#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа CL-STA-0969 атакует телекоммуникационные сети в Юго-Западной Азии, используя уязвимости мобильных сетей с помощью атак с использованием грубой силы и пользовательских инструментов, таких как AuthDoor для постоянного доступа. Они используют передовые методы обхода, включая уязвимости с повышением привилегий (CVE-2016-5195, CVE-2021-4034, CVE-2021-3156), и скрывают вредоносные процессы для обеспечения скрытности операций. Их деятельность подчеркивает необходимость повышения безопасности телекоммуникационной инфраструктуры.
-----

Подразделение 42 выявило группу хакеров CL-STA-0969, которая в период с февраля по ноябрь 2024 года атаковала телекоммуникационный сектор Юго-Западной Азии. Группа использует уязвимости во взаимосвязанных сетях мобильного роуминга. Хакеры практикуют передовые методы обеспечения операционной безопасности и используют методы защитного обхода без явных доказательств утечки данных или отслеживания устройств. Первоначальные взломы, вероятно, были связаны с атаками методом "грубой силы" на механизмы аутентификации. Они используют пользовательские инструменты, которые используют такие протоколы, как SSH, ICMP, DNS и GTP, для поддержания доступа и создания скрытых каналов управления (C2).

Один из инструментов, AuthDoor, является бэкдором, реализованным в системе PAM путем перезаписи файла pam_unix.so, что позволяет осуществлять постоянный доступ с помощью жестко заданного волшебного пароля. Другой инструмент, Cordscan, предназначен для узлов доставки пакетных данных для сбора данных о местоположении. GTPDoor обеспечивает связь C2 по туннельному протоколу GPRS.

Группа использует хорошо известные уязвимости для повышения привилегий, включая CVE-2016-5195 (DirtyCOW), CVE-2021-4034 (PwnKit) и CVE-2021-3156 (Sudo), демонстрируя адаптируемые стратегии использования. Они создают обратные SSH-туннели и проводят санитарную обработку журналов, чтобы скрыть свою деятельность.

Вредоносные процессы маскируются под законными именами, а Linux (SELinux) с улучшенной системой безопасности отключен, чтобы избежать ведения журнала безопасности. Используемые инструменты включают FScan для сканирования сети и Responder для сбора учетных данных. Они демонстрируют глубокое понимание динамики сети с использованием серверов SOCKS5 и прокси-цепей. Тактика группы отражает продуманную стратегию постоянного доступа, подчеркивающую необходимость усиления безопасности в затронутых телекоммуникационных инфраструктурах.

#ParsedReport #CompletenessLow
31-07-2025

BadSuccessor

https://ipurple.team/2025/07/28/badsuccessor/

Report completeness: Low

Threats:
Badsuccessor_technique
Credential_harvesting_technique
Kerberoasting_technique
Logan
Sharpsuccessor
Rubeus_tool

TTPs:

ChatGPT TTPs:
do not use without manual check
T1078.002, T1098.002, T1136.002, T1550.003

IOCs:
File: 2

Soft:
Active Directory, Panos

Languages:
dotnet

SIGMA: Found

Links:
have more...
https://github.com/logangoins/SharpSuccessor/
https://github.com/GhostPack/Rubeus

#ParsedReport #ExtractedSchema

Classified images:
windows: 8, schema: 1, code: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Функция делегированной управляемой учетной записи службы Windows Server 2025 (dMSA) может быть использована с помощью метода, называемого "badSuccessor", который позволяет перемещаться по домену без проверки Kerberos. Злоумышленники могут повысить свои привилегии, изменив атрибуты dMSA для подключения к привилегированным учетным записям, что может привести к потенциальной компрометации домена. Инструмент проверки концепции SharpSuccessor позволяет использовать это, подчеркивая необходимость усовершенствованных стратегий ведения журнала и обнаружения таких угроз.
-----

В Windows Server 2025 от Microsoft появилась важная функция, предназначенная для предотвращения атак на сбор учетных данных, особенно тех, которые связаны с использованием Kerberoasting и утечкой учетных данных. Эта функция вводит делегированную управляемую учетную запись службы (dMSA), которая позволяет администраторам переносить стандартные учетные записи служб в учетные записи компьютеров с управляемыми, рандомизированными ключами. Хотя это упрощает управление паролями для учетных записей служб, это также создает новые возможности для злоупотреблений. Согласно Akamai, разрешения пользователя могут быть воспроизведены в сертификате атрибута привилегий (PAC) учетной записи dMSA без прохождения проверки Kerberos, которая может быть использована хакерами.

Компания Akamai выявила метод, получивший название "badSuccessor", который позволяет злоумышленникам использовать функцию dMSA для перемещения по домену. В этом сценарии предполагается, что первоначальный доступ был получен через взломанную учетную запись, обладающую разрешением "Создать все дочерние объекты". Впоследствии злоумышленник создает произвольный dMSA и изменяет атрибуты, в частности msDS-ManagedAccountPrecededByLink и msDS-DelegatedMSAState, чтобы связать его с привилегированной учетной записью (например, администратором домена) и имитировать завершенный процесс миграции.

Как только dMSA будет настроена, хакер сможет получить разрешение на использование Kerberos (TGT) для текущей учетной записи. С помощью этого запроса они могут запрашивать сервисные запросы (TGS) для различных служб в домене, включая ресурсы, относящиеся к Общей файловой системе Интернета (CIFS) контроллера домена. Такой доступ позволяет потенциально скомпрометировать сам домен.

Логан Гоинс (Logan Goins) выпустил инструмент для проверки концепции под названием SharpSuccessor, написанный на .NET, который эмулирует технологию badSuccessor. Этот инструмент создает новый объект dMSA в организационном подразделении, где пользователь имеет права на запись, и изменяет связанные атрибуты для имитации повышения привилегий. Выполнение определенных команд позволяет инструменту установить необходимые атрибуты для вредоносного dMSA, в том числе привязать его к привилегированной учетной записи администратора.

Чтобы упростить работу с Kerberos, этот инструмент использует Rubeus для взаимодействия со службами аутентификации в среде Windows. Однако существуют меры безопасности, поскольку системы обнаружения и реагирования конечных точек (EDR) могут указывать на использование SharpSuccessor и Rubeus, что делает обнаружение важной частью усилий по устранению неполадок. Стратегии обнаружения должны включать идентификаторы событий, такие как 5136 и 5137, для выявления потенциальных модификаций или признаков компрометации, связанных с технологией badSuccessor. Организациям следует включить расширенное ведение журнала, чтобы обеспечить учет специфики этого вектора атаки при разработке предупреждений, которые могут срабатывать после завершения трех основных этапов: создания учетной записи dMSA, изменения атрибутов и запросов на аутентификацию для заявок на обслуживание. Внедрение правил SIGMA может помочь инженерам по обнаружению в формулировании запросов для эффективного поиска угроз и мониторинга.

#ParsedReport #CompletenessLow
31-07-2025

Anubis and the Death of Data: A New Era of Ransomware Operations

https://www.bitsight.com/blog/anubis-ransomware-group-overview-and-evolution

Report completeness: Low

Threats:
Anubis
Shadow_copies_delete_technique

Victims:
Healthcare provider in victoria, Healthcare organization in canada, Organizations in healthcare, Organizations in construction, Organizations in professional services

Industry:
Education, Financial, Critical_infrastructure, Healthcare

Geo:
France, Peru, Australian, Russian, Australia, Canada

TTPs:
Tactics: 2
Technics: 8

Soft:
Twitter, android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anubis - это новая группа программ-вымогателей, нацеленная на критически важную инфраструктуру, использующая программу-вымогатель как услугу (RaaS) с выплатой 80% аффилированным лицам. Эта группа использует скрытый фишинг для получения начального доступа, выполнения из командной строки и деструктивных возможностей, включая режим удаления данных для усиления давления на жертв. На Android он действует как банковский троян, в то время как на Windows шифрует файлы и удаляет резервные копии, в первую очередь нацеливаясь на такие отрасли, как здравоохранение и строительство в разных странах.
-----

Число уникальных жертв атак с использованием программ-вымогателей увеличилось на 25%, а число сайтов с утечками информации, которыми управляют группы, - на 53%. В ноябре 2024 года была выявлена группа программ-вымогателей Anubis, общавшаяся на русском языке на форумах темного интернета. Anubis нацелен в первую очередь на критически важную инфраструктуру и использует модель "Программы-вымогатели как услуга" (RaaS), при которой аффилированные лица получают 80% выкупа. Для оказания давления на жертв он использует режим деструктивной очистки. Первоначальный доступ обычно получают с помощью фишинговых электронных писем с вредоносными ссылками или вложениями. Anubis использует интерпретаторы команд и сценариев, что приводит к необычной активности в командной строке, свидетельствующей об атаках. Они используют действительные учетные записи пользователей для доступа к конфиденциальным каталогам, что требует отслеживания необычного поведения. На Android Anubis действует как банковский троян, используя фишинговые оверлеи, запись экрана и кейлоггинг, а также распространяясь через SMS. На Windows он шифрует файлы с помощью интегрированной схемы шифрования с эллиптической кривой (ECIES) и удаляет теневые копии томов, препятствуя восстановлению. Целевые сектора включают здравоохранение, строительство и профессиональные услуги, деятельность которых подтверждена в США, Франции, Австралии и Перу. В ноябре 2024 года поставщик медицинских услуг в Австралии столкнулся с нарушением, связанным с Anubis, что привело к утечке информации о пациентах. Стратегии смягчения последствий включают изоляцию скомпрометированных систем, мониторинг индикаторов компрометации (IOCs) и внедрение многофакторной аутентификации и надежного обнаружения конечных точек.

#ParsedReport #CompletenessLow
31-07-2025

Maritime Sector Faces Surge in APT and Hacktivist Cyber Threats

https://cyble.com/blog/cyberattacks-targets-maritime-industry/

Report completeness: Low

Actors/Campaigns:
Sidewinder
Red_delta
Winnti
Fancy_bear
Tortoiseshell
Turla (motivation: cyber_espionage)
Tomiris (motivation: cyber_espionage)
Red_wolf
Chamelgang

Threats:
Dusttrap
Shadowpad
Velvetshell
Supply_chain_technique

Victims:
Maritime industry, Shipping companies, Ports, Defense contractor, Maritime authority, Middle eastern government body, Transportation and logistics companies, Classification societies, Cargo shipping companies, Naval vessels, have more...

Industry:
Military, Maritime, Transport, Government, Petroleum, Energy, Ics, Logistic

Geo:
Australia, Hong kong, Singapore, Ukraine, China, Russian, Turkey, Vietnam, Spain, Norway, Netherlands, Taiwan, Djibouti, Russia, Israeli, Greece, Thailand, Cambodia, Iranian, Yemen, Italy, Asian, Asia-pacific, American, Chinese, Bangladesh, Egypt

CVEs:
CVE-2025-52579 [Vulners]
CVSS V3.1: 9.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-19052 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (<1.4.50)

CVE-2025-20309 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco unified_communications_manager (15.0.1.13010-1, 15.0.1.13011-1, 15.0.1.13012-1, 15.0.1.13013-1, 15.0.1.13014-1)

CVE-2024-2658 [Vulners]
CVSS V3.1: 8.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.328, <13.1-37.235, <13.1-58.32, <14.1-43.56)
- citrix netscaler_gateway (<13.1-58.32, <14.1-43.56)

CVE-2024-20354 [Vulners]
CVSS V3.1: 4.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-22707 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (le1.4.63)

CVE-2019-11072 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- lighttpd (le1.4.53)

CVE-2024-20418 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-6543 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<13.1-37.236, <13.1-59.19, <14.1-47.46)


ChatGPT TTPs:
do not use without manual check
T0856, T0859, T1041, T1078, T1190, T1195, T1200, T1486, T1499, T1566, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Морская отрасль сталкивается с растущим числом хакеров из APT-групп, операторов программ-вымогателей и хактивистов. Атаки используют геополитическую напряженность, нацеливаясь на судоходство, связанное с политическими конфликтами, при этом выявленные уязвимости, такие как CVE-2025-5777 и CVE-2024-2658, создают значительные риски. Использование сложных вредоносных программ, скомпрометированные данные в "темной паутине" и рекомендации по обеспечению безопасности подчеркивают настоятельную необходимость совершенствования мер кибербезопасности в этом секторе.
-----

Морская отрасль стала основной мишенью для хакеров, и за последний год множество хакеров предприняли многочисленные кибератаки. В ходе атак, которые используют геополитический ландшафт, были выявлены группы APT (АПТ), финансово мотивированные хакеры, операторы программ-вымогателей и хактивисты. Заметной тенденцией является преследование судоходных компаний, связанных с политическими конфликтами, таких как пропалестинские хактивисты, нападающие на израильские суда, и российские группировки, наносящие удары по европейским портам в поддержку Украины. Примечательно, что в марте 2025 года группа Lab Dookhtegan провела кибероперацию, которая нарушила связь на 116 иранских судах на фоне военных действий США, подчеркнув интеграцию кибертактики с геополитическими маневрами.

Множество APT-групп нацелились на морской сектор, в том числе SideWinder APT из Южной Азии, которая воздействовала на морские объекты в разных странах, и китайские группы, такие как Mustang Panda и APT41, известные использованием сложных методов атаки, включая внедрение вредоносного ПО через зараженные USB-накопители. Опасения, связанные с использованием вредоносных программ, усиливаются после обнаружения таких продвинутых инструментов, как DUSTTRAP, ShadowPad и VELVETSHELL, используемых этими хакерами в своих операциях.

Уязвимости в области кибербезопасности усугубляются выявлением многочисленных слабых мест в системах, являющихся неотъемлемой частью морских операций. Такие специфические уязвимости, как CVE-2025-5777, влияющие на устройства Citrix NetScaler, и CVE-2024-2658, влияющие на продукты Schneider Electric EcoStruxure, были признаны критически важными для устранения. Эти уязвимости могут представлять угрозу для судовых систем связи и эксплуатации, что подчеркивает необходимость принятия более строгих мер кибербезопасности.

Скомпрометированные данные и несанкционированный доступ к конфиденциальным системам стали обычным явлением в даркнете, где хакеры хвастаются тем, что им удалось сохранить значительные объемы украденных морских данных, включая оперативные отчеты и секретные документы. Кроме того, группы программ-вымогателей нацелились на морские организации, извлекая чертежи и другие важные данные, которые могут подорвать целостность операций.

Для снижения этих рисков были разработаны рекомендации по кибербезопасности, в которых содержится настоятельный призыв к запрету использования персональных USB-устройств в зонах эксплуатации, необходимости автоматизированной облачной защиты от DDoS-атак и требованию к спецификации программного обеспечения с криптографической подписью (SBOMs) для морского программного обеспечения. Безопасность цепочки поставок требует немедленного внимания, включая предложения по ограничению удаленного доступа к устройствам иностранного производства, тщательную оценку безопасности поставщиков и внедрение протоколов безопасного обновления. Разработка протоколов реагирования на инциденты, характерные для морских перевозок, и регулярное моделирование сценариев кибератак также имеют решающее значение для повышения устойчивости к будущим хакерам.

#ParsedReport #CompletenessMedium
31-07-2025

From Phishing Sites to SilverFox: A Practical Infrastructure Expansion Analysis

https://medium.com/@knownsec404team/from-phishing-sites-to-silverfox-a-practical-infrastructure-expansion-analysis-0970a3fd3a50?source=rss-f1efd6b74751------2

Report completeness: Medium

Actors/Campaigns:
Silver_fox

Threats:
Watering_hole_technique
Todesk_tool
Anydesk_tool

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1102, T1189, T1204.002, T1553.002, T1566.002, T1568.002

IOCs:
Domain: 1285
IP: 604
Url: 2
File: 7

Soft:
ZoomEye, Zoom, Feishu, Chrome

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянская программа SilverFox, RAT, действующая в Китае, использует маскировку под легальное программное обеспечение для проведения атак с использованием оптимизированных фишинговых ссылок. Анализ вредоносной инфраструктуры выявил более 2600 доменов, связанных с этой кампанией, что позволило выявить структурированный шаблонный подход и возможности автоматического развертывания злоумышленников.
-----

В последнее время возросла активность распространенного в Китае троянца SilverFox, предназначенного для удаленного доступа (RAT), о чем подробно говорится в отчете Центра анализа угроз безопасности Tencent. Злоумышленники используют стратегию, которая маскирует троянца под законные пакеты для установки офисного программного обеспечения, что облегчает проведение атак с использованием подпольных источников. Ориентируясь на пользователей, которые ищут подлинное программное обеспечение, злоумышленники размещают вредоносные ссылки для скачивания, оптимизированные с помощью методов поисковой системы для получения высоких позиций в результатах поиска. Эти ссылки ведут пользователей на фишинговые веб-сайты, такие как идентифицированный URL fndykokouviqndzc.cn, где они могут случайно загрузить троянскую программу.

В отчете рассказывается о том, как платформа ZoomEye использовалась для анализа вредоносной инфраструктуры, связанной с этим фишинговым веб-сайтом. Уникальные идентификационные характеристики, включая IP—адреса, названия веб—сайтов, файлы JavaScript и отпечатки пальцев SSL-сертификата, были использованы для выявления и расширения кластера вредоносных ресурсов. Первоначальные запросы выявили как фишинговые сайты, так и некоторые законные домены. Однако некоторые особенности постоянно приводили к обнаружению дополнительных фишинговых веб-сайтов, демонстрируя общий шаблон, используемый злоумышленниками для заманивания жертв с помощью различных брендов программного обеспечения, включая такие известные бренды, как Feishu, ToDesk и Sunflower.

Дальнейшее расследование фишинговых сайтов выявило шаблонный подход: злоумышленники перепрофилировали общий шаблон, изначально предназначенный для распространения Chrome, используя схожие стратегии оформления при настройке названий программного обеспечения. Несмотря на изменения в целевом программном обеспечении, описания остались прежними, что указывает на отсутствие тщательных обновлений со стороны злоумышленников.

Используя отличительные признаки, полученные на первоначальном фишинговом сайте, в ходе анализа было выявлено более 2600 вредоносных доменов, что указывает на значительный оперативный потенциал злоумышленников. Отличительной чертой их стратегии является массовая регистрация доменов с использованием случайно сгенерированных имен, которые соответствуют ограниченному числу IP-адресов, что приводит к формированию фишинговых кластеров. Например, было обнаружено, что на одном IP-адресе 156.251.25.112 размещено 292 различных фишинговых домена.

Полученные данные свидетельствуют о том, что злоумышленники получили возможности автоматизированного развертывания и интеграции ресурсов. Рекомендации для поставщиков средств безопасности включают обновление правил обнаружения, чтобы охватить идентифицированные домены и IP-адреса, тем самым усиливая защиту от продолжающихся фишинговых кампаний, связанных с трояном SilverFox.

#ParsedReport #CompletenessMedium
31-07-2025

APT28s New Arsenal: LAMEHUG, the First AI-Powered Malware

https://www.logpoint.com/en/blog/apt28s-new-arsenal-lamehug-the-first-ai-powered-malware/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear (motivation: information_theft)

Threats:
Lamehug_tool

Victims:
Ukrainian organizations, Ukraine security and defense sector, Critical organizations

Industry:
Government

Geo:
Ukraine, Russia, Russian, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1041, T1047, T1059.003, T1059.006, T1071.001, T1074.001, T1082, T1119, have more...

IOCs:
File: 3
IP: 2
Domain: 1

Soft:
PyInstaller, Hugging Face

Algorithms:
zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT28 (UAC-0001) нацелен на Украину с помощью вредоносной программы LameHug, использующей большую языковую модель для выполнения команд на естественном языке. Вредоносная программа автоматизирует разведку и эксфильтрацию данных, используя SFTP или HTTP POST для передачи файлов на серверы, контролируемые злоумышленниками, что подчеркивает важность раннего обнаружения и структурированных стратегий защиты.
-----

Конфликт между Россией и Украиной проявляется не только на полях сражений, но и во все более изощренной кибервойне, когда российские хакеры настойчиво атакуют украинские компании. Одна известная группа, APT28 (также известная как UAC-0001 или Forest Blizzard), внедрила новую вредоносную программу под названием LameHug. Согласно отчету CERT-UA, APT28 недавно инициировала целенаправленную атаку на сектора безопасности и обороны Украины. Эта атака началась с фишингового электронного письма со взломанного правительственного аккаунта, содержащего ZIP-архив, содержащий вредоносный исполняемый файл, замаскированный под расширение .pif, разработанный с использованием PyInstaller из Python code.

Вредоносная программа LameHug особенно интересна, поскольку, как утверждается, представляет собой первый пример использования хакерами большой языковой модели (LLM) для расширения своих возможностей. Он использует модель Qwen 2.5-Coder-32B-Instruct через API Hugging Face, что позволяет ему преобразовывать текстовые инструкции на естественном языке в исполняемые системные команды на взломанном компьютере. На практике LameHug автоматизирует сложные задачи, проводя системную разведку путем выполнения команд для сбора информации об оборудовании, процессах, сервисах, сетевых подключениях и даже способствуя краже данных. Собранная информация хранится в файле с надписью info.txt в каталоге ProgramData, и вредоносная программа сканирует различные пользовательские каталоги (документы, рабочий стол, загрузки) в поисках файлов для последующей фильтрации, используя запросы SFTP или HTTP POST для передачи данных в инфраструктуру, контролируемую злоумышленником.

CERT-UA также выявил дополнительные варианты LameHug, в частности AI_generator_uncensored_Canvas_PRO_v0.9.exe и image.py, которые демонстрируют различные методы эксфильтрации. С точки зрения стратегий защиты, раннее обнаружение имеет первостепенное значение для смягчения последствий таких атак. Аналитики могут использовать источники журналов, такие как Windows Sysmon, для отслеживания подозрительных разведывательных действий, в частности, с файлами, созданными LameHug. Можно выполнять запросы для обнаружения использования встроенных утилит Windows для разведки и выявления исходящих подключений к известным конечным точкам службы LLM. Индикаторы компрометации (IOCS), используемые CERT-UA, могут дополнительно помочь в обнаружении присутствия LameHug, включая конкретные хэши вредоносных файлов и необычные строки пользовательского агента.

Поскольку ландшафт угроз продолжает изменяться, операции по обеспечению безопасности требуют гибкого подхода, учитывающего контекст, автоматизацию и точность. Для противодействия фишинговым кампаниям APT28, нацеленным на ключевые организации в Украине, жизненно важны структурированные схемы расследования и реагирования. К ним относятся подробные методы криминалистической проверки для тщательного изучения и устранения вредоносных электронных писем, а также использование Osquery для отслеживания скомпрометированных систем в режиме реального времени. Дополнительные инструкции помогают отслеживать и удалять вредоносные файлы, обнаруживать коммуникации с серверами управления и изолировать скомпрометированные хосты, чтобы предотвратить несанкционированные перемещения.

#ParsedReport #CompletenessLow
30-07-2025

Behind Random Words: DoubleTrouble Mobile Banking Trojan Revealed

https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed

Report completeness: Low

Threats:
Doubletrouble
Jsonpacker_tool

Industry:
Financial

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 4

Soft:
Discord, Android, Google Play

Algorithms:
base64

Links:
have more...
https://github.com/aritraroy/PatternLockView
https://github.com/Zimperium/IOC/tree/master/2025-07-DoubleTrouble
https://github.com/aritraroy/PinLockView

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложный банковский троянец совершенствует свои методы распространения, теперь он использует поддельные веб-сайты в Discord и расширяет возможности, такие как захват экрана, кража данных и манипулирование устройствами. Он использует специальные сервисы Android для скрытых операций, включая поддельные оверлеи для кражи учетных данных, и использует удаленные команды для постоянного контроля над скомпрометированными устройствами.
-----

Сложная разновидность банковского трояна усовершенствовала тактику распространения и возможности. В настоящее время он распространяется через поддельные веб-сайты в каналах Discord, ранее он был нацелен на фишинговые сайты, имитирующие европейские банки. Троянец фокусируется на краже банковских учетных данных с использованием оверлеев и кейлоггинга. В последнем варианте реализованы расширенные возможности, включая захват экрана, кражу данных и команды манипулирования устройствами, всего собрано 34 образца. В нем используется сложный метод обфускации, усложняющий статический анализ из-за бессмысленных соглашений об именах. Троянец в значительной степени полагается на специальные сервисы Android и использует процесс установки, основанный на сеансах. Он скрывает вредоносную полезную нагрузку в каталоге ресурсов/raw приложения и маскируется под законное расширение, часто используя значок Google Play. После установки он убеждает пользователей включить специальные службы для обнаружения вредоносных действий. Новые функции включают в себя мошеннические наложения пользовательского интерфейса для получения PIN-кода, записи экрана и блокирования доступа к банковским приложениям и приложениям безопасности. Вредоносная программа использует библиотеки с открытым исходным кодом, такие как PatternLockView и PinLockView, для имитации поддельных экранов блокировки и регистрирует конфиденциальные входные данные, прежде чем отправлять их на сервер управления (C2). Он использует API-интерфейсы Android MediaProjection и VirtualDisplay для захвата экрана в режиме реального времени, получая разрешения с помощью замаскированных действий для создания виртуального дисплея. Вредоносная программа отслеживает приложения переднего плана, накладывая вводящие в заблуждение сообщения и нарушая доступ пользователей. Функциональность кейлоггера позволяет ему отслеживать и регистрировать нажатия клавиш и изменения в приложениях, сохраняя постоянные журналы. Он использует поддельные наложения на законные приложения для сбора конфиденциальной информации и перенаправляет перехваченные учетные данные на свой сервер C2. C2 вредоносной программы обеспечивает всесторонний контроль за кражей данных и постоянным доступом.