#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raspberry Robin, сложный загрузчик с 2021 года, распространяется через скомпрометированные USB-накопители и использует передовые методы шифрования (ChaCha-20) и запутывания. Он использует CVE-2024-38196 для локального повышения привилегий, использует недопустимые домены TOR для C2 и включает даты истечения срока действия в свои двоичные файлы, что усложняет обнаружение и анализ.
-----

Raspberry Robin, также известный как Roshtyak, представляет собой сложный загрузчик, который активен с 2021 года, в основном распространяясь через скомпрометированные USB-устройства. Постоянные усилия по развитию его возможностей привели к появлению новых методов обфускации и внедрению более совершенного метода шифрования. Последние обновления показывают переход от AES-CTR к алгоритму шифрования ChaCha-20 для обеспечения безопасности сетевых коммуникаций. Этот сдвиг повышает безопасность за счет использования жестко закодированного 32-байтового ключа шифрования со случайно генерируемыми значениями счетчика и одноразового номера для каждого запроса, что усложняет расшифровку для потенциальных противников.

Вредоносная программа также интегрировала новый локальный эксплойт повышения привилегий, CVE-2024-38196, который позволяет ей получать повышенные привилегии в целевых системах, создавая повышенный риск для безопасности. Кроме того, Raspberry Robin использует недопустимые домены TOR onion в своей инфраструктуре command-and-control (C2), используя жестко запрограммированный алгоритм для динамического исправления этих поврежденных доменов. Эта корректировка направлена на то, чтобы запутать меры обнаружения и усложнить аналитикам извлечение индикаторов компрометации (IOCs).

Стратегии обфускации вредоносного ПО претерпели значительные улучшения. Недавние модификации включают встраивание запутанных указателей стека, которые затрудняют анализ с помощью таких инструментов, как IDA, что приводит к сбоям декомпиляции, требующим разрешения вручную. Условные операторы в коде вредоносного ПО также запутаны, что усложняет логический анализ при обратном проектировании. В то время как шифрование сетевых данных в основном остается неизменным, вариации в начальных значениях алгоритма CRC-64, который все еще используется, добавляют еще один уровень сложности за счет рандомизации этих значений для каждой выборки и кампании.

Raspberry Robin еще больше усложняет обнаружение и обратный инжиниринг, вводя даты истечения срока действия в свой двоичный код, ограничивая выполнение каждого образца периодом в одну неделю. Эта постоянная эволюция подчеркивает профиль постоянных угроз Raspberry Robin's, поскольку он включает в себя обновленные методы обфускации, передовые методы шифрования и тактические маневры, позволяющие избежать обнаружения. Несмотря на его относительно малоизвестное присутствие по сравнению с другими семействами вредоносных программ, постоянные усовершенствования укрепляют его статус серьезной проблемы для команд по кибербезопасности.

#ParsedReport #CompletenessHigh
06-08-2025

PyLangGhost RAT: Rising Data Stealer from Lazarus Group Targeting Finance and Technology

https://any.run/cybersecurity-blog/pylangghost-malware-analysis/

Report completeness: High

Actors/Campaigns:
Lazarus
Famous_chollima

Threats:
Pylangghost
Invisibleferret
Beavertail
Ottercookie
Golangghostrat
Clickfix_technique
Golangghost
Fakecaptcha_technique

Victims:
Developers, Executives

Industry:
Financial

Geo:
United kingdom, Dprk, Iran, North korean

TTPs:

IOCs:
File: 14
Command: 1
Url: 2
Domain: 1
IP: 2
Hash: 5

Soft:
Chrome, Zoom, curl, Google Chrome

Wallets:
metamask, coinbase

Algorithms:
aes, xor, zip, md5, base64, rc4, chacha20, aes-gcm, sha256

Functions:
IsUserAnAdmin

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PyLangGhost RAT, вредоносное ПО на базе Python, связанное с северокорейской Lazarus group, внедряется с помощью тактики социальной инженерии, такой как поддельные собеседования при приеме на работу. Он нацелен на криптовалютные кошельки, используя привилегии, и использует слабое шифрование для связи C2, что затрудняет обнаружение.
-----

PyLangGhost RAT, недавнее дополнение к арсеналу спонсируемой государством северокорейской группы Lazarus, представляет собой заметный прогресс в методологиях борьбы с киберугрозами, нацеленных на финансовый сектор и криптовалютный сектор. Это вредоносное ПО, представляющее собой адаптацию ранее созданного GoLangGhost RAT на основе Python, в основном распространяется с помощью целенаправленной социальной инженерии, а не традиционными средствами, такими как пиратское программное обеспечение или зараженные USB-устройства. В атаках используются тщательно спланированные поддельные собеседования при приеме на работу и сценарии устранения технических неполадок, когда злоумышленники представляют ложные сообщения об ошибках, связанных с доступом к камере или микрофону. Цели запускают специально разработанные сценарии, которые на первый взгляд кажутся решающими проблему, но на самом деле предоставляют злоумышленникам полный удаленный доступ к их системам.

Сложный механизм доставки, классифицируемый как “ClickFix”, основан на том, что жертвы обманом заставляют выполнять команды, которые, как полагают, устраняют предполагаемые технические проблемы. Основной компонент, nvidia.py , взаимодействует с несколькими модулями (config.py , api.py , command.py , util.py , auto.py ) для обеспечения закрепления, облегчения выполнения команд, управления связью с серверами командования и контроля (C2) и кражи учетных данных. Вредоносная программа специально нацелена на цифровые кошельки, хранящиеся в браузере, и учетные данные для входа в популярные криптовалютные расширения, включая MetaMask и Coinbase Wallet, используя повышение привилегий и передовые методы дешифрования.

Что касается связи, PyLangGhost RAT использует необработанные IP-адреса для взаимодействия C2 без шифрования, используя слабые методы шифрования RC4/MD5. Такая конструкция обеспечивает низкий уровень обнаружения, что делает вредоносное ПО незаметным во время его работы. Строки пользовательского агента и быстрые запросы к инфраструктуре C2 служат ключевыми индикаторами для систем обнаружения. Структура вредоносного ПО полностью переопределена на Python, отображая шаблоны кодирования, которые предполагают потенциальную помощь искусственного интеллекта в процессе кодирования, о чем свидетельствуют такие неэффективности, как закомментированные разделы и нестандартные логические структуры.

Компоненты вредоносного ПО обеспечивают закрепление с помощью изменений реестра и поддерживают связь с сервером C2, который можно отследить в нескольких географических точках, включая Великобританию и Иран. Выдавая себя за законные процессы и используя административные привилегии, вредоносная программа может выполнять команды, которые позволяют ей легко извлекать конфиденциальные данные.

Угроза, исходящая от PyLangGhost RAT, существенна из-за его малозаметной работы, позволяющей злоумышленникам оставаться в сети незамеченными, что значительно увеличивает риск утечки данных и финансовых потерь. Организации должны внедрять надежные механизмы защиты, уделяя особое внимание анализу поведения, ограничению административных привилегий и повышению осведомленности сотрудников о безопасности, чтобы снизить риски, связанные с такими изощренными атаками. Использование передовых инструментов изолированной защиты, таких как ANY.RUN, позволяет быстро обнаруживать аналогичные угрозы, уделяя приоритетное внимание быстрому реагированию на инциденты, чтобы минимизировать потенциальные воздействия от кибератак.

#ParsedReport #CompletenessMedium
06-08-2025

From Bing Search to Ransomware: Bumblebee and AdaptixC2 Deliver Akira

https://thedfirreport.com/2025/08/05/from-bing-search-to-ransomware-bumblebee-and-adaptixc2-deliver-akira/

Report completeness: Medium

Threats:
Bumblebee
Adaptixc2_tool
Akira_ransomware
Seo_poisoning_technique
Cobalt_strike_tool
Metasploit_tool
Sliver_c2_tool
Nltest_tool
Rustdesk_tool
Angry_ip_scanner_tool

Victims:
Various organizations, Enterprise, Organizations responded to by swisscom b2b csirt

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 4
File: 19
IP: 7
Email: 1
Path: 4
Command: 1
Hash: 6

Soft:
Active Directory, SoftPerfect network scanner, PostgreSQL

Algorithms:
exhibit

Platforms:
intel

Links:
https://github.com/Adaptix-Framework/AdaptixC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная программа Bumblebee использовалась с конца 2021 года для первоначального доступа с помощью SEO-отравления, что привело к установке троянского установщика программного обеспечения, который обеспечивает дальнейшую компрометацию сети и развертывание Akira Ransomware. Злоумышленники переходят от одного хоста к полному контролю над сетью, используя такие методы, как сброс учетных данных, боковое перемещение и инструменты постоянного доступа. Стратегии обнаружения включают мониторинг дампов LSASS, извлечение учетных данных и необычную межсистемную активность.
-----

Вредоносная программа Bumblebee используется в качестве инструмента первоначального доступа с конца 2021 года. Он использует SEO-отравление для распространения себя, выдавая себя за программное обеспечение для управления ИТ. В мае и июле 2025 года были отмечены кампании, в ходе которых пользователи, которые искали "ManageEngine OpManager", перенаправлялись на вредоносный сайт, поставляющий программу установки троянского программного обеспечения. Этот установщик запустил вредоносную программу Bumblebee, предоставив первоначальный доступ злоумышленникам.

Злоумышленники осуществили боковое перемещение к контроллерам домена, сброс учетных данных и установили средства постоянного удаленного доступа. Для извлечения данных использовались SFTP-клиенты, и за этим последовало развертывание программы-вымогателя Akira по всем сетям. Пользователи непреднамеренно загрузили троянский установщик ".msi", который запускал как предполагаемое программное обеспечение, так и вредоносную программу Bumblebee, которая взаимодействовала с серверами управления с использованием доменов DGA.

Через пять часов после выполнения Bumblebee развернул маяк AdaptixC2 для дополнительного контроля. Внутренняя разведка была проведена с помощью утилит Windows, а постоянный доступ был установлен через RustDesk. Злоумышленники нацелились на серверы резервного копирования и извлекли учетные данные из баз данных Veeam PostgreSQL, используя сброс памяти LSASS.

Время от первоначального доступа до развертывания программы-вымогателя составило приблизительно 44 часа, при этом инцидент с Swisscom был зафиксирован через девять часов. Были обнаружены дополнительные вредоносные сайты, связанные с троянскими установщиками для различных ИТ-инструментов. Стратегии обнаружения включают в себя идентификацию дампов LSASS с необычными расширениями, мониторинг извлечения учетных данных PostgreSQL, отслеживание экспорта зон DNS и поиск шаблонов, связанных с Bumblebee.

Следует настроить оповещения о последовательностях многоэтапных атак, действиях по межсистемной аутентификации и установке средств удаленного доступа с последующим туннелированием по SSH.

#ParsedReport #CompletenessHigh
06-08-2025

Driver of destruction: How a legitimate driver is being used to take down AV processes

https://securelist.com/av-killer-exploiting-throttlestop-sys/117026/

Report completeness: High

Threats:
Av-killer
Byovd_technique
Mimikatz_tool
Passthehash_technique
Medusalocker
Ransom.win32.paidmeme
Kill-av_tool

Geo:
Belarus, Brazil, Russia, Ukraine, Kazakhstan, Belgium

CVEs:
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 5

IOCs:
File: 82
Path: 2
Hash: 9

Soft:
Windows Defender, Windows kernel, Windows Service

Algorithms:
sha256, sha1, md5

Functions:
IOCTL

Win API:
DeviceIoControl, MmMapIoSpace, OpenSCManagerA, StartServiceW, NtQuerySystemInformation, NtAddAtom, LoadLibrary, Process32FirstW, Process32NextW, PsLookupProcessById, have more...

Win Services:
AvastSvc, EPIntegrationService, EPProtectedService, EPSecurityService, EPUpdateService, ekrn, klnagent, MsMpEng, rtvscan, SepMasterService, have more...

Languages:
powershell

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 5, dump: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа, известная как "AV killer", использует ThrottleStop.sys драйвер для отключения антивирусных процессов с помощью метода BYOVD, облегчающего развертывание программ-вымогателей. Злоумышленник использует учетные данные RDP и использует Mimikatz для credential harvesting, перемещаясь в сторону с помощью методов pass-the-hash перед развертыванием программы-вымогателя MedusaLocker. ThrottleStop.sys , помеченный как CVE-2025-7771, позволяет манипулировать функциями ядра, создавая значительные риски для кибербезопасности во всем мире.
-----

В ходе недавнего расследования, связанного с киберугрозами в Бразилии, был обнаружен новый тип вредоносного ПО, получивший название "AV killer", использующий ThrottleStop.sys драйвер для отключения антивирусных процессов в рамках метода BYOVD (Принесите свой собственный уязвимый драйвер). Это вредоносное программное обеспечение наблюдается с октября 2024 года и является частью тревожной тенденции увеличения числа кибератак с использованием аналогичных методологий. Конкретный AV killer работает путем прекращения антивирусных процессов, чтобы ослабить защиту системы, тем самым облегчая внедрение программ-вымогателей.

Атака началась с того, что злоумышленник использовал действительные учетные данные протокола удаленного рабочего стола (RDP) для доступа к SMTP-серверу. Оказавшись внутри, они использовали Mimikatz для сбора дополнительных учетных данных пользователя, что позволило им перемещаться по сети с помощью методов pass-the-hash, используя такие инструменты, как Invoke-WMIExec.ps1 и Invoke-SMBExec.ps1. Злоумышленник развернул вариант программы-вымогателя MedusaLocker после отключения антивируса на нескольких конечных точках. Несмотря на первоначальные усилия Защитника Windows по сдерживанию, злоумышленнику удалось отключить эти меры безопасности с помощью ThrottleStop.sys уязвимость.

Этот драйвер использует функцию MmMapIoSpace для доступа к физической памяти, позволяя управлять функциями уровня ядра из пользовательского режима. Конкретная уязвимость, связанная с ThrottleStop.sys был помечен как CVE-2025-7771, и известно, что им широко пользуются злоумышленники и даже игровые читеры. Вредоносная программа, названная All.exe , предназначен для уничтожения основных AV-продуктов с методичным подходом к идентификации активных процессов и выполнению функций завершения с помощью вызовов ядра. Он интеллектуально извлекает необходимые адреса, используя недокументированную функцию NtQuerySystemInformation, и выбирает функции ядра, которые могут быть вызваны косвенно, тем самым выполняя цикл, который ищет и устраняет назначенные AV-процессы.

Техническое поведение вредоносного ПО демонстрирует глубокое понимание внутренних устройств Windows, использующее методы восстановления исходного кода ядра, чтобы избежать сбоев после выполнения. Наблюдаемая закономерность показала, что AV killer способен обрабатывать ответы антивирусного программного обеспечения в режиме реального времени, что еще раз указывает на его эффективность.

Этот AV killer и связанная с ним тактика были в первую очередь замечены при воздействии на цели в таких регионах, как Россия, Беларусь, Казахстан, Украина и Бразилия, причем особая уязвимость была отмечена среди компаний, использующих неадекватные протоколы безопасности для защиты от таких сложных угроз. Продолжающееся присутствие этого вредоносного ПО в дикой природе является примером серьезной угрозы для операций по кибербезопасности во всем мире, подчеркивая острую необходимость эффективного мониторинга уязвимых драйверов, таких как ThrottleStop.sys чтобы отразить попытки эксплуатации.

#ParsedReport #CompletenessMedium
06-08-2025

Project AK47: Uncovering a Link to the SharePoint Vulnerability Attacks

https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1040 (motivation: financially_motivated, cyber_espionage, cyber_criminal)
Storm-2603 (motivation: cyber_criminal)

Threats:
Project_ak47_tool
Lockbit
Ak47c2_tool
X2anylock
Toolshell_vuln
Dll_sideloading_technique
Pypykatz_tool
Masscan_tool

Geo:
China, Chinese

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055.001, T1059.003, T1071.001, T1071.004, T1078, T1095, T1105, have more...

IOCs:
Path: 14
IP: 1
Domain: 1
File: 18
Hash: 28

Soft:
curl, PsExec

Crypto:
bitcoin

Algorithms:
aes, xor

Functions:
Windows

Platforms:
x86

Links:
https://github.com/WBGlIl/IIS\_backdoor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CL-CRI-1040, связанный с базирующимся в Китае злоумышленником Storm-2603, использует Project AK47, состоящий из бэкдора (AK47C2), программы-вымогателя (AK47/X2ANYLOCK) и загрузчиков. Эта группа использует уязвимости SharePoint с помощью цепочки эксплойтов ToolShell и управляет сайтом двойного вымогательства под названием Warlock Client. Бэкдор использует DNS и HTTP для командования и контроля, применяя кодировку XOR и фрагментированные запросы, чтобы избежать обнаружения, в то время как прототип программы-вымогателя содержит базовые функции, но лишен полных возможностей шифрования.
-----

Анализ, проведенный подразделением 42, выявил кластер киберугроз, отслеживаемый как CL-CRI-1040, который был подключен к набору инструментов, известному как Project AK47, с использованием бэкдора, программ-вымогателей и загрузчиков. Как сообщает Microsoft, эта активность, как полагают, связана с базирующимся в Китае злоумышленником по имени Storm-2603, особенно в отношении использования уязвимостей SharePoint с помощью цепочки эксплойтов под названием ToolShell. Совокупность этих результатов указывает на то, что CL-CRI-1040 начал проявлять вредоносную активность в марте 2025 года, первоначально приписываемую партнеру LockBit 3.0, но эволюционировал для управления сайтом утечки данных с двойным вымогательством под названием Warlock Client.

Project AK47 состоит из различных вредоносных компонентов, включая многопротокольный бэкдор, известный как AK47C2, пользовательскую программу-вымогатель, получившую название AK47 или X2ANYLOCK, и вспомогательные инструменты. Бэкдор AK47C2 продемонстрировал отличительные возможности, используя DNS и HTTP для передачи команд и контроля (C2). Документированный вариант dnsclient использует кодировку XOR для передачи данных со своим сервером C2, отправляя запросы фрагментированными DNS-запросами, чтобы обойти ограничения по длине. Обновленная версия этого бэкдора упрощает его протокол связи и повышает надежность. Между тем, httpclient использует HTTP для взаимодействия C2, снова используя JSON и аналогичную стратегию кодирования в качестве своего аналога DNS.

Компонент программы-вымогателя, идентифицированный как AK47 или X2ANYLOCK, обладает типичными характеристиками программы-вымогателя. Первоначальный анализ показывает, что этот вариант реализует базовые функции, такие как создание записки с требованием выкупа, но на стадии прототипа ему не хватает функций полного шифрования. Он использует проверки временных меток файлов, чтобы избежать обнаружения, завершая свой процесс при выполнении условий. Записка о выкупе содержит конкретные контактные данные для переговоров, облегчающие общение между жертвами и киберпреступниками. Примечательно, что идентификатор Tox, используемый в записках о выкупе, связан с группой программ-вымогателей Warlock и сайтом утечки клиентов Warlock.

Дальнейшее расследование CL-CRI-1040 выявило связи с предыдущими действиями программ-вымогателей, в том числе связанными с LockBit 3.0 и клиентской программой-вымогателем Warlock. Документы раскрывают совпадающие личности в сообществе программ-вымогателей и дают представление об истории совместной инфраструктуры, инструментов и показателей в этих группах. Среди ключевых доказательств утечка базы данных, подключенной к LockBit 3.0, раскрывает последовательные регистрации пользователей и временные рамки, которые намекают на совместную или параллельную вредоносную деятельность злоумышленников.

#ParsedReport #CompletenessLow
05-08-2025

Imperva Detects and Mitigates Rejetto HFS Spray-and-Pray Ransomware/Trojan Campaign

https://www.imperva.com/blog/imperva-detects-and-mitigates-rejetto-hfs-spray-and-pray-ransomware-trojan-campaign/

Report completeness: Low

Threats:
Farfli
Zenpak

Victims:
Rejetto hfs 2.x users

Geo:
Hong kong

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http_file_server (le2.4)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1071.001, T1105, T1190, T1204.002, T1486

IOCs:
Url: 6
Hash: 3
IP: 4
Domain: 1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Всплеск HTTP-запросов, нацеленных на файловый сервер Rejetto HTTP (HFS) 2.x, использует CVE-2024-23692, критическую уязвимость при внедрении шаблона без проверки подлинности на стороне сервера, позволяющую удаленно выполнять код. Злоумышленники внедряют троянскую вредоносную программу с помощью специально созданных HTTP-запросов, при этом командно-контрольные коммуникации прослеживаются вплоть до Гонконга, что указывает на скоординированные усилия. Организациям, использующим непатченные версии HFS, рекомендуется усилить меры безопасности.
-----

19 июля исследовательская группа Imperva по исследованию угроз выявила значительное увеличение числа HTTP-запросов, нацеленных на экземпляры Rejetto HTTP File Server (HFS) 2.x, что быстро выявило скоординированные усилия по использованию критической уязвимости внедрения шаблонов на стороне сервера, не прошедшей проверку подлинности, известной как CVE-2024-23692. Эта уязвимость, оцененная по шкале CVSS в 9,8 балла, позволяет злоумышленникам выполнять произвольные команды, что потенциально приводит к широкому распространению программ-вымогателей и троянских программ через скомпрометированные файлообменные серверы.

Метод атаки включал сканирование Интернета на наличие открытых экземпляров HFS 2.x, в частности версий 2.3m и более ранних, которые подвержены этой уязвимости. Используя не прошедшее проверку подлинности Внедрение в шаблон с помощью параметра "поиск", злоумышленники смогли создать один HTTP-запрос, который мог загружать и выполнять вредоносную полезную нагрузку без необходимости аутентификации. В ходе кампании было зафиксировано более 662 попыток эксплойта в 55 доменах клиентов, что подчеркивает масштаб угрозы.

В частности, уязвимость позволяет злоумышленникам создать новый макроблок "exec" в шаблоне HFS, используя специально созданное значение поиска, которое ссылается на вредоносную полезную нагрузку, указанную в параметре запроса "cmd". Поскольку сервер HFS обрабатывает фрагменты шаблона, предоставленные пользователем, после декодирования URL-адреса, это позволяет удаленно выполнять код на любом незапатченном сервере HFS 2.x.

На протяжении всей кампании злоумышленники пытались внедрить различные образцы троянских вредоносных программ, все из которых взаимодействовали с командно-контрольными серверами, расположенными в Гонконге. Анализ показал, что все обнаруженные образцы вредоносных программ последовательно размещались по одному и тому же URL-адресу, и что командно-контрольные сообщения поступали из Гонконга и возвращались обратно, что позволяет предположить, что за этой деятельностью стоит единый скоординированный злоумышленник.

Этот инцидент подчеркивает риски, связанные с устаревшим условно-бесплатным программным обеспечением, которое остается непатентованным и общедоступным в Интернете. Злоумышленники используют такие уязвимости для операций с программами-вымогателями без необходимости использовать уязвимости zero-day. В свете этой угрозы организациям, размещающим файлообменные сервисы, рекомендуется внедрять меры безопасности, такие как VPN или порталы единого входа (SSO), чтобы снизить риск эксплуатации.

#ParsedReport #CompletenessMedium
05-08-2025

RoKRAT Shellcode and Steganographic Threats: Analysis and EDR Response Strategies

https://www.genians.co.kr/en/blog/threat_intelligence/rokrat_shellcode_steganographic

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Toybox_story

Threats:
Rokrat
Steganography_technique
Dll_sideloading_technique

Victims:
Organizations, Institutions, Endpoints

Geo:
North korea, North korean, China, Russia, Korea

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1027.003, T1036, T1055, T1055.002, T1059.001, T1059.003, T1071.001, T1082, have more...

IOCs:
File: 18
Path: 2
Coin: 2
Email: 4
Hash: 11

Soft:
Visual Studio, Dropbox, ShellRunas, Sysinternals

Algorithms:
md5, xor

Functions:
Get-Content, Write-Host, GetMyFirstResult

Win API:
CreateProcessW, SHGetKnownFolderPath, LoadLibraryW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2, code: 2, dump: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносной программы RoKRAT, связанный с APT37, использует двухэтапное внедрение зашифрованного шеллкода и стеганографию для скрытия в изображениях. В нем используются zip-файлы с файлами быстрого доступа, которые выполняют команды PowerShell и обмениваются данными через облачные сервисы, что затрудняет обнаружение при извлечении конфиденциальных данных.
-----

Был обнаружен новый вариант вредоносной программы RoKRAT, связанный с группой APT37, использующий передовые методы уклонения. Этот вариант использует двухэтапный метод внедрения зашифрованного шеллкода, который усложняет анализ и использует стеганографию для сокрытия вредоносного кода в файлах изображений. Вредоносная программа обычно доставляется через zip-файлы, содержащие файлы быстрого доступа (.lnk), в которых используются команды Cmd или PowerShell для выполнения атак. Примечательный способ доставки включал сжатый архив под названием "Национальная разведка и контрразведка Manuscript.zip ," в котором размещался файл ярлыка значительно большего размера, предназначенный для маскировки полезной нагрузки.

Внутри файла быстрого доступа пакетный файл инициирует последовательность команд PowerShell, которая постепенно загружает шеллкод и выполняет операции декодирования с помощью XOR, что в конечном итоге приводит к декодируемому блоку шеллкода. Шелл-код идентифицируется как содержащий 32-разрядный исполняемый файл со встроенной отладочной информацией, указывающей возможные подробности о его создании и облегчающей дальнейший анализ. Было также отмечено, что в последнем варианте используется 'notepad.exe "процесс в его работе, который отражает эволюционирующий метод сохранения скрытности вредоносного ПО.

Кроме того, вредоносная программа использует преимущества методов атаки без использования файлов и использует бесплатные облачные сервисы, такие как Dropbox, для обмена данными между командами и контролем (C2). Встраивая RoKRAT в файлы изображений и полагаясь на законную облачную инфраструктуру, это затрудняет обнаружение обычными средствами. Вредоносная программа извлекает конфиденциальную информацию, такую как системные данные, файлы документов и скриншоты.

Исторически APT37 использовал различные эволюционирующие тактики, и идентификация строки "InjectShellcode" в последнем варианте предполагает дальнейшие меры по противодействию традиционным механизмам обнаружения. Важным наблюдением является идентификация значений токенов облачного доступа, связанных с субъектами угроз, выявляющая связи с адресами электронной почты Яндекса, указывающая на непрерывность работы операторов.

Кроме того, использование OLE-объектов в документах HWP выявило дополнительные методы, при которых вредоносная полезная нагрузка выполняла действия по загрузке необходимых компонентов способом, характерным для боковой загрузки DLL. Благодаря этим многогранным методам вредоносная программа RoKRAT демонстрирует прогресс в изощренности угроз, связанных с сложными целенаправленными атаками, подчеркивая необходимость расширенных возможностей EDR (Endpoint Detection and Response) для всесторонней визуализации и понимания вредоносных действий. Постоянный мониторинг и выявление ненормального поведения имеют решающее значение для противодействия таким постоянным и скрытым угрозам.