#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SafePay - это группа программ-вымогателей, использующая модель двойного вымогательства, нацеленная на сервисы удаленного доступа и использующая такие методы, как сбор учетных данных и фишинг, для проникновения в сети. Они используют неправильные настройки для обхода многофакторной аутентификации, используют PowerShell и пакетные сценарии для атак, а также специализированное программное обеспечение-вымогатель с шифрованием, которое включает расширение .safepay. Они также специализируются на удалении конфиденциальных данных и создании резервных копий, чтобы заставить жертв заплатить выкуп.
-----

SafePay - это группа программ-вымогателей, появившаяся в сентябре 2024 года, отличающаяся двойным подходом к вымогательству, при котором они шифруют файлы и угрожают утечкой украденных данных, если выкуп не будет выплачен, как правило, в криптовалюте. Действуя независимо, SafePay выявила 265 жертв по всему миру, значительное число из которых находится в Соединенных Штатах и Германии. Группа старается не заражать системы, настроенные на определенные языки, относящиеся к Содружеству Независимых Государств (СНГ), что указывает на тактический выбор, позволяющий избежать судебного преследования.

Группа демонстрирует методичный подход, проводя предварительную разведку перед атакой для выявления уязвимостей, которыми можно воспользоваться. Они получают действительные учетные данные пользователей через инфокрадов и темные веб-рынки и используют распространенные точки входа, в частности, нацеливаясь на службы удаленного доступа, такие как VPN-шлюзы и конечные точки RDP. SafePay успешно обходила механизмы многофакторной аутентификации из-за неправильно настроенных брандмауэров и ненадежных паролей. Их тактика также включает фишинг и вишинг-рассылку, когда они обманом заставляют пользователей запускать вредоносное ПО или разрешать удаленный доступ.

Проникнув в сеть, SafePay использует такие скрипты, как пакетные файлы и PowerShell, для управления своей инфраструктурой атак. Они используют методы, основанные на реальных событиях, полагаясь на законные средства Windows для незаметного выполнения вредоносного кода. Программа-вымогатель сама по себе является модульной и может быть адаптирована для конкретных сред путем определения того, какие диски следует шифровать и следует ли самоудалять после шифрования. Для обеспечения долгосрочного доступа группа устанавливает законные средства удаленного доступа, такие как ConnectWise ScreenConnect, и иногда использует пользовательские вредоносные программы, такие как QDoor, что позволяет избежать обнаружения этих средств, вписываясь в обычную работу.

Повышение привилегий - одна из первых задач SafePay, поскольку они часто начинают с учетных записей с низкими привилегиями и стремятся получить права администратора домена. Такие инструменты, как Mimikatz, используются для извлечения учетных данных из памяти, что позволяет осуществлять горизонтальное перемещение по сети. На протяжении всей атаки SafePay осуществляет непрерывный сбор учетных данных, ориентируясь на сохраненные учетные данные в различных приложениях. Этому процессу способствуют общие административные ресурсы, а также пакетные файлы и сценарии PowerShell для поддержания видимости нормальной работы.

Перед развертыванием полезной нагрузки программы-вымогателя SafePay тратит дни на сбор конфиденциальных данных, ручную и автоматическую идентификацию ценных файлов, которые они сжимают и удаляют с помощью инструментов, минимизирующих риск обнаружения. Их метод шифрования надежен, он включает в себя надежные алгоритмы и переименование файлов с расширением .safepay. Кроме того, они стремятся исключить потенциальные возможности восстановления, ориентируясь на резервные копии и гипервизоры, критически важные для инфраструктуры организации, что максимально увеличивает давление на жертв, вынуждая их выполнять требования о выкупе.

#ParsedReport #CompletenessMedium
01-08-2025

Plague: A Newly Discovered PAM-Based Backdoor for Linux

https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux/

Report completeness: Medium

Threats:
Plague
Antidebugging_technique

Industry:
Software_development

Geo:
China, Usa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1078.003, T1146, T1497, T1505.002

IOCs:
Hash: 7
File: 10

Soft:
Linux, Debian, Ubuntu

Algorithms:
xor

Functions:
Runner

Languages:
python

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Plague - это скрытый бэкдор для Linux, функционирующий как подключаемый модуль аутентификации (PAM), позволяющий осуществлять постоянный доступ по SSH без обнаружения антивирусными системами. Он использует расширенные возможности обфускации, защиты от взлома и вмешательства в среду, такие как удаление данных о сеансе SSH и использование жестко заданных статических паролей для скрытого доступа.
-----

Недавние усилия по поиску угроз позволили обнаружить ранее незамеченный Linux-бэкдор, известный как Plague. Эта вредоносная программа работает как вредоносный подключаемый модуль аутентификации (PAM), который позволяет злоумышленникам обходить системную аутентификацию и поддерживать постоянный доступ по SSH. Примечательно, что образцы вируса Plague были загружены в VirusTotal без получения предупреждений от каких-либо антивирусных систем, что указывает на его скрытность и эффективность в обходе механизмов обнаружения. Низкий уровень обнаружения — 0 из 66 систем, помечающих образцы как вредоносные, - указывает на серьезный пробел в существующих мерах безопасности.

Дизайн Plague тщательно интегрируется со стеком аутентификации Linux, что позволяет ему выдерживать обновления системы, оставляя при этом минимум следов криминалистической экспертизы. Эта особенность в сочетании со сложными методами обфускации и вмешательства в среду делает его особенно трудным для идентификации с помощью обычных средств безопасности. Вредоносная программа продолжает работать, не привлекая внимания, демонстрируя риски, связанные с бэкдорами, которые используют важные системные компоненты, такие как PAM.

Изучение двоичных файлов позволяет выявить метаданные о версии компилятора, которые позволяют предположить, что эта вредоносная программа поддерживалась в течение длительного периода времени. Некоторые двоичные файлы удалены не полностью, что еще раз подтверждает столь длительную историю их использования. Хотя происхождение чумы остается неоднозначным, наличие раннего образца под названием "угон" может дать представление о ее происхождении.

Plague включает в себя несколько расширенных функций для повышения скрытности и стойкости. Средства защиты от взлома препятствуют обратному проектированию, в то время как сложные методы обфускации строк усложняют обнаружение. В первоначальных образцах использовалось простое XOR-шифрование, но в последующих версиях использовались более сложные процедуры шифрования, похожие на методы KSA и PRGA. В последних версиях даже реализован уровень детерминированного генератора случайных битов (DRBG), что значительно усложняет процесс извлечения.

Еще одним примечательным аспектом функциональности Plague является тщательная очистка среды выполнения. Программа активно удаляет любые свидетельства сеансов SSH, отключая такие переменные среды, как SSH_CONNECTION и SSH_CLIENT, и перенаправляя журналы истории команд в /dev/null. Такое превентивное вмешательство эффективно стирает цифровой след злоумышленника и позволяет избежать оставления следов, которые могли бы вызвать тревогу.

Бэкдор также содержит жестко запрограммированные статические пароли, позволяющие злоумышленникам получать скрытый доступ, не требуя аутентификации пользователя. Эта возможность еще больше усложняет обнаружение и устранение неполадок.

#ParsedReport #CompletenessMedium
01-08-2025

INSIDE QILIN RANSOMWARE AFFILIATEs PANEL

https://theravenfile.com/2025/08/01/inside-qilin-ransomware-affiliates-panel/

Report completeness: Medium

Actors/Campaigns:
Hastalamuerte
Qilin

Threats:
Qilin_ransomware
Mimikatz_tool
Themida_tool
Netexec_tool
Password_spray_technique
Kerberoasting_technique
Bloodhound_tool
Sqlmap_tool
Donpapi_tool
Realblindingedr_tool
Meshcentral_tool
Pyfuscator_tool
Chromekatz_tool
Chlonium_tool
Pypycatz_tool
Sharprdp_tool
Xenorat
Caro-kann_tool
Gophish_tool
Sigmapotato_tool
Cobalt_strike_tool
Elusivemice_tool
Hackbot_tool
Malleable_c2_tool
Follinapy_tool
Follina_vuln
Acunetix_tool
Log4shell_vuln
Spring4shell
Scarecrow
Subra_tool
Petitpotato_tool
Petitpotam_vuln
Empire_loader
Flaresolverr_tool
Amass_tool
Xsser_tool
Tamperdev_tool
Openbullet_tool

Victims:
Palau health ministry, Utsunomiya cancer center, Lee enterprises

Industry:
Healthcare

Geo:
Thailand, Palau, Russian

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2023-36025 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1809 (-)
- microsoft windows_10_21h2 (-)
- microsoft windows_10_22h2 (-)
have more...
CVE-2021-40444 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19060)
- microsoft windows_10_1607 (<10.0.14393.4651)
- microsoft windows_10_1809 (<10.0.17763.2183)
- microsoft windows_10_1909 (<10.0.18363.1801)
- microsoft windows_10_2004 (<10.0.19041.1237)
have more...
CVE-2024-30090 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...
CVE-2022-30190 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19325)
- microsoft windows_10_1607 (<10.0.14393.5192)
- microsoft windows_10_1809 (<10.0.17763.3046)
- microsoft windows_10_20h2 (<10.0.19042.1766)
- microsoft windows_10_21h1 (<10.0.19043.1766)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.005, T1021.002, T1027, T1047, T1055.012, T1059.001, T1059.003, T1105, T1110.003, have more...

IOCs:
Domain: 1
File: 4
Hash: 9
Path: 1

Soft:
Twitter, Windows Defender, Active Directory, MSSQL, Azure AD, DeepSeek, Windows installer, node.js, Chromium, AWVS, have more...

Crypto:
bitcoin

Algorithms:
sha1, md5, sha256

Functions:
Find-GH-POC

Languages:
python, powershell, javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Qilin, действующая как RaaS с 2022 года, атаковала более 600 жертв, используя такие инструменты, как Mimikatz для извлечения учетных данных и NetExec для использования Active Directory. Их тактика включает фишинг, повышение привилегий и использование CVE, что предполагает сложную операционную модель с потенциалом возникновения значительных угроз в будущем.
-----

Группа вымогателей Qilin, работающая по модели "Программа-вымогатель как услуга" (RaaS) с 2022 года, по сообщениям, атаковала более 600 жертв, включая такие заметные объекты, как Министерство здравоохранения Палау и онкологический центр Уцуномия. Появились сообщения о финансовой афере с участием одного из филиалов "hastalamuerte", который опубликовал предупреждение о мошеннических действиях, приведших к потере 48 тысяч долларов. Кроме того, другой пользователь, "Nova", утверждал, что многие аккаунты в партнерской сети находятся под наблюдением правоохранительных органов, что препятствует поступлению незаконных средств.

Среди технических достижений партнерская организация, в частности, использовала Mimikatz — инструмент информационной безопасности для извлечения учетных данных, который поставляется в комплекте с Themida — средством защиты от несанкционированного доступа. Образец Mimikatz был назван "mim.exe". Расследование в отношении этого партнера показало, что он использовал NetExec, инструмент с открытым исходным кодом, предназначенный для тестирования на проникновение в среды Active Directory. Этот инструмент обладает различными функциональными возможностями, включая сканирование уязвимостей, перечисление пользователей, удаленное выполнение команд, сброс учетных данных и многое другое, что делает его мощным средством для организации атак.

Другие инструменты, используемые филиалом, включают PowerHuntShares для аудита привилегий, RealBlindingEDR для компрометации антивирусных возможностей и различные библиотеки Python для написания сценариев. Такие инструменты, как Mythril для анализа байт-кода EVM, GoPhish для фишинга и ряд утилит для повышения привилегий, указывают на изощренную тактику, используемую для эксплуатации и уклонения.

Кроме того, партнер продемонстрировал интерес к торговле криптовалютами, используя Bitkub API для облегчения торговли и транзакций. На платформах обмена кодом, связанных с аффилированным лицом, были обнаружены взаимодействия с многочисленными распространенными уязвимостями, что повышает вероятность того, что эти уязвимости могут быть использованы в будущих операциях с программами-вымогателями.

Кроме того, инфраструктура группы программ-вымогателей Qilin, похоже, взаимосвязана, поскольку она использует одни и те же настройки сервера NGINX для своих партнерских панелей и панелей жертв, что потенциально позволяет выявить закономерности, которые могут помочь в установлении авторства. Если в системах жертв будут обнаружены инструменты, связанные с операциями Qilin, могут возникнуть серьезные основания связать эти инциденты с группой программ-вымогателей Qilin.

Раскрывающиеся подробности иллюстрируют сложную сеть хакерских операций, в основе которых лежит сочетание устоявшихся методов сбора учетных данных, инструментов эксплуатации и надежной экосистемы программ-вымогателей, основанной на сотрудничестве между филиалами. Эти мероприятия также подчеркивают риски, создаваемые появляющимися группами программ-вымогателей, и их постоянно меняющуюся тактику работы.

#ParsedReport #CompletenessLow
01-08-2025

North Korea's TraderTraitor Executes $1.5B Crypto Heist via Supply Chain Attack

https://www.secureblink.com/cyber-security-news/north-korea-s-trader-traitor-executes-1-5-b-crypto-heist-via-supply-chain-attack

Report completeness: Low

Actors/Campaigns:
Tradertraitor (motivation: financially_motivated)
Lazarus (motivation: financially_motivated)

Threats:
Supply_chain_technique
Rn_loader
Rn_stealer
Jump_cloud_tool

Victims:
Bybit, Dmm bitcoin, Ginco, Jumpcloud

Industry:
Financial, Software_development

Geo:
North korea, North korean

ChatGPT TTPs:
do not use without manual check
T1036, T1056.002, T1059.007, T1070.004, T1071.001, T1078, T1090, T1195.002, T1204.003, T1554, have more...

Soft:
macOS, Docker

Wallets:
bybit

Crypto:
bitcoin

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года северокорейская группа TraderTraitor осуществила сложную атаку на цепочку поставок Safe{Кошелек}, похитив 1,5 миллиарда долларов из Bybit с помощью социальной инженерии и вредоносного внедрения JavaScript. Этот инцидент подчеркивает растущую угрозу того, что спонсируемые государством киберпреступники используют уязвимости в цепочках поставок программного обеспечения, а Северная Корея, как сообщается, финансирует свои ракетные программы за счет таких краж.
-----

В феврале 2025 года северокорейская хакерская группа, известная как TraderTraitor, совершила значительный взлом в секторе криптовалют, похитив рекордные 1,5 миллиарда долларов с биржи Bybit с помощью сложной атаки на цепочку поставок на Safe {Wallet}, платформу для кошельков с несколькими подписями. Операция началась с целенаправленной схемы социальной инженерии 4 февраля, в ходе которой TraderTraitor скомпрометировали рабочую станцию разработчика macOS, представившись потенциальными рекрутерами в LinkedIn. Ничего не подозревающий разработчик загрузил вредоносный контейнер Docker под названием "MC-Based-Stock-Invest-Simulator-main", который впоследствии установил соединение с доменом управления.

Решающий этап операции начался 19 февраля, когда хакеры внедрили вредоносный JavaScript-код в веб-ресурсы Safe{Wallet}, размещенные на AWS, специально разработанные для мониторинга и манипулирования транзакциями с использованием холодного кошелька Bybit, оставаясь недоступными для других пользователей. Этот метод продемонстрировал высокий уровень изощренности в управлении и проведении их атаки. 21 февраля, когда сотрудники Bybit инициировали стандартный перевод в размере 7 миллионов долларов со своего холодного кошелька, введенный код был перехвачен и изменил параметры транзакции, чтобы перенаправить 401 000 ETH (на сумму около 1,5 миллиарда долларов) на кошельки, контролируемые злоумышленниками. Примечательно, что вредоносный код был удален из инфраструктуры Safe{Wallet} всего через две минуты после совершения кражи, что свидетельствует о передовых мерах оперативной безопасности и усложняет судебно-медицинскую экспертизу.

ФБР приписало эту операцию TraderTraitor, подгруппе, входящей в северокорейскую Lazarus Group, которая также действует под различными псевдонимами, включая Jade Sleet и UNC4899. Этот инцидент является частью тревожной тенденции к росту числа краж криптовалют, приписываемых Северной Корее: по оценкам, в ходе 47 отдельных инцидентов в течение 2024 года было украдено 1,34 миллиарда долларов. Анализ разведывательных данных показывает, что до 50% валютных поступлений Северной Кореи поступает от этой киберпреступной деятельности, а полученные средства, как сообщается, используются для финансирования баллистических ракет и ядерной программы страны.

Стратегический подход TraderTraitor характеризуется использованием уязвимостей цепочки поставок, о чем свидетельствуют прошлые успешные операции, такие как взлом DMM Bitcoin, когда аналогичная тактика социальной инженерии способствовала внедрению пользовательского вредоносного ПО. Недавняя проверка в секторе криптовалют привела к тому, что организации пересмотрели свои методы обеспечения безопасности цепочки поставок, сосредоточив внимание на проверке зависимостей программного обеспечения и внедрении проверки подписи кода. После инцидента с Bybit предпринимаются значительные усилия по пересмотру процессов подписания транзакций и усилению контроля целостности пользовательских интерфейсов на платформах, использующих решения с несколькими подписями. Это нарушение подчеркивает растущую изощренность спонсируемых государством киберпреступников и их способность использовать уязвимости в сложных цепочках поставок программного обеспечения.

#ParsedReport #CompletenessMedium
01-08-2025

Unmasking Interlock Group's Evolving Malware Arsenal

https://www.esentire.com/blog/unmasking-interlock-groups-evolving-malware-arsenal

Report completeness: Medium

Actors/Campaigns:
Interlock (motivation: information_theft)

Threats:
More_eggs
Interlockrat
Clickfix_technique
Kongtuke
Interlock
Lolbin_technique
Nodesnake

Geo:
America

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1005, T1012, T1016, T1027, T1033, T1036, T1041, T1055.012, T1057, have more...

IOCs:
File: 9
Path: 8
Url: 2
Command: 8
IP: 5

Algorithms:
zip, gzip, base64, xor

Functions:
bytearray, rand, srand, _time64

Win API:
CreateProcessW, MessageBoxW

Win Services:
WebClient

Languages:
python, javascript, php, powershell

YARA: Found

Links:
have more...
https://github.com/eSentire/iocs/blob/main/Interlock/interlock\_php\_c2\_pseudocode.py
https://github.com/eSentire/iocs/blob/main/Interlock/interlock\_backdoor\_simulate\_client.py
https://github.com/eSentire/iocs/tree/main/Interlock

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Interlock использует тактику вымогателей, начиная со взломанных веб-сайтов для социальной инженерии. Они используют команды PowerShell для доступа к системе и сложный бэкдор на основе PHP для разведки и утечки данных, используя методы сохранения и командного шифрования с несколькими стратегиями управления сервером C2.
-----

Группа Interlock, причастная к различным сложным кибератакам, использует в своей деятельности целый ряд вредоносных тактик и инструментов. В частности, эта банда вымогателей действует с сентября 2024 года, нацеливаясь на множество организаций по всей Северной Америке и Европе. Их использование начинается с использования взломанных веб-сайтов, таких как Kongtuke, которые используют тактику социальной инженерии с помощью ClickFix для перенаправления жертв на вредоносные страницы. Жертвы принуждаются к выполнению вредоносных команд PowerShell, которые облегчают первоначальный доступ к их системам.

Как только жертва выполняет вредоносную команду, она взаимодействует с сервером управления (C2) и создает ярлык Windows, который запускает двоичный файл, называемый "Simple Process Launcher" (c2.exe). Этот компонент использует Windows API CreateProcessW для запуска дополнительных команд PowerShell, что позволяет выполнять обширную разведку и фильтрацию данных. Важным аспектом этой операции является использование сильно запутанного бэкдора на базе PHP, получившего название "config.cfg", предназначенного для поддержки нескольких команд, включая удаленное выполнение команд и манипулирование данными.

Ключевые функции бэкдора Interlock включают в себя снятие отпечатков пальцев с системы жертвы, сбор такой информации, как сведения об операционной системе, имена пользователей и сетевые домены, и передачу данных на сервер C2. Если сервер подтверждает, что среда не является виртуальной машиной или изолированной средой, он отправляет вредоносные команды для дальнейшего использования; в противном случае он выдает безопасные команды.

Interlock RAT использует методы для обеспечения постоянства в целевых системах, создавая ярлыки Windows в папках автозагрузки и используя известные автономные двоичные файлы (LOLBins), такие как shell32.dll, для скрытного выполнения команд. Бэкдор также включает в себя возможности для загрузки и выполнения дополнительной полезной нагрузки, такой как NodeSnake RAT, которая используется для сбора файлов.

Кроме того, существует сложное управление связью с сервером C2. Бэкдор генерирует случайные ключи исключения для шифрования полезной нагрузки и команд, имитируя сложную структуру связи, которая угрожает системам-жертвам, создавая локальные резервные копии серверов C2 в случае потери подключения к основным. Такая конструкция позволяет хакеру сохранять контроль и продолжать выполнять команды даже при нарушении соединения с основным C2.

Группа Interlock демонстрирует глубокое понимание методов использования эксплойтов, включая использование самонастраивающихся библиотек DLL для удаления следов их присутствия в скомпрометированных системах. Для облегчения обнаружения бэкдора блокировки в памяти было разработано правило YARA, которое подчеркивает постоянную потребность в бдительности и передовых тактиках обнаружения в сфере кибербезопасности.

#ParsedReport #CompletenessLow
31-07-2025

Before ToolShell: Exploring Storm-2603s Previous Ransomware Operations

https://research.checkpoint.com/2025/before-toolshell-exploring-storm-2603s-previous-ransomware-operations/

Report completeness: Low

Actors/Campaigns:
Storm-2603
Emissary_panda
Apt31

Threats:
Toolshell_vuln
Ak47c2_tool
Masscan_tool
Byovd_technique
Dll_hijacking_technique
X2anylock
Lockbit
Dns_tunneling_technique
Avkiller
Terminator_tool
Qtox_tool

Geo:
Latin america, China, Latam, Chinese, Apac

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1046, T1057, T1059.003, T1071.001, T1071.004, T1105, T1190, T1486, T1562.001, T1574.002, have more...

IOCs:
Domain: 4
Hash: 21
File: 20
Path: 5
Command: 1

Soft:
PsExec, Microsoft SharePoint Server, Microsoft SharePoint

Links:
https://github.com/Richard-Tang/masscan-exe

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-2603 - это недавно выявленный хакер, использующий уязвимости Microsoft SharePoint Server с помощью пользовательского фреймворка вредоносного ПО "ak47c2" для операций C2. Они используют различные программы-вымогатели, в том числе LockBit Black, перехватывающие библиотеки DLL и пользовательский бэкдор для туннелирования DNS, и, как сообщается, нацелены на Латинскую Америку и Азиатско-Тихоокеанский регион.
-----

Исследовательская компания Check Point Research (CPR) провела углубленный анализ недавно выявленного хакера по имени Storm-2603, который связан с использованием уязвимостей Microsoft SharePoint Server, называемых в совокупности "ToolShell". Storm-2603 использует пользовательский фреймворк вредоносного ПО, известный как "ak47c2", который включает в себя как HTTP-клиенты ("ak47http"), так и DNS-клиенты ("ak47dns") для управления операциями (C2). Предполагается, что в первой половине 2025 года группа нацелилась на организации в основном в Латинской Америке, а также на операции в Азиатско-Тихоокеанском регионе. Методы, тактика и процедуры (TTP), используемые Storm-2603, имеют сходство с действиями, наблюдаемыми в других группах программ-вымогателей, в частности, с использованием таких распространенных инструментов, как PsExec и massscan.

В основе эксплойтов ToolShell лежит множество уязвимостей (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771), которые были приписаны нескольким китайским APT-группам, включая Linen Typhoon (APT27) и Violet Typhoon (APT31). Microsoft связала Storm-2603 с деятельностью программ-вымогателей, в частности, указав на использование ими LockBit Black и Warlock (также известных как x2anylock).

Одним из отличительных аспектов подхода Storm-2603 является одновременное развертывание различных семейств программ-вымогателей, часто с использованием таких методов, как перехват библиотек DLL. Анализ образцов вредоносных программ, полученных в ходе операций группы, позволил получить подробную информацию об их инфраструктуре и методах работы. В одном примечательном случае архив RAR, загруженный на VirusTotal, содержал артефакты, в том числе инструменты с открытым исходным кодом и пользовательский бэкдор под названием "dnsclient.exe". Этот бэкдор взаимодействует посредством туннелирования DNS с доменом, связанным с субъектом, используя ряд методов кодирования для установления связи C2.

Инструментарий злоумышленника также включает в себя программу, называемую "Antivirus Terminator", которая использует законный драйвер для отключения антивирусных процессов, повышая вероятность успешного выполнения их вредоносного ПО. Методы работы Storm-2603 включают использование стандартных инструментов командной строки и пользовательских программ-вымогателей, что иллюстрирует тенденцию к развертыванию нескольких видов программ-вымогателей во время одной атаки. Эти разновидности включают в себя уникальные соглашения об именовании их уведомлений о выкупе, которые содержат стандартный текст, содержащий инструкции и контактную информацию для участников.

В ходе продолжительного анализа CPR определила, что Storm-2603 представляет собой новый вектор угрозы в сфере киберпреступной деятельности, связанной с группами, связанными с Китаем, что подчеркивает важность постоянной бдительности и стратегий реагирования для противодействия этим сложным и эволюционирующим угрозам.

#ParsedReport #CompletenessMedium
01-08-2025

Unpacking ShadowCoils (RansomHub Ex-affiliate) Credential Harvesting Tool

https://www.esentire.com/blog/unpacking-shadowcoils-ransomhub-ex-affiliate-credential-harvesting-tool

Report completeness: Medium

Actors/Campaigns:
Shadowcoil

Threats:
Credential_harvesting_technique
Ransomhub
More_eggs
Socgholish_loader

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.006, T1140

IOCs:
IP: 1
Domain: 1
Url: 1
File: 1
Hash: 3

Soft:
Google Chrome, Microsoft Edge

Algorithms:
base64, sha256, xor, chacha20, blake3, aes-256, pbkdf2, aes-128

Functions:
pc_start

Win API:
CryptUnprotectData

Languages:
python

YARA: Found

Links:
https://github.com/eSentire/iocs/tree/main/ShadowCoil
https://github.com/eSentire/iocs/blob/main/ShadowCoil/shadowcoil\_unpacker.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хакеры использовали вредоносное ПО SocGholish для развертывания инструмента Python для извлечения паролей из браузеров, связанного с ShadowCoil group, ранее входившей в RansomHub. Для обнаружения этого эволюционирующего механизма кражи паролей было разработано специальное правило Yara, подчеркивающее необходимость проявлять бдительность в отношении тактики повторного использования.
-----

В конце июля 2025 года хакеры использовали вредоносное ПО SocGholish (также известное как FakeUpdates) для сбора системной информации и развертывания инструмента на основе Python, предназначенного для извлечения паролей из браузеров Google Chrome и Microsoft Edge. Расследование этого инцидента выявило потенциальную причастность к ShadowCoil, бывшему партнеру RansomHub по разработке программ-вымогателей как услуги, которая действовала с февраля 2024 года до ее прекращения в апреле 2025 года. TRU выразил среднюю уверенность в этой связи, указав, что рассматриваемый инструмент представляет собой особый механизм кражи паролей, основанный на тактике, ранее применявшейся в партнерской деятельности RansomHub.

Анализ нового скрипта на Python, который можно загрузить с сайта VirusTotal, показал, что он работает, просматривая каталоги пользовательских данных, связанные с целевыми браузерами. Первоначальные оценки, которые были ошибочно приняты за другой бэкдор, ранее документированный, показали, что скрипт нацелен на сбор учетных данных. При распаковке скрипта было обнаружено несколько ключевых функций, в частности, те, которые предназначены для поиска папок "Пользовательские данные" и доступа к ним, что является неотъемлемой частью получения сохраненных паролей.

Чтобы облегчить обнаружение этой недавно выявленной угрозы, было введено специальное правило Yara, направленное на идентификацию сценариев Python, упакованных идентифицированным упаковщиком, которые обычно использовались в предыдущих инцидентах с RansomHub. Это правило Yara служит практическим инструментом для специалистов в области кибербезопасности, стремящихся расширить свои возможности по поиску угроз в борьбе с этими развивающимися инструментами для кражи паролей.

Эти выводы подчеркивают постоянную эволюцию хакеров и необходимость постоянной бдительности в сфере кибербезопасности, особенно в связи с тем, что тактика прошлых групп вымогателей проявляется в новых обличьях.

#ParsedReport #CompletenessHigh
29-07-2025

Auto-Color Backdoor: How Darktrace Thwarted a Stealthy Linux Intrusion

https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion

Report completeness: High

Actors/Campaigns:
Blindeagle
0ktapus (motivation: financially_motivated)
Dragonforce

Threats:
Auto-color
Credential_harvesting_technique
Supershell
Aitm_technique
Shadowpad
Remcos_rat
Zerologon_vuln
Anydesk_tool
Systembc
Ransomhub
Sim_swapping_technique
Lolbin_technique
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Teamviewer_tool
Teleport_tool
Byovd_technique
Smishing_technique
Blackcat
Qilin_ransomware
Dns_tunneling_technique

Victims:
Us-based chemicals company, Universities, Government institutions, Public transport provider, Twilio, Mailchimp, Riot games, Caesars entertainment, Mgm resorts international, Marks & spencer, have more...

Industry:
Financial, Critical_infrastructure, Government, Entertainment, Telco, Chemical, Education, Retail

Geo:
America, China, American, Asia, Asian, Colombia, Germany, Latin america

CVEs:
CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum_spark_firmware (r80.40)

CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 11
Technics: 28

IOCs:
File: 8
Domain: 2
IP: 28
Url: 2
Hash: 1

Soft:
Linux, SAP NetWeaver, Unix, WinSCP, Telegram, Pulseway, Active Directory

Algorithms:
sha256

Functions:
dladdr

Languages:
swift

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 17