#ParsedReport #CompletenessMedium
06-08-2025

Unmasking SocGholish: Silent Push Untangles the Malware Web Behind the Pioneer of Fake Updates and Its Operator, TA569

https://www.silentpush.com/blog/socgholish/

Report completeness: Medium

Actors/Campaigns:
Darkhotel (motivation: financially_motivated, disinformation, cyber_criminal)
Ta569 (motivation: financially_motivated, disinformation, cyber_criminal)
Evil_corp
Ta2726
Ta2727
Vextrio
Silverfish
Unc4108

Threats:
Socgholish_loader
Parrot_tds
Keitaro_tds_tool
Raspberry_robin
Lockbit
Wastedlocker
Netsupportmanager_rat
Hades
Dridex
Fastflux_technique
Mintsloader
Doiloader
Lumma_stealer
Frigidstealer
Marcher
Boinc_tool

Industry:
Financial, Education

Geo:
Russian, Russia, Canada, Spain, Usa, German, Spanish, France, American

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1090.003, T1105, T1189, T1204.002, T1219, T1486, T1583.001, have more...

IOCs:
Domain: 26
Url: 9
File: 5

Soft:
Chrome, Firefox, Flash Player, Microsoft Teams, Android, macOS, WordPress, Google Chrome, Chrome r, Raspberry Pi, have more...

Algorithms:
base64

Functions:
btnClickStat, btnClickAction

Languages:
javascript, php, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SocGholish от TA569 работает как вредоносное ПО как услуга, используя поддельные обновления браузера и инъекции JavaScript для распространения вредоносного ПО через скомпрометированные сайты. Он использует системы распределения трафика для уклонения и служит посредником первоначального доступа для различных киберпреступных организаций. Эта операция облегчает масштабные последующие атаки, включая программы-вымогатели, что свидетельствует о значительном сотрудничестве в экосистеме киберпреступности.
-----

SocGholish - это сложная вредоносная программа, управляемая злоумышленником TA569, функционирующим как поставщик вредоносного ПО как услуги (MaaS). TA569 продает доступ к скомпрометированным системам, в первую очередь используя тактику обмана, такую как поддельные "обновления браузера", для инициирования заражений. Основной метод заражения включает в себя внедрение JavaScript на скомпрометированные веб-сайты, что приводит к загрузке вредоносных программ с диска. SocGholish использует системы распределения трафика (TDS), такие как Parrot TDS и Keitaro TDS, чтобы направлять жертв на вредоносные сайты, избегая при этом обнаружения. Такой подход позволяет TA569 выступать в качестве посредника первоначального доступа (IAB), облегчая последующие атаки для других киберпреступных организаций и спонсируемых государством групп, включая российское ГРУ.

Аналитики Silent Push Threat внимательно следят за деятельностью SocGholish с 2024 года, наблюдая за его эволюцией от простого семейства вредоносных программ до значительного игрока в экосистеме киберпреступности. Группа использует различные псевдонимы, такие как "FakeUpdates", и была связана с операциями, затрагивающими широкий круг жертв по всему миру. Примечательно, что TA569 продавал зараженный доступ к сложным целенаправленным атакам (APT), таким как LockBit и Evil Corp, а также злоумышленникам, использующим различные трояны удаленного доступа (RATs) и infostealers.

Атаки обычно маскируются под законные обновления программного обеспечения, при этом процесс заражения включает в себя передовые методы фильтрации, позволяющие избежать обнаружения, такие как слежка за доменами и частая смена доменов каждые два-три дня. Поддельные страницы обновлений, представленные пользователям, призваны имитировать реальные обновления программного обеспечения и предназначены для агрессивной замены существующего содержимого веб-страницы с использованием JavaScript, чтобы затруднить усилия по обнаружению. Методы мониторинга отслеживают взаимодействие пользователей, чтобы определить, следует ли загружать дополнительные полезные приложения, при этом компоненты вредоносного ПО часто появляются в запутанных форматах.

Два известных TDSS — Parrot и Keitaro — играют важную роль в жизненном цикле заражения. Parrot TDS была идентифицирована как один из основных каналов SocGholish, специализирующийся на целевом перенаправлении на вредоносные сайты, в то время как Keitaro TDS была вовлечена как в рекламную, так и в киберпреступную деятельность, потенциально связанную с российскими операциями по дезинформации. Широко распространенные последствия заражения SocGholish подчеркивают необходимость усиления мер кибербезопасности, поскольку заражение может перерасти в серьезные последующие атаки, включая внедрение программ-вымогателей, выполняемых другими злоумышленниками.

TA569 также установил связи с различными хакерскими группировками, включая те, которые связаны с программами-вымогателями, такими как LockBit и Dridex. Эти отношения иллюстрируют более широкую тенденцию сотрудничества между преступными сетями, где первоначальные точки доступа, созданные при посредничестве SocGholish, обеспечивают стартовую площадку для дальнейшей эксплуатации. Таким образом, SocGholish проявляется не только как самостоятельная угроза, но и как важнейший посредник на всеобъемлющем рынке киберпреступности, что еще больше усложняет усилия по защите от этой всепроникающей проблемы безопасности.

#ParsedReport #CompletenessLow
04-08-2025

Tracking Updates to Raspberry Robin

https://www.zscaler.com/blogs/security-research/tracking-updates-raspberry-robin

Report completeness: Low

Actors/Campaigns:
Raspberry_robin

Threats:
Raspberry_robin

CVEs:
CVE-2024-38196 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1059, T1068, T1071.001, T1090.003, T1204, T1497.001, T1564.001

IOCs:
File: 1
Hash: 2

Algorithms:
aes, rc4, crc-64, aes-ctr, chacha20

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raspberry Robin, сложный загрузчик с 2021 года, распространяется через скомпрометированные USB-накопители и использует передовые методы шифрования (ChaCha-20) и запутывания. Он использует CVE-2024-38196 для локального повышения привилегий, использует недопустимые домены TOR для C2 и включает даты истечения срока действия в свои двоичные файлы, что усложняет обнаружение и анализ.
-----

Raspberry Robin, также известный как Roshtyak, представляет собой сложный загрузчик, который активен с 2021 года, в основном распространяясь через скомпрометированные USB-устройства. Постоянные усилия по развитию его возможностей привели к появлению новых методов обфускации и внедрению более совершенного метода шифрования. Последние обновления показывают переход от AES-CTR к алгоритму шифрования ChaCha-20 для обеспечения безопасности сетевых коммуникаций. Этот сдвиг повышает безопасность за счет использования жестко закодированного 32-байтового ключа шифрования со случайно генерируемыми значениями счетчика и одноразового номера для каждого запроса, что усложняет расшифровку для потенциальных противников.

Вредоносная программа также интегрировала новый локальный эксплойт повышения привилегий, CVE-2024-38196, который позволяет ей получать повышенные привилегии в целевых системах, создавая повышенный риск для безопасности. Кроме того, Raspberry Robin использует недопустимые домены TOR onion в своей инфраструктуре command-and-control (C2), используя жестко запрограммированный алгоритм для динамического исправления этих поврежденных доменов. Эта корректировка направлена на то, чтобы запутать меры обнаружения и усложнить аналитикам извлечение индикаторов компрометации (IOCs).

Стратегии обфускации вредоносного ПО претерпели значительные улучшения. Недавние модификации включают встраивание запутанных указателей стека, которые затрудняют анализ с помощью таких инструментов, как IDA, что приводит к сбоям декомпиляции, требующим разрешения вручную. Условные операторы в коде вредоносного ПО также запутаны, что усложняет логический анализ при обратном проектировании. В то время как шифрование сетевых данных в основном остается неизменным, вариации в начальных значениях алгоритма CRC-64, который все еще используется, добавляют еще один уровень сложности за счет рандомизации этих значений для каждой выборки и кампании.

Raspberry Robin еще больше усложняет обнаружение и обратный инжиниринг, вводя даты истечения срока действия в свой двоичный код, ограничивая выполнение каждого образца периодом в одну неделю. Эта постоянная эволюция подчеркивает профиль постоянных угроз Raspberry Robin's, поскольку он включает в себя обновленные методы обфускации, передовые методы шифрования и тактические маневры, позволяющие избежать обнаружения. Несмотря на его относительно малоизвестное присутствие по сравнению с другими семействами вредоносных программ, постоянные усовершенствования укрепляют его статус серьезной проблемы для команд по кибербезопасности.

#ParsedReport #CompletenessHigh
06-08-2025

PyLangGhost RAT: Rising Data Stealer from Lazarus Group Targeting Finance and Technology

https://any.run/cybersecurity-blog/pylangghost-malware-analysis/

Report completeness: High

Actors/Campaigns:
Lazarus
Famous_chollima

Threats:
Pylangghost
Invisibleferret
Beavertail
Ottercookie
Golangghostrat
Clickfix_technique
Golangghost
Fakecaptcha_technique

Victims:
Developers, Executives

Industry:
Financial

Geo:
United kingdom, Dprk, Iran, North korean

TTPs:

IOCs:
File: 14
Command: 1
Url: 2
Domain: 1
IP: 2
Hash: 5

Soft:
Chrome, Zoom, curl, Google Chrome

Wallets:
metamask, coinbase

Algorithms:
aes, xor, zip, md5, base64, rc4, chacha20, aes-gcm, sha256

Functions:
IsUserAnAdmin

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PyLangGhost RAT, вредоносное ПО на базе Python, связанное с северокорейской Lazarus group, внедряется с помощью тактики социальной инженерии, такой как поддельные собеседования при приеме на работу. Он нацелен на криптовалютные кошельки, используя привилегии, и использует слабое шифрование для связи C2, что затрудняет обнаружение.
-----

PyLangGhost RAT, недавнее дополнение к арсеналу спонсируемой государством северокорейской группы Lazarus, представляет собой заметный прогресс в методологиях борьбы с киберугрозами, нацеленных на финансовый сектор и криптовалютный сектор. Это вредоносное ПО, представляющее собой адаптацию ранее созданного GoLangGhost RAT на основе Python, в основном распространяется с помощью целенаправленной социальной инженерии, а не традиционными средствами, такими как пиратское программное обеспечение или зараженные USB-устройства. В атаках используются тщательно спланированные поддельные собеседования при приеме на работу и сценарии устранения технических неполадок, когда злоумышленники представляют ложные сообщения об ошибках, связанных с доступом к камере или микрофону. Цели запускают специально разработанные сценарии, которые на первый взгляд кажутся решающими проблему, но на самом деле предоставляют злоумышленникам полный удаленный доступ к их системам.

Сложный механизм доставки, классифицируемый как “ClickFix”, основан на том, что жертвы обманом заставляют выполнять команды, которые, как полагают, устраняют предполагаемые технические проблемы. Основной компонент, nvidia.py , взаимодействует с несколькими модулями (config.py , api.py , command.py , util.py , auto.py ) для обеспечения закрепления, облегчения выполнения команд, управления связью с серверами командования и контроля (C2) и кражи учетных данных. Вредоносная программа специально нацелена на цифровые кошельки, хранящиеся в браузере, и учетные данные для входа в популярные криптовалютные расширения, включая MetaMask и Coinbase Wallet, используя повышение привилегий и передовые методы дешифрования.

Что касается связи, PyLangGhost RAT использует необработанные IP-адреса для взаимодействия C2 без шифрования, используя слабые методы шифрования RC4/MD5. Такая конструкция обеспечивает низкий уровень обнаружения, что делает вредоносное ПО незаметным во время его работы. Строки пользовательского агента и быстрые запросы к инфраструктуре C2 служат ключевыми индикаторами для систем обнаружения. Структура вредоносного ПО полностью переопределена на Python, отображая шаблоны кодирования, которые предполагают потенциальную помощь искусственного интеллекта в процессе кодирования, о чем свидетельствуют такие неэффективности, как закомментированные разделы и нестандартные логические структуры.

Компоненты вредоносного ПО обеспечивают закрепление с помощью изменений реестра и поддерживают связь с сервером C2, который можно отследить в нескольких географических точках, включая Великобританию и Иран. Выдавая себя за законные процессы и используя административные привилегии, вредоносная программа может выполнять команды, которые позволяют ей легко извлекать конфиденциальные данные.

Угроза, исходящая от PyLangGhost RAT, существенна из-за его малозаметной работы, позволяющей злоумышленникам оставаться в сети незамеченными, что значительно увеличивает риск утечки данных и финансовых потерь. Организации должны внедрять надежные механизмы защиты, уделяя особое внимание анализу поведения, ограничению административных привилегий и повышению осведомленности сотрудников о безопасности, чтобы снизить риски, связанные с такими изощренными атаками. Использование передовых инструментов изолированной защиты, таких как ANY.RUN, позволяет быстро обнаруживать аналогичные угрозы, уделяя приоритетное внимание быстрому реагированию на инциденты, чтобы минимизировать потенциальные воздействия от кибератак.

#ParsedReport #CompletenessMedium
06-08-2025

From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira

https://thedfirreport.com/2025/08/05/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira/

Report completeness: Medium

Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Rustdesk_tool
Angry_ip_scanner_tool

Victims:
Various organizations, Enterprise, Organizations responded to by swisscom b2b csirt

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 4
File: 19
IP: 7
Email: 1
Path: 4
Command: 1
Hash: 6

Soft:
Active Directory, SoftPerfect network scanner, PostgreSQL

Algorithms:
exhibit

Platforms:
intel

Links:
https://github.com/Adaptix-Framework/AdaptixC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Bumblebee использовалась с конца 2021 года для первоначального доступа с помощью SEO-отравления, что привело к установке троянского установщика программного обеспечения, который обеспечивает дальнейшую компрометацию сети и развертывание Akira Ransomware. Злоумышленники переходят от одного хоста к полному контролю над сетью, используя такие методы, как сброс учетных данных, боковое перемещение и инструменты постоянного доступа. Стратегии обнаружения включают мониторинг дампов LSASS, извлечение учетных данных и необычную межсистемную активность.
-----

Вредоносная программа Bumblebee используется в качестве инструмента первоначального доступа с конца 2021 года. Он использует SEO-отравление для распространения себя, выдавая себя за программное обеспечение для управления ИТ. В мае и июле 2025 года были отмечены кампании, в ходе которых пользователи, которые искали "ManageEngine OpManager", перенаправлялись на вредоносный сайт, поставляющий программу установки троянского программного обеспечения. Этот установщик запустил вредоносную программу Bumblebee, предоставив первоначальный доступ злоумышленникам.

Злоумышленники осуществили боковое перемещение к контроллерам домена, сброс учетных данных и установили средства постоянного удаленного доступа. Для извлечения данных использовались SFTP-клиенты, и за этим последовало развертывание программы-вымогателя Akira по всем сетям. Пользователи непреднамеренно загрузили троянский установщик ".msi", который запускал как предполагаемое программное обеспечение, так и вредоносную программу Bumblebee, которая взаимодействовала с серверами управления с использованием доменов DGA.

Через пять часов после выполнения Bumblebee развернул маяк AdaptixC2 для дополнительного контроля. Внутренняя разведка была проведена с помощью утилит Windows, а постоянный доступ был установлен через RustDesk. Злоумышленники нацелились на серверы резервного копирования и извлекли учетные данные из баз данных Veeam PostgreSQL, используя сброс памяти LSASS.

Время от первоначального доступа до развертывания программы-вымогателя составило приблизительно 44 часа, при этом инцидент с Swisscom был зафиксирован через девять часов. Были обнаружены дополнительные вредоносные сайты, связанные с троянскими установщиками для различных ИТ-инструментов. Стратегии обнаружения включают в себя идентификацию дампов LSASS с необычными расширениями, мониторинг извлечения учетных данных PostgreSQL, отслеживание экспорта зон DNS и поиск шаблонов, связанных с Bumblebee.

Следует настроить оповещения о последовательностях многоэтапных атак, действиях по межсистемной аутентификации и установке средств удаленного доступа с последующим туннелированием по SSH.

#ParsedReport #CompletenessHigh
06-08-2025

Driver of destruction: How a legitimate driver is being used to take down AV processes

https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/

Report completeness: High

Threats:
Av-killer
Byovd_technique
Mimikatz_tool
Passthehash_technique
Medusalocker
Ransom.win32.paidmeme
Kill-av_tool

Geo:
Belarus, Brazil, Russia, Ukraine, Kazakhstan, Belgium

CVEs:
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 5

IOCs:
File: 82
Path: 2
Hash: 9

Soft:
Windows Defender, Windows kernel, Windows Service

Algorithms:
sha256, sha1, md5

Functions:
IOCTL

Win API:
DeviceIoControl, MmMapIoSpace, OpenSCManagerA, StartServiceW, NtQuerySystemInformation, NtAddAtom, LoadLibrary, Process32FirstW, Process32NextW, PsLookupProcessById, have more...

Win Services:
AvastSvc, EPIntegrationService, EPProtectedService, EPSecurityService, EPUpdateService, ekrn, klnagent, MsMpEng, rtvscan, SepMasterService, have more...

Languages:
powershell

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 5, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа, известная как "AV killer", использует ThrottleStop.sys драйвер для отключения антивирусных процессов с помощью метода BYOVD, облегчающего развертывание программ-вымогателей. Злоумышленник использует учетные данные RDP и использует Mimikatz для credential harvesting, перемещаясь в сторону с помощью методов pass-the-hash перед развертыванием программы-вымогателя MedusaLocker. ThrottleStop.sys , помеченный как CVE-2025-7771, позволяет манипулировать функциями ядра, создавая значительные риски для кибербезопасности во всем мире.
-----

В ходе недавнего расследования, связанного с киберугрозами в Бразилии, был обнаружен новый тип вредоносного ПО, получивший название "AV killer", использующий ThrottleStop.sys драйвер для отключения антивирусных процессов в рамках метода BYOVD (Принесите свой собственный уязвимый драйвер). Это вредоносное программное обеспечение наблюдается с октября 2024 года и является частью тревожной тенденции увеличения числа кибератак с использованием аналогичных методологий. Конкретный AV killer работает путем прекращения антивирусных процессов, чтобы ослабить защиту системы, тем самым облегчая внедрение программ-вымогателей.

Атака началась с того, что злоумышленник использовал действительные учетные данные протокола удаленного рабочего стола (RDP) для доступа к SMTP-серверу. Оказавшись внутри, они использовали Mimikatz для сбора дополнительных учетных данных пользователя, что позволило им перемещаться по сети с помощью методов pass-the-hash, используя такие инструменты, как Invoke-WMIExec.ps1 и Invoke-SMBExec.ps1. Злоумышленник развернул вариант программы-вымогателя MedusaLocker после отключения антивируса на нескольких конечных точках. Несмотря на первоначальные усилия Защитника Windows по сдерживанию, злоумышленнику удалось отключить эти меры безопасности с помощью ThrottleStop.sys уязвимость.

Этот драйвер использует функцию MmMapIoSpace для доступа к физической памяти, позволяя управлять функциями уровня ядра из пользовательского режима. Конкретная уязвимость, связанная с ThrottleStop.sys был помечен как CVE-2025-7771, и известно, что им широко пользуются злоумышленники и даже игровые читеры. Вредоносная программа, названная All.exe , предназначен для уничтожения основных AV-продуктов с методичным подходом к идентификации активных процессов и выполнению функций завершения с помощью вызовов ядра. Он интеллектуально извлекает необходимые адреса, используя недокументированную функцию NtQuerySystemInformation, и выбирает функции ядра, которые могут быть вызваны косвенно, тем самым выполняя цикл, который ищет и устраняет назначенные AV-процессы.

Техническое поведение вредоносного ПО демонстрирует глубокое понимание внутренних устройств Windows, использующее методы восстановления исходного кода ядра, чтобы избежать сбоев после выполнения. Наблюдаемая закономерность показала, что AV killer способен обрабатывать ответы антивирусного программного обеспечения в режиме реального времени, что еще раз указывает на его эффективность.

Этот AV killer и связанная с ним тактика были в первую очередь замечены при воздействии на цели в таких регионах, как Россия, Беларусь, Казахстан, Украина и Бразилия, причем особая уязвимость была отмечена среди компаний, использующих неадекватные протоколы безопасности для защиты от таких сложных угроз. Продолжающееся присутствие этого вредоносного ПО в дикой природе является примером серьезной угрозы для операций по кибербезопасности во всем мире, подчеркивая острую необходимость эффективного мониторинга уязвимых драйверов, таких как ThrottleStop.sys чтобы отразить попытки эксплуатации.

#ParsedReport #CompletenessMedium
06-08-2025

Project AK47: Uncovering a Link to the SharePoint Vulnerability Attacks

https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1040 (motivation: financially_motivated, cyber_espionage, cyber_criminal)
Storm-2603 (motivation: cyber_criminal)

Threats:
Project_ak47_tool
Lockbit
Ak47c2_tool
X2anylock
Toolshell_vuln
Dll_sideloading_technique
Pypykatz_tool
Masscan_tool

Geo:
China, Chinese

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055.001, T1059.003, T1071.001, T1071.004, T1078, T1095, T1105, have more...

IOCs:
Path: 14
IP: 1
Domain: 1
File: 18
Hash: 28

Soft:
curl, PsExec

Crypto:
bitcoin

Algorithms:
aes, xor

Functions:
Windows

Platforms:
x86

Links:
https://github.com/WBGlIl/IIS\_backdoor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CL-CRI-1040, связанный с базирующимся в Китае злоумышленником Storm-2603, использует Project AK47, состоящий из бэкдора (AK47C2), программы-вымогателя (AK47/X2ANYLOCK) и загрузчиков. Эта группа использует уязвимости SharePoint с помощью цепочки эксплойтов ToolShell и управляет сайтом двойного вымогательства под названием Warlock Client. Бэкдор использует DNS и HTTP для командования и контроля, применяя кодировку XOR и фрагментированные запросы, чтобы избежать обнаружения, в то время как прототип программы-вымогателя содержит базовые функции, но лишен полных возможностей шифрования.
-----

Анализ, проведенный подразделением 42, выявил кластер киберугроз, отслеживаемый как CL-CRI-1040, который был подключен к набору инструментов, известному как Project AK47, с использованием бэкдора, программ-вымогателей и загрузчиков. Как сообщает Microsoft, эта активность, как полагают, связана с базирующимся в Китае злоумышленником по имени Storm-2603, особенно в отношении использования уязвимостей SharePoint с помощью цепочки эксплойтов под названием ToolShell. Совокупность этих результатов указывает на то, что CL-CRI-1040 начал проявлять вредоносную активность в марте 2025 года, первоначально приписываемую партнеру LockBit 3.0, но эволюционировал для управления сайтом утечки данных с двойным вымогательством под названием Warlock Client.

Project AK47 состоит из различных вредоносных компонентов, включая многопротокольный бэкдор, известный как AK47C2, пользовательскую программу-вымогатель, получившую название AK47 или X2ANYLOCK, и вспомогательные инструменты. Бэкдор AK47C2 продемонстрировал отличительные возможности, используя DNS и HTTP для передачи команд и контроля (C2). Документированный вариант dnsclient использует кодировку XOR для передачи данных со своим сервером C2, отправляя запросы фрагментированными DNS-запросами, чтобы обойти ограничения по длине. Обновленная версия этого бэкдора упрощает его протокол связи и повышает надежность. Между тем, httpclient использует HTTP для взаимодействия C2, снова используя JSON и аналогичную стратегию кодирования в качестве своего аналога DNS.

Компонент программы-вымогателя, идентифицированный как AK47 или X2ANYLOCK, обладает типичными характеристиками программы-вымогателя. Первоначальный анализ показывает, что этот вариант реализует базовые функции, такие как создание записки с требованием выкупа, но на стадии прототипа ему не хватает функций полного шифрования. Он использует проверки временных меток файлов, чтобы избежать обнаружения, завершая свой процесс при выполнении условий. Записка о выкупе содержит конкретные контактные данные для переговоров, облегчающие общение между жертвами и киберпреступниками. Примечательно, что идентификатор Tox, используемый в записках о выкупе, связан с группой программ-вымогателей Warlock и сайтом утечки клиентов Warlock.

Дальнейшее расследование CL-CRI-1040 выявило связи с предыдущими действиями программ-вымогателей, в том числе связанными с LockBit 3.0 и клиентской программой-вымогателем Warlock. Документы раскрывают совпадающие личности в сообществе программ-вымогателей и дают представление об истории совместной инфраструктуры, инструментов и показателей в этих группах. Среди ключевых доказательств утечка базы данных, подключенной к LockBit 3.0, раскрывает последовательные регистрации пользователей и временные рамки, которые намекают на совместную или параллельную вредоносную деятельность злоумышленников.

#ParsedReport #CompletenessLow
05-08-2025

Imperva Detects and Mitigates Rejetto HFS Spray-and-Pray Ransomware/Trojan Campaign

https://www.imperva.com/blog/imperva-detects-and-mitigates-rejetto-hfs-spray-and-pray-ransomware-trojan-campaign/

Report completeness: Low

Threats:
Farfli
Zenpak

Victims:
Rejetto hfs 2.x users

Geo:
Hong kong

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http_file_server (le2.4)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1071.001, T1105, T1190, T1204.002, T1486

IOCs:
Url: 6
Hash: 3
IP: 4
Domain: 1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4