#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Фишинговая кампания, нацеленная на компании из ЕС и США, использует электронные письма с вложениями в формате PDF, содержащими QR-коды, которые перенаправляют на сайты для сбора учетных данных. Эта тактика указывает на скоординированные действия одного хакера, использующего согласованные темы и сообщения для повышения успеха кражи.
-----

Продолжающаяся фишинговая кампания нацелена конкретно на компании в ЕС и США, связанные с IP-адресами 51.89.86.103 и 23.26.201.168. В рамках этой кампании используются электронные письма с вложением в формате PDF, содержащим QR-код. При сканировании QR-код перенаправляет пользователей на веб-сайты по сбору учетных данных под названием "dallasonrasolutions.cloud" и "withbible.com". Соответствие финансовой тематики сообщений электронной почты в сочетании с идентичными сайтами сбора учетных данных позволяет предположить, что это совместная работа одного хакера или группы.

Дальнейший анализ заголовков электронных писем показывает, что в обоих случаях попытки фишинга использовалось идентичное сообщение HELO, что подтверждает предположение о скоординированной кампании. Методичный подход к внедрению QR-кода в, казалось бы, легальный PDF-файл предполагает развитие тактики фишинга, направленной на повышение вероятности успеха при краже учетных данных. Эта кампания подчеркивает важность бдительности в отношении попыток фишинга, поскольку злоумышленники используют обманные методы для получения конфиденциальной информации от целевых организаций.

#ParsedReport #CompletenessLow
30-07-2025

GOLD BLADE remote DLL sideloading attack deploys RedLoader

https://news.sophos.com/en-us/2025/07/29/gold-blade-remote-dll-sideloading-attack-deploys-redloader/

Report completeness: Low

Actors/Campaigns:
Red_wolf (motivation: cyber_criminal)

Threats:
Dll_sideloading_technique
Redloader

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.003, T1071.001, T1105, T1106, T1574.002

IOCs:
File: 4
Domain: 4
Path: 1
Hash: 2

Algorithms:
zip, sha1, sha256

Links:
https://github.com/sophoslabs/IoCs/blob/master/2507%20Gold%20Blade%20DLL%20sideloading%20RedLoader.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа GOLD BLADE усовершенствовала свои методы атаки, используя вредоносные файлы LNK с WebDAV для обмена данными C2, внедряя пользовательское вредоносное ПО RedLoader. Их цепочка заражения включает в себя замаскированный ADNotificationManager.exe, который загружает вредоносную библиотеку DLL, облегчая дальнейшее выполнение полезной нагрузки и сохраняя контроль над скомпрометированными системами.
-----

В июле 2025 года киберпреступная группировка GOLD BLADE значительно усовершенствовала свои методы атаки, интегрировав вредоносные файлы LNK с ранее использовавшимся методом WebDAV для установления связи командования и контроля (C2) для своего пользовательского вредоносного ПО RedLoader. Эта новая цепочка заражения начинается с развертывания файла LNK, который маскируется под документ PDF. При запуске этого файла выполняется conhost.exe, который использует WebDAV для подключения к домену CloudFlare.

Злоумышленники используют вредоносный исполняемый файл, переименованную подписанную версию программного обеспечения Adobe ADNotificationManager.exe, замаскированную под резюме, которая размещена в их инфраструктуре. Этот исполняемый файл стратегически размещен рядом с вредоносной полезной нагрузкой RedLoader stage 1, DLL-файлом под названием netutils.dll. Во время выполнения переименованный ADNotificationManager.exe файл загружает вредоносную библиотеку DLL, фактически инициируя цепочку заражения RedLoader.

Полезная нагрузка 1-го этапа не только создает запланированную задачу в системе жертвы, но и загружает отдельный исполняемый файл, необходимый для 2-го этапа заражения. Запланированная задача с именем BrowserQE\BrowserQE_<Имя компьютера в кодировке Base64> использует как PCALua.exe, так и conhost.exe для выполнения полезной нагрузки RedLoader stage 2, которая представляет собой конкретный исполняемый файл с именем BrowserQE_<Имя компьютера в кодировке Base64>.exe. Примечательно, что, хотя имя является уникальным для каждой жертвы, хэш SHA256 остается неизменным во всех экземплярах. Эта полезная нагрузка этапа 2 устанавливает связь C2, позволяя злоумышленникам сохранять контроль над скомпрометированными системами.

Эта эволюция в методологии атак, использующая ранее известные методы в сочетании с новыми методами исполнения, подчеркивает адаптивные стратегии GOLD BLADE group, направленные на повышение эффективности их киберопераций.

#technique

EXEfromCER
This is a proof of concept to deliver a binary payload via an X.509 TLS certificate. It embeds a full Windows executable inside a custom extension of an X.509 certificate and serves it via HTTPS. The client extracts the payload from the certificate and executes it.

https://github.com/jeanlucdupont/EXEfromCER

#ParsedReport #CompletenessMedium
31-07-2025

Unmasking LockBit: A Deep Dive into DLL Sideloading and Masquerading Tactics

https://www.security.com/threat-intelligence/lockbit-ransomware-attack-techniques

Report completeness: Medium

Actors/Campaigns:
Syrphid
Lockbitsupp

Threats:
Dll_sideloading_technique
Lockbit
Redline_stealer
Meshagent_tool
Teamviewer_tool
Nssm_tool
Nltest_tool
Ransom.blackmatter!gm1

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.004, T1036.005, T1055.002, T1059.001, T1059.001, T1059.003, T1082, T1087.002, T1105, T1106, have more...

IOCs:
File: 23
Path: 5
Hash: 12
Domain: 1

Soft:
Windows Defender, Windows service, PsExec

Languages:
powershell, java

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель LockBit использует дополнительную загрузку и маскировку библиотек DLL, чтобы избежать обнаружения. Используя легальные приложения, злоумышленники загружают вредоносные библиотеки DLL, замаскированные под надежные файлы, запуская процессы шифрования. Они получают доступ с помощью инструментов удаленного рабочего стола, запускают полезные приложения и выполняют команды с высокими привилегиями, демонстрируя адаптивность методов атаки.
-----

Злоумышленники, использующие программу-вымогатель LockBit, значительно адаптировали свои методы, в частности, с помощью дополнительной загрузки библиотек DLL и маскировки, которые направлены на то, чтобы избежать обнаружения при максимальном воздействии. Дополнительная загрузка библиотеки DLL заключается в том, чтобы заставить законное приложение загрузить вредоносную библиотеку динамических ссылок (DLL) вместо ее подлинного аналога. LockBit достигает этого, объединяя вредоносную библиотеку DLL с законным приложением с цифровой подписью. Злоумышленники размещают вредоносную библиотеку DLL в каталоге, который легальное приложение ищет первым, часто под видом файла с идентичным именем. При запуске легального программного обеспечения оно непреднамеренно выполняет вредоносный код, позволяя LockBit инициировать шифрование, оставаясь при этом надежным.

Маскировка дополняет этот подход, при котором злоумышленники маскируют вредоносные файлы под законные системные файлы или приложения. Методы, используемые LockBit, включают переименование исполняемых файлов-вымогателей в обычные системные имена процессов (например, svchost.exe) и подделку имен процессов, чтобы они выглядели как безопасные сервисы. Этому также способствует использование подлинных значков и размещение вредоносного контента в каталогах, обычно предназначенных для законных файлов. Недавний анализ показал, что злоумышленники использовали дополнительную загрузку DLL с помощью законных файлов, таких как Jarsigner.exe и MpCmdRun.exe, внедряя вредоносные библиотеки DLL, которые автоматически загружаются при запуске, тем самым инициируя процессы вымогательства.

В наблюдаемых инцидентах с использованием LockBit злоумышленники обычно получают доступ с помощью широко известных инструментов удаленного рабочего стола, таких как TeamViewer и MeshAgent. После проникновения в систему они загружают и выполняют файлы непосредственно на взломанных компьютерах. Такие инструменты, как NSSM, использовались для работы с троянами удаленного доступа (RATs) в качестве служб Windows, в то время как PsExec выполнял команды с правами системного пользователя. Злоумышленники также использовали групповую политику для развертывания полезной нагрузки, применяя запутанные сценарии PowerShell для дальнейшего шифрования файлов, что демонстрирует универсальность их стратегий.

LockBit идентифицирован как программа-вымогатель как услуга (RaaS), используемая киберпреступной группой Syrphid, которая, как сообщается, вымогала около 500 миллионов долларов с момента своего создания в 2019 году. Однако после действий правоохранительных органов в 2024 году, включая предъявление обвинения лидеру Syrphid, произошла утечка конструктора программы-вымогателя, что позволило более широкому кругу хакеров внедрить ее без надзора первоначальных разработчиков. Оповещения, запускаемые Carbon Black EDR, указывают на различные действия программ-вымогателей, подчеркивая распространенность активности PSEXEC и обнаружения известных вредоносных файлов в уязвимых системах, что еще раз подчеркивает необходимость проявлять бдительность в отношении этих новых тактик при развертывании программ-вымогателей.

#ParsedReport #CompletenessMedium
31-07-2025

Silver Fox Intelligence Sharing Issue 2 \| Silver Fox Arsenal Update: RootKit Added for Multiple Stealth

https://mp.weixin.qq.com/s/w3Q5MwiP_6kk_9eOG474Gw

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Earth_kurma
Fancy_bear

Threats:
Byovd_technique
Lojax
Watering_hole_technique
Procmon_tool

Victims:
Governments, Telecommunications sectors, Individual users, Enterprise personnel, Users searching for software downloads

Industry:
Financial, Government, Telco

Geo:
Asian

TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 15
Path: 3
Registry: 1
Hash: 4
IP: 4

Soft:
WeChat

Algorithms:
md5

Functions:
GetWindowTextGetWindowTextLength, GetWindowTextAPI

Win API:
ZwTerminateProcessRookitPatchGuard

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 18, dump: 8, code: 13, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox group усиливает свои фишинговые атаки с помощью передовых методов скрытности, включая внедрение Baijiahei и руткит-технологии для обхода на уровне ядра. Их вредоносное ПО использует легальные драйверы для обхода обнаружения и использует SEO-манипуляции, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, поддерживая низкий уровень обнаружения из-за запутывания и сложных процессов.
-----

Группа компаний Silver Fox продолжает совершенствовать свои фишинговые атаки, в частности, используя передовые тактические приемы для повышения скрытности и уклонения от атак. Ключевым достижением в работе Silver Fox является интеграция многоуровневых возможностей скрытности, которые значительно улучшают поведение вредоносных программ. Это включает в себя использование Baijiahei injection для сокрытия вредоносного кода и применение технологии руткитов для обеспечения секретности на уровне ядра. Такой уровень доступа затрудняет эффективное обнаружение и устранение этих угроз стандартным программным обеспечением безопасности.

Вредоносная программа Silver Fox использует различные методы для обхода обнаружения, такие как использование уязвимых драйверов из легального программного обеспечения (BYOVD). Как только троянец подключается к серверу управления (C2), он может инициировать ряд вредоносных действий, включая удаленное управление устройствами и кражу данных, создавая непрерывную цепочку угроз на целевых предприятиях. Фундаментальная способность руткитов заключается в их способности скрывать свое присутствие наряду с другими вредоносными программными компонентами, манипулируя базовой системой на уровне ядра или драйвера, тем самым получая постоянство и системные привилегии.

Примечательной особенностью вредоносного ПО Silver Fox является его использование для обфускации и уклонения от использования передовых методов, таких как поисковая оптимизация (SEO) для перехвата ключевых слов, когда поддельные страницы продвигаются, чтобы обманом заставить пользователей загружать вредоносное ПО. Злоумышленники используют поисковые запросы пользователей, чтобы на видном месте отображать вредоносные ссылки, замаскированные под загрузку подлинного программного обеспечения. Установочные файлы вредоносного ПО намеренно перегружены избыточным кодом, что затрудняет обнаружение, о чем свидетельствует низкий уровень обнаружения на основных платформах безопасности.

Вредоносная программа также использует руткит-драйвер с функцией ProcessObjectCallback для перехвата критически важных функций управления процессами, что еще больше усложняет попытки удаления, блокируя завершение вредоносных процессов внешними программами. Несмотря на продолжающееся распространение, показатели обнаружения этого сложного вредоносного ПО остаются тревожно низкими.

В ответ на растущую угрозу, исходящую от Silver Fox, в продуктах Tencent для обеспечения безопасности терминалов было разработано решение для обнаружения и удаления руткитов, предназначенное для эффективного взаимодействия с руткитами. Этот подход отличается своей совместимостью и сниженным риском сбоев в работе системы, поскольку он направлен на создание надежных процессов идентификации и очистки без непосредственного воздействия на защиту на уровне ядра.

#ParsedReport #CompletenessHigh
31-07-2025

Frozen in transit: Secret Blizzards AiTM campaign against diplomats

https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Emissary_panda
Apt31

Threats:
Aitm_technique
Apolloshadow
Uac_bypass_technique

Victims:
Foreign embassies, Diplomatic entities, Foreign ministries, Sensitive organizations, Entities within russia

Industry:
Aerospace, Telco

Geo:
Russian, Russia, Chinese, Moscow

CVEs:
CVE-2025-31199 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.4)
- apple iphone_os (<18.4)
- apple macos (<15.4)
- apple visionos (<2.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1036.005, T1041, T1112, T1134.001, T1136.001, T1140, T1204.002, T1547.001, T1553.002, have more...

IOCs:
Url: 1
File: 5
Path: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Component Object Model, Firefox, Chromium, Twitter, macOS

Algorithms:
xor, sha256, base64

Functions:
GetTokenInformationType, Windows

Win API:
GetIpAddrTable, CreateProcessW, ShellExecuteA, NetUserAdd

Languages:
python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по кибершпионажу, проводимая российской компанией Secret Blizzard, нацелена на иностранные посольства в Москве с использованием технологии "противник посередине" и специального вредоносного ПО ApolloShadow. Это вредоносное ПО обеспечивает сохранность, перехватывает конфиденциальный трафик и манипулирует сетевыми настройками для перемещения по сети и шпионажа. Организациям следует внедрять шифрование и расширять возможности обнаружения для снижения рисков.
-----

Microsoft Threat Intelligence выявила кампанию кибершпионажа, связанную с российской государственной структурой, известной как Secret Blizzard, которая активно атакует иностранные посольства в Москве. В рамках этой кампании используется технология "противник посередине" (AiTM), использующая свои позиции среди местных интернет-провайдеров (ISP) для развертывания специального вредоносного ПО, известного как ApolloShadow. Вредоносное ПО предназначено для обеспечения устойчивости зараженных устройств и облегчения сбора разведданных от дипломатического персонала.

Атака начинается с перенаправления жертв на контролируемый веб-портал, выдаваемый за легальную страницу доступа к сети. Как только пользователи пытаются подключиться к Интернету, их заставляют загружать и запускать ApolloShadow под предлогом установки антивирусного программного обеспечения Касперского. Функциональность вредоносного ПО включает в себя установку поддельного корневого сертификата, позволяющего ему выполнять удаление TLS /SSL, что позволяет злоумышленнику перехватывать конфиденциальный трафик, такой как токены и учетные данные, в виде открытого текста.

Секретная методология Blizzard также демонстрирует сложную возможность манипулирования ответами DNS, позволяющую перенаправлять сообщения, предназначенные для законных доменов, в инфраструктуру, контролируемую участниками. Эта манипуляция имеет решающее значение для эксфильтрации, поскольку информация о хосте собирается и отправляется обратно на серверы управления (C2). Кроме того, ApolloShadow использует стратегию двухпутевого выполнения, изменяя свое поведение в зависимости от уровня привилегий пользовательской среды. При обнаружении недостаточных привилегий он использует путь с более низкими привилегиями, но пытается расширить доступ, отправляя пользователю запрос на управление учетными записями пользователей (UAC).

После успешного выполнения ApolloShadow изменяет сетевые настройки, чтобы классифицировать все подключения как частные, что позволяет обнаруживать файлы и упрощает потенциальное перемещение по сети. Методология, лежащая в основе этих настроек, основана на манипулировании реестром Windows и изменении правил брандмауэра с помощью взаимодействия с компонентной объектной моделью (COM). Специальные закодированные строки используются для того, чтобы скрыть важные инструкции, которые расшифровываются только во время выполнения.

Кроме того, ApolloShadow изменяет настройки браузера Firefox, чтобы он доверял устанавливаемым вредоносным сертификатам, обеспечивая постоянство в разных браузерах и расширяя свой контроль над системой. С помощью этих изощренных средств Secret Blizzard укрепляет свои позиции в целевых средах, преследуя конечную цель ведения долгосрочного шпионажа.

Организациям рекомендуется снизить риски, связанные с этой угрозой, путем обеспечения шифрованных туннелей для всего сетевого трафика, использования альтернативных провайдеров без влияния на инфраструктуру на местном уровне и применения передовых методов управления уязвимостями. Возможности обнаружения, подобные тем, которые предлагает Microsoft Defender XDR, имеют решающее значение для выявления подозрительных действий, связанных с этим хакером, позволяя организациям усилить свою защиту от аналогичных атак AiTM.

#ParsedReport #CompletenessLow
23-07-2025

The Dark Side of Romance: SarangTrap Extortion Campaign

https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign

Report completeness: Low

Threats:
Sarangtrap

Victims:
Mobile users, Dating app users, Cloud file service seekers, Car service platform users

Geo:
Korean, Korea

TTPs:
Tactics: 6
Technics: 9

Soft:
Android

Platforms:
apple, cross-platform

Links:
https://github.com/Curzibn/Luban
https://github.com/Zimperium/IOC/tree/master/2025-07-SarangTrap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания SarangTrap нацелена на пользователей Android и iOS с помощью более чем 250 вредоносных приложений и фишинговых доменов, имитирующих платформы знакомств. Вредоносная программа извлекает конфиденциальные данные, используя тактику задержки запросов на разрешение для обхода мер безопасности, особенно за счет отсутствия разрешений на отправку SMS в последней версии. Кампания использует эмоциональные манипуляции, создавая значительные риски для ничего не подозревающих пользователей.
-----

Недавний анализ, проведенный zLabs, выявил масштабную скоординированную кампанию вредоносного ПО, известную как SarangTrap, нацеленную на мобильных пользователей как на устройствах Android, так и на iOS. Операция включает в себя поразительно масштабное развертывание более 250 вредоносных приложений для Android и более 80 скомпрометированных доменов, маскирующихся под законные платформы знакомств и социальных сетей. Злоумышленники используют методы фишинга, чтобы обманом заставить пользователей загружать эти вредоносные приложения, которые предназначены для утечки конфиденциальной личной информации, такой как списки контактов и личные изображения.

При распространении вредоносного ПО используются тщательно разработанные фишинговые домены, которые напоминают известные бренды и магазины приложений. После установки пользователям предлагается ввести действительный код приглашения, который отправляется на сервер управления (C2) злоумышленника для проверки. Этот процесс является частью сложной стратегии, которая задерживает запросы на получение разрешений для конфиденциальных данных, включая доступ к SMS и контактам, до тех пор, пока пользователь не подключится, что помогает избежать обнаружения с помощью системы безопасности, которые обычно связаны с первоначальным поведением приложения.

Помимо устройств на базе Android, пользователи iOS также подвергаются риску. Злоумышленники используют мошеннический профиль конфигурации мобильных устройств, который после установки предоставляет им возможность доступа к конфиденциальным пользовательским данным, включая контакты и фотографии. Такой кроссплатформенный подход расширяет охват вредоносного ПО и его потенциальное воздействие.

Примечательно, что последние образцы SarangTrap отражают изменение тактики, поскольку вредоносная программа больше не объявляет разрешения, связанные с SMS, в своем файле манифеста, несмотря на то, что в ее коде сохранена возможность фильтрации SMS. Текущая версия запрашивает только несколько специальных разрешений — доступ к контактам, внешнему хранилищу и общей информации об устройстве — и полностью исключает SMS-разрешения. Это изменение указывает на продолжающуюся разработку хакерами, которые совершенствуют свою стратегию обхода мер безопасности, сохраняя при этом основные функциональные возможности, связанные со шпионскими программами.

Широкомасштабный и изощренный характер этой кампании подчеркивается выявлением 88 уникальных доменов, распространяющих вредоносное ПО, из которых более 70 активно функционируют как фишинговые сайты. Кампания получила широкую известность, поскольку многие из этих доменов эффективно ранжировались в результатах поиска Google по наиболее распространенным запросам, связанным со знакомствами, что побуждало ничего не подозревающих пользователей загружать вредоносные приложения под видом законных сервисов. Жертвы часто оказываются втянутыми в установку вредоносного ПО только для того, чтобы стать объектами эмоционального вымогательства и манипуляций.

Меняющаяся тактика злоумышленников в сочетании с применяемыми психологическими манипуляциями делает эту операцию особенно опасной. Стратегия эффективно использует доверие и эмоциональную уязвимость, что еще больше усложняет усилия по защите пользователей от подобных угроз. Поскольку кампания продолжает адаптироваться, постоянная бдительность и надежные защитные меры имеют решающее значение для снижения рисков, связанных с вредоносным ПО SarangTrap.