#ParsedReport #CompletenessLow
31-07-2025

Pixels of Deception: How VMDetector Loader Hides in Plain Sight

https://www.sonicwall.com/blog/pixels-of-deception-how-vmdetector-loader-hides-in-plain-sight

Report completeness: Low

Threats:
Vmdetector
Formbook
Cloaking_technique

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1059.001, T1059.005, T1105, T1140, T1204.002, T1566.001

IOCs:
File: 5
Hash: 5
Url: 3

Algorithms:
base64, sha256, zip

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В фишинговой кампании один из вариантов загрузчика VMDetector скрыт в пиксельных данных файла JPEG. Он использует VBScript для загрузки и выполнения команды PowerShell в кодировке Base64, что в конечном итоге приводит к развертыванию FormBook infostealer. Здесь демонстрируются сложные методы обфускации, позволяющие избежать обнаружения.
-----

Команда исследователей угроз SonicWall Capture Labs обнаружила новую технологию сокрытия, использующую вариант загрузчика VMDetector, который скрывается в пиксельных данных файла JPEG, выглядящего безобидно. Этот хакер появился в результате фишинговой кампании, которая использует сжатые архивы для доставки своей полезной информации. Первоначальное выполнение начинается с файла VBScript с именем "RFQ_1000007012.VBS", который выглядит законным, поскольку использует код из репозитория DocGenerator.vbs на GitHub с открытым исходным кодом. Однако вредоносный контент незаметно встроен в конец скрипта, замаскированный нежелательными символами, чтобы избежать обнаружения сигнатуры. Основная функция скрипта - загрузить дополнительный VBScript с URL-адреса past.ee, выполнив его с помощью функции ExecuteGlobal, маскируясь пользовательской строкой user agent.

Последующий VBScript еще больше закрепляет эту уловку, помещая запутанную полезную нагрузку между двумя, казалось бы, законными файлами сценариев, Configurer.vbs и VBSApp.vbs, оба взяты из одного и того же проекта на GitHub. Такая схема маскирует истинные злонамеренные намерения — после деобфускации скрипт выполняет команду PowerShell в кодировке Base64, которая играет ключевую роль в развитии атаки.

Этот расшифрованный скрипт PowerShell загружает то, что кажется безобидным JPEG-файлом, из archive.org. Однако JPEG - это внешний вид; хотя верхняя часть является подлинным изображением, в нижней части находится загрузчик VMDetector, скрытно встроенный в пиксельные данные растрового изображения. Скрипт сканирует определенную последовательность байт, обозначающую заголовок растрового изображения, что позволяет ему извлекать скрытую вредоносную программу, как если бы он извлекал скрытое сообщение.

После извлечения загрузчик VMDetector организует развертывание конечной полезной нагрузки, идентифицированной как FormBook, печально известного инфокрада, известного своими возможностями кражи данных и шпионажа. Эта цепочка доставки является примером современных методов атаки, которые используют многоуровневую маскировку, чтобы избежать обнаружения при развертывании сложного вредоносного ПО. В подобных кампаниях могут использоваться дополнительные средства, демонстрирующие универсальный подход хакеров.

#ParsedReport #CompletenessHigh
31-07-2025

The Covert Operator's Playbook: Infiltration of Global Telecom Networks

https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/

Report completeness: High

Actors/Campaigns:
Liminal_panda
Gallium
Lightbasin
Unc3886
Red_delta
Slow_tempest
Ghostemperor
Unc5174
Unc4841
Earth_lusca

Threats:
Pingpull
Authdoor
Cordscan
Gtpdoor
Echobackdoor
Chronosrat
Nodepdns
Fscan_tool
Microsocks_tool
Proxychains_tool
Slapstick
Pingpong
Dns_tunneling_technique
Dirty_cow_vuln
Pkexec_tool
Pwnkit_tool
Mitm_technique

Victims:
Telecommunications operators, Telecommunications vendors

Industry:
Telco

Geo:
Asia

CVEs:
CVE-2021-3156 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sudo_project sudo (<1.8.32, <1.9.5)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)


TTPs:
Tactics: 4
Technics: 0

IOCs:
Hash: 24
File: 3

Soft:
SELinux, Linux, Unix, sudo, sshpass

Algorithms:
aes, xor, sha256, base64

Win API:
NetBIOS

Languages:
golang, python

Links:
https://github.com/firefart/dirtycow/blob/master/dirty.c#L47
have more...
https://github.com/miekg/dns/
https://github.com/ly4k/PwnKit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа CL-STA-0969 атакует телекоммуникационные сети в Юго-Западной Азии, используя уязвимости мобильных сетей с помощью атак с использованием грубой силы и пользовательских инструментов, таких как AuthDoor для постоянного доступа. Они используют передовые методы обхода, включая уязвимости с повышением привилегий (CVE-2016-5195, CVE-2021-4034, CVE-2021-3156), и скрывают вредоносные процессы для обеспечения скрытности операций. Их деятельность подчеркивает необходимость повышения безопасности телекоммуникационной инфраструктуры.
-----

Подразделение 42 выявило группу хакеров CL-STA-0969, которая в период с февраля по ноябрь 2024 года атаковала телекоммуникационный сектор Юго-Западной Азии. Группа использует уязвимости во взаимосвязанных сетях мобильного роуминга. Хакеры практикуют передовые методы обеспечения операционной безопасности и используют методы защитного обхода без явных доказательств утечки данных или отслеживания устройств. Первоначальные взломы, вероятно, были связаны с атаками методом "грубой силы" на механизмы аутентификации. Они используют пользовательские инструменты, которые используют такие протоколы, как SSH, ICMP, DNS и GTP, для поддержания доступа и создания скрытых каналов управления (C2).

Один из инструментов, AuthDoor, является бэкдором, реализованным в системе PAM путем перезаписи файла pam_unix.so, что позволяет осуществлять постоянный доступ с помощью жестко заданного волшебного пароля. Другой инструмент, Cordscan, предназначен для узлов доставки пакетных данных для сбора данных о местоположении. GTPDoor обеспечивает связь C2 по туннельному протоколу GPRS.

Группа использует хорошо известные уязвимости для повышения привилегий, включая CVE-2016-5195 (DirtyCOW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Sudo), демонстрируя адаптируемые стратегии использования. Они создают обратные SSH-туннели и проводят санитарную обработку журналов, чтобы скрыть свою деятельность.

Вредоносные процессы маскируются под законными именами, а Linux (SELinux) с улучшенной системой безопасности отключен, чтобы избежать ведения журнала безопасности. Используемые инструменты включают FScan для сканирования сети и Responder для сбора учетных данных. Они демонстрируют глубокое понимание динамики сети с использованием серверов SOCKS5 и прокси-цепей. Тактика группы отражает продуманную стратегию постоянного доступа, подчеркивающую необходимость усиления безопасности в затронутых телекоммуникационных инфраструктурах.

#ParsedReport #CompletenessLow
31-07-2025

BadSuccessor

https://ipurple.team/2025/07/28/badsuccessor/

Report completeness: Low

Threats:
Badsuccessor_technique
Credential_harvesting_technique
Kerberoasting_technique
Logan
Sharpsuccessor
Rubeus_tool

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078.002, T1098.002, T1136.002, T1550.003

IOCs:
File: 2

Soft:
Active Directory, Panos

Languages:
dotnet

SIGMA: Found

Links:
have more...
https://github.com/logangoins/SharpSuccessor/
https://github.com/GhostPack/Rubeus

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Функция делегированной управляемой учетной записи службы Windows Server 2025 (dMSA) может быть использована с помощью метода, называемого "badSuccessor", который позволяет перемещаться по домену без проверки Kerberos. Злоумышленники могут повысить свои привилегии, изменив атрибуты dMSA для подключения к привилегированным учетным записям, что может привести к потенциальной компрометации домена. Инструмент проверки концепции SharpSuccessor позволяет использовать это, подчеркивая необходимость усовершенствованных стратегий ведения журнала и обнаружения таких угроз.
-----

В Windows Server 2025 от Microsoft появилась важная функция, предназначенная для предотвращения атак на сбор учетных данных, особенно тех, которые связаны с использованием Kerberoasting и утечкой учетных данных. Эта функция вводит делегированную управляемую учетную запись службы (dMSA), которая позволяет администраторам переносить стандартные учетные записи служб в учетные записи компьютеров с управляемыми, рандомизированными ключами. Хотя это упрощает управление паролями для учетных записей служб, это также создает новые возможности для злоупотреблений. Согласно Akamai, разрешения пользователя могут быть воспроизведены в сертификате атрибута привилегий (PAC) учетной записи dMSA без прохождения проверки Kerberos, которая может быть использована хакерами.

Компания Akamai выявила метод, получивший название "badSuccessor", который позволяет злоумышленникам использовать функцию dMSA для перемещения по домену. В этом сценарии предполагается, что первоначальный доступ был получен через взломанную учетную запись, обладающую разрешением "Создать все дочерние объекты". Впоследствии злоумышленник создает произвольный dMSA и изменяет атрибуты, в частности msDS-ManagedAccountPrecededByLink и msDS-DelegatedMSAState, чтобы связать его с привилегированной учетной записью (например, администратором домена) и имитировать завершенный процесс миграции.

Как только dMSA будет настроена, хакер сможет получить разрешение на использование Kerberos (TGT) для текущей учетной записи. С помощью этого запроса они могут запрашивать сервисные запросы (TGS) для различных служб в домене, включая ресурсы, относящиеся к Общей файловой системе Интернета (CIFS) контроллера домена. Такой доступ позволяет потенциально скомпрометировать сам домен.

Логан Гоинс (Logan Goins) выпустил инструмент для проверки концепции под названием SharpSuccessor, написанный на .NET, который эмулирует технологию badSuccessor. Этот инструмент создает новый объект dMSA в организационном подразделении, где пользователь имеет права на запись, и изменяет связанные атрибуты для имитации повышения привилегий. Выполнение определенных команд позволяет инструменту установить необходимые атрибуты для вредоносного dMSA, в том числе привязать его к привилегированной учетной записи администратора.

Чтобы упростить работу с Kerberos, этот инструмент использует Rubeus для взаимодействия со службами аутентификации в среде Windows. Однако существуют меры безопасности, поскольку системы обнаружения и реагирования конечных точек (EDR) могут указывать на использование SharpSuccessor и Rubeus, что делает обнаружение важной частью усилий по устранению неполадок. Стратегии обнаружения должны включать идентификаторы событий, такие как 5136 и 5137, для выявления потенциальных модификаций или признаков компрометации, связанных с технологией badSuccessor. Организациям следует включить расширенное ведение журнала, чтобы обеспечить учет специфики этого вектора атаки при разработке предупреждений, которые могут срабатывать после завершения трех основных этапов: создания учетной записи dMSA, изменения атрибутов и запросов на аутентификацию для заявок на обслуживание. Внедрение правил SIGMA может помочь инженерам по обнаружению в формулировании запросов для эффективного поиска угроз и мониторинга.

#ParsedReport #CompletenessLow
31-07-2025

Anubis and the Death of Data: A New Era of Ransomware Operations

https://www.bitsight.com/blog/anubis-ransomware-group-overview-and-evolution

Report completeness: Low

Threats:
Anubis
Shadow_copies_delete_technique

Victims:
Healthcare provider in victoria, Healthcare organization in canada, Organizations in healthcare, Organizations in construction, Organizations in professional services

Industry:
Education, Financial, Critical_infrastructure, Healthcare

Geo:
France, Peru, Australian, Russian, Australia, Canada

TTPs:
Tactics: 2
Technics: 8

Soft:
Twitter, android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anubis - это новая группа программ-вымогателей, нацеленная на критически важную инфраструктуру, использующая программу-вымогатель как услугу (RaaS) с выплатой 80% аффилированным лицам. Эта группа использует скрытый фишинг для получения начального доступа, выполнения из командной строки и деструктивных возможностей, включая режим удаления данных для усиления давления на жертв. На Android он действует как банковский троян, в то время как на Windows шифрует файлы и удаляет резервные копии, в первую очередь нацеливаясь на такие отрасли, как здравоохранение и строительство в разных странах.
-----

Число уникальных жертв атак с использованием программ-вымогателей увеличилось на 25%, а число сайтов с утечками информации, которыми управляют группы, - на 53%. В ноябре 2024 года была выявлена группа программ-вымогателей Anubis, общавшаяся на русском языке на форумах темного интернета. Anubis нацелен в первую очередь на критически важную инфраструктуру и использует модель "Программы-вымогатели как услуга" (RaaS), при которой аффилированные лица получают 80% выкупа. Для оказания давления на жертв он использует режим деструктивной очистки. Первоначальный доступ обычно получают с помощью фишинговых электронных писем с вредоносными ссылками или вложениями. Anubis использует интерпретаторы команд и сценариев, что приводит к необычной активности в командной строке, свидетельствующей об атаках. Они используют действительные учетные записи пользователей для доступа к конфиденциальным каталогам, что требует отслеживания необычного поведения. На Android Anubis действует как банковский троян, используя фишинговые оверлеи, запись экрана и кейлоггинг, а также распространяясь через SMS. На Windows он шифрует файлы с помощью интегрированной схемы шифрования с эллиптической кривой (ECIES) и удаляет теневые копии томов, препятствуя восстановлению. Целевые сектора включают здравоохранение, строительство и профессиональные услуги, деятельность которых подтверждена в США, Франции, Австралии и Перу. В ноябре 2024 года поставщик медицинских услуг в Австралии столкнулся с нарушением, связанным с Anubis, что привело к утечке информации о пациентах. Стратегии смягчения последствий включают изоляцию скомпрометированных систем, мониторинг индикаторов компрометации (IOCs) и внедрение многофакторной аутентификации и надежного обнаружения конечных точек.

#ParsedReport #CompletenessLow
31-07-2025

Maritime Sector Faces Surge in APT and Hacktivist Cyber Threats

https://cyble.com/blog/cyberattacks-targets-maritime-industry/

Report completeness: Low

Actors/Campaigns:
Sidewinder
Red_delta
Winnti
Fancy_bear
Tortoiseshell
Turla (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)
Red_wolf
Chamelgang

Threats:
Dusttrap
Shadowpad
Velvetshell
Supply_chain_technique

Victims:
Maritime industry, Shipping companies, Ports, Defense contractor, Maritime authority, Middle eastern government body, Transportation and logistics companies, Classification societies, Cargo shipping companies, Naval vessels, have more...

Industry:
Military, Maritime, Transport, Government, Petroleum, Energy, Ics, Logistic

Geo:
Australia, Hong kong, Singapore, Ukraine, China, Russian, Turkey, Vietnam, Spain, Norway, Netherlands, Taiwan, Djibouti, Russia, Israeli, Greece, Thailand, Cambodia, Iranian, Yemen, Italy, Asian, Asia-pacific, American, Chinese, Bangladesh, Egypt

CVEs:
CVE-2025-52579 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-19052 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (<1.4.50)

CVE-2025-20309 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco unified_communications_manager (15.0.1.13010-1, 15.0.1.13011-1, 15.0.1.13012-1, 15.0.1.13013-1, 15.0.1.13014-1)

CVE-2024-2658 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2024-20354 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-22707 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (le1.4.63)

CVE-2019-11072 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (le1.4.53)

CVE-2024-20418 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)


ChatGPT TTPs:
do not use without manual check
T0856, T0859, T1041, T1078, T1190, T1195, T1200, T1486, T1499, T1566, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Морская отрасль сталкивается с растущим числом хакеров из APT-групп, операторов программ-вымогателей и хактивистов. Атаки используют геополитическую напряженность, нацеливаясь на судоходство, связанное с политическими конфликтами, при этом выявленные уязвимости, такие как CVE-2025-5777 и CVE-2024-2658, создают значительные риски. Использование сложных вредоносных программ, скомпрометированные данные в "темной паутине" и рекомендации по обеспечению безопасности подчеркивают настоятельную необходимость совершенствования мер кибербезопасности в этом секторе.
-----

Морская отрасль стала основной мишенью для хакеров, и за последний год множество хакеров предприняли многочисленные кибератаки. В ходе атак, которые используют геополитический ландшафт, были выявлены группы APT (АПТ), финансово мотивированные хакеры, операторы программ-вымогателей и хактивисты. Заметной тенденцией является преследование судоходных компаний, связанных с политическими конфликтами, таких как пропалестинские хактивисты, нападающие на израильские суда, и российские группировки, наносящие удары по европейским портам в поддержку Украины. Примечательно, что в марте 2025 года группа Lab Dookhtegan провела кибероперацию, которая нарушила связь на 116 иранских судах на фоне военных действий США, подчеркнув интеграцию кибертактики с геополитическими маневрами.

Множество APT-групп нацелились на морской сектор, в том числе SideWinder APT из Южной Азии, которая воздействовала на морские объекты в разных странах, и китайские группы, такие как Mustang Panda и APT41, известные использованием сложных методов атаки, включая внедрение вредоносного ПО через зараженные USB-накопители. Опасения, связанные с использованием вредоносных программ, усиливаются после обнаружения таких продвинутых инструментов, как DUSTTRAP, ShadowPad и VELVETSHELL, используемых этими хакерами в своих операциях.

Уязвимости в области кибербезопасности усугубляются выявлением многочисленных слабых мест в системах, являющихся неотъемлемой частью морских операций. Такие специфические уязвимости, как CVE-2025-5777, влияющие на устройства Citrix NetScaler, и CVE-2024-2658, влияющие на продукты Schneider Electric EcoStruxure, были признаны критически важными для устранения. Эти уязвимости могут представлять угрозу для судовых систем связи и эксплуатации, что подчеркивает необходимость принятия более строгих мер кибербезопасности.

Скомпрометированные данные и несанкционированный доступ к конфиденциальным системам стали обычным явлением в даркнете, где хакеры хвастаются тем, что им удалось сохранить значительные объемы украденных морских данных, включая оперативные отчеты и секретные документы. Кроме того, группы программ-вымогателей нацелились на морские организации, извлекая чертежи и другие важные данные, которые могут подорвать целостность операций.

Для снижения этих рисков были разработаны рекомендации по кибербезопасности, в которых содержится настоятельный призыв к запрету использования персональных USB-устройств в зонах эксплуатации, необходимости автоматизированной облачной защиты от DDoS-атак и требованию к спецификации программного обеспечения с криптографической подписью (SBOMs) для морского программного обеспечения. Безопасность цепочки поставок требует немедленного внимания, включая предложения по ограничению удаленного доступа к устройствам иностранного производства, тщательную оценку безопасности поставщиков и внедрение протоколов безопасного обновления. Разработка протоколов реагирования на инциденты, характерные для морских перевозок, и регулярное моделирование сценариев кибератак также имеют решающее значение для повышения устойчивости к будущим хакерам.

#ParsedReport #CompletenessMedium
31-07-2025

From Phishing Sites to SilverFox: A Practical Infrastructure Expansion Analysis

https://medium.com/@knownsec404team/from-phishing-sites-to-silverfox-a-practical-infrastructure-expansion-analysis-0970a3fd3a50?source=rss-f1efd6b74751------2

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Watering_hole_technique
Todesk_tool
Anydesk_tool

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1102, T1189, T1204.002, T1553.002, T1566.002, T1568.002

IOCs:
Domain: 1285
IP: 604
Url: 2
File: 7

Soft:
ZoomEye, Zoom, Feishu, Chrome

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянская программа SilverFox, RAT, действующая в Китае, использует маскировку под легальное программное обеспечение для проведения атак с использованием оптимизированных фишинговых ссылок. Анализ вредоносной инфраструктуры выявил более 2600 доменов, связанных с этой кампанией, что позволило выявить структурированный шаблонный подход и возможности автоматического развертывания злоумышленников.
-----

В последнее время возросла активность распространенного в Китае троянца SilverFox, предназначенного для удаленного доступа (RAT), о чем подробно говорится в отчете Центра анализа угроз безопасности Tencent. Злоумышленники используют стратегию, которая маскирует троянца под законные пакеты для установки офисного программного обеспечения, что облегчает проведение атак с использованием подпольных источников. Ориентируясь на пользователей, которые ищут подлинное программное обеспечение, злоумышленники размещают вредоносные ссылки для скачивания, оптимизированные с помощью методов поисковой системы для получения высоких позиций в результатах поиска. Эти ссылки ведут пользователей на фишинговые веб-сайты, такие как идентифицированный URL fndykokouviqndzc.cn, где они могут случайно загрузить троянскую программу.

В отчете рассказывается о том, как платформа ZoomEye использовалась для анализа вредоносной инфраструктуры, связанной с этим фишинговым веб-сайтом. Уникальные идентификационные характеристики, включая IP—адреса, названия веб—сайтов, файлы JavaScript и отпечатки пальцев SSL-сертификата, были использованы для выявления и расширения кластера вредоносных ресурсов. Первоначальные запросы выявили как фишинговые сайты, так и некоторые законные домены. Однако некоторые особенности постоянно приводили к обнаружению дополнительных фишинговых веб-сайтов, демонстрируя общий шаблон, используемый злоумышленниками для заманивания жертв с помощью различных брендов программного обеспечения, включая такие известные бренды, как Feishu, ToDesk и Sunflower.

Дальнейшее расследование фишинговых сайтов выявило шаблонный подход: злоумышленники перепрофилировали общий шаблон, изначально предназначенный для распространения Chrome, используя схожие стратегии оформления при настройке названий программного обеспечения. Несмотря на изменения в целевом программном обеспечении, описания остались прежними, что указывает на отсутствие тщательных обновлений со стороны злоумышленников.

Используя отличительные признаки, полученные на первоначальном фишинговом сайте, в ходе анализа было выявлено более 2600 вредоносных доменов, что указывает на значительный оперативный потенциал злоумышленников. Отличительной чертой их стратегии является массовая регистрация доменов с использованием случайно сгенерированных имен, которые соответствуют ограниченному числу IP-адресов, что приводит к формированию фишинговых кластеров. Например, было обнаружено, что на одном IP-адресе 156.251.25.112 размещено 292 различных фишинговых домена.

Полученные данные свидетельствуют о том, что злоумышленники получили возможности автоматизированного развертывания и интеграции ресурсов. Рекомендации для поставщиков средств безопасности включают обновление правил обнаружения, чтобы охватить идентифицированные домены и IP-адреса, тем самым усиливая защиту от продолжающихся фишинговых кампаний, связанных с трояном SilverFox.

#ParsedReport #CompletenessMedium
31-07-2025

APT28s New Arsenal: LAMEHUG, the First AI-Powered Malware

https://www.logpoint.com/en/blog/apt28s-new-arsenal-lamehug-the-first-ai-powered-malware/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Lamehug_tool

Victims:
Ukrainian organizations, Ukraine security and defense sector, Critical organizations

Industry:
Government

Geo:
Ukraine, Russia, Russian, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1041, T1047, T1059.003, T1059.006, T1071.001, T1074.001, T1082, T1119, have more...

IOCs:
File: 3
IP: 2
Domain: 1

Soft:
PyInstaller, Hugging Face

Algorithms:
zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, schema: 1