#ParsedReport #CompletenessLow
31-07-2025

Before ToolShell: Exploring Storm-2603s Previous Ransomware Operations

https://research.checkpoint.com/2025/before-toolshell-exploring-storm-2603s-previous-ransomware-operations/

Report completeness: Low

Actors/Campaigns:
Storm-2603
Emissary_panda
Apt31

Threats:
Toolshell_vuln
Ak47c2_tool
Masscan_tool
Byovd_technique
Dll_hijacking_technique
X2anylock
Lockbit
Dns_tunneling_technique
Avkiller
Terminator_tool
Qtox_tool

Geo:
Latin america, China, Latam, Chinese, Apac

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1046, T1057, T1059.003, T1071.001, T1071.004, T1105, T1190, T1486, T1562.001, T1574.002, have more...

IOCs:
Domain: 4
Hash: 21
File: 20
Path: 5
Command: 1

Soft:
PsExec, Microsoft SharePoint Server, Microsoft SharePoint

Links:
https://github.com/Richard-Tang/masscan-exe

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-2603 - это недавно выявленный хакер, использующий уязвимости Microsoft SharePoint Server с помощью пользовательского фреймворка вредоносного ПО "ak47c2" для операций C2. Они используют различные программы-вымогатели, в том числе LockBit Black, перехватывающие библиотеки DLL и пользовательский бэкдор для туннелирования DNS, и, как сообщается, нацелены на Латинскую Америку и Азиатско-Тихоокеанский регион.
-----

Исследовательская компания Check Point Research (CPR) провела углубленный анализ недавно выявленного хакера по имени Storm-2603, который связан с использованием уязвимостей Microsoft SharePoint Server, называемых в совокупности "ToolShell". Storm-2603 использует пользовательский фреймворк вредоносного ПО, известный как "ak47c2", который включает в себя как HTTP-клиенты ("ak47http"), так и DNS-клиенты ("ak47dns") для управления операциями (C2). Предполагается, что в первой половине 2025 года группа нацелилась на организации в основном в Латинской Америке, а также на операции в Азиатско-Тихоокеанском регионе. Методы, тактика и процедуры (TTP), используемые Storm-2603, имеют сходство с действиями, наблюдаемыми в других группах программ-вымогателей, в частности, с использованием таких распространенных инструментов, как PsExec и massscan.

В основе эксплойтов ToolShell лежит множество уязвимостей (CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771), которые были приписаны нескольким китайским APT-группам, включая Linen Typhoon (APT27) и Violet Typhoon (APT31). Microsoft связала Storm-2603 с деятельностью программ-вымогателей, в частности, указав на использование ими LockBit Black и Warlock (также известных как x2anylock).

Одним из отличительных аспектов подхода Storm-2603 является одновременное развертывание различных семейств программ-вымогателей, часто с использованием таких методов, как перехват библиотек DLL. Анализ образцов вредоносных программ, полученных в ходе операций группы, позволил получить подробную информацию об их инфраструктуре и методах работы. В одном примечательном случае архив RAR, загруженный на VirusTotal, содержал артефакты, в том числе инструменты с открытым исходным кодом и пользовательский бэкдор под названием "dnsclient.exe". Этот бэкдор взаимодействует посредством туннелирования DNS с доменом, связанным с субъектом, используя ряд методов кодирования для установления связи C2.

Инструментарий злоумышленника также включает в себя программу, называемую "Antivirus Terminator", которая использует законный драйвер для отключения антивирусных процессов, повышая вероятность успешного выполнения их вредоносного ПО. Методы работы Storm-2603 включают использование стандартных инструментов командной строки и пользовательских программ-вымогателей, что иллюстрирует тенденцию к развертыванию нескольких видов программ-вымогателей во время одной атаки. Эти разновидности включают в себя уникальные соглашения об именовании их уведомлений о выкупе, которые содержат стандартный текст, содержащий инструкции и контактную информацию для участников.

В ходе продолжительного анализа CPR определила, что Storm-2603 представляет собой новый вектор угрозы в сфере киберпреступной деятельности, связанной с группами, связанными с Китаем, что подчеркивает важность постоянной бдительности и стратегий реагирования для противодействия этим сложным и эволюционирующим угрозам.

#ParsedReport #CompletenessMedium
01-08-2025

Unpacking ShadowCoils (RansomHub Ex-affiliate) Credential Harvesting Tool

https://www.esentire.com/blog/unpacking-shadowcoils-ransomhub-ex-affiliate-credential-harvesting-tool

Report completeness: Medium

Actors/Campaigns:
Shadowcoil

Threats:
Credential_harvesting_technique
Ransomhub
More_eggs
Socgholish_loader

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.006, T1140

IOCs:
IP: 1
Domain: 1
Url: 1
File: 1
Hash: 3

Soft:
Google Chrome, Microsoft Edge

Algorithms:
base64, sha256, xor, chacha20, blake3, aes-256, pbkdf2, aes-128

Functions:
pc_start

Win API:
CryptUnprotectData

Languages:
python

YARA: Found

Links:
https://github.com/eSentire/iocs/tree/main/ShadowCoil
https://github.com/eSentire/iocs/blob/main/ShadowCoil/shadowcoil\_unpacker.py

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хакеры использовали вредоносное ПО SocGholish для развертывания инструмента Python для извлечения паролей из браузеров, связанного с ShadowCoil group, ранее входившей в RansomHub. Для обнаружения этого эволюционирующего механизма кражи паролей было разработано специальное правило Yara, подчеркивающее необходимость проявлять бдительность в отношении тактики повторного использования.
-----

В конце июля 2025 года хакеры использовали вредоносное ПО SocGholish (также известное как FakeUpdates) для сбора системной информации и развертывания инструмента на основе Python, предназначенного для извлечения паролей из браузеров Google Chrome и Microsoft Edge. Расследование этого инцидента выявило потенциальную причастность к ShadowCoil, бывшему партнеру RansomHub по разработке программ-вымогателей как услуги, которая действовала с февраля 2024 года до ее прекращения в апреле 2025 года. TRU выразил среднюю уверенность в этой связи, указав, что рассматриваемый инструмент представляет собой особый механизм кражи паролей, основанный на тактике, ранее применявшейся в партнерской деятельности RansomHub.

Анализ нового скрипта на Python, который можно загрузить с сайта VirusTotal, показал, что он работает, просматривая каталоги пользовательских данных, связанные с целевыми браузерами. Первоначальные оценки, которые были ошибочно приняты за другой бэкдор, ранее документированный, показали, что скрипт нацелен на сбор учетных данных. При распаковке скрипта было обнаружено несколько ключевых функций, в частности, те, которые предназначены для поиска папок "Пользовательские данные" и доступа к ним, что является неотъемлемой частью получения сохраненных паролей.

Чтобы облегчить обнаружение этой недавно выявленной угрозы, было введено специальное правило Yara, направленное на идентификацию сценариев Python, упакованных идентифицированным упаковщиком, которые обычно использовались в предыдущих инцидентах с RansomHub. Это правило Yara служит практическим инструментом для специалистов в области кибербезопасности, стремящихся расширить свои возможности по поиску угроз в борьбе с этими развивающимися инструментами для кражи паролей.

Эти выводы подчеркивают постоянную эволюцию хакеров и необходимость постоянной бдительности в сфере кибербезопасности, особенно в связи с тем, что тактика прошлых групп вымогателей проявляется в новых обличьях.

#ParsedReport #CompletenessHigh
29-07-2025

Auto-Color Backdoor: How Darktrace Thwarted a Stealthy Linux Intrusion

https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion

Report completeness: High

Actors/Campaigns:
Blindeagle
0ktapus (motivation: financially_motivated)
Dragonforce

Threats:
Auto-color
Credential_harvesting_technique
Supershell
Aitm_technique
Shadowpad
Remcos_rat
Zerologon_vuln
Anydesk_tool
Systembc
Ransomhub
Sim_swapping_technique
Lolbin_technique
Mfa_bombing_technique
Mimikatz_tool
Ngrok_tool
Teamviewer_tool
Teleport_tool
Byovd_technique
Smishing_technique
Blackcat
Qilin_ransomware
Dns_tunneling_technique

Victims:
Us-based chemicals company, Universities, Government institutions, Public transport provider, Twilio, Mailchimp, Riot games, Caesars entertainment, Mgm resorts international, Marks & spencer, have more...

Industry:
Financial, Critical_infrastructure, Government, Entertainment, Telco, Chemical, Education, Retail

Geo:
America, China, American, Asia, Asian, Colombia, Germany, Latin america

CVEs:
CVE-2024-24919 [Vulners]
CVSS V3.1: 8.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- checkpoint quantum_spark_firmware (r80.40)

CVE-2025-31324 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sap netweaver (7.50)

CVE-2024-43451 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 11
Technics: 28

IOCs:
File: 8
Domain: 2
IP: 28
Url: 2
Hash: 1

Soft:
Linux, SAP NetWeaver, Unix, WinSCP, Telegram, Pulseway, Active Directory

Algorithms:
sha256

Functions:
dladdr

Languages:
swift

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 17

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2025 года вредоносная программа Auto-Color использовала CVE-2025-31324 в SAP NetWeaver, что позволило загружать файлы и, возможно, выполнять удаленный код. Этот троян для удаленного доступа (RAT) нацелен на системы Linux, динамически корректируя свою полезную нагрузку в зависимости от привилегий пользователя. Другой хакер, Scattered Spider, использует социальную инженерию и тактику "Программы-вымогатели как услуга", подчеркивая необходимость устранения уязвимостей в организациях и усиления мер безопасности.
-----

В апреле 2025 года вредоносная программа Auto-Color атаковала американскую химическую компанию, используя критическую уязвимость CVE-2025-31324 в SAP NetWeaver. Уязвимость позволяет загружать файлы на сервер приложений, что создает риск удаленного выполнения кода. Auto-Color относится к категории троянских программ для удаленного доступа (RAT) и в первую очередь нацелен на системы Linux, особенно на университеты и правительственные организации. Вредоносная программа корректирует свое поведение в зависимости от привилегий пользователя: она ограничивает функции без root-доступа и развертывает более широкую полезную нагрузку с повышенными привилегиями, включая установку вредоносной библиотеки **libcext.so.2**. Эта библиотека обеспечивает сохранение, изменяя **/etc/ld.so.preload** для скрытности. Auto-Color маскирует свой двоичный файл как "**/var/log/cross/auto-color**", чтобы скрыть свое присутствие при подключении к жестко запрограммированным серверам управления по протоколу TLS.

Он использует модульный протокол C2 для различных вредоносных действий, включая обратные оболочки и профилирование системы, и отключает функциональность, если не удается подключиться к серверам C2, что усложняет анализ. В ходе расследования Darktrace выявила необычные запросы DNS и неожиданные загрузки файлов ELF, что согласуется с использованием CVE-2025-31324.

Хакерская группировка Scattered Spider использует тактику, аналогичную автоматической раскраске, но фокусируется на социальной инженерии и программ-вымогателей как услуг (RaaS). Они используют фишинговую тактику для кражи учетных данных и перемещения по сети с помощью знакомых инструментов удаленного доступа. К таким методам относятся злонамеренное использование законных инструментов, использование уязвимых драйверов и SMS-фишинг. Scattered Spider демонстрирует финансовую мотивацию и оперативную адаптируемость, что связано с громкими атаками, связанными с утечкой данных и внедрением систем RaaS, таких как DragonForce и BlackCat. Растущая сложность таких вредоносных атак подчеркивает необходимость устранения организациями уязвимостей, таких как CVE-2025-31324, и внедрения надежных мер безопасности, таких как многофакторная аутентификация.

#ParsedReport #CompletenessLow
03-08-2025

Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN Copy

https://arcticwolf.com/resources/blog-uk/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn-copy/

Report completeness: Low

Threats:
Akira_ransomware

Victims:
Sonicwall firewall devices, Organizations

ChatGPT TTPs:
do not use without manual check
T1078, T1133, T1190

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года участились атаки программ-вымогателей, использующих SSL-VPN SonicWall, используя VPS-хостинг для несанкционированного доступа. Организациям следует отключить SSL-VPN до исправления, внедрить MFA и управлять учетными записями пользователей для снижения рисков. Рекомендуется проанализировать и потенциально заблокировать подозрительные ASN, связанные с этой угрозой, но необходимо соблюдать осторожность, чтобы избежать сбоев в работе.
-----

В конце июля 2025 года Arctic Wolf обнаружила заметный всплеск атак программ-вымогателей, нацеленных на устройства с брандмауэром SonicWall, в частности, использующие SonicWall SSL VPN для первоначального доступа. Этот рост активности, начавшийся примерно 15 июля 2025 года, следует за тенденцией вредоносных входов в систему через VPN, которая наблюдается как минимум с октября 2024 года. Во время наблюдаемых вторжений был отмечен короткий промежуток времени между первоначальным доступом через SSL VPN и внедрением шифрования с помощью программ-вымогателей. В отличие от законных VPN-логинов, которые обычно используются в сетях провайдеров широкополосного доступа в Интернет, хакеры используют хостинг виртуальных частных серверов (VPS) для аутентификации VPN-доступа в скомпрометированных средах.

Учитывая потенциальное существование уязвимости нулевого дня в сетях SonicWall SSL VPN, организациям рекомендуется рассмотреть возможность отключения службы SSL VPN до тех пор, пока не будет выпущено и внедрено соответствующее исправление безопасности. Чтобы усилить защиту от этой кампании вымогателей, организациям рекомендуется включить все соответствующие службы безопасности, в частности защиту от ботнетов, для обнаружения злоумышленников, нацеленных на конечные точки SSL VPN. Для всех форм удаленного доступа следует применять многофакторную аутентификацию (MFA), чтобы снизить риски, связанные со злоупотреблением учетными данными. Кроме того, крайне важно исключить неактивные или неиспользуемые учетные записи пользователей локального брандмауэра с помощью SSL VPN-доступа, а также обеспечить соблюдение правил использования паролей путем регулярного обновления паролей для всех учетных записей.

Чтобы еще больше снизить риск вредоносной активности через VPN, организациям следует проанализировать номера автономных систем (ASN), связанные с хостингом, связанные с этой угрозой, и рассмотреть возможность блокировки соответствующих диапазонов CIDR во время аутентификации через VPN. Важно отметить, что, хотя эти сети по своей сути не являются вредоносными, их использование для аутентификации через VPN может существенно повысить риск подозрительной активности. Блокирование всего трафика из этих ASN без разбора может привести к значительным сбоям в работе, поэтому рекомендуется соблюдать осторожность при осуществлении таких мер. Кроме того, предыдущие показатели компрометации (IOCs), связанные с вредоносной активностью, задокументированные в исследовании Arctic Wolf, проведенном в октябре 2024 года, все еще могут быть актуальны, но не были обнаружены в текущем кластере атак.

#ParsedReport #CompletenessLow
30-07-2025

Attackers abusing Proofpoint & Intermedia link wrapping to deliver phishing payloads

https://www.cloudflare.com/en-au/threat-intelligence/research/report/attackers-abusing-proofpoint-intermedia-link-wrapping-to-deliver-phishing-payloads/

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Proofpoint-protected email users, Intermedia-protected organization email users, Microsoft office 365 users, Microsoft teams users, General email users

Industry:
Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1204, T1566.001, T1566.002

IOCs:
Url: 2
Domain: 1
File: 3

Soft:
Microsoft Office 365, Microsoft Teams

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с июня по июль 2025 года злоумышленники использовали функции переноса ссылок в Proofpoint и Intermedia для обхода защиты от фишинга и перенаправления пользователей на сайты, на которых происходит сбор учетных данных, через скомпрометированные учетные записи. Они скрывали вредоносные ссылки, используя средства сокращения URL-адресов, и принудительно закрывали их, тем самым повышая доверие к ссылкам и повышая вероятность успеха фишинга. Cloudflare Email Security разрабатывает модели обнаружения для борьбы с этими развивающимися угрозами.
-----

В период с июня по июль 2025 года команда Cloudflare по защите электронной почты выявила ряд действий киберпреступников, которые использовали функции переноса ссылок в Proofpoint и Intermedia для проведения фишинговых атак. Перенос ссылок, предназначенный для повышения безопасности пользователей путем перенаправления URL-адресов с помощью службы сканирования перед переходом по ссылке, позволяет законным службам эффективно блокировать известные вредоносные домены. Однако злоумышленники обходят эти средства защиты, используя не помеченные тегами обернутые ссылки для перенаправления жертв на фишинговые страницы Microsoft Office 365.

Основная цель таких кампаний - получить несанкционированный доступ к учетным записям электронной почты, которые используют средства защиты Proofpoint. Это использование позволяет злоумышленникам "отмывать" вредоносные URL-адреса, придавая им законный вид в процессе обработки. Этот метод обычно предполагает использование скомпрометированных учетных записей для распространения фишинговых ссылок, которые в дальнейшем скрываются с помощью многоуровневых методов перенаправления. Например, злоумышленники используют общедоступные средства сокращения URL-адресов, такие как Bitly, для маскировки своих вредоносных ссылок, которые затем обрабатываются Proofpoint, прежде чем попасть к жертве, создавая сложную цепочку перенаправлений, завершающуюся фишинговым сайтом, предназначенным для кражи учетных данных.

Многие фишинговые электронные письма в этом контексте маскируются под законные сообщения, такие как уведомления голосовой почты или общедоступные документы Microsoft Teams, что в конечном итоге приводит к сбору учетных данных. Презентации призваны укрепить доверие пользователей, повысив вероятность перехода по ссылкам благодаря их легитимности.

Аналогичным образом, злоумышленники, использующие скомпрометированные учетные записи электронной почты Intermedia для отправки фишинговых писем через организацию, злоупотребляли функциями переноса ссылок. Поскольку контент исходил из надежных учетных записей, Intermedia автоматически переписывала ссылки, приводя пользователей на мошеннические страницы, скрытые за знакомыми URL-адресами.

Главная опасность таких фишинговых кампаний связана с доверием к сервисам переноса ссылок. Маскируя вредоносные URL-адреса фирменными доменами, злоумышленники значительно повышают шансы на успешное заманивание жертв. Этот метод не только сопряжен с риском прямых финансовых потерь — предыдущие отчеты указывали на значительные совокупные убытки из—за фишинга, - но и способствует краже личных данных и длительному процессу восстановления жертв. Кроме того, поскольку фишинг упоминается в качестве основного метода взлома, использование доверенных доменов с помощью переноса ссылок подрывает традиционные меры безопасности, такие как фильтрация URL-адресов на основе репутации.

Чтобы смягчить эти угрозы, Cloudflare Email Security разработала специальные механизмы обнаружения, основанные на обширных данных о кампаниях и моделях машинного обучения, предназначенных для идентификации сообщений, содержащих скрытые URL-адреса. Эти усовершенствования направлены на усиление защиты от изощренной тактики переноса ссылок, которую в настоящее время используют киберпреступники.

#ParsedReport #CompletenessHigh
03-08-2025

FAKE TELEGRAM PREMIUM SITE DISTRIBUTES NEW LUMMA STEALER VARIANT

https://www.cyfirma.com/research/fake-telegram-premium-site-distributes-new-lumma-stealer-variant/

Report completeness: High

Threats:
Lumma_stealer
Credential_harvesting_technique
Process_injection_technique

Geo:
Germany

TTPs:
Tactics: 9
Technics: 24

IOCs:
File: 3
Domain: 10
Hash: 8
IP: 1

Soft:
TELEGRAM, Steam

Algorithms:
exhibit, sha256, sha1, md5

Functions:
FindNextFileExW

Win API:
CreateFileW, WriteFile, CopyFileW, MoveFileW, DeleteFileW, CreateDirectoryW, RemoveDirectoryW, SetFileAttributesW, SearchPathW, FindFirstFileW, have more...

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания, распространяющая разновидность вредоносного ПО Lumma Stealer через мошеннический домен telegrampremium.app. Вредоносное ПО, предназначенное для утечки данных, использует обфускацию, чтобы избежать обнаружения, и использует обманные методы для кражи учетных данных.
-----

CYFIRMA Threat Intelligence выявила вредоносную кампанию, использующую мошеннический домен telegrampremium.app, который выдает себя за официальный премиум-сервис Telegram, для распространения нового варианта вредоносной программы Lumma Stealer. Этот исполняемый файл с именем start.exe загружается автоматически, когда пользователи получают доступ к домену, без какого-либо требуемого взаимодействия с пользователем, что значительно повышает уровень угрозы, связанный с этой кампанией. Lumma Stealer способен извлекать конфиденциальные данные, такие как учетные данные браузера, информацию о криптовалютном кошельке и системные спецификации.

Вредоносная программа обладает высокой энтропией, что говорит о том, что она упакована с использованием методов обфускации, препятствующих обратному проектированию и обходящих традиционные средства безопасности. Он использует различные функции Windows API для взаимодействия с системой, позволяя ей считывать, записывать и изменять файлы, манипулировать реестром, выполнять дополнительную полезную нагрузку и легко встраиваться в рабочие процессы пользователей, что повышает его сохраняемость и возможности по краже данных. Примечательно, что поведение вредоносной программы включает в себя удаление нескольких файлов .jpg во временный каталог, которые не являются законными изображениями, а скорее содержат зашифрованные полезные данные, замаскированные под это расширение.

Домен был зарегистрирован недавно, что указывает на то, что он, вероятно, предназначен для краткосрочной вредоносной деятельности. Кроме того, вредоносное ПО обходит внутренние механизмы DNS, направляя DNS-запросы на общедоступный DNS-сервер Google, что демонстрирует стратегический подход к поддержанию надежной внешней связи для управления операциями. Кроме того, в рамках кампании демонстрируется использование имитации бренда и методов обмана, которые позволяют хакерам эффективно осуществлять кражу учетных данных и их эксфильтрацию.

Для устранения этой растущей угрозы в тексте подчеркивается необходимость принятия надежных мер кибербезопасности, включая передовые решения для защиты электронной почты от вредоносных исполняемых файлов, строгие правила в отношении вложений и загрузок с ненадежных доменов, а также внедрение протоколов аутентификации электронной почты для предотвращения подмены домена. Обучение сотрудников выявлению несанкционированных загрузок и подделок под службы также имеет решающее значение, наряду с регулярными тренировками по моделированию атак для повышения осведомленности. Организациям рекомендуется внедрять средства обнаружения конечных точек и реагирования на них (EDR) для быстрого обнаружения и устранения потенциальных заражений, блокирования доступа к вредоносным доменам и мониторинга сетевого трафика на предмет подозрительной активности. Поддержание взаимодействия с платформами анализа угроз, такими как CYFIRMA, и регулярное обновление инструментов безопасности с помощью специальных индикаторов компрометации (IOCs) могут еще больше укрепить защиту организации от появляющихся хакеров.

#ParsedReport #CompletenessHigh
03-08-2025

APT36: A PHISHING CAMPAIGN TARGETING INDIAN GOVERNMENT ENTITIES

https://www.cyfirma.com/research/apt36-a-phishing-campaign-targeting-indian-government-entities/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Steppy_kavach

Threats:
Typosquatting_technique
Credential_harvesting_technique
Watering_hole_technique
Clickfix_technique
Spear-phishing_technique

Victims:
Indian defense organizations, Indian government entities, Military, Embassies

Industry:
Transport, Ngo, Military, Government, Education, Critical_infrastructure, Aerospace

Geo:
Japan, Austria, Pakistani, Bulgaria, Nepal, Usa, Mongolia, Turkey, Netherlands, Australia, Botswana, China, Afghanistan, Belgium, Oman, Iran, Pakistan, Thailand, Kenya, Czech, Malaysia, Sweden, Azerbaijan, Romania, Saudi arabia, India, Kazakhstan, Canada, Spain, Germany, Indian

TTPs:
Tactics: 8
Technics: 13

IOCs:
IP: 5
Url: 1
Domain: 2

Algorithms:
exhibit

Languages:
visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4