#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2025 года вредоносная программа Auto-Color использовала CVE-2025-31324 в SAP NetWeaver, что позволило загружать файлы и, возможно, выполнять удаленный код. Этот троян для удаленного доступа (RAT) нацелен на системы Linux, динамически корректируя свою полезную нагрузку в зависимости от привилегий пользователя. Другой хакер, Scattered Spider, использует социальную инженерию и тактику "Программы-вымогатели как услуга", подчеркивая необходимость устранения уязвимостей в организациях и усиления мер безопасности.
-----

В апреле 2025 года вредоносная программа Auto-Color атаковала американскую химическую компанию, используя критическую уязвимость CVE-2025-31324 в SAP NetWeaver. Уязвимость позволяет загружать файлы на сервер приложений, что создает риск удаленного выполнения кода. Auto-Color относится к категории троянских программ для удаленного доступа (RAT) и в первую очередь нацелен на системы Linux, особенно на университеты и правительственные организации. Вредоносная программа корректирует свое поведение в зависимости от привилегий пользователя: она ограничивает функции без root-доступа и развертывает более широкую полезную нагрузку с повышенными привилегиями, включая установку вредоносной библиотеки **libcext.so.2**. Эта библиотека обеспечивает сохранение, изменяя **/etc/ld.so.preload** для скрытности. Auto-Color маскирует свой двоичный файл как "**/var/log/cross/auto-color**", чтобы скрыть свое присутствие при подключении к жестко запрограммированным серверам управления по протоколу TLS.

Он использует модульный протокол C2 для различных вредоносных действий, включая обратные оболочки и профилирование системы, и отключает функциональность, если не удается подключиться к серверам C2, что усложняет анализ. В ходе расследования Darktrace выявила необычные запросы DNS и неожиданные загрузки файлов ELF, что согласуется с использованием CVE-2025-31324.

Хакерская группировка Scattered Spider использует тактику, аналогичную автоматической раскраске, но фокусируется на социальной инженерии и программ-вымогателей как услуг (RaaS). Они используют фишинговую тактику для кражи учетных данных и перемещения по сети с помощью знакомых инструментов удаленного доступа. К таким методам относятся злонамеренное использование законных инструментов, использование уязвимых драйверов и SMS-фишинг. Scattered Spider демонстрирует финансовую мотивацию и оперативную адаптируемость, что связано с громкими атаками, связанными с утечкой данных и внедрением систем RaaS, таких как DragonForce и BlackCat. Растущая сложность таких вредоносных атак подчеркивает необходимость устранения организациями уязвимостей, таких как CVE-2025-31324, и внедрения надежных мер безопасности, таких как многофакторная аутентификация.

#ParsedReport #CompletenessLow
03-08-2025

Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN Copy

https://arcticwolf.com/resources/blog-uk/arctic-wolf-observes-july-2025-uptick-in-akira-ransomware-activity-targeting-sonicwall-ssl-vpn-copy/

Report completeness: Low

Threats:
Akira_ransomware

Victims:
Sonicwall firewall devices, Organizations

ChatGPT TTPs:
do not use without manual check
T1078, T1133, T1190

Soft:
Linux

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года участились атаки программ-вымогателей, использующих SSL-VPN SonicWall, используя VPS-хостинг для несанкционированного доступа. Организациям следует отключить SSL-VPN до исправления, внедрить MFA и управлять учетными записями пользователей для снижения рисков. Рекомендуется проанализировать и потенциально заблокировать подозрительные ASN, связанные с этой угрозой, но необходимо соблюдать осторожность, чтобы избежать сбоев в работе.
-----

В конце июля 2025 года Arctic Wolf обнаружила заметный всплеск атак программ-вымогателей, нацеленных на устройства с брандмауэром SonicWall, в частности, использующие SonicWall SSL VPN для первоначального доступа. Этот рост активности, начавшийся примерно 15 июля 2025 года, следует за тенденцией вредоносных входов в систему через VPN, которая наблюдается как минимум с октября 2024 года. Во время наблюдаемых вторжений был отмечен короткий промежуток времени между первоначальным доступом через SSL VPN и внедрением шифрования с помощью программ-вымогателей. В отличие от законных VPN-логинов, которые обычно используются в сетях провайдеров широкополосного доступа в Интернет, хакеры используют хостинг виртуальных частных серверов (VPS) для аутентификации VPN-доступа в скомпрометированных средах.

Учитывая потенциальное существование уязвимости нулевого дня в сетях SonicWall SSL VPN, организациям рекомендуется рассмотреть возможность отключения службы SSL VPN до тех пор, пока не будет выпущено и внедрено соответствующее исправление безопасности. Чтобы усилить защиту от этой кампании вымогателей, организациям рекомендуется включить все соответствующие службы безопасности, в частности защиту от ботнетов, для обнаружения злоумышленников, нацеленных на конечные точки SSL VPN. Для всех форм удаленного доступа следует применять многофакторную аутентификацию (MFA), чтобы снизить риски, связанные со злоупотреблением учетными данными. Кроме того, крайне важно исключить неактивные или неиспользуемые учетные записи пользователей локального брандмауэра с помощью SSL VPN-доступа, а также обеспечить соблюдение правил использования паролей путем регулярного обновления паролей для всех учетных записей.

Чтобы еще больше снизить риск вредоносной активности через VPN, организациям следует проанализировать номера автономных систем (ASN), связанные с хостингом, связанные с этой угрозой, и рассмотреть возможность блокировки соответствующих диапазонов CIDR во время аутентификации через VPN. Важно отметить, что, хотя эти сети по своей сути не являются вредоносными, их использование для аутентификации через VPN может существенно повысить риск подозрительной активности. Блокирование всего трафика из этих ASN без разбора может привести к значительным сбоям в работе, поэтому рекомендуется соблюдать осторожность при осуществлении таких мер. Кроме того, предыдущие показатели компрометации (IOCs), связанные с вредоносной активностью, задокументированные в исследовании Arctic Wolf, проведенном в октябре 2024 года, все еще могут быть актуальны, но не были обнаружены в текущем кластере атак.

#ParsedReport #CompletenessLow
30-07-2025

Attackers abusing Proofpoint & Intermedia link wrapping to deliver phishing payloads

https://www.cloudflare.com/en-au/threat-intelligence/research/report/attackers-abusing-proofpoint-intermedia-link-wrapping-to-deliver-phishing-payloads/

Report completeness: Low

Threats:
Cloaking_technique

Victims:
Proofpoint-protected email users, Intermedia-protected organization email users, Microsoft office 365 users, Microsoft teams users, General email users

Industry:
Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1204, T1566.001, T1566.002

IOCs:
Url: 2
Domain: 1
File: 3

Soft:
Microsoft Office 365, Microsoft Teams

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с июня по июль 2025 года злоумышленники использовали функции переноса ссылок в Proofpoint и Intermedia для обхода защиты от фишинга и перенаправления пользователей на сайты, на которых происходит сбор учетных данных, через скомпрометированные учетные записи. Они скрывали вредоносные ссылки, используя средства сокращения URL-адресов, и принудительно закрывали их, тем самым повышая доверие к ссылкам и повышая вероятность успеха фишинга. Cloudflare Email Security разрабатывает модели обнаружения для борьбы с этими развивающимися угрозами.
-----

В период с июня по июль 2025 года команда Cloudflare по защите электронной почты выявила ряд действий киберпреступников, которые использовали функции переноса ссылок в Proofpoint и Intermedia для проведения фишинговых атак. Перенос ссылок, предназначенный для повышения безопасности пользователей путем перенаправления URL-адресов с помощью службы сканирования перед переходом по ссылке, позволяет законным службам эффективно блокировать известные вредоносные домены. Однако злоумышленники обходят эти средства защиты, используя не помеченные тегами обернутые ссылки для перенаправления жертв на фишинговые страницы Microsoft Office 365.

Основная цель таких кампаний - получить несанкционированный доступ к учетным записям электронной почты, которые используют средства защиты Proofpoint. Это использование позволяет злоумышленникам "отмывать" вредоносные URL-адреса, придавая им законный вид в процессе обработки. Этот метод обычно предполагает использование скомпрометированных учетных записей для распространения фишинговых ссылок, которые в дальнейшем скрываются с помощью многоуровневых методов перенаправления. Например, злоумышленники используют общедоступные средства сокращения URL-адресов, такие как Bitly, для маскировки своих вредоносных ссылок, которые затем обрабатываются Proofpoint, прежде чем попасть к жертве, создавая сложную цепочку перенаправлений, завершающуюся фишинговым сайтом, предназначенным для кражи учетных данных.

Многие фишинговые электронные письма в этом контексте маскируются под законные сообщения, такие как уведомления голосовой почты или общедоступные документы Microsoft Teams, что в конечном итоге приводит к сбору учетных данных. Презентации призваны укрепить доверие пользователей, повысив вероятность перехода по ссылкам благодаря их легитимности.

Аналогичным образом, злоумышленники, использующие скомпрометированные учетные записи электронной почты Intermedia для отправки фишинговых писем через организацию, злоупотребляли функциями переноса ссылок. Поскольку контент исходил из надежных учетных записей, Intermedia автоматически переписывала ссылки, приводя пользователей на мошеннические страницы, скрытые за знакомыми URL-адресами.

Главная опасность таких фишинговых кампаний связана с доверием к сервисам переноса ссылок. Маскируя вредоносные URL-адреса фирменными доменами, злоумышленники значительно повышают шансы на успешное заманивание жертв. Этот метод не только сопряжен с риском прямых финансовых потерь — предыдущие отчеты указывали на значительные совокупные убытки из—за фишинга, - но и способствует краже личных данных и длительному процессу восстановления жертв. Кроме того, поскольку фишинг упоминается в качестве основного метода взлома, использование доверенных доменов с помощью переноса ссылок подрывает традиционные меры безопасности, такие как фильтрация URL-адресов на основе репутации.

Чтобы смягчить эти угрозы, Cloudflare Email Security разработала специальные механизмы обнаружения, основанные на обширных данных о кампаниях и моделях машинного обучения, предназначенных для идентификации сообщений, содержащих скрытые URL-адреса. Эти усовершенствования направлены на усиление защиты от изощренной тактики переноса ссылок, которую в настоящее время используют киберпреступники.

#ParsedReport #CompletenessHigh
03-08-2025

FAKE TELEGRAM PREMIUM SITE DISTRIBUTES NEW LUMMA STEALER VARIANT

https://www.cyfirma.com/research/fake-telegram-premium-site-distributes-new-lumma-stealer-variant/

Report completeness: High

Threats:
Lumma_stealer
Credential_harvesting_technique
Process_injection_technique

Geo:
Germany

TTPs:
Tactics: 9
Technics: 24

IOCs:
File: 3
Domain: 10
Hash: 8
IP: 1

Soft:
TELEGRAM, Steam

Algorithms:
exhibit, sha256, sha1, md5

Functions:
FindNextFileExW

Win API:
CreateFileW, WriteFile, CopyFileW, MoveFileW, DeleteFileW, CreateDirectoryW, RemoveDirectoryW, SetFileAttributesW, SearchPathW, FindFirstFileW, have more...

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Выявлена кампания, распространяющая разновидность вредоносного ПО Lumma Stealer через мошеннический домен telegrampremium.app. Вредоносное ПО, предназначенное для утечки данных, использует обфускацию, чтобы избежать обнаружения, и использует обманные методы для кражи учетных данных.
-----

CYFIRMA Threat Intelligence выявила вредоносную кампанию, использующую мошеннический домен telegrampremium.app, который выдает себя за официальный премиум-сервис Telegram, для распространения нового варианта вредоносной программы Lumma Stealer. Этот исполняемый файл с именем start.exe загружается автоматически, когда пользователи получают доступ к домену, без какого-либо требуемого взаимодействия с пользователем, что значительно повышает уровень угрозы, связанный с этой кампанией. Lumma Stealer способен извлекать конфиденциальные данные, такие как учетные данные браузера, информацию о криптовалютном кошельке и системные спецификации.

Вредоносная программа обладает высокой энтропией, что говорит о том, что она упакована с использованием методов обфускации, препятствующих обратному проектированию и обходящих традиционные средства безопасности. Он использует различные функции Windows API для взаимодействия с системой, позволяя ей считывать, записывать и изменять файлы, манипулировать реестром, выполнять дополнительную полезную нагрузку и легко встраиваться в рабочие процессы пользователей, что повышает его сохраняемость и возможности по краже данных. Примечательно, что поведение вредоносной программы включает в себя удаление нескольких файлов .jpg во временный каталог, которые не являются законными изображениями, а скорее содержат зашифрованные полезные данные, замаскированные под это расширение.

Домен был зарегистрирован недавно, что указывает на то, что он, вероятно, предназначен для краткосрочной вредоносной деятельности. Кроме того, вредоносное ПО обходит внутренние механизмы DNS, направляя DNS-запросы на общедоступный DNS-сервер Google, что демонстрирует стратегический подход к поддержанию надежной внешней связи для управления операциями. Кроме того, в рамках кампании демонстрируется использование имитации бренда и методов обмана, которые позволяют хакерам эффективно осуществлять кражу учетных данных и их эксфильтрацию.

Для устранения этой растущей угрозы в тексте подчеркивается необходимость принятия надежных мер кибербезопасности, включая передовые решения для защиты электронной почты от вредоносных исполняемых файлов, строгие правила в отношении вложений и загрузок с ненадежных доменов, а также внедрение протоколов аутентификации электронной почты для предотвращения подмены домена. Обучение сотрудников выявлению несанкционированных загрузок и подделок под службы также имеет решающее значение, наряду с регулярными тренировками по моделированию атак для повышения осведомленности. Организациям рекомендуется внедрять средства обнаружения конечных точек и реагирования на них (EDR) для быстрого обнаружения и устранения потенциальных заражений, блокирования доступа к вредоносным доменам и мониторинга сетевого трафика на предмет подозрительной активности. Поддержание взаимодействия с платформами анализа угроз, такими как CYFIRMA, и регулярное обновление инструментов безопасности с помощью специальных индикаторов компрометации (IOCs) могут еще больше укрепить защиту организации от появляющихся хакеров.

#ParsedReport #CompletenessHigh
03-08-2025

APT36: A PHISHING CAMPAIGN TARGETING INDIAN GOVERNMENT ENTITIES

https://www.cyfirma.com/research/apt36-a-phishing-campaign-targeting-indian-government-entities/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Steppy_kavach

Threats:
Typosquatting_technique
Credential_harvesting_technique
Watering_hole_technique
Clickfix_technique
Spear-phishing_technique

Victims:
Indian defense organizations, Indian government entities, Military, Embassies

Industry:
Transport, Ngo, Military, Government, Education, Critical_infrastructure, Aerospace

Geo:
Japan, Austria, Pakistani, Bulgaria, Nepal, Usa, Mongolia, Turkey, Netherlands, Australia, Botswana, China, Afghanistan, Belgium, Oman, Iran, Pakistan, Thailand, Kenya, Czech, Malaysia, Sweden, Azerbaijan, Romania, Saudi arabia, India, Kazakhstan, Canada, Spain, Germany, Indian

TTPs:
Tactics: 8
Technics: 13

IOCs:
IP: 5
Url: 1
Domain: 2

Algorithms:
exhibit

Languages:
visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа APT36, связанная с Пакистаном, проводит фишинговую кампанию против индийских оборонных организаций, используя поддельные домены, напоминающие официальные правительственные сайты, для сбора учетных данных. Злоумышленники используют поддельную веб-страницу правительства Индии для получения адресов электронной почты и паролей пользователей, включая чувствительные ко времени OTP, через фишинговый сайт, подключенный к серверу C2, что повышает их способность избегать обнаружения.
-----

APT36, или Transparent Tribe, - это связанная с Пакистаном группа APT, нацеленная на индийские оборонные и правительственные организации. Группа использует поддельные домены с опечатками для сбора учетных данных пользователей. Фишинг заключается в перенаправлении вредоносного URL-адреса на поддельную веб-страницу правительства Индии, которая имитирует официальный макет и логотипы. Жертв обманом заставляют указать свой адрес электронной почты и одноразовый пароль от приложения Kavach MFA, что позволяет злоумышленникам обойти многофакторную аутентификацию. Фишинговый сайт взаимодействует с сервером C2 по IP-адресу 37.221.64.202 по протоколу HTTPS, захватывая конфиденциальную информацию и избегая обнаружения. Вредоносный домен был зарегистрирован 16 июня 2025 года специально для этой кампании и был помечен как фишинговый. Кампания включает в себя несколько доменов с аналогичной структурой, что указывает на скоординированные усилия по сбору учетных данных. Поддомен ссылается на компьютеры Zah, что указывает на потенциальный компромат или общую инфраструктуру. APT36 действует с 2016 года, используя фишинг-атаки и "подпольные" атаки против военного и правительственного секторов в Индии.

#ParsedReport #CompletenessMedium
03-08-2025

SharePoint Zero-Day Exploit (ToolShell) - Network Infrastructure Mapping

https://www.resecurity.com/blog/article/sharepoint-zero-day-exploit-cve-2025-53770-network-infrastructure-mapping

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603
Ghostemperor
Cloud_hopper

Threats:
Toolshell_vuln
X2anylock

Industry:
Telco, Government, Critical_infrastructure, Education

Geo:
Vietnamese, India, Korean, Korea, Hong kong, Berlin, Australia, Netherlands, Romania, Brazilian, Brazil, Chinese, Germany, China, Vietnam, Japan, Panama, Indian, Taiwan, Asia-pacific

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-4428 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-4427 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti endpoint_manager_mobile (<11.12.0.5, <12.3.0.2, <12.4.0.2, 12.5.0.0)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios_xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation allen-bradley_stratix_5200_firmware (<17.12.02)


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1040, T1059.001, T1071.001, T1098.004, T1110.003, T1190, T1505.003, T1568, T1595

IOCs:
IP: 19
File: 11

Soft:
SharePoint server, Ivanti, CyberGhost, ASP.NET

Algorithms:
base64

Functions:
Set-Content

Languages:
powershell

Platforms:
x64

Links:
https://github.com/your-repo/CVE-2025-53770-Scanner

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ToolShell нацелена на организации с помощью уязвимостей нулевого дня в серверах SharePoint, связанных с группами, спонсируемыми китайским государством. Злоумышленники используют PowerShell для доставки полезной нагрузки и веб-оболочку для извлечения данных, в частности значений machineKey. Кроме того, группа Salt Typhoon использует уязвимости Cisco для доступа к телекоммуникационным сетям, выявляя серьезные риски для конфиденциальных коммуникаций и национальной безопасности. Для обнаружения этих угроз рекомендуется использовать расширенный анализ сетевого трафика и правила обнаружения SIEM.
-----

Кампания по кибератаке ToolShell была нацелена почти на 150 организаций по всему миру, уделяя особое внимание локальным серверам SharePoint, уязвимым к сбоям нулевого дня. Эти эксплойты, связанные с такими спонсируемыми китайским государством группами, как Linen Typhoon и Violet Typhoon, содержат ранее исправленные уязвимости CVE-2025-49704 и CVE-2025-49706, которые были устранены в обновлениях безопасности Microsoft от июля 2025 года. Первоначальные попытки эксплуатации были отмечены еще 17 июля 2025 года, а первые известные попытки эксплуатации произошли 7 июля, что совпало со сроками получения предупреждений, переданных партнерам MAPP.

Злоумышленники использовали методы доставки полезной нагрузки на основе PowerShell и развернули веб-оболочку, известную как spinstall0.aspx, специально разработанную для разведки и сохранения данных в скомпрометированных системах. Эта оболочка используется в основном для извлечения данных, в частности, для поиска значений machineKey, жизненно важных для обеспечения доступа к SharePoint. Последующие волны атак произошли 21 и 22 июля, в основном с использованием сервисов облачной инфраструктуры, в том числе в нескольких регионах, для маскировки источников атак.

Кроме того, кампания раскрыла участие группы, известной как Salt Typhoon. Эта группа использовала уязвимости в устройствах Cisco (в частности, CVE-2023-20198 и CVE-2023-20273) для получения несанкционированного доступа к телекоммуникационным сетям, создавая серьезные риски для национальной безопасности, позволяя перехватывать частные сообщения, касающиеся конфиденциальных правительственных обсуждений. Более того, группа нарушила законные системы перехвата, используемые американскими интернет-провайдерами, что еще больше усугубило опасения по поводу конфиденциальности и безопасности.

Для устранения таких угроз крайне важно улучшить анализ сетевого трафика. В частности, мониторинг необычных размеров POST-запросов к серверам SharePoint и специфических кодированных полезных нагрузок может выявить попытки взлома. Журналы событий Windows также следует тщательно проверять на наличие определенных идентификаторов событий, указывающих на ошибки приложений и сбои процессов, связанные с вредоносной активностью. Были предложены правила обнаружения SIEM, направленные на выявление вредоносных запросов POST, нацеленных на SharePoint, и подчеркивающие важность раннего обнаружения и упреждающих защитных мер для борьбы с такими изощренными хакерами.

#ParsedReport #CompletenessMedium
04-08-2025

SLOW#TEMPEST Cobalt Strike Loader

https://dmpdump.github.io/posts/CobaltStrike_HK/

Report completeness: Medium

Actors/Campaigns:
Slow_tempest

Threats:
Cobalt_strike_tool
Dll_sideloading_technique
Junk_code_technique

Victims:
Zhengzhou commodity exchange

Geo:
China, Hong kong, Hongkong, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1105, T1204.002, T1497.001, T1566.001

IOCs:
Hash: 7
File: 13
Path: 2
Domain: 2

Soft:
DingTalk

Algorithms:
xor, deflate, gzip, sha2

Win API:
NetBIOS, GlobalMemoryStatusEx, ShellExecuteA, CreateThread, NtQueueApcThread-s, CreateRemoteThread, RtlCreateUserThread, NtMapViewOfSection

Platforms:
x64

Links:
https://github.com/dmpdump

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 июля 2025 года был обнаружен вредоносный ISO-код, предназначенный для китайскоязычных пользователей с помощью ярлыка, который запускает библиотеку DLL, способную к дополнительной загрузке и использующую методы Cobalt Strike. Загрузчик, ldrunlock.dll проверяет оперативную память системы, чтобы увеличить нагрузку, и использует поддельные домены, чтобы вписаться в законный трафик, что указывает на высокую адаптивность и постоянство кампании.
-----

18 июля 2025 года на сайте VirusTotal был обнаружен вредоносный ISO-образ, который демонстрирует структуру, распространенную среди хакеров, нацеленных на китайскоязычных пользователей. При установке этого ISO—файла жертвы обнаруживают ярлык с именем Review.lnk, обманчиво оформленный в виде значка папки, который ведет к скрытым файлам, включая законный исполняемый файл, вредоносную DLL—библиотеку и поддельный PDF-файл. Файл LNK, в котором, возможно, повторно используются ранее виденные временные метки, связанные с выполнением DingTalkSnippingTool.exe, указывает на постоянную кампанию из-за ее более ранних изменений, относящихся к 2024 году.

Анализ запущенных файлов выявил потенциальную побочную загрузку библиотеки DLL, в частности, анализ исполняемого файла config.exe, который загружает вредоносный компонент arphadump64.dll. Этот загрузчик сильно запутан посторонним кодом, что затрудняет анализ, но его основные функции можно точно определить. В частности, он проверяет объем оперативной памяти системы для условного выполнения дальнейших вредоносных программ, если в системе имеется не менее 6 ГБ оперативной памяти. Примечательно, что наличие пользовательского заголовка MZARUH в расшифрованной полезной информации указывает на его связь с известным вредоносным по Cobalt Strike. Эта версия настроена для взаимодействия с сервером управления (C2) с использованием доменов, которые имитируют законный трафик для китайских онлайн-платформ, таких как Bilibili.

Дальнейший анализ показывает, что загрузчик поддерживает ненормальное выполнение, реализуя "бесконечный патч", блокирующий стандартные потоки работы программы и позволяющий вредоносному потоку Cobalt Strike сохраняться. Этот загрузчик был скомпилирован непосредственно перед загрузкой ISO, что указывает на жестко контролируемый и адаптивный процесс разработки угроз. Название ldrunlock.dll для этого загрузчика, вероятно, связано с его функциональностью, определенной в обновлении infinite.

Технические метаданные этого мероприятия показывают значительное совпадение с кампанией SLOW#TEMPEST, о которой Securonix сообщала ранее. Результаты исследования включают аналогичную ориентацию на китайскоязычных пользователей, структуру папок с подписью злоумышленника (например, скрытые каталоги с надписью "evil") и тот же водяной знак Cobalt Strike, который использовался в прошлых операциях. Сравнение с аналогичными угрозами позволяет предположить, что эта кампания является не изолированным инцидентом, а частью более широкой схемы, использующей передовые методы уклонения, включая использование легального программного обеспечения (DingTalk.exe) в качестве прикрытия для запуска загрузчиков и облегчения развертывания вредоносного ПО.

Этот случай свидетельствует о все более изощренных методах, используемых хакерами, особенно в том, как они создают вредоносную инфраструктуру, используя тактику социальной инженерии и оставаясь незаметными, чтобы избежать обнаружения.

#ParsedReport #CompletenessMedium
04-08-2025

Ghost in the Zip \| New PXA Stealer and Its Telegram-Powered Ecosystem

https://www.sentinelone.com/labs/ghost-in-the-zip-new-pxa-stealer-and-its-telegram-powered-ecosystem/

Report completeness: Medium

Threats:
Pxa_stealer
Supply_chain_technique
Lumma_stealer
Rhadamanthys
Redline_stealer
Vidar_stealer

Industry:
Financial, E-commerce

Geo:
Israel, Austria, Taiwan, Korea, Netherlands, Vietnam, Hungary

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1055.001, T1071.001, T1105, T1176, T1204.002, T1216.001, T1218.011, have more...

IOCs:
File: 11
Path: 2
Registry: 1
Domain: 3
Command: 1
Url: 15
Hash: 64

Soft:
Telegram, Microsoft Word, Dropbox, Windows Registry, Windows Update Service, Windows Explorer, Chrome, CocCoc, Discord, 360Browser, have more...

Wallets:
exodusweb3, safepal, aptos_wallet, sui_wallet, atomicwallet, talisman_wallet, tonkeeper, bitapp, bitget_wallet, math_wallet, have more...

Crypto:
bitcoin, uniswap, dogecoin, monero, binance, ethereum, kucoin

Algorithms:
zip, sha1

Win API:
Arc

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1, code: 4