#ParsedReport #CompletenessMedium
31-07-2025
From Phishing Sites to SilverFox: A Practical Infrastructure Expansion Analysis
https://medium.com/@knownsec404team/from-phishing-sites-to-silverfox-a-practical-infrastructure-expansion-analysis-0970a3fd3a50?source=rss-f1efd6b74751------2
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Watering_hole_technique
Todesk_tool
Anydesk_tool
Geo:
China
ChatGPT TTPs:
T1027, T1036.005, T1102, T1189, T1204.002, T1553.002, T1566.002, T1568.002
IOCs:
Domain: 1285
IP: 604
Url: 2
File: 7
Soft:
ZoomEye, Zoom, Feishu, Chrome
Algorithms:
zip
Languages:
javascript
31-07-2025
From Phishing Sites to SilverFox: A Practical Infrastructure Expansion Analysis
https://medium.com/@knownsec404team/from-phishing-sites-to-silverfox-a-practical-infrastructure-expansion-analysis-0970a3fd3a50?source=rss-f1efd6b74751------2
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Watering_hole_technique
Todesk_tool
Anydesk_tool
Geo:
China
ChatGPT TTPs:
do not use without manual checkT1027, T1036.005, T1102, T1189, T1204.002, T1553.002, T1566.002, T1568.002
IOCs:
Domain: 1285
IP: 604
Url: 2
File: 7
Soft:
ZoomEye, Zoom, Feishu, Chrome
Algorithms:
zip
Languages:
javascript
Medium
From Phishing Sites to SilverFox: A Practical Infrastructure Expansion Analysis
Author: Knownsec 404 team
CTT Report Hub
#ParsedReport #CompletenessMedium 31-07-2025 From Phishing Sites to SilverFox: A Practical Infrastructure Expansion Analysis https://medium.com/@knownsec404team/from-phishing-sites-to-silverfox-a-practical-infrastructure-expansion-analysis-0970a3fd3a50?source=rss…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянская программа SilverFox, RAT, действующая в Китае, использует маскировку под легальное программное обеспечение для проведения атак с использованием оптимизированных фишинговых ссылок. Анализ вредоносной инфраструктуры выявил более 2600 доменов, связанных с этой кампанией, что позволило выявить структурированный шаблонный подход и возможности автоматического развертывания злоумышленников.
-----
В последнее время возросла активность распространенного в Китае троянца SilverFox, предназначенного для удаленного доступа (RAT), о чем подробно говорится в отчете Центра анализа угроз безопасности Tencent. Злоумышленники используют стратегию, которая маскирует троянца под законные пакеты для установки офисного программного обеспечения, что облегчает проведение атак с использованием подпольных источников. Ориентируясь на пользователей, которые ищут подлинное программное обеспечение, злоумышленники размещают вредоносные ссылки для скачивания, оптимизированные с помощью методов поисковой системы для получения высоких позиций в результатах поиска. Эти ссылки ведут пользователей на фишинговые веб-сайты, такие как идентифицированный URL fndykokouviqndzc.cn, где они могут случайно загрузить троянскую программу.
В отчете рассказывается о том, как платформа ZoomEye использовалась для анализа вредоносной инфраструктуры, связанной с этим фишинговым веб-сайтом. Уникальные идентификационные характеристики, включая IP—адреса, названия веб—сайтов, файлы JavaScript и отпечатки пальцев SSL-сертификата, были использованы для выявления и расширения кластера вредоносных ресурсов. Первоначальные запросы выявили как фишинговые сайты, так и некоторые законные домены. Однако некоторые особенности постоянно приводили к обнаружению дополнительных фишинговых веб-сайтов, демонстрируя общий шаблон, используемый злоумышленниками для заманивания жертв с помощью различных брендов программного обеспечения, включая такие известные бренды, как Feishu, ToDesk и Sunflower.
Дальнейшее расследование фишинговых сайтов выявило шаблонный подход: злоумышленники перепрофилировали общий шаблон, изначально предназначенный для распространения Chrome, используя схожие стратегии оформления при настройке названий программного обеспечения. Несмотря на изменения в целевом программном обеспечении, описания остались прежними, что указывает на отсутствие тщательных обновлений со стороны злоумышленников.
Используя отличительные признаки, полученные на первоначальном фишинговом сайте, в ходе анализа было выявлено более 2600 вредоносных доменов, что указывает на значительный оперативный потенциал злоумышленников. Отличительной чертой их стратегии является массовая регистрация доменов с использованием случайно сгенерированных имен, которые соответствуют ограниченному числу IP-адресов, что приводит к формированию фишинговых кластеров. Например, было обнаружено, что на одном IP-адресе 156.251.25.112 размещено 292 различных фишинговых домена.
Полученные данные свидетельствуют о том, что злоумышленники получили возможности автоматизированного развертывания и интеграции ресурсов. Рекомендации для поставщиков средств безопасности включают обновление правил обнаружения, чтобы охватить идентифицированные домены и IP-адреса, тем самым усиливая защиту от продолжающихся фишинговых кампаний, связанных с трояном SilverFox.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянская программа SilverFox, RAT, действующая в Китае, использует маскировку под легальное программное обеспечение для проведения атак с использованием оптимизированных фишинговых ссылок. Анализ вредоносной инфраструктуры выявил более 2600 доменов, связанных с этой кампанией, что позволило выявить структурированный шаблонный подход и возможности автоматического развертывания злоумышленников.
-----
В последнее время возросла активность распространенного в Китае троянца SilverFox, предназначенного для удаленного доступа (RAT), о чем подробно говорится в отчете Центра анализа угроз безопасности Tencent. Злоумышленники используют стратегию, которая маскирует троянца под законные пакеты для установки офисного программного обеспечения, что облегчает проведение атак с использованием подпольных источников. Ориентируясь на пользователей, которые ищут подлинное программное обеспечение, злоумышленники размещают вредоносные ссылки для скачивания, оптимизированные с помощью методов поисковой системы для получения высоких позиций в результатах поиска. Эти ссылки ведут пользователей на фишинговые веб-сайты, такие как идентифицированный URL fndykokouviqndzc.cn, где они могут случайно загрузить троянскую программу.
В отчете рассказывается о том, как платформа ZoomEye использовалась для анализа вредоносной инфраструктуры, связанной с этим фишинговым веб-сайтом. Уникальные идентификационные характеристики, включая IP—адреса, названия веб—сайтов, файлы JavaScript и отпечатки пальцев SSL-сертификата, были использованы для выявления и расширения кластера вредоносных ресурсов. Первоначальные запросы выявили как фишинговые сайты, так и некоторые законные домены. Однако некоторые особенности постоянно приводили к обнаружению дополнительных фишинговых веб-сайтов, демонстрируя общий шаблон, используемый злоумышленниками для заманивания жертв с помощью различных брендов программного обеспечения, включая такие известные бренды, как Feishu, ToDesk и Sunflower.
Дальнейшее расследование фишинговых сайтов выявило шаблонный подход: злоумышленники перепрофилировали общий шаблон, изначально предназначенный для распространения Chrome, используя схожие стратегии оформления при настройке названий программного обеспечения. Несмотря на изменения в целевом программном обеспечении, описания остались прежними, что указывает на отсутствие тщательных обновлений со стороны злоумышленников.
Используя отличительные признаки, полученные на первоначальном фишинговом сайте, в ходе анализа было выявлено более 2600 вредоносных доменов, что указывает на значительный оперативный потенциал злоумышленников. Отличительной чертой их стратегии является массовая регистрация доменов с использованием случайно сгенерированных имен, которые соответствуют ограниченному числу IP-адресов, что приводит к формированию фишинговых кластеров. Например, было обнаружено, что на одном IP-адресе 156.251.25.112 размещено 292 различных фишинговых домена.
Полученные данные свидетельствуют о том, что злоумышленники получили возможности автоматизированного развертывания и интеграции ресурсов. Рекомендации для поставщиков средств безопасности включают обновление правил обнаружения, чтобы охватить идентифицированные домены и IP-адреса, тем самым усиливая защиту от продолжающихся фишинговых кампаний, связанных с трояном SilverFox.
#ParsedReport #CompletenessMedium
31-07-2025
APT28s New Arsenal: LAMEHUG, the First AI-Powered Malware
https://www.logpoint.com/en/blog/apt28s-new-arsenal-lamehug-the-first-ai-powered-malware/
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: information_theft)
Threats:
Lamehug_tool
Victims:
Ukrainian organizations, Ukraine security and defense sector, Critical organizations
Industry:
Government
Geo:
Ukraine, Russia, Russian, Ukrainian
ChatGPT TTPs:
T1005, T1016, T1041, T1047, T1059.003, T1059.006, T1071.001, T1074.001, T1082, T1119, have more...
IOCs:
File: 3
IP: 2
Domain: 1
Soft:
PyInstaller, Hugging Face
Algorithms:
zip
Languages:
python
31-07-2025
APT28s New Arsenal: LAMEHUG, the First AI-Powered Malware
https://www.logpoint.com/en/blog/apt28s-new-arsenal-lamehug-the-first-ai-powered-malware/
Report completeness: Medium
Actors/Campaigns:
Fancy_bear (motivation: information_theft)
Threats:
Lamehug_tool
Victims:
Ukrainian organizations, Ukraine security and defense sector, Critical organizations
Industry:
Government
Geo:
Ukraine, Russia, Russian, Ukrainian
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1041, T1047, T1059.003, T1059.006, T1071.001, T1074.001, T1082, T1119, have more...
IOCs:
File: 3
IP: 2
Domain: 1
Soft:
PyInstaller, Hugging Face
Algorithms:
zip
Languages:
python
Logpoint
APT28’s New Arsenal: LAMEHUG, the First AI-Powered Malware
Over the past few years, we’ve all been aware of the devastating war that has unfolded between Russia and Ukraine, which has sadly led to tremendous loss a
CTT Report Hub
#ParsedReport #CompletenessMedium 31-07-2025 APT28s New Arsenal: LAMEHUG, the First AI-Powered Malware https://www.logpoint.com/en/blog/apt28s-new-arsenal-lamehug-the-first-ai-powered-malware/ Report completeness: Medium Actors/Campaigns: Fancy_bear (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT28 (UAC-0001) нацелен на Украину с помощью вредоносной программы LameHug, использующей большую языковую модель для выполнения команд на естественном языке. Вредоносная программа автоматизирует разведку и эксфильтрацию данных, используя SFTP или HTTP POST для передачи файлов на серверы, контролируемые злоумышленниками, что подчеркивает важность раннего обнаружения и структурированных стратегий защиты.
-----
Конфликт между Россией и Украиной проявляется не только на полях сражений, но и во все более изощренной кибервойне, когда российские хакеры настойчиво атакуют украинские компании. Одна известная группа, APT28 (также известная как UAC-0001 или Forest Blizzard), внедрила новую вредоносную программу под названием LameHug. Согласно отчету CERT-UA, APT28 недавно инициировала целенаправленную атаку на сектора безопасности и обороны Украины. Эта атака началась с фишингового электронного письма со взломанного правительственного аккаунта, содержащего ZIP-архив, содержащий вредоносный исполняемый файл, замаскированный под расширение .pif, разработанный с использованием PyInstaller из Python code.
Вредоносная программа LameHug особенно интересна, поскольку, как утверждается, представляет собой первый пример использования хакерами большой языковой модели (LLM) для расширения своих возможностей. Он использует модель Qwen 2.5-Coder-32B-Instruct через API Hugging Face, что позволяет ему преобразовывать текстовые инструкции на естественном языке в исполняемые системные команды на взломанном компьютере. На практике LameHug автоматизирует сложные задачи, проводя системную разведку путем выполнения команд для сбора информации об оборудовании, процессах, сервисах, сетевых подключениях и даже способствуя краже данных. Собранная информация хранится в файле с надписью info.txt в каталоге ProgramData, и вредоносная программа сканирует различные пользовательские каталоги (документы, рабочий стол, загрузки) в поисках файлов для последующей фильтрации, используя запросы SFTP или HTTP POST для передачи данных в инфраструктуру, контролируемую злоумышленником.
CERT-UA также выявил дополнительные варианты LameHug, в частности AI_generator_uncensored_Canvas_PRO_v0.9.exe и image.py, которые демонстрируют различные методы эксфильтрации. С точки зрения стратегий защиты, раннее обнаружение имеет первостепенное значение для смягчения последствий таких атак. Аналитики могут использовать источники журналов, такие как Windows Sysmon, для отслеживания подозрительных разведывательных действий, в частности, с файлами, созданными LameHug. Можно выполнять запросы для обнаружения использования встроенных утилит Windows для разведки и выявления исходящих подключений к известным конечным точкам службы LLM. Индикаторы компрометации (IOCS), используемые CERT-UA, могут дополнительно помочь в обнаружении присутствия LameHug, включая конкретные хэши вредоносных файлов и необычные строки пользовательского агента.
Поскольку ландшафт угроз продолжает изменяться, операции по обеспечению безопасности требуют гибкого подхода, учитывающего контекст, автоматизацию и точность. Для противодействия фишинговым кампаниям APT28, нацеленным на ключевые организации в Украине, жизненно важны структурированные схемы расследования и реагирования. К ним относятся подробные методы криминалистической проверки для тщательного изучения и устранения вредоносных электронных писем, а также использование Osquery для отслеживания скомпрометированных систем в режиме реального времени. Дополнительные инструкции помогают отслеживать и удалять вредоносные файлы, обнаруживать коммуникации с серверами управления и изолировать скомпрометированные хосты, чтобы предотвратить несанкционированные перемещения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT28 (UAC-0001) нацелен на Украину с помощью вредоносной программы LameHug, использующей большую языковую модель для выполнения команд на естественном языке. Вредоносная программа автоматизирует разведку и эксфильтрацию данных, используя SFTP или HTTP POST для передачи файлов на серверы, контролируемые злоумышленниками, что подчеркивает важность раннего обнаружения и структурированных стратегий защиты.
-----
Конфликт между Россией и Украиной проявляется не только на полях сражений, но и во все более изощренной кибервойне, когда российские хакеры настойчиво атакуют украинские компании. Одна известная группа, APT28 (также известная как UAC-0001 или Forest Blizzard), внедрила новую вредоносную программу под названием LameHug. Согласно отчету CERT-UA, APT28 недавно инициировала целенаправленную атаку на сектора безопасности и обороны Украины. Эта атака началась с фишингового электронного письма со взломанного правительственного аккаунта, содержащего ZIP-архив, содержащий вредоносный исполняемый файл, замаскированный под расширение .pif, разработанный с использованием PyInstaller из Python code.
Вредоносная программа LameHug особенно интересна, поскольку, как утверждается, представляет собой первый пример использования хакерами большой языковой модели (LLM) для расширения своих возможностей. Он использует модель Qwen 2.5-Coder-32B-Instruct через API Hugging Face, что позволяет ему преобразовывать текстовые инструкции на естественном языке в исполняемые системные команды на взломанном компьютере. На практике LameHug автоматизирует сложные задачи, проводя системную разведку путем выполнения команд для сбора информации об оборудовании, процессах, сервисах, сетевых подключениях и даже способствуя краже данных. Собранная информация хранится в файле с надписью info.txt в каталоге ProgramData, и вредоносная программа сканирует различные пользовательские каталоги (документы, рабочий стол, загрузки) в поисках файлов для последующей фильтрации, используя запросы SFTP или HTTP POST для передачи данных в инфраструктуру, контролируемую злоумышленником.
CERT-UA также выявил дополнительные варианты LameHug, в частности AI_generator_uncensored_Canvas_PRO_v0.9.exe и image.py, которые демонстрируют различные методы эксфильтрации. С точки зрения стратегий защиты, раннее обнаружение имеет первостепенное значение для смягчения последствий таких атак. Аналитики могут использовать источники журналов, такие как Windows Sysmon, для отслеживания подозрительных разведывательных действий, в частности, с файлами, созданными LameHug. Можно выполнять запросы для обнаружения использования встроенных утилит Windows для разведки и выявления исходящих подключений к известным конечным точкам службы LLM. Индикаторы компрометации (IOCS), используемые CERT-UA, могут дополнительно помочь в обнаружении присутствия LameHug, включая конкретные хэши вредоносных файлов и необычные строки пользовательского агента.
Поскольку ландшафт угроз продолжает изменяться, операции по обеспечению безопасности требуют гибкого подхода, учитывающего контекст, автоматизацию и точность. Для противодействия фишинговым кампаниям APT28, нацеленным на ключевые организации в Украине, жизненно важны структурированные схемы расследования и реагирования. К ним относятся подробные методы криминалистической проверки для тщательного изучения и устранения вредоносных электронных писем, а также использование Osquery для отслеживания скомпрометированных систем в режиме реального времени. Дополнительные инструкции помогают отслеживать и удалять вредоносные файлы, обнаруживать коммуникации с серверами управления и изолировать скомпрометированные хосты, чтобы предотвратить несанкционированные перемещения.
#ParsedReport #CompletenessLow
30-07-2025
Behind Random Words: DoubleTrouble Mobile Banking Trojan Revealed
https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed
Report completeness: Low
Threats:
Doubletrouble
Jsonpacker_tool
Industry:
Financial
TTPs:
Tactics: 8
Technics: 13
IOCs:
File: 4
Soft:
Discord, Android, Google Play
Algorithms:
base64
Links:
have more...
30-07-2025
Behind Random Words: DoubleTrouble Mobile Banking Trojan Revealed
https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed
Report completeness: Low
Threats:
Doubletrouble
Jsonpacker_tool
Industry:
Financial
TTPs:
Tactics: 8
Technics: 13
IOCs:
File: 4
Soft:
Discord, Android, Google Play
Algorithms:
base64
Links:
have more...
https://github.com/aritraroy/PatternLockViewhttps://github.com/Zimperium/IOC/tree/master/2025-07-DoubleTroublehttps://github.com/aritraroy/PinLockViewZimperium
Behind Random Words: DoubleTrouble Mobile Banking Trojan Revealed
true
CTT Report Hub
#ParsedReport #CompletenessLow 30-07-2025 Behind Random Words: DoubleTrouble Mobile Banking Trojan Revealed https://zimperium.com/blog/behind-random-words-doubletrouble-mobile-banking-trojan-revealed Report completeness: Low Threats: Doubletrouble Jsonpacker_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложный банковский троянец совершенствует свои методы распространения, теперь он использует поддельные веб-сайты в Discord и расширяет возможности, такие как захват экрана, кража данных и манипулирование устройствами. Он использует специальные сервисы Android для скрытых операций, включая поддельные оверлеи для кражи учетных данных, и использует удаленные команды для постоянного контроля над скомпрометированными устройствами.
-----
Сложная разновидность банковского трояна усовершенствовала тактику распространения и возможности. В настоящее время он распространяется через поддельные веб-сайты в каналах Discord, ранее он был нацелен на фишинговые сайты, имитирующие европейские банки. Троянец фокусируется на краже банковских учетных данных с использованием оверлеев и кейлоггинга. В последнем варианте реализованы расширенные возможности, включая захват экрана, кражу данных и команды манипулирования устройствами, всего собрано 34 образца. В нем используется сложный метод обфускации, усложняющий статический анализ из-за бессмысленных соглашений об именах. Троянец в значительной степени полагается на специальные сервисы Android и использует процесс установки, основанный на сеансах. Он скрывает вредоносную полезную нагрузку в каталоге ресурсов/raw приложения и маскируется под законное расширение, часто используя значок Google Play. После установки он убеждает пользователей включить специальные службы для обнаружения вредоносных действий. Новые функции включают в себя мошеннические наложения пользовательского интерфейса для получения PIN-кода, записи экрана и блокирования доступа к банковским приложениям и приложениям безопасности. Вредоносная программа использует библиотеки с открытым исходным кодом, такие как PatternLockView и PinLockView, для имитации поддельных экранов блокировки и регистрирует конфиденциальные входные данные, прежде чем отправлять их на сервер управления (C2). Он использует API-интерфейсы Android MediaProjection и VirtualDisplay для захвата экрана в режиме реального времени, получая разрешения с помощью замаскированных действий для создания виртуального дисплея. Вредоносная программа отслеживает приложения переднего плана, накладывая вводящие в заблуждение сообщения и нарушая доступ пользователей. Функциональность кейлоггера позволяет ему отслеживать и регистрировать нажатия клавиш и изменения в приложениях, сохраняя постоянные журналы. Он использует поддельные наложения на законные приложения для сбора конфиденциальной информации и перенаправляет перехваченные учетные данные на свой сервер C2. C2 вредоносной программы обеспечивает всесторонний контроль за кражей данных и постоянным доступом.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Сложный банковский троянец совершенствует свои методы распространения, теперь он использует поддельные веб-сайты в Discord и расширяет возможности, такие как захват экрана, кража данных и манипулирование устройствами. Он использует специальные сервисы Android для скрытых операций, включая поддельные оверлеи для кражи учетных данных, и использует удаленные команды для постоянного контроля над скомпрометированными устройствами.
-----
Сложная разновидность банковского трояна усовершенствовала тактику распространения и возможности. В настоящее время он распространяется через поддельные веб-сайты в каналах Discord, ранее он был нацелен на фишинговые сайты, имитирующие европейские банки. Троянец фокусируется на краже банковских учетных данных с использованием оверлеев и кейлоггинга. В последнем варианте реализованы расширенные возможности, включая захват экрана, кражу данных и команды манипулирования устройствами, всего собрано 34 образца. В нем используется сложный метод обфускации, усложняющий статический анализ из-за бессмысленных соглашений об именах. Троянец в значительной степени полагается на специальные сервисы Android и использует процесс установки, основанный на сеансах. Он скрывает вредоносную полезную нагрузку в каталоге ресурсов/raw приложения и маскируется под законное расширение, часто используя значок Google Play. После установки он убеждает пользователей включить специальные службы для обнаружения вредоносных действий. Новые функции включают в себя мошеннические наложения пользовательского интерфейса для получения PIN-кода, записи экрана и блокирования доступа к банковским приложениям и приложениям безопасности. Вредоносная программа использует библиотеки с открытым исходным кодом, такие как PatternLockView и PinLockView, для имитации поддельных экранов блокировки и регистрирует конфиденциальные входные данные, прежде чем отправлять их на сервер управления (C2). Он использует API-интерфейсы Android MediaProjection и VirtualDisplay для захвата экрана в режиме реального времени, получая разрешения с помощью замаскированных действий для создания виртуального дисплея. Вредоносная программа отслеживает приложения переднего плана, накладывая вводящие в заблуждение сообщения и нарушая доступ пользователей. Функциональность кейлоггера позволяет ему отслеживать и регистрировать нажатия клавиш и изменения в приложениях, сохраняя постоянные журналы. Он использует поддельные наложения на законные приложения для сбора конфиденциальной информации и перенаправляет перехваченные учетные данные на свой сервер C2. C2 вредоносной программы обеспечивает всесторонний контроль за кражей данных и постоянным доступом.
#ParsedReport #CompletenessMedium
31-07-2025
1. What is a silver fox and a horse
https://paper.seebug.org/3347/
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Todesk_tool
Anydesk_tool
Victims:
Ordinary users
Geo:
China
ChatGPT TTPs:
T1036, T1036.005, T1055.001, T1140, T1189, T1219, T1566.001, T1566.002
IOCs:
Domain: 1
IP: 2
Url: 2
File: 2
Soft:
ZoomEye, Feishu, Chrome
Algorithms:
zip
Win API:
decompress
31-07-2025
1. What is a silver fox and a horse
https://paper.seebug.org/3347/
Report completeness: Medium
Actors/Campaigns:
Silver_fox
Threats:
Todesk_tool
Anydesk_tool
Victims:
Ordinary users
Geo:
China
ChatGPT TTPs:
do not use without manual checkT1036, T1036.005, T1055.001, T1140, T1189, T1219, T1566.001, T1566.002
IOCs:
Domain: 1
IP: 2
Url: 2
File: 2
Soft:
ZoomEye, Feishu, Chrome
Algorithms:
zip
Win API:
decompress
CTT Report Hub
#ParsedReport #CompletenessMedium 31-07-2025 1. What is a silver fox and a horse https://paper.seebug.org/3347/ Report completeness: Medium Actors/Campaigns: Silver_fox Threats: Todesk_tool Anydesk_tool Victims: Ordinary users Geo: China ChatGPT TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянец Silver Fox использует атаки waterhole в Китае, маскируясь под легальное программное обеспечение, чтобы заманить пользователей на загрузку вредоносного ПО через манипулируемые результаты поисковой системы. Злоумышленники используют фишинговые веб-сайты с упорядоченными шаблонами и быстрым развертыванием SSL-сертификатов для сокрытия вредоносных ссылок и повышения эффективности. В каталоге более 2639 сайтов.
-----
Активность троянской программы Silver Fox значительно возросла, что особенно отмечено в недавнем отчете Центра анализа угроз безопасности Tencent. Эта троянская программа в основном используется в Китае и использует стратегию атаки по принципу "водопоя", маскируясь под законные пакеты для установки программного обеспечения Office, чтобы заманить пользователей в ловушку загрузки. Используя методы SEO, злоумышленники успешно внедряют вредоносные ссылки в результаты поиска, связанные с загрузкой популярного программного обеспечения, побуждая пользователей переходить по поддельным официальным интерфейсам, на которых якобы размещено подлинное программное обеспечение.
В отчете рассказывается о фишинговом веб-сайте, который выступает в качестве координационного центра для анализа проникновения с использованием платформы ZoomEye. Этот сайт обладает уникальными функциями, такими как специфические файлы JavaScript, значения SSL-сертификатов и шаблоны IP-адресов, которые служат индикаторами для выявления и расширения масштабов вредоносной инфраструктуры злоумышленника. Методология атаки заключается в манипулировании результатами поиска востребованного программного обеспечения с целью предоставления поддельных ссылок на скачивание, которые часто настраиваются таким образом, чтобы побудить пользователей установить вредоносное ПО после загрузки.
Анализ, проведенный на основе запросов ZoomEye, выявил многочисленные фишинговые веб-сайты, связанные с конкретными названиями программного обеспечения. Например, стратегия заключалась в присвоении имен популярным приложениям, таким как Feishu, ToDesk и браузер Chrome, для усиления обмана. Примечательно, что многие фишинговые сайты имеют схожие характеристики и шаблоны, о чем свидетельствуют близкие временные метки конкретных файлов изображений, используемых при их создании, что подтверждает систематический подход злоумышленников к настройке вредоносных веб-сайтов.
Злоумышленник использует высокоорганизованную тактику с использованием единого шаблона для нескольких фишинговых сайтов, что обеспечивает максимальную эффективность и минимизацию затрат. Кроме того, они объединяют множество доменных имен вокруг одного IP-адреса, что еще больше усложняет усилия по обнаружению. В исследовании отмечается, что более 90% используемых SSL-сертификатов были от “Let's Encrypt”, что способствует быстрому внедрению новых фишинговых схем, а также упрощает процесс обновления из-за их короткого срока действия.
Загружаемые файлы с этих сайтов обычно упаковываются в виде ZIP-файлов, содержащих исполняемые программы, замаскированные под установочные приложения, чтобы обойти меры безопасности, ограничивающие прямое выполнение исполняемых файлов. Эта тактика направлена на то, чтобы побудить пользователей распаковывать и запускать вредоносные файлы вручную, тем самым повышая вероятность успеха этих фишинговых кампаний.
Кроме того, в ходе анализа были каталогизированы 2639 фишинговых веб-сайтов, демонстрирующих обширную инфраструктуру, лежащую в основе троянской программы Silver Fox. В отчете рекомендуется интегрировать идентифицированные доменные имена и IP-адреса в системы обнаружения безопасности для усиления защиты от этих развивающихся фишинговых угроз. В целом, полученные результаты свидетельствуют о сложном уровне интеграции ресурсов и возможностей автоматизации в рамках операций хакеров, что подчеркивает необходимость принятия упреждающих и совместных мер кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Троянец Silver Fox использует атаки waterhole в Китае, маскируясь под легальное программное обеспечение, чтобы заманить пользователей на загрузку вредоносного ПО через манипулируемые результаты поисковой системы. Злоумышленники используют фишинговые веб-сайты с упорядоченными шаблонами и быстрым развертыванием SSL-сертификатов для сокрытия вредоносных ссылок и повышения эффективности. В каталоге более 2639 сайтов.
-----
Активность троянской программы Silver Fox значительно возросла, что особенно отмечено в недавнем отчете Центра анализа угроз безопасности Tencent. Эта троянская программа в основном используется в Китае и использует стратегию атаки по принципу "водопоя", маскируясь под законные пакеты для установки программного обеспечения Office, чтобы заманить пользователей в ловушку загрузки. Используя методы SEO, злоумышленники успешно внедряют вредоносные ссылки в результаты поиска, связанные с загрузкой популярного программного обеспечения, побуждая пользователей переходить по поддельным официальным интерфейсам, на которых якобы размещено подлинное программное обеспечение.
В отчете рассказывается о фишинговом веб-сайте, который выступает в качестве координационного центра для анализа проникновения с использованием платформы ZoomEye. Этот сайт обладает уникальными функциями, такими как специфические файлы JavaScript, значения SSL-сертификатов и шаблоны IP-адресов, которые служат индикаторами для выявления и расширения масштабов вредоносной инфраструктуры злоумышленника. Методология атаки заключается в манипулировании результатами поиска востребованного программного обеспечения с целью предоставления поддельных ссылок на скачивание, которые часто настраиваются таким образом, чтобы побудить пользователей установить вредоносное ПО после загрузки.
Анализ, проведенный на основе запросов ZoomEye, выявил многочисленные фишинговые веб-сайты, связанные с конкретными названиями программного обеспечения. Например, стратегия заключалась в присвоении имен популярным приложениям, таким как Feishu, ToDesk и браузер Chrome, для усиления обмана. Примечательно, что многие фишинговые сайты имеют схожие характеристики и шаблоны, о чем свидетельствуют близкие временные метки конкретных файлов изображений, используемых при их создании, что подтверждает систематический подход злоумышленников к настройке вредоносных веб-сайтов.
Злоумышленник использует высокоорганизованную тактику с использованием единого шаблона для нескольких фишинговых сайтов, что обеспечивает максимальную эффективность и минимизацию затрат. Кроме того, они объединяют множество доменных имен вокруг одного IP-адреса, что еще больше усложняет усилия по обнаружению. В исследовании отмечается, что более 90% используемых SSL-сертификатов были от “Let's Encrypt”, что способствует быстрому внедрению новых фишинговых схем, а также упрощает процесс обновления из-за их короткого срока действия.
Загружаемые файлы с этих сайтов обычно упаковываются в виде ZIP-файлов, содержащих исполняемые программы, замаскированные под установочные приложения, чтобы обойти меры безопасности, ограничивающие прямое выполнение исполняемых файлов. Эта тактика направлена на то, чтобы побудить пользователей распаковывать и запускать вредоносные файлы вручную, тем самым повышая вероятность успеха этих фишинговых кампаний.
Кроме того, в ходе анализа были каталогизированы 2639 фишинговых веб-сайтов, демонстрирующих обширную инфраструктуру, лежащую в основе троянской программы Silver Fox. В отчете рекомендуется интегрировать идентифицированные доменные имена и IP-адреса в системы обнаружения безопасности для усиления защиты от этих развивающихся фишинговых угроз. В целом, полученные результаты свидетельствуют о сложном уровне интеграции ресурсов и возможностей автоматизации в рамках операций хакеров, что подчеркивает необходимость принятия упреждающих и совместных мер кибербезопасности.
#ParsedReport #CompletenessMedium
31-07-2025
Scattered Spider
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a
Report completeness: Medium
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)
Threats:
Dragonforce_ransomware
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Screenconnect_tool
Splashtop_tool
Tailscale_tool
Teamviewer_tool
Anydesk_tool
Avemaria_rat
Raccoon_stealer
Vidar_stealer
Rattyrat
Lolbin_technique
Smishing_technique
Spear-phishing_technique
Byovd_technique
Industry:
E-commerce, Critical_infrastructure, Telco, Bp_outsourcing
Geo:
Canadian, United kingdom, Australian, Russia
TTPs:
Tactics: 14
Technics: 43
IOCs:
File: 1
Domain: 5
Soft:
Pulseway, Active Directory, ESXi, Slack, Microsoft Teams, Microsoft Exchange, remote desktop services, Windows Security
Crypto:
bitcoin
Languages:
java
Links:
31-07-2025
Scattered Spider
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a
Report completeness: Medium
Actors/Campaigns:
0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)
Threats:
Dragonforce_ransomware
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Screenconnect_tool
Splashtop_tool
Tailscale_tool
Teamviewer_tool
Anydesk_tool
Avemaria_rat
Raccoon_stealer
Vidar_stealer
Rattyrat
Lolbin_technique
Smishing_technique
Spear-phishing_technique
Byovd_technique
Industry:
E-commerce, Critical_infrastructure, Telco, Bp_outsourcing
Geo:
Canadian, United kingdom, Australian, Russia
TTPs:
Tactics: 14
Technics: 43
IOCs:
File: 1
Domain: 5
Soft:
Pulseway, Active Directory, ESXi, Slack, Microsoft Teams, Microsoft Exchange, remote desktop services, Windows Security
Crypto:
bitcoin
Languages:
java
Links:
https://github.com/cisagov/Decider/
CTT Report Hub
#ParsedReport #CompletenessMedium 31-07-2025 Scattered Spider https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a Report completeness: Medium Actors/Campaigns: 0ktapus (motivation: cyber_criminal, financially_motivated, information_theft)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider (UNC3944, Oktapus) нацелен на коммерческую и критически важную инфраструктуру, используя передовые технологии социальной инженерии, вымогательства и программы-вымогатели, такие как DragonForce. Они используют усталость от MFA, тактику фишинга и обмена SIM-картами, а также такие инструменты, как Mimikatz, для повышения устойчивости. Извлечение данных осуществляется с помощью инструментов ETL и облачных сервисов, что усложняет процесс восстановления для жертв.
-----
Совместное заключение ФБР, CISA и нескольких международных правоохранительных органов указывает на продолжающуюся вредоносную деятельность хакерской группы Spider, в первую очередь направленную против коммерческих объектов и критически важных секторов инфраструктуры. Компания Scattered Spider, также известная под различными псевдонимами, включая UNC3944 и Oktapus, известна тем, что использует передовые методы социальной инженерии, вымогательства, кражи данных и внедрения программ-вымогателей. Примечательно, что они были связаны с недавним использованием программы-вымогателя DragonForce, что указывает на эволюцию их стратегий атаки.
Эти хакеры используют комбинацию тактик, методов и процедур (TTP), которые включают в себя сложные методы социальной инженерии, такие как "push-бомбардировка" и атаки на замену SIM-карт, направленные на получение учетных данных для получения несанкционированного доступа. Сообщается, что они используют "усталость от MFA", убеждая пользователей подтверждать множественные запросы на аутентификацию, что позволяет им обходить процессы многофакторной аутентификации. В рекомендациях подчеркивается, что Scattered Spider также участвует в фишинговых кампаниях и незаконном получении учетных данных сотрудников с даркнет-площадок. Их первоначальные попытки проникновения часто связаны с подводной охотой, целью которой является получение ИТ-персоналом конфиденциальной информации, такой как токены MFA.
Оказавшись внутри сети, Scattered Spider использует законные средства удаленного доступа для навигации и поддержания постоянства в среде. Среди инструментов, которые используются в их работе, - Fleetdeck.io, Mimikatz и любое законное приложение, облегчающее удаленное управление. Их методы работы включают использование вредоносных программ для сбора данных, таких как Raccoon Stealer и VIDAR Stealer, которые используются для утечки конфиденциальной информации, такой как учетные данные для входа в систему, данные браузера и другая личная идентифицируемая информация.
Более того, Scattered Spider использует методы, позволяющие им избегать обнаружения, известные как "жизнь за пределами земли", используя программное обеспечение, уже имеющееся в среде жертвы. Группа демонстрирует высокую степень адаптивности, часто изменяя свои TTP и принимая меры для обхода средств безопасности. Они внимательно следят за целями своих атак, иногда даже участвуют в реагировании на инциденты, чтобы избежать обнаружения и изменить свою тактику в режиме реального времени.
Утечка данных является ключевым компонентом их стратегии и часто осуществляется с помощью приобретенного доступа к облачным сервисам или установленных инструментов извлечения, преобразования и загрузки (ETL), при этом жертвы иногда сталкиваются с требованиями выкупа наряду с угрозами кражи данных. Известно, что Scattered Spider осуществляет эксфильтрацию данных в различные места, включая такие сервисы, как Snowflake Data Cloud, что усложняет восстановление данных для организаций.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Scattered Spider (UNC3944, Oktapus) нацелен на коммерческую и критически важную инфраструктуру, используя передовые технологии социальной инженерии, вымогательства и программы-вымогатели, такие как DragonForce. Они используют усталость от MFA, тактику фишинга и обмена SIM-картами, а также такие инструменты, как Mimikatz, для повышения устойчивости. Извлечение данных осуществляется с помощью инструментов ETL и облачных сервисов, что усложняет процесс восстановления для жертв.
-----
Совместное заключение ФБР, CISA и нескольких международных правоохранительных органов указывает на продолжающуюся вредоносную деятельность хакерской группы Spider, в первую очередь направленную против коммерческих объектов и критически важных секторов инфраструктуры. Компания Scattered Spider, также известная под различными псевдонимами, включая UNC3944 и Oktapus, известна тем, что использует передовые методы социальной инженерии, вымогательства, кражи данных и внедрения программ-вымогателей. Примечательно, что они были связаны с недавним использованием программы-вымогателя DragonForce, что указывает на эволюцию их стратегий атаки.
Эти хакеры используют комбинацию тактик, методов и процедур (TTP), которые включают в себя сложные методы социальной инженерии, такие как "push-бомбардировка" и атаки на замену SIM-карт, направленные на получение учетных данных для получения несанкционированного доступа. Сообщается, что они используют "усталость от MFA", убеждая пользователей подтверждать множественные запросы на аутентификацию, что позволяет им обходить процессы многофакторной аутентификации. В рекомендациях подчеркивается, что Scattered Spider также участвует в фишинговых кампаниях и незаконном получении учетных данных сотрудников с даркнет-площадок. Их первоначальные попытки проникновения часто связаны с подводной охотой, целью которой является получение ИТ-персоналом конфиденциальной информации, такой как токены MFA.
Оказавшись внутри сети, Scattered Spider использует законные средства удаленного доступа для навигации и поддержания постоянства в среде. Среди инструментов, которые используются в их работе, - Fleetdeck.io, Mimikatz и любое законное приложение, облегчающее удаленное управление. Их методы работы включают использование вредоносных программ для сбора данных, таких как Raccoon Stealer и VIDAR Stealer, которые используются для утечки конфиденциальной информации, такой как учетные данные для входа в систему, данные браузера и другая личная идентифицируемая информация.
Более того, Scattered Spider использует методы, позволяющие им избегать обнаружения, известные как "жизнь за пределами земли", используя программное обеспечение, уже имеющееся в среде жертвы. Группа демонстрирует высокую степень адаптивности, часто изменяя свои TTP и принимая меры для обхода средств безопасности. Они внимательно следят за целями своих атак, иногда даже участвуют в реагировании на инциденты, чтобы избежать обнаружения и изменить свою тактику в режиме реального времени.
Утечка данных является ключевым компонентом их стратегии и часто осуществляется с помощью приобретенного доступа к облачным сервисам или установленных инструментов извлечения, преобразования и загрузки (ETL), при этом жертвы иногда сталкиваются с требованиями выкупа наряду с угрозами кражи данных. Известно, что Scattered Spider осуществляет эксфильтрацию данных в различные места, включая такие сервисы, как Snowflake Data Cloud, что усложняет восстановление данных для организаций.
#ParsedReport #CompletenessMedium
31-07-2025
Lazarus Group Enhances Malware with New OtterCookie Payload Delivery Technique
https://gbhackers.com/lazarus-group-malware-with-ottercookie/
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: information_theft, cyber_criminal)
Contagious_interview
Silver_fox
Fancy_bear
Hafnium
Threats:
Ottercookie
Beavertail
Invisibleferret
Teamviewer_tool
Doubletrouble
Lamehug_tool
Industry:
Financial
Geo:
Chinese, Singapore, Russian, Spanish, North korean
ChatGPT TTPs:
T1027, T1059.007, T1071.001, T1204.002, T1497
IOCs:
Domain: 1
Url: 5
IP: 3
Soft:
Twitter, WhatsApp, curl
Functions:
eval, errorHandler
31-07-2025
Lazarus Group Enhances Malware with New OtterCookie Payload Delivery Technique
https://gbhackers.com/lazarus-group-malware-with-ottercookie/
Report completeness: Medium
Actors/Campaigns:
Lazarus (motivation: information_theft, cyber_criminal)
Contagious_interview
Silver_fox
Fancy_bear
Hafnium
Threats:
Ottercookie
Beavertail
Invisibleferret
Teamviewer_tool
Doubletrouble
Lamehug_tool
Industry:
Financial
Geo:
Chinese, Singapore, Russian, Spanish, North korean
ChatGPT TTPs:
do not use without manual checkT1027, T1059.007, T1071.001, T1204.002, T1497
IOCs:
Domain: 1
Url: 5
IP: 3
Soft:
Twitter, WhatsApp, curl
Functions:
eval, errorHandler
GBHackers Security | #1 Globally Trusted Cyber Security News Platform
Lazarus Group Enhances Malware with New OtterCookie Payload Delivery Technique
We have observed an exponential evolution in the delivery mechanisms for the campaign's main payloads: BeaverTail, InvisibleFerret, and OtterCookie.
CTT Report Hub
#ParsedReport #CompletenessMedium 31-07-2025 Lazarus Group Enhances Malware with New OtterCookie Payload Delivery Technique https://gbhackers.com/lazarus-group-malware-with-ottercookie/ Report completeness: Medium Actors/Campaigns: Lazarus (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Lazarus Group "Заразительное интервью" усовершенствовала методы атак, используя запутанный вредоносный код и фрагментированные URL-адреса, чтобы скрыть инфраструктуру C2 на законных платформах. Они используют такие тактики, как возврат доброкачественных значков, когда отсутствуют определенные токены, и пользовательские функции обработки ошибок для улучшения стратегий уклонения, что усложняет усилия по обнаружению и установлению авторства.
-----
Кампания Contagious Interview, проводимая группой Lazarus, продемонстрировала значительную эволюцию в методах ее проведения, особенно в механизмах доставки основных продуктов: BeaverTail, InvisibleFerret и OtterCookie. Недавний анализ показал, что группа внедрила инновационные методики для маскировки своего вредоносного кода, что усложняет выявление их действий автоматизированными средствами обнаружения.
Одна из примечательных тактик, применяемых Lazarus Group, заключается в фрагментации URL-адресов в коде. Этот метод скрывает инфраструктуру управления и контроля (C2), используя законные хостинговые платформы, в частности Vercel.Приложение для доставки вредоносной полезной нагрузки, замаскированной под безобидный контент с иконками. Механизм включает в себя вызов константы "doing", которая инициирует операцию запроса к серверу C2. В процессе выполнения использование функции eval() становится решающим для извлечения вредоносного кода, и кампания разработана таким образом, чтобы эффективно обрабатывать запросы на возврат безопасных изображений при пропуске определенных токенов.
Во время тестирования в "песочнице" стало очевидно, что, хотя отсутствие "bearrtoken: логотип" действительно создает благоприятный фоновый значок, эта тактика также подчеркивает тенденцию группы перепрофилировать визуальные элементы из предыдущих проектов, что еще больше усложняет работу по атрибуции и обнаружению. Такое сочетание обмана с фрагментированной стратегией реагирования на ошибки демонстрирует глубокое понимание методов уклонения от использования современных вредоносных программ.
Кроме того, злоумышленники улучшили обработку ошибок, предварительно вернув 500 ошибок из сообщений API, вместо того чтобы напрямую полагаться на eval() для выполнения вредоносной полезной нагрузки. Вместо этого в процессе используются пользовательские функции обработки ошибок, которые служат еще одним уровнем запутывания. В совокупности эти стратегии отражают текущую адаптацию Lazarus Group для поддержания операционной безопасности и маскировки своей деятельности, что еще больше усложняет их хакерский ландшафт.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Lazarus Group "Заразительное интервью" усовершенствовала методы атак, используя запутанный вредоносный код и фрагментированные URL-адреса, чтобы скрыть инфраструктуру C2 на законных платформах. Они используют такие тактики, как возврат доброкачественных значков, когда отсутствуют определенные токены, и пользовательские функции обработки ошибок для улучшения стратегий уклонения, что усложняет усилия по обнаружению и установлению авторства.
-----
Кампания Contagious Interview, проводимая группой Lazarus, продемонстрировала значительную эволюцию в методах ее проведения, особенно в механизмах доставки основных продуктов: BeaverTail, InvisibleFerret и OtterCookie. Недавний анализ показал, что группа внедрила инновационные методики для маскировки своего вредоносного кода, что усложняет выявление их действий автоматизированными средствами обнаружения.
Одна из примечательных тактик, применяемых Lazarus Group, заключается в фрагментации URL-адресов в коде. Этот метод скрывает инфраструктуру управления и контроля (C2), используя законные хостинговые платформы, в частности Vercel.Приложение для доставки вредоносной полезной нагрузки, замаскированной под безобидный контент с иконками. Механизм включает в себя вызов константы "doing", которая инициирует операцию запроса к серверу C2. В процессе выполнения использование функции eval() становится решающим для извлечения вредоносного кода, и кампания разработана таким образом, чтобы эффективно обрабатывать запросы на возврат безопасных изображений при пропуске определенных токенов.
Во время тестирования в "песочнице" стало очевидно, что, хотя отсутствие "bearrtoken: логотип" действительно создает благоприятный фоновый значок, эта тактика также подчеркивает тенденцию группы перепрофилировать визуальные элементы из предыдущих проектов, что еще больше усложняет работу по атрибуции и обнаружению. Такое сочетание обмана с фрагментированной стратегией реагирования на ошибки демонстрирует глубокое понимание методов уклонения от использования современных вредоносных программ.
Кроме того, злоумышленники улучшили обработку ошибок, предварительно вернув 500 ошибок из сообщений API, вместо того чтобы напрямую полагаться на eval() для выполнения вредоносной полезной нагрузки. Вместо этого в процессе используются пользовательские функции обработки ошибок, которые служат еще одним уровнем запутывания. В совокупности эти стратегии отражают текущую адаптацию Lazarus Group для поддержания операционной безопасности и маскировки своей деятельности, что еще больше усложняет их хакерский ландшафт.
#ParsedReport #CompletenessHigh
31-07-2025
PAY2KEY: New player in the RAAS market with an eye on Russia
https://www.f6.ru/blog/pay2key/
Report completeness: High
Threats:
Pay2key
Uac_bypass_technique
Themida_tool
Lockbit
Babuk
Victims:
Russian companies, Russian users, Russian financial organizations
Industry:
Retail, Financial
Geo:
Chelyabinsk, Russian, Russia
ChatGPT TTPs:
T1005, T1027, T1047, T1055.001, T1059.001, T1068, T1105, T1112, T1140, T1218, have more...
IOCs:
Email: 1
Domain: 2
File: 22
Registry: 1
Hash: 33
Url: 2
Soft:
Dropbox, Gmail, Windows Defender
Algorithms:
curve25519, sha1, chacha20, ecdh
Languages:
powershell
31-07-2025
PAY2KEY: New player in the RAAS market with an eye on Russia
https://www.f6.ru/blog/pay2key/
Report completeness: High
Threats:
Pay2key
Uac_bypass_technique
Themida_tool
Lockbit
Babuk
Victims:
Russian companies, Russian users, Russian financial organizations
Industry:
Retail, Financial
Geo:
Chelyabinsk, Russian, Russia
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1047, T1055.001, T1059.001, T1068, T1105, T1112, T1140, T1218, have more...
IOCs:
Email: 1
Domain: 2
File: 22
Registry: 1
Hash: 33
Url: 2
Soft:
Dropbox, Gmail, Windows Defender
Algorithms:
curve25519, sha1, chacha20, ecdh
Languages:
powershell