#ParsedReport #CompletenessLow
31-07-2025

Analysis of the latest Silver Fox attack campaign disguised as a Flash plugin

https://medium.com/@knownsec404team/analysis-of-the-latest-silver-fox-attack-campaign-disguised-as-a-flash-plugin-7cd92d193de1

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Golden_eyed_dog

Threats:
Winos

Geo:
Chinese

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1059.003, T1071, T1105, T1140, T1189, T1192, T1204.001, have more...

IOCs:
File: 5
Hash: 9
IP: 16
Domain: 1
Email: 1

Soft:
Zoom, Youdao, letsvpn

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группа Silver Fox, действующая с 2022 года, использует изощренную тактику для распространения вредоносных программ, замаскированных под законные инструменты, такие как Google Translate. Они используют уязвимости, связанные с утечкой исходных кодов троянских программ, и используют такие методы, как обфускация кода и обходы "песочницы", при этом их вредоносное ПО позволяет осуществлять удаленное управление и утечку данных.
-----

Команда Advanced Threat Intelligence, известная как Security 404, обнаружила всплеск активности киберпреступной группировки Silver Fox, которая действует с 2022 года и все чаще использует изощренные тактики для распространения своих вредоносных программ. Группа маскирует свое вредоносное программное обеспечение под законные инструменты, такие как Google Translate, чтобы заманить пользователей переходить по зараженным ссылкам. После взаимодействия пользователям выдается вводящее в заблуждение сообщение об устаревшей версии Flash, что приводит к загрузке вредоносного установщика, который после выполнения запускает дополнительные полезные программы, тем самым ставя под угрозу работу хост-системы.

Silver Fox использует множество каналов распространения, включая фишинговые электронные письма, поддельные страницы загрузки и мгновенные сообщения, расширяя свой охват. Недавно были использованы уязвимости, связанные с утечкой исходных кодов основных троянских программ, включая Winos 4.0, что способствовало превращению Silver Fox в более широкое семейство вредоносных программ, адаптированных различными хакерами, в том числе организациями APT (APPART). Конкретные варианты вредоносного ПО включают установочные пакеты в форматах MSI и EXE, причем пакеты MSI, в частности, выполняют пакетный сценарий, который работает вместе с вредоносной полезной нагрузкой, включая скрытый установщик с именем Microsoftdata.exe, созданный в Golang.

Вредоносный код демонстрирует структурированный подход, использующий основную функциональность, размещенную в шеллкоде, который расшифровывает и выполняет полезную нагрузку, скрытую в таких ресурсах, как Xps.dtd. Таким образом, троянец, идентифицированный как Winos, обладает множеством функциональных возможностей, позволяющих осуществлять удаленное управление и фильтрацию данных. Модульная конструкция вредоносной программы позволяет различным хакерам перепрофилировать ее и переименовывать, повышая ее стойкость и тактику обхода с помощью таких методов, как обфускация кода и обхода "песочницы".

Операционная стратегия Silver Fox предусматривает переупаковку распространенных приложений и использование обманчивых всплывающих окон для увеличения количества загрузок вредоносных пакетов пользователями. Этот хакер превратился в заметную группу в экосистеме китайского Интернета, создавая серьезные риски для безопасности личных данных и данных организаций. Продолжающееся распространение вредоносного ПО Silver Fox требует повышения осведомленности пользователей и их вовлеченности в практику кибербезопасности, что подчеркивает важность регулярного обновления программного обеспечения для устранения уязвимостей.

#ParsedReport #CompletenessMedium
31-07-2025

Mimo gang weaponizes religious symbols to deliver 4L4MD4r ransomware using Microsoft SharePoint RCE vulnerability

https://mp.weixin.qq.com/s/h6_ijQAHhq4tersaBE5fXQ

Report completeness: Medium

Threats:
Hezb
4l4md4r
Raindrop_tool

Victims:
Medical customer

Industry:
Healthcare, Government

Geo:
Italian

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1190, T1486

IOCs:
Path: 2
Command: 1
Url: 1
File: 3
Email: 1
Hash: 1

Soft:
Microsoft SharePoint, Microsoft SharePoint server, SharePoint server

Algorithms:
md5, base64

Languages:
powershell, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хакерская группа Mimo воспользовалась несколькими уязвимостями RCE в серверах Microsoft SharePoint, внедрив программу-вымогатель Golang 4L4MD4R, которая использует названия функций на религиозную тематику и выполняет полезную нагрузку в памяти с помощью средств защиты от отладки. При атаке на внешние серверы пока не было зафиксировано никаких выплат выкупа, но организациям настоятельно рекомендуется усилить защиту от этих уязвимостей.
-----

В июле 2025 года на серверах Microsoft SharePoint было обнаружено несколько уязвимостей для удаленного выполнения кода (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770, CVE-2025-53771). Эти уязвимости широко используются, затрагивая десятки тысяч серверов по всему миру, и группы злоумышленников активно атакуют эти системы. Команда Red Raindrop из Центра анализа угроз Цяньсинь провела тщательный мониторинг и анализ ситуации. 27 июля они обнаружили вторжение на внешний сервер SharePoint медицинского клиента, где злоумышленники пытались выполнить вредоносные команды PowerShell. К счастью, эти действия были перехвачены системой защиты TianQing.

Дальнейшее расследование атаки выявило участие нового варианта программы-вымогателя, получившего название 4L4MD4R, который был разработан в Golang. В названиях функций программы-вымогателя явно прослеживается религиозная тематика, и есть основания полагать, что она связана с финансово мотивированной хакерской группой, известной как Mimo. Оперативные данные программы-вымогателя указывают на то, что перед запуском она сначала получает свою полезную информацию с итальянского сайта springboard. Система обороны Тяньцина эффективно пресекла эту попытку.

Программа-вымогатель 4L4MD4R использует технологию расшифровки своей конечной полезной нагрузки в памяти. Примечательно, что она включает в себя меры по предотвращению отладки, которые проверяют прошедшее время и завершают работу, если операция превышает заданный предел. Анализ биткоин-кошелька злоумышленника выявил 40 зарегистрированных транзакций, но примечательно, что ни в одной транзакции не был зафиксирован выкуп в размере 0,005 BTC, что указывает на то, что ни одна жертва еще не поддалась требованиям этого варианта программы-вымогателя. Организациям рекомендуется использовать усовершенствованный механизм защиты от угроз "Liuhe" компании TianQing для устранения этих уязвимостей и защиты своих серверных сред от подобных угроз.

#ParsedReport #CompletenessLow
31-07-2025

Proxyware malware distributed on YouTube video download sites

https://asec.ahnlab.com/ko/89293/

Report completeness: Low

Threats:
Dropper/win.proxyware.c5783593
Trojan/win.proxyware.c5783607
Trojan/win.proxyware.c5783598
Digitalpulse

IOCs:
Hash: 5
Url: 5

Algorithms:
md5

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1, code: 1

#ParsedReport #CompletenessMedium
31-07-2025

Dark Web Profile: SafePay Ransomware

https://socradar.io/dark-web-profile-safepay-ransomware/

Report completeness: Medium

Threats:
Safepay
Mimikatz_tool
Screenconnect_tool
Rclone_tool
Shadow_copies_delete_technique
Uac_bypass_technique
Credential_dumping_technique
Lolbin_technique
Qdoor
Credential_harvesting_technique
Sharefinder_tool

Industry:
Transport, Critical_infrastructure, Financial, Foodtech, Healthcare, Logistic, Education

Geo:
Australia, Asia-pacific, Canada, Georgian, Russian, Latin america, Belarusian, Germany, Azerbaijani, United kingdom, America, Asia, Ukrainian

TTPs:
Tactics: 11
Technics: 17

IOCs:
File: 2

Soft:
Microsoft Teams, Windows Registry, Microsoft Defender

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SafePay - это группа программ-вымогателей, использующая модель двойного вымогательства, нацеленная на сервисы удаленного доступа и использующая такие методы, как сбор учетных данных и фишинг, для проникновения в сети. Они используют неправильные настройки для обхода многофакторной аутентификации, используют PowerShell и пакетные сценарии для атак, а также специализированное программное обеспечение-вымогатель с шифрованием, которое включает расширение .safepay. Они также специализируются на удалении конфиденциальных данных и создании резервных копий, чтобы заставить жертв заплатить выкуп.
-----

SafePay - это группа программ-вымогателей, появившаяся в сентябре 2024 года, отличающаяся двойным подходом к вымогательству, при котором они шифруют файлы и угрожают утечкой украденных данных, если выкуп не будет выплачен, как правило, в криптовалюте. Действуя независимо, SafePay выявила 265 жертв по всему миру, значительное число из которых находится в Соединенных Штатах и Германии. Группа старается не заражать системы, настроенные на определенные языки, относящиеся к Содружеству Независимых Государств (СНГ), что указывает на тактический выбор, позволяющий избежать судебного преследования.

Группа демонстрирует методичный подход, проводя предварительную разведку перед атакой для выявления уязвимостей, которыми можно воспользоваться. Они получают действительные учетные данные пользователей через инфокрадов и темные веб-рынки и используют распространенные точки входа, в частности, нацеливаясь на службы удаленного доступа, такие как VPN-шлюзы и конечные точки RDP. SafePay успешно обходила механизмы многофакторной аутентификации из-за неправильно настроенных брандмауэров и ненадежных паролей. Их тактика также включает фишинг и вишинг-рассылку, когда они обманом заставляют пользователей запускать вредоносное ПО или разрешать удаленный доступ.

Проникнув в сеть, SafePay использует такие скрипты, как пакетные файлы и PowerShell, для управления своей инфраструктурой атак. Они используют методы, основанные на реальных событиях, полагаясь на законные средства Windows для незаметного выполнения вредоносного кода. Программа-вымогатель сама по себе является модульной и может быть адаптирована для конкретных сред путем определения того, какие диски следует шифровать и следует ли самоудалять после шифрования. Для обеспечения долгосрочного доступа группа устанавливает законные средства удаленного доступа, такие как ConnectWise ScreenConnect, и иногда использует пользовательские вредоносные программы, такие как QDoor, что позволяет избежать обнаружения этих средств, вписываясь в обычную работу.

Повышение привилегий - одна из первых задач SafePay, поскольку они часто начинают с учетных записей с низкими привилегиями и стремятся получить права администратора домена. Такие инструменты, как Mimikatz, используются для извлечения учетных данных из памяти, что позволяет осуществлять горизонтальное перемещение по сети. На протяжении всей атаки SafePay осуществляет непрерывный сбор учетных данных, ориентируясь на сохраненные учетные данные в различных приложениях. Этому процессу способствуют общие административные ресурсы, а также пакетные файлы и сценарии PowerShell для поддержания видимости нормальной работы.

Перед развертыванием полезной нагрузки программы-вымогателя SafePay тратит дни на сбор конфиденциальных данных, ручную и автоматическую идентификацию ценных файлов, которые они сжимают и удаляют с помощью инструментов, минимизирующих риск обнаружения. Их метод шифрования надежен, он включает в себя надежные алгоритмы и переименование файлов с расширением .safepay. Кроме того, они стремятся исключить потенциальные возможности восстановления, ориентируясь на резервные копии и гипервизоры, критически важные для инфраструктуры организации, что максимально увеличивает давление на жертв, вынуждая их выполнять требования о выкупе.

#ParsedReport #CompletenessMedium
01-08-2025

Plague: A Newly Discovered PAM-Based Backdoor for Linux

https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

Report completeness: Medium

Threats:
Plague
Antidebugging_technique

Industry:
Software_development

Geo:
China, Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078.003, T1146, T1497, T1505.002

IOCs:
Hash: 7
File: 10

Soft:
Linux, Debian, Ubuntu

Algorithms:
xor

Functions:
Runner

Languages:
python

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Plague - это скрытый бэкдор для Linux, функционирующий как подключаемый модуль аутентификации (PAM), позволяющий осуществлять постоянный доступ по SSH без обнаружения антивирусными системами. Он использует расширенные возможности обфускации, защиты от взлома и вмешательства в среду, такие как удаление данных о сеансе SSH и использование жестко заданных статических паролей для скрытого доступа.
-----

Недавние усилия по поиску угроз позволили обнаружить ранее незамеченный Linux-бэкдор, известный как Plague. Эта вредоносная программа работает как вредоносный подключаемый модуль аутентификации (PAM), который позволяет злоумышленникам обходить системную аутентификацию и поддерживать постоянный доступ по SSH. Примечательно, что образцы вируса Plague были загружены в VirusTotal без получения предупреждений от каких-либо антивирусных систем, что указывает на его скрытность и эффективность в обходе механизмов обнаружения. Низкий уровень обнаружения — 0 из 66 систем, помечающих образцы как вредоносные, - указывает на серьезный пробел в существующих мерах безопасности.

Дизайн Plague тщательно интегрируется со стеком аутентификации Linux, что позволяет ему выдерживать обновления системы, оставляя при этом минимум следов криминалистической экспертизы. Эта особенность в сочетании со сложными методами обфускации и вмешательства в среду делает его особенно трудным для идентификации с помощью обычных средств безопасности. Вредоносная программа продолжает работать, не привлекая внимания, демонстрируя риски, связанные с бэкдорами, которые используют важные системные компоненты, такие как PAM.

Изучение двоичных файлов позволяет выявить метаданные о версии компилятора, которые позволяют предположить, что эта вредоносная программа поддерживалась в течение длительного периода времени. Некоторые двоичные файлы удалены не полностью, что еще раз подтверждает столь длительную историю их использования. Хотя происхождение чумы остается неоднозначным, наличие раннего образца под названием "угон" может дать представление о ее происхождении.

Plague включает в себя несколько расширенных функций для повышения скрытности и стойкости. Средства защиты от взлома препятствуют обратному проектированию, в то время как сложные методы обфускации строк усложняют обнаружение. В первоначальных образцах использовалось простое XOR-шифрование, но в последующих версиях использовались более сложные процедуры шифрования, похожие на методы KSA и PRGA. В последних версиях даже реализован уровень детерминированного генератора случайных битов (DRBG), что значительно усложняет процесс извлечения.

Еще одним примечательным аспектом функциональности Plague является тщательная очистка среды выполнения. Программа активно удаляет любые свидетельства сеансов SSH, отключая такие переменные среды, как SSH_CONNECTION и SSH_CLIENT, и перенаправляя журналы истории команд в /dev/null. Такое превентивное вмешательство эффективно стирает цифровой след злоумышленника и позволяет избежать оставления следов, которые могли бы вызвать тревогу.

Бэкдор также содержит жестко запрограммированные статические пароли, позволяющие злоумышленникам получать скрытый доступ, не требуя аутентификации пользователя. Эта возможность еще больше усложняет обнаружение и устранение неполадок.

#ParsedReport #CompletenessMedium
01-08-2025

INSIDE QILIN RANSOMWARE AFFILIATEs PANEL

https://theravenfile.com/2025/08/01/inside-qilin-ransomware-affiliates-panel/

Report completeness: Medium

Actors/Campaigns:
Hastalamuerte
Qilin

Threats:
Qilin_ransomware
Mimikatz_tool
Themida_tool
Netexec_tool
Password_spray_technique
Kerberoasting_technique
Bloodhound_tool
Sqlmap_tool
Donpapi_tool
Realblindingedr_tool
Meshcentral_tool
Pyfuscator_tool
Chromekatz_tool
Chlonium_tool
Pypycatz_tool
Sharprdp_tool
Xenorat
Caro-kann_tool
Gophish_tool
Sigmapotato_tool
Cobalt_strike_tool
Elusivemice_tool
Hackbot_tool
Malleable_c2_tool
Follinapy_tool
Follina_vuln
Acunetix_tool
Log4shell_vuln
Spring4shell
Scarecrow
Subra_tool
Petitpotato_tool
Petitpotam_vuln
Empire_loader
Flaresolverr_tool
Amass_tool
Xsser_tool
Tamperdev_tool
Openbullet_tool

Victims:
Palau health ministry, Utsunomiya cancer center, Lee enterprises

Industry:
Healthcare

Geo:
Thailand, Palau, Russian

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1809 (-)
- microsoft windows_10_21h2 (-)
- microsoft windows_10_22h2 (-)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19060)
- microsoft windows_10_1607 (<10.0.14393.4651)
- microsoft windows_10_1809 (<10.0.17763.2183)
- microsoft windows_10_1909 (<10.0.18363.1801)
- microsoft windows_10_2004 (<10.0.19041.1237)
have more...
CVE-2024-30090 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...
CVE-2022-30190 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19325)
- microsoft windows_10_1607 (<10.0.14393.5192)
- microsoft windows_10_1809 (<10.0.17763.3046)
- microsoft windows_10_20h2 (<10.0.19042.1766)
- microsoft windows_10_21h1 (<10.0.19043.1766)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.005, T1021.002, T1027, T1047, T1055.012, T1059.001, T1059.003, T1105, T1110.003, have more...

IOCs:
Domain: 1
File: 4
Hash: 9
Path: 1

Soft:
Twitter, Windows Defender, Active Directory, MSSQL, Azure AD, DeepSeek, Windows installer, node.js, Chromium, AWVS, have more...

Crypto:
bitcoin

Algorithms:
sha1, md5, sha256

Functions:
Find-GH-POC

Languages:
python, powershell, javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Qilin, действующая как RaaS с 2022 года, атаковала более 600 жертв, используя такие инструменты, как Mimikatz для извлечения учетных данных и NetExec для использования Active Directory. Их тактика включает фишинг, повышение привилегий и использование CVE, что предполагает сложную операционную модель с потенциалом возникновения значительных угроз в будущем.
-----

Группа вымогателей Qilin, работающая по модели "Программа-вымогатель как услуга" (RaaS) с 2022 года, по сообщениям, атаковала более 600 жертв, включая такие заметные объекты, как Министерство здравоохранения Палау и онкологический центр Уцуномия. Появились сообщения о финансовой афере с участием одного из филиалов "hastalamuerte", который опубликовал предупреждение о мошеннических действиях, приведших к потере 48 тысяч долларов. Кроме того, другой пользователь, "Nova", утверждал, что многие аккаунты в партнерской сети находятся под наблюдением правоохранительных органов, что препятствует поступлению незаконных средств.

Среди технических достижений партнерская организация, в частности, использовала Mimikatz — инструмент информационной безопасности для извлечения учетных данных, который поставляется в комплекте с Themida — средством защиты от несанкционированного доступа. Образец Mimikatz был назван "mim.exe". Расследование в отношении этого партнера показало, что он использовал NetExec, инструмент с открытым исходным кодом, предназначенный для тестирования на проникновение в среды Active Directory. Этот инструмент обладает различными функциональными возможностями, включая сканирование уязвимостей, перечисление пользователей, удаленное выполнение команд, сброс учетных данных и многое другое, что делает его мощным средством для организации атак.

Другие инструменты, используемые филиалом, включают PowerHuntShares для аудита привилегий, RealBlindingEDR для компрометации антивирусных возможностей и различные библиотеки Python для написания сценариев. Такие инструменты, как Mythril для анализа байт-кода EVM, GoPhish для фишинга и ряд утилит для повышения привилегий, указывают на изощренную тактику, используемую для эксплуатации и уклонения.

Кроме того, партнер продемонстрировал интерес к торговле криптовалютами, используя Bitkub API для облегчения торговли и транзакций. На платформах обмена кодом, связанных с аффилированным лицом, были обнаружены взаимодействия с многочисленными распространенными уязвимостями, что повышает вероятность того, что эти уязвимости могут быть использованы в будущих операциях с программами-вымогателями.

Кроме того, инфраструктура группы программ-вымогателей Qilin, похоже, взаимосвязана, поскольку она использует одни и те же настройки сервера NGINX для своих партнерских панелей и панелей жертв, что потенциально позволяет выявить закономерности, которые могут помочь в установлении авторства. Если в системах жертв будут обнаружены инструменты, связанные с операциями Qilin, могут возникнуть серьезные основания связать эти инциденты с группой программ-вымогателей Qilin.

Раскрывающиеся подробности иллюстрируют сложную сеть хакерских операций, в основе которых лежит сочетание устоявшихся методов сбора учетных данных, инструментов эксплуатации и надежной экосистемы программ-вымогателей, основанной на сотрудничестве между филиалами. Эти мероприятия также подчеркивают риски, создаваемые появляющимися группами программ-вымогателей, и их постоянно меняющуюся тактику работы.

#ParsedReport #CompletenessLow
01-08-2025

North Korea's TraderTraitor Executes $1.5B Crypto Heist via Supply Chain Attack

https://www.secureblink.com/cyber-security-news/north-korea-s-trader-traitor-executes-1-5-b-crypto-heist-via-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
Tradertraitor (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Threats:
Supply_chain_technique
Rn_loader
Rn_stealer
Jump_cloud_tool

Victims:
Bybit, Dmm bitcoin, Ginco, Jumpcloud

Industry:
Financial, Software_development

Geo:
North korea, North korean

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1059.007, T1070.004, T1071.001, T1078, T1090, T1195.002, T1204.003, T1554, have more...

Soft:
macOS, Docker

Wallets:
bybit

Crypto:
bitcoin

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года северокорейская группа TraderTraitor осуществила сложную атаку на цепочку поставок Safe{Кошелек}, похитив 1,5 миллиарда долларов из Bybit с помощью социальной инженерии и вредоносного внедрения JavaScript. Этот инцидент подчеркивает растущую угрозу того, что спонсируемые государством киберпреступники используют уязвимости в цепочках поставок программного обеспечения, а Северная Корея, как сообщается, финансирует свои ракетные программы за счет таких краж.
-----

В феврале 2025 года северокорейская хакерская группа, известная как TraderTraitor, совершила значительный взлом в секторе криптовалют, похитив рекордные 1,5 миллиарда долларов с биржи Bybit с помощью сложной атаки на цепочку поставок на Safe {Wallet}, платформу для кошельков с несколькими подписями. Операция началась с целенаправленной схемы социальной инженерии 4 февраля, в ходе которой TraderTraitor скомпрометировали рабочую станцию разработчика macOS, представившись потенциальными рекрутерами в LinkedIn. Ничего не подозревающий разработчик загрузил вредоносный контейнер Docker под названием "MC-Based-Stock-Invest-Simulator-main", который впоследствии установил соединение с доменом управления.

Решающий этап операции начался 19 февраля, когда хакеры внедрили вредоносный JavaScript-код в веб-ресурсы Safe{Wallet}, размещенные на AWS, специально разработанные для мониторинга и манипулирования транзакциями с использованием холодного кошелька Bybit, оставаясь недоступными для других пользователей. Этот метод продемонстрировал высокий уровень изощренности в управлении и проведении их атаки. 21 февраля, когда сотрудники Bybit инициировали стандартный перевод в размере 7 миллионов долларов со своего холодного кошелька, введенный код был перехвачен и изменил параметры транзакции, чтобы перенаправить 401 000 ETH (на сумму около 1,5 миллиарда долларов) на кошельки, контролируемые злоумышленниками. Примечательно, что вредоносный код был удален из инфраструктуры Safe{Wallet} всего через две минуты после совершения кражи, что свидетельствует о передовых мерах оперативной безопасности и усложняет судебно-медицинскую экспертизу.

ФБР приписало эту операцию TraderTraitor, подгруппе, входящей в северокорейскую Lazarus Group, которая также действует под различными псевдонимами, включая Jade Sleet и UNC4899. Этот инцидент является частью тревожной тенденции к росту числа краж криптовалют, приписываемых Северной Корее: по оценкам, в ходе 47 отдельных инцидентов в течение 2024 года было украдено 1,34 миллиарда долларов. Анализ разведывательных данных показывает, что до 50% валютных поступлений Северной Кореи поступает от этой киберпреступной деятельности, а полученные средства, как сообщается, используются для финансирования баллистических ракет и ядерной программы страны.

Стратегический подход TraderTraitor характеризуется использованием уязвимостей цепочки поставок, о чем свидетельствуют прошлые успешные операции, такие как взлом DMM Bitcoin, когда аналогичная тактика социальной инженерии способствовала внедрению пользовательского вредоносного ПО. Недавняя проверка в секторе криптовалют привела к тому, что организации пересмотрели свои методы обеспечения безопасности цепочки поставок, сосредоточив внимание на проверке зависимостей программного обеспечения и внедрении проверки подписи кода. После инцидента с Bybit предпринимаются значительные усилия по пересмотру процессов подписания транзакций и усилению контроля целостности пользовательских интерфейсов на платформах, использующих решения с несколькими подписями. Это нарушение подчеркивает растущую изощренность спонсируемых государством киберпреступников и их способность использовать уязвимости в сложных цепочках поставок программного обеспечения.