#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider (UNC3944, Oktapus) нацелен на коммерческую и критически важную инфраструктуру, используя передовые технологии социальной инженерии, вымогательства и программы-вымогатели, такие как DragonForce. Они используют усталость от MFA, тактику фишинга и обмена SIM-картами, а также такие инструменты, как Mimikatz, для повышения устойчивости. Извлечение данных осуществляется с помощью инструментов ETL и облачных сервисов, что усложняет процесс восстановления для жертв.
-----

Совместное заключение ФБР, CISA и нескольких международных правоохранительных органов указывает на продолжающуюся вредоносную деятельность хакерской группы Spider, в первую очередь направленную против коммерческих объектов и критически важных секторов инфраструктуры. Компания Scattered Spider, также известная под различными псевдонимами, включая UNC3944 и Oktapus, известна тем, что использует передовые методы социальной инженерии, вымогательства, кражи данных и внедрения программ-вымогателей. Примечательно, что они были связаны с недавним использованием программы-вымогателя DragonForce, что указывает на эволюцию их стратегий атаки.

Эти хакеры используют комбинацию тактик, методов и процедур (TTP), которые включают в себя сложные методы социальной инженерии, такие как "push-бомбардировка" и атаки на замену SIM-карт, направленные на получение учетных данных для получения несанкционированного доступа. Сообщается, что они используют "усталость от MFA", убеждая пользователей подтверждать множественные запросы на аутентификацию, что позволяет им обходить процессы многофакторной аутентификации. В рекомендациях подчеркивается, что Scattered Spider также участвует в фишинговых кампаниях и незаконном получении учетных данных сотрудников с даркнет-площадок. Их первоначальные попытки проникновения часто связаны с подводной охотой, целью которой является получение ИТ-персоналом конфиденциальной информации, такой как токены MFA.

Оказавшись внутри сети, Scattered Spider использует законные средства удаленного доступа для навигации и поддержания постоянства в среде. Среди инструментов, которые используются в их работе, - Fleetdeck.io, Mimikatz и любое законное приложение, облегчающее удаленное управление. Их методы работы включают использование вредоносных программ для сбора данных, таких как Raccoon Stealer и VIDAR Stealer, которые используются для утечки конфиденциальной информации, такой как учетные данные для входа в систему, данные браузера и другая личная идентифицируемая информация.

Более того, Scattered Spider использует методы, позволяющие им избегать обнаружения, известные как "жизнь за пределами земли", используя программное обеспечение, уже имеющееся в среде жертвы. Группа демонстрирует высокую степень адаптивности, часто изменяя свои TTP и принимая меры для обхода средств безопасности. Они внимательно следят за целями своих атак, иногда даже участвуют в реагировании на инциденты, чтобы избежать обнаружения и изменить свою тактику в режиме реального времени.

Утечка данных является ключевым компонентом их стратегии и часто осуществляется с помощью приобретенного доступа к облачным сервисам или установленных инструментов извлечения, преобразования и загрузки (ETL), при этом жертвы иногда сталкиваются с требованиями выкупа наряду с угрозами кражи данных. Известно, что Scattered Spider осуществляет эксфильтрацию данных в различные места, включая такие сервисы, как Snowflake Data Cloud, что усложняет восстановление данных для организаций.

#ParsedReport #CompletenessMedium
31-07-2025

Lazarus Group Enhances Malware with New OtterCookie Payload Delivery Technique

https://gbhackers.com/lazarus-group-malware-with-ottercookie/

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: information_theft, cyber_criminal)
Contagious_interview
Silver_fox
Fancy_bear
Hafnium

Threats:
Ottercookie
Beavertail
Invisibleferret
Teamviewer_tool
Doubletrouble
Lamehug_tool

Industry:
Financial

Geo:
Chinese, Singapore, Russian, Spanish, North korean

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1204.002, T1497

IOCs:
Domain: 1
Url: 5
IP: 3

Soft:
Twitter, WhatsApp, curl

Functions:
eval, errorHandler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Lazarus Group "Заразительное интервью" усовершенствовала методы атак, используя запутанный вредоносный код и фрагментированные URL-адреса, чтобы скрыть инфраструктуру C2 на законных платформах. Они используют такие тактики, как возврат доброкачественных значков, когда отсутствуют определенные токены, и пользовательские функции обработки ошибок для улучшения стратегий уклонения, что усложняет усилия по обнаружению и установлению авторства.
-----

Кампания Contagious Interview, проводимая группой Lazarus, продемонстрировала значительную эволюцию в методах ее проведения, особенно в механизмах доставки основных продуктов: BeaverTail, InvisibleFerret и OtterCookie. Недавний анализ показал, что группа внедрила инновационные методики для маскировки своего вредоносного кода, что усложняет выявление их действий автоматизированными средствами обнаружения.

Одна из примечательных тактик, применяемых Lazarus Group, заключается в фрагментации URL-адресов в коде. Этот метод скрывает инфраструктуру управления и контроля (C2), используя законные хостинговые платформы, в частности Vercel.Приложение для доставки вредоносной полезной нагрузки, замаскированной под безобидный контент с иконками. Механизм включает в себя вызов константы "doing", которая инициирует операцию запроса к серверу C2. В процессе выполнения использование функции eval() становится решающим для извлечения вредоносного кода, и кампания разработана таким образом, чтобы эффективно обрабатывать запросы на возврат безопасных изображений при пропуске определенных токенов.

Во время тестирования в "песочнице" стало очевидно, что, хотя отсутствие "bearrtoken: логотип" действительно создает благоприятный фоновый значок, эта тактика также подчеркивает тенденцию группы перепрофилировать визуальные элементы из предыдущих проектов, что еще больше усложняет работу по атрибуции и обнаружению. Такое сочетание обмана с фрагментированной стратегией реагирования на ошибки демонстрирует глубокое понимание методов уклонения от использования современных вредоносных программ.

Кроме того, злоумышленники улучшили обработку ошибок, предварительно вернув 500 ошибок из сообщений API, вместо того чтобы напрямую полагаться на eval() для выполнения вредоносной полезной нагрузки. Вместо этого в процессе используются пользовательские функции обработки ошибок, которые служат еще одним уровнем запутывания. В совокупности эти стратегии отражают текущую адаптацию Lazarus Group для поддержания операционной безопасности и маскировки своей деятельности, что еще больше усложняет их хакерский ландшафт.

#ParsedReport #CompletenessHigh
31-07-2025

PAY2KEY: New player in the RAAS market with an eye on Russia

https://www.f6.ru/blog/pay2key/

Report completeness: High

Threats:
Pay2key
Uac_bypass_technique
Themida_tool
Lockbit
Babuk

Victims:
Russian companies, Russian users, Russian financial organizations

Industry:
Retail, Financial

Geo:
Chelyabinsk, Russian, Russia

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1047, T1055.001, T1059.001, T1068, T1105, T1112, T1140, T1218, have more...

IOCs:
Email: 1
Domain: 2
File: 22
Registry: 1
Hash: 33
Url: 2

Soft:
Dropbox, Gmail, Windows Defender

Algorithms:
curve25519, sha1, chacha20, ecdh

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Pay2Key - это новая программа-вымогатель, предназначенная для российских компаний с помощью фишинговых кампаний и использующая передовые методы уклонения от уплаты налогов и инструмент шифрования Mimic. В нем используются жестко запрограммированные ключи для шифрования, шифр ChaCha20 и протокол ECDH, а также выполняются сценарии для отключения антивирусной защиты. Увеличение числа целенаправленных атак свидетельствует об изменении ландшафта угроз среди русскоязычных киберпреступников.
-----

Сервис вымогательства Pay2Key, который с февраля 2025 года идентифицируется как новая программа-вымогатель как услуга (RaaS), появился на русскоязычных форумах по киберпреступности. Этот сервис основан на возможностях известного инструмента шифрования Mimic и работает в основном через анонимную сеть i2p. Несмотря на неофициальные запреты на атаки на предприятия в СНГ, Pay2Key нацелился на российские компании, в частности, в сфере финансов, строительства и розничной торговли, с помощью фишинговых кампаний.

Активность Pay2Key впервые была отмечена на форуме Gerki, где 23 февраля 2025 года было сделано объявление о его запуске, получившем название Rice. Вслед за этим в марте 2025 года аналитики F6 обнаружили три масштабные фишинговые кампании, направленные против российских пользователей. Набор инструментов, используемый Pay2Key, включает в себя сложные методы обхода антивирусного обнаружения, архивы SFX и различные тактики фишинга.

Pay2Key отличается сложной архитектурой вредоносного ПО, включая методы шифрования с использованием потокового шифра ChaCha20 и протокола эллиптической кривой Диффи-Хеллмана (ECDH) для обеспечения безопасности связи. Процесс шифрования отличается уникальным подходом: вместо генерации сеансовых ключей во время выполнения используется заранее определенный набор ключей, жестко закодированных в вредоносной программе. Такой подход повышает скорость и скрытность процесса шифрования.

В практических целях, таких как фишинговая кампания, нацеленная на российские финансовые учреждения, злоумышленники использовали электронные письма со ссылками на файлы Dropbox, замаскированные под законные коммерческие предложения. Например, в одной кампании использовался файл под названием "Nexcall.exe", который при запуске запускал цепочку сценариев и команд, использующих PowerShell для управления исполняемыми файлами и отключения защитника Windows. Это включало добавление файлов в списки исключений антивируса и обход контроля доступа пользователей для повышения привилегий.

Исследование выявило тревожную тенденцию: распространение предложений RaaS побуждает злоумышленников совершенствовать свои вредоносные программы и методы, чтобы выделиться в конкурентной среде киберпреступности. По мере роста частоты атак на российские предприятия и с учетом растущего числа группировок, которые в настоящее время открыто игнорируют ранее введенные ограничения в отношении стран СНГ, ожидается дальнейший рост угрозы, исходящей от таких сервисов, как Pay2Key.

Подводя итог, можно сказать, что новые доминирующие характеристики Pay2Key подчеркивают эволюцию хакеров, демонстрирующих передовые методы и агрессивные стратегии таргетинга, которые представляют значительные риски для различных секторов в регионе.

#ParsedReport #CompletenessLow
31-07-2025

UNC2891 Bank Heist: Physical ATM Backdoor & Linux Forensic Evasion Evasion

https://www.group-ib.com/blog/unc2891-bank-heist

Report completeness: Low

Actors/Campaigns:
Lightbasin (motivation: financially_motivated)

Threats:
Caketap
Tinyshell

Victims:
Banks, Atm operators

Industry:
Financial

TTPs:

ChatGPT TTPs:
do not use without manual check
T1018, T1036, T1195.003, T1564.013, T1568.003

Soft:
Linux, Raspberry Pi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC2891 осуществил сложное банковское вторжение, используя Raspberry Pi для физического доступа и передовые методы уклонения, включая новую тактику борьбы с криминалистикой (T1564.013), использующую злоупотребление подключением Linux bind. Черный ход, замаскированный под "lightdm", передавался по динамическому каналу DNS для манипулирования снятием наличных в банкоматах, избегая обнаружения, что иллюстрирует необходимость усиления защиты от кибербезопасности.
-----

Анализ сложного банковского вмешательства UNC2891 выявил многоуровневый подход, включающий комбинацию физического доступа и передовых методов уклонения, нацеленных на критически важную банковскую инфраструктуру. Хакерская группа использовала ранее недокументированную тактику борьбы с криминалистикой, получившую обозначение T1564.013 в платформе MITRE ATT&CK, которая использует злоупотребление монтированием Linux bind для сокрытия бэкдорных процессов. Первоначальный доступ к сети был получен путем физической установки устройства Raspberry Pi в банкомате, подключенного к тому же сетевому коммутатору, что позволило интегрировать его непосредственно во внутреннюю сеть банка. Это устройство использовало модем 4G для обеспечения удаленного доступа по каналу динамического управления DNS (C2), устанавливая постоянное соединение, которое обходило обычную охрану периметра.

Криминалистические исследования выявили необычное поведение сети, в том числе отправку исходящих сигналов каждые 600 секунд и повторные попытки подключения к определенному порту, однако отсутствие каких-либо видимых процессов в списке процессов наводило на мысль об использовании руткита или других анти-криминалистических мер. Вредоносный двоичный файл маскировался под законный системный процесс под названием "lightdm", предназначенный для дальнейшего сокрытия своего присутствия. Этот подход помешал первоначальным усилиям криминалистов, поскольку обычные методы сортировки не смогли обнаружить бэкдор из-за эффективного использования привязок для скрытия артефактов.

Конечной целью кампании было скомпрометировать сервер коммутации банкоматов, что позволило внедрить руткит под названием CAKETAP, который манипулировал ответами аппаратного модуля безопасности (HSM) и подделывал сообщения авторизации, чтобы облегчить несанкционированное снятие наличных в банкоматах. Несмотря на скрытый и изощренный характер вторжения, атака была в конечном счете предотвращена до завершения этих вредоносных действий.

Более того, расследование показало, что даже после обнаружения устройства Raspberry Pi злоумышленники сохранили доступ через черный ход, расположенный на внутреннем почтовом сервере с прямым подключением к Интернету, продемонстрировав многогранную стратегию доступа, которая усложняет традиционные меры сдерживания. Этот инцидент подчеркивает необходимость использования как физического, так и логического доступа при моделировании угроз для банковских инфраструктур, а также острую потребность в экспертизе памяти и сети в современных методах реагирования на инциденты. Интеграция передовых методов может ввести в заблуждение традиционные инструменты судебной экспертизы, что требует изменения парадигмы в том, как структурированы и реализуются средства защиты от кибербезопасности.

#ParsedReport #CompletenessLow
31-07-2025

Analysis of the latest Silver Fox attack campaign disguised as a Flash plugin

https://medium.com/@knownsec404team/analysis-of-the-latest-silver-fox-attack-campaign-disguised-as-a-flash-plugin-7cd92d193de1

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Golden_eyed_dog

Threats:
Winos

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1059.003, T1071, T1105, T1140, T1189, T1192, T1204.001, have more...

IOCs:
File: 5
Hash: 9
IP: 16
Domain: 1
Email: 1

Soft:
Zoom, Youdao, letsvpn

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группа Silver Fox, действующая с 2022 года, использует изощренную тактику для распространения вредоносных программ, замаскированных под законные инструменты, такие как Google Translate. Они используют уязвимости, связанные с утечкой исходных кодов троянских программ, и используют такие методы, как обфускация кода и обходы "песочницы", при этом их вредоносное ПО позволяет осуществлять удаленное управление и утечку данных.
-----

Команда Advanced Threat Intelligence, известная как Security 404, обнаружила всплеск активности киберпреступной группировки Silver Fox, которая действует с 2022 года и все чаще использует изощренные тактики для распространения своих вредоносных программ. Группа маскирует свое вредоносное программное обеспечение под законные инструменты, такие как Google Translate, чтобы заманить пользователей переходить по зараженным ссылкам. После взаимодействия пользователям выдается вводящее в заблуждение сообщение об устаревшей версии Flash, что приводит к загрузке вредоносного установщика, который после выполнения запускает дополнительные полезные программы, тем самым ставя под угрозу работу хост-системы.

Silver Fox использует множество каналов распространения, включая фишинговые электронные письма, поддельные страницы загрузки и мгновенные сообщения, расширяя свой охват. Недавно были использованы уязвимости, связанные с утечкой исходных кодов основных троянских программ, включая Winos 4.0, что способствовало превращению Silver Fox в более широкое семейство вредоносных программ, адаптированных различными хакерами, в том числе организациями APT (APPART). Конкретные варианты вредоносного ПО включают установочные пакеты в форматах MSI и EXE, причем пакеты MSI, в частности, выполняют пакетный сценарий, который работает вместе с вредоносной полезной нагрузкой, включая скрытый установщик с именем Microsoftdata.exe, созданный в Golang.

Вредоносный код демонстрирует структурированный подход, использующий основную функциональность, размещенную в шеллкоде, который расшифровывает и выполняет полезную нагрузку, скрытую в таких ресурсах, как Xps.dtd. Таким образом, троянец, идентифицированный как Winos, обладает множеством функциональных возможностей, позволяющих осуществлять удаленное управление и фильтрацию данных. Модульная конструкция вредоносной программы позволяет различным хакерам перепрофилировать ее и переименовывать, повышая ее стойкость и тактику обхода с помощью таких методов, как обфускация кода и обхода "песочницы".

Операционная стратегия Silver Fox предусматривает переупаковку распространенных приложений и использование обманчивых всплывающих окон для увеличения количества загрузок вредоносных пакетов пользователями. Этот хакер превратился в заметную группу в экосистеме китайского Интернета, создавая серьезные риски для безопасности личных данных и данных организаций. Продолжающееся распространение вредоносного ПО Silver Fox требует повышения осведомленности пользователей и их вовлеченности в практику кибербезопасности, что подчеркивает важность регулярного обновления программного обеспечения для устранения уязвимостей.

#ParsedReport #CompletenessMedium
31-07-2025

Mimo gang weaponizes religious symbols to deliver 4L4MD4r ransomware using Microsoft SharePoint RCE vulnerability

https://mp.weixin.qq.com/s/h6_ijQAHhq4tersaBE5fXQ

Report completeness: Medium

Threats:
Hezb
4l4md4r
Raindrop_tool

Victims:
Medical customer

Industry:
Healthcare, Government

Geo:
Italian

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1190, T1486

IOCs:
Path: 2
Command: 1
Url: 1
File: 3
Email: 1
Hash: 1

Soft:
Microsoft SharePoint, Microsoft SharePoint server, SharePoint server

Algorithms:
md5, base64

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хакерская группа Mimo воспользовалась несколькими уязвимостями RCE в серверах Microsoft SharePoint, внедрив программу-вымогатель Golang 4L4MD4R, которая использует названия функций на религиозную тематику и выполняет полезную нагрузку в памяти с помощью средств защиты от отладки. При атаке на внешние серверы пока не было зафиксировано никаких выплат выкупа, но организациям настоятельно рекомендуется усилить защиту от этих уязвимостей.
-----

В июле 2025 года на серверах Microsoft SharePoint было обнаружено несколько уязвимостей для удаленного выполнения кода (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Эти уязвимости широко используются, затрагивая десятки тысяч серверов по всему миру, и группы злоумышленников активно атакуют эти системы. Команда Red Raindrop из Центра анализа угроз Цяньсинь провела тщательный мониторинг и анализ ситуации. 27 июля они обнаружили вторжение на внешний сервер SharePoint медицинского клиента, где злоумышленники пытались выполнить вредоносные команды PowerShell. К счастью, эти действия были перехвачены системой защиты TianQing.

Дальнейшее расследование атаки выявило участие нового варианта программы-вымогателя, получившего название 4L4MD4R, который был разработан в Golang. В названиях функций программы-вымогателя явно прослеживается религиозная тематика, и есть основания полагать, что она связана с финансово мотивированной хакерской группой, известной как Mimo. Оперативные данные программы-вымогателя указывают на то, что перед запуском она сначала получает свою полезную информацию с итальянского сайта springboard. Система обороны Тяньцина эффективно пресекла эту попытку.

Программа-вымогатель 4L4MD4R использует технологию расшифровки своей конечной полезной нагрузки в памяти. Примечательно, что она включает в себя меры по предотвращению отладки, которые проверяют прошедшее время и завершают работу, если операция превышает заданный предел. Анализ биткоин-кошелька злоумышленника выявил 40 зарегистрированных транзакций, но примечательно, что ни в одной транзакции не был зафиксирован выкуп в размере 0,005 BTC, что указывает на то, что ни одна жертва еще не поддалась требованиям этого варианта программы-вымогателя. Организациям рекомендуется использовать усовершенствованный механизм защиты от угроз "Liuhe" компании TianQing для устранения этих уязвимостей и защиты своих серверных сред от подобных угроз.

#ParsedReport #CompletenessLow
31-07-2025

Proxyware malware distributed on YouTube video download sites

https://asec.ahnlab.com/ko/89293/

Report completeness: Low

Threats:
Dropper/win.proxyware.c5783593
Trojan/win.proxyware.c5783607
Trojan/win.proxyware.c5783598
Digitalpulse

IOCs:
Hash: 5
Url: 5

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, code: 1

#ParsedReport #CompletenessMedium
31-07-2025

Dark Web Profile: SafePay Ransomware

https://socradar.io/dark-web-profile-safepay-ransomware/

Report completeness: Medium

Threats:
Safepay
Mimikatz_tool
Screenconnect_tool
Rclone_tool
Shadow_copies_delete_technique
Uac_bypass_technique
Credential_dumping_technique
Lolbin_technique
Qdoor
Credential_harvesting_technique
Sharefinder_tool

Industry:
Transport, Critical_infrastructure, Financial, Foodtech, Healthcare, Logistic, Education

Geo:
Australia, Asia-pacific, Canada, Georgian, Russian, Latin america, Belarusian, Germany, Azerbaijani, United kingdom, America, Asia, Ukrainian

TTPs:
Tactics: 11
Technics: 17

IOCs:
File: 2

Soft:
Microsoft Teams, Windows Registry, Microsoft Defender

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1