, которая, как сообщается, вымогала около 500 миллионов долларов с момента своего создания в 2019 году. Однако после действий правоохранительных органов в 2024 году, включая предъявление обвинения лидеру Syrphid, произошла утечка конструктора программы-вымогателя, что позволило более широкому кругу хакеров внедрить ее без надзора первоначальных разработчиков. Оповещения, запускаемые Carbon Black EDR, указывают на различные действия программ-вымогателей, подчеркивая распространенность активности PSEXEC и обнаружения известных вредоносных файлов в уязвимых системах, что еще раз подчеркивает необходимость проявлять бдительность в отношении этих новых тактик при развертывании программ-вымогателей.

#ParsedReport #CompletenessMedium
31-07-2025

Silver Fox Intelligence Sharing Issue 2 \| Silver Fox Arsenal Update: RootKit Added for Multiple Stealth

https://mp.weixin.qq.com/s/w3Q5MwiP_6kk_9eOG474Gw

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Earth_kurma
Fancy_bear

Threats:
Byovd_technique
Lojax
Watering_hole_technique
Procmon_tool

Victims:
Governments, Telecommunications sectors, Individual users, Enterprise personnel, Users searching for software downloads

Industry:
Financial, Government, Telco

Geo:
Asian

TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 15
Path: 3
Registry: 1
Hash: 4
IP: 4

Soft:
WeChat

Algorithms:
md5

Functions:
GetWindowTextGetWindowTextLength, GetWindowTextAPI

Win API:
ZwTerminateProcessRookitPatchGuard