#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
хакеры все чаще используют методы AMP и перенаправления Google в фишинговых кампаниях, используя домены Google и CAPTCHA, чтобы избежать обнаружения защищенными шлюзами электронной почты. Это включает в себя манипулирование URL-адресами и внедрение вредоносных ссылок в сервисы Google, что усложняет меры безопасности и отражает эволюцию их тактики обхода улучшенных мер безопасности.
-----

хакеры демонстрируют постоянную адаптацию своих методов для использования ускоренных мобильных страниц Google (AMP) и методов перенаправления, особенно в фишинговых кампаниях. Google AMP, предназначенный для повышения производительности веб-сайтов, все чаще используется злоумышленниками, которые манипулируют его функциями в обход протоколов безопасности. Недавние анализы показывают, что количество злоупотреблений Google AMP оставалось стабильно высоким вплоть до 2024 года, что указывает на то, что эта тактика продолжает развиваться в ответ на улучшение мер безопасности.

Одной из важных тактик является злоупотребление перенаправлением Google, при котором хакеры используют различные URL-адреса Google и домены верхнего уровня (TLD) для конкретной страны, такие как .br и .fr, чтобы скрыть вредоносный контент от обнаружения защищенными шлюзами электронной почты (SEGs). Эта манипуляция особенно эффективна, поскольку пользователи SEGs обычно доверяют доменам Google из-за их устоявшейся репутации. Кроме того, такие сервисы Google, как Maps и Translate, также используются для облегчения вредоносной переадресации, что еще больше запутывает истинные адресаты ссылок.

В фишинговых электронных письмах, в которых используются URL-адреса для перенаправления Google AMP, было выявлено заметное увеличение числа проблем с использованием CAPTCHA, на долю которых приходится 63,3% таких электронных писем в ходе недавнего анализа. Эта тенденция, вероятно, связана со способностью CAPTCHA препятствовать автоматическим поисковым системам, используемым SEG для оценки безопасности ссылок, поскольку для обхода CAPTCHA требуется ручной ввод пользователем. хакеры стратегически используют эти проблемы, чтобы предотвратить обнаружение и обеспечить успех своих попыток фишинга.

Дальнейшее изучение тактики выявило использование альтернативных доменов верхнего уровня, позволяющих отказаться от стандартных URL-адресов Google AMP и перейти к методам, использующим hxxps :// google . com/url?sa, которые маскируют вредоносные ссылки в привычных URL-адресах Google. Такой подход использует надежный характер домена Google для обхода мер безопасности. Когда пользователи переходят по таким манипулируемым ссылкам, их запросы могут проходить через систему отслеживания Google, что потенциально может привести их к вредоносным сайтам по незнанию.

Кроме того, использование поддоменов Google Translate стало двухуровневым методом перенаправления пользователей на фишинговые сайты с учетными данными. Эта тактика включает в себя встраивание URL-адресов перенаправления в HTML переведенных страниц, что эффективно маскирует истинный адресат. В некоторых случаях фишинговый контент размещается непосредственно на страницах Google Translate и отображается в браузерах пользователей, что еще больше усложняет задачу обнаружения.

Компания Cofense Intelligence отметила, что в 2024 году использование URL-адресов для перенаправления Google за пределами Google AMP становится все более распространенным явлением. Эти данные указывают на то, что первоначально основное внимание уделялось Google AMP, а затем переходу к новой тактике перенаправления Google, что, вероятно, отражает стратегический сдвиг хакеров, направленный на повышение эффективности их кампаний по обходу SEGS, ориентированных на обнаружение угроз, связанных с Google AMP. Эта эволюция подчеркивает постоянные проблемы, с которыми сталкиваются инфраструктуры безопасности при адаптации к инновационным методам фишинга.

#ParsedReport #CompletenessLow
30-07-2025

Intel Drops #1

https://intelinsights.substack.com/p/intel-drops-1

Report completeness: Low

Threats:
Credential_harvesting_technique

ChatGPT TTPs:
do not use without manual check
T1078, T1589

IOCs:
IP: 2
Domain: 2

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на компании из ЕС и США, использует электронные письма с вложениями в формате PDF, содержащими QR-коды, которые перенаправляют на сайты для сбора учетных данных. Эта тактика указывает на скоординированные действия одного хакера, использующего согласованные темы и сообщения для повышения успеха кражи.
-----

Продолжающаяся фишинговая кампания нацелена конкретно на компании в ЕС и США, связанные с IP-адресами 51.89.86.103 и 23.26.201.168. В рамках этой кампании используются электронные письма с вложением в формате PDF, содержащим QR-код. При сканировании QR-код перенаправляет пользователей на веб-сайты по сбору учетных данных под названием "dallasonrasolutions.cloud" и "withbible.com". Соответствие финансовой тематики сообщений электронной почты в сочетании с идентичными сайтами сбора учетных данных позволяет предположить, что это совместная работа одного хакера или группы.

Дальнейший анализ заголовков электронных писем показывает, что в обоих случаях попытки фишинга использовалось идентичное сообщение HELO, что подтверждает предположение о скоординированной кампании. Методичный подход к внедрению QR-кода в, казалось бы, легальный PDF-файл предполагает развитие тактики фишинга, направленной на повышение вероятности успеха при краже учетных данных. Эта кампания подчеркивает важность бдительности в отношении попыток фишинга, поскольку злоумышленники используют обманные методы для получения конфиденциальной информации от целевых организаций.

#ParsedReport #CompletenessLow
30-07-2025

GOLD BLADE remote DLL sideloading attack deploys RedLoader

https://news.sophos.com/en-us/2025/07/29/gold-blade-remote-dll-sideloading-attack-deploys-redloader/

Report completeness: Low

Actors/Campaigns:
Red_wolf (motivation: cyber_criminal)

Threats:
Dll_sideloading_technique
Redloader

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.003, T1071.001, T1105, T1106, T1574.002

IOCs:
File: 4
Domain: 4
Path: 1
Hash: 2

Algorithms:
zip, sha1, sha256

Links:
https://github.com/sophoslabs/IoCs/blob/master/2507%20Gold%20Blade%20DLL%20sideloading%20RedLoader.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа GOLD BLADE усовершенствовала свои методы атаки, используя вредоносные файлы LNK с WebDAV для обмена данными C2, внедряя пользовательское вредоносное ПО RedLoader. Их цепочка заражения включает в себя замаскированный ADNotificationManager.exe, который загружает вредоносную библиотеку DLL, облегчая дальнейшее выполнение полезной нагрузки и сохраняя контроль над скомпрометированными системами.
-----

В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее использовавшимся методом WebDAV для установления связи командования и контроля (C2) для своего пользовательского вредоносного ПО RedLoader. Эта новая цепочка заражения начинается с развертывания файла LNK, который маскируется под документ PDF. При запуске этого файла выполняется conhost.exe, который использует WebDAV для подключения к домену CloudFlare.

Злоумышленники используют вредоносный исполняемый файл, переименованную подписанную версию программного обеспечения Adobe ADNotificationManager.exe, замаскированную под резюме, которая размещена в их инфраструктуре. Этот исполняемый файл стратегически размещен рядом с вредоносной полезной нагрузкой RedLoader stage 1, DLL-файлом под названием netutils.dll. Во время выполнения переименованный ADNotificationManager.exe файл загружает вредоносную библиотеку DLL, фактически инициируя цепочку заражения RedLoader.

Полезная нагрузка 1-го этапа не только создает запланированную задачу в системе жертвы, но и загружает отдельный исполняемый файл, необходимый для 2-го этапа заражения. Запланированная задача с именем BrowserQE\BrowserQE_<Имя компьютера в кодировке Base64> использует как PCALua.exe, так и conhost.exe для выполнения полезной нагрузки RedLoader stage 2, которая представляет собой конкретный исполняемый файл с именем BrowserQE_<Имя компьютера в кодировке Base64>.exe. Примечательно, что, хотя имя является уникальным для каждой жертвы, хэш SHA256 остается неизменным во всех экземплярах. Эта полезная нагрузка этапа 2 устанавливает связь C2, позволяя злоумышленникам сохранять контроль над скомпрометированными системами.

Эта эволюция в методологии атак, использующая ранее известные методы в сочетании с новыми методами исполнения, подчеркивает адаптивные стратегии GOLD BLADE group, направленные на повышение эффективности их киберопераций.

#technique

EXEfromCER
This is a proof of concept to deliver a binary payload via an X.509 TLS certificate. It embeds a full Windows executable inside a custom extension of an X.509 certificate and serves it via HTTPS. The client extracts the payload from the certificate and executes it.

https://github.com/jeanlucdupont/EXEfromCER

#ParsedReport #CompletenessMedium
31-07-2025

Unmasking LockBit: A Deep Dive into DLL Sideloading and Masquerading Tactics

https://www.security.com/threat-intelligence/lockbit-ransomware-attack-techniques

Report completeness: Medium

Actors/Campaigns:
Syrphid
Lockbitsupp

Threats:
Dll_sideloading_technique
Lockbit
Redline_stealer
Meshagent_tool
Teamviewer_tool
Nssm_tool
Nltest_tool
Ransom.blackmatter!gm1

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1055.002, T1059.001, T1059.001, T1059.003, T1082, T1087.002, T1105, T1106, have more...

IOCs:
File: 23
Path: 5
Hash: 12
Domain: 1

Soft:
Windows Defender, Windows service, PsExec

Languages:
powershell, java

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель LockBit использует дополнительную загрузку и маскировку библиотек DLL, чтобы избежать обнаружения. Используя легальные приложения, злоумышленники загружают вредоносные библиотеки DLL, замаскированные под надежные файлы, запуская процессы шифрования. Они получают доступ с помощью инструментов удаленного рабочего стола, запускают полезные приложения и выполняют команды с высокими привилегиями, демонстрируя адаптивность методов атаки.
-----

Злоумышленники, использующие программу-вымогатель LockBit, значительно адаптировали свои методы, в частности, с помощью дополнительной загрузки библиотек DLL и маскировки, которые направлены на то, чтобы избежать обнаружения при максимальном воздействии. Дополнительная загрузка библиотеки DLL заключается в том, чтобы заставить законное приложение загрузить вредоносную библиотеку динамических ссылок (DLL) вместо ее подлинного аналога. LockBit достигает этого, объединяя вредоносную библиотеку DLL с законным приложением с цифровой подписью. Злоумышленники размещают вредоносную библиотеку DLL в каталоге, который легальное приложение ищет первым, часто под видом файла с идентичным именем. При запуске легального программного обеспечения оно непреднамеренно выполняет вредоносный код, позволяя LockBit инициировать шифрование, оставаясь при этом надежным.

Маскировка дополняет этот подход, при котором злоумышленники маскируют вредоносные файлы под законные системные файлы или приложения. Методы, используемые LockBit, включают переименование исполняемых файлов-вымогателей в обычные системные имена процессов (например, svchost.exe) и подделку имен процессов, чтобы они выглядели как безопасные сервисы. Этому также способствует использование подлинных значков и размещение вредоносного контента в каталогах, обычно предназначенных для законных файлов. Недавний анализ показал, что злоумышленники использовали дополнительную загрузку DLL с помощью законных файлов, таких как Jarsigner.exe и MpCmdRun.exe, внедряя вредоносные библиотеки DLL, которые автоматически загружаются при запуске, тем самым инициируя процессы вымогательства.

В наблюдаемых инцидентах с использованием LockBit злоумышленники обычно получают доступ с помощью широко известных инструментов удаленного рабочего стола, таких как TeamViewer и MeshAgent. После проникновения в систему они загружают и выполняют файлы непосредственно на взломанных компьютерах. Такие инструменты, как NSSM, использовались для работы с троянами удаленного доступа (RATs) в качестве служб Windows, в то время как PsExec выполнял команды с правами системного пользователя. Злоумышленники также использовали групповую политику для развертывания полезной нагрузки, применяя запутанные сценарии PowerShell для дальнейшего шифрования файлов, что демонстрирует универсальность их стратегий.

LockBit идентифицирован как программа-вымогатель как услуга (RaaS), используемая киберпреступной группой Syrphid, которая, как сообщается, вымогала около 500 миллионов долларов с момента своего создания в 2019 году. Однако после действий правоохранительных органов в 2024 году, включая предъявление обвинения лидеру Syrphid, произошла утечка конструктора программы-вымогателя, что позволило более широкому кругу хакеров внедрить ее без надзора первоначальных разработчиков. Оповещения, запускаемые Carbon Black EDR, указывают на различные действия программ-вымогателей, подчеркивая распространенность активности PSEXEC и обнаружения известных вредоносных файлов в уязвимых системах, что еще раз подчеркивает необходимость проявлять бдительность в отношении этих новых тактик при развертывании программ-вымогателей.

#ParsedReport #CompletenessMedium
31-07-2025

Silver Fox Intelligence Sharing Issue 2 \| Silver Fox Arsenal Update: RootKit Added for Multiple Stealth

https://mp.weixin.qq.com/s/w3Q5MwiP_6kk_9eOG474Gw

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Earth_kurma
Fancy_bear

Threats:
Byovd_technique
Lojax
Watering_hole_technique
Procmon_tool

Victims:
Governments, Telecommunications sectors, Individual users, Enterprise personnel, Users searching for software downloads

Industry:
Financial, Government, Telco

Geo:
Asian

TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 15
Path: 3
Registry: 1
Hash: 4
IP: 4

Soft:
WeChat

Algorithms:
md5

Functions:
GetWindowTextGetWindowTextLength, GetWindowTextAPI

Win API:
ZwTerminateProcessRookitPatchGuard

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 18, dump: 8, code: 13, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox group усиливает свои фишинговые атаки с помощью передовых методов скрытности, включая внедрение Baijiahei и руткит-технологии для обхода на уровне ядра. Их вредоносное ПО использует легальные драйверы для обхода обнаружения и использует SEO-манипуляции, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, поддерживая низкий уровень обнаружения из-за запутывания и сложных процессов.
-----

Группа компаний Silver Fox продолжает совершенствовать свои фишинговые атаки, в частности, используя передовые тактические приемы для повышения скрытности и уклонения от атак. Ключевым достижением в работе Silver Fox является интеграция многоуровневых возможностей скрытности, которые значительно улучшают поведение вредоносных программ. Это включает в себя использование Baijiahei injection для сокрытия вредоносного кода и применение технологии руткитов для обеспечения секретности на уровне ядра. Такой уровень доступа затрудняет эффективное обнаружение и устранение этих угроз стандартным программным обеспечением безопасности.

Вредоносная программа Silver Fox использует различные методы для обхода обнаружения, такие как использование уязвимых драйверов из легального программного обеспечения (BYOVD). Как только троянец подключается к серверу управления (C2), он может инициировать ряд вредоносных действий, включая удаленное управление устройствами и кражу данных, создавая непрерывную цепочку угроз на целевых предприятиях. Фундаментальная способность руткитов заключается в их способности скрывать свое присутствие наряду с другими вредоносными программными компонентами, манипулируя базовой системой на уровне ядра или драйвера, тем самым получая постоянство и системные привилегии.

Примечательной особенностью вредоносного ПО Silver Fox является его использование для обфускации и уклонения от использования передовых методов, таких как поисковая оптимизация (SEO) для перехвата ключевых слов, когда поддельные страницы продвигаются, чтобы обманом заставить пользователей загружать вредоносное ПО. Злоумышленники используют поисковые запросы пользователей, чтобы на видном месте отображать вредоносные ссылки, замаскированные под загрузку подлинного программного обеспечения. Установочные файлы вредоносного ПО намеренно перегружены избыточным кодом, что затрудняет обнаружение, о чем свидетельствует низкий уровень обнаружения на основных платформах безопасности.

Вредоносная программа также использует руткит-драйвер с функцией ProcessObjectCallback для перехвата критически важных функций управления процессами, что еще больше усложняет попытки удаления, блокируя завершение вредоносных процессов внешними программами. Несмотря на продолжающееся распространение, показатели обнаружения этого сложного вредоносного ПО остаются тревожно низкими.

В ответ на растущую угрозу, исходящую от Silver Fox, в продуктах Tencent для обеспечения безопасности терминалов было разработано решение для обнаружения и удаления руткитов, предназначенное для эффективного взаимодействия с руткитами. Этот подход отличается своей совместимостью и сниженным риском сбоев в работе системы, поскольку он направлен на создание надежных процессов идентификации и очистки без непосредственного воздействия на защиту на уровне ядра.

#ParsedReport #CompletenessHigh
31-07-2025

Frozen in transit: Secret Blizzards AiTM campaign against diplomats

https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Emissary_panda
Apt31

Threats:
Aitm_technique
Apolloshadow
Uac_bypass_technique

Victims:
Foreign embassies, Diplomatic entities, Foreign ministries, Sensitive organizations, Entities within russia

Industry:
Aerospace, Telco

Geo:
Russian, Russia, Chinese, Moscow

CVEs:
CVE-2025-31199 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.4)
- apple iphone_os (<18.4)
- apple macos (<15.4)
- apple visionos (<2.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1036.005, T1041, T1112, T1134.001, T1136.001, T1140, T1204.002, T1547.001, T1553.002, have more...

IOCs:
Url: 1
File: 5
Path: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Component Object Model, Firefox, Chromium, Twitter, macOS

Algorithms:
xor, sha256, base64

Functions:
GetTokenInformationType, Windows

Win API:
GetIpAddrTable, CreateProcessW, ShellExecuteA, NetUserAdd

Languages:
python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4