#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная программа, известная как "AV killer", использует ThrottleStop.sys драйвер для отключения антивирусных процессов с помощью метода BYOVD, облегчающего развертывание программ-вымогателей. Злоумышленник использует учетные данные RDP и использует Mimikatz для credential harvesting, перемещаясь в сторону с помощью методов pass-the-hash перед развертыванием программы-вымогателя MedusaLocker. ThrottleStop.sys , помеченный как CVE-2025-7771, позволяет манипулировать функциями ядра, создавая значительные риски для кибербезопасности во всем мире.
-----

В ходе недавнего расследования, связанного с киберугрозами в Бразилии, был обнаружен новый тип вредоносного ПО, получивший название "AV killer", использующий ThrottleStop.sys драйвер для отключения антивирусных процессов в рамках метода BYOVD (Принесите свой собственный уязвимый драйвер). Это вредоносное программное обеспечение наблюдается с октября 2024 года и является частью тревожной тенденции увеличения числа кибератак с использованием аналогичных методологий. Конкретный AV killer работает путем прекращения антивирусных процессов, чтобы ослабить защиту системы, тем самым облегчая внедрение программ-вымогателей.

Атака началась с того, что злоумышленник использовал действительные учетные данные протокола удаленного рабочего стола (RDP) для доступа к SMTP-серверу. Оказавшись внутри, они использовали Mimikatz для сбора дополнительных учетных данных пользователя, что позволило им перемещаться по сети с помощью методов pass-the-hash, используя такие инструменты, как Invoke-WMIExec.ps1 и Invoke-SMBExec.ps1. Злоумышленник развернул вариант программы-вымогателя MedusaLocker после отключения антивируса на нескольких конечных точках. Несмотря на первоначальные усилия Защитника Windows по сдерживанию, злоумышленнику удалось отключить эти меры безопасности с помощью ThrottleStop.sys уязвимость.

Этот драйвер использует функцию MmMapIoSpace для доступа к физической памяти, позволяя управлять функциями уровня ядра из пользовательского режима. Конкретная уязвимость, связанная с ThrottleStop.sys был помечен как CVE-2025-7771, и известно, что им широко пользуются злоумышленники и даже игровые читеры. Вредоносная программа, названная All.exe , предназначен для уничтожения основных AV-продуктов с методичным подходом к идентификации активных процессов и выполнению функций завершения с помощью вызовов ядра. Он интеллектуально извлекает необходимые адреса, используя недокументированную функцию NtQuerySystemInformation, и выбирает функции ядра, которые могут быть вызваны косвенно, тем самым выполняя цикл, который ищет и устраняет назначенные AV-процессы.

Техническое поведение вредоносного ПО демонстрирует глубокое понимание внутренних устройств Windows, использующее методы восстановления исходного кода ядра, чтобы избежать сбоев после выполнения. Наблюдаемая закономерность показала, что AV killer способен обрабатывать ответы антивирусного программного обеспечения в режиме реального времени, что еще раз указывает на его эффективность.

Этот AV killer и связанная с ним тактика были в первую очередь замечены при воздействии на цели в таких регионах, как Россия, Беларусь, Казахстан, Украина и Бразилия, причем особая уязвимость была отмечена среди компаний, использующих неадекватные протоколы безопасности для защиты от таких сложных угроз. Продолжающееся присутствие этого вредоносного ПО в дикой природе является примером серьезной угрозы для операций по кибербезопасности во всем мире, подчеркивая острую необходимость эффективного мониторинга уязвимых драйверов, таких как ThrottleStop.sys чтобы отразить попытки эксплуатации.

#ParsedReport #CompletenessMedium
06-08-2025

Project AK47: Uncovering a Link to the SharePoint Vulnerability Attacks

https://unit42.paloaltonetworks.com/ak47-activity-linked-to-sharepoint-vulnerabilities/

Report completeness: Medium

Actors/Campaigns:
Cl-cri-1040 (motivation: financially_motivated, cyber_espionage, cyber_criminal)
Storm-2603 (motivation: cyber_criminal)

Threats:
Project_ak47_tool
Lockbit
Ak47c2_tool
X2anylock
Toolshell_vuln
Dll_sideloading_technique
Pypykatz_tool
Masscan_tool

Geo:
China, Chinese

CVEs:
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055.001, T1059.003, T1071.001, T1071.004, T1078, T1095, T1105, have more...

IOCs:
Path: 14
IP: 1
Domain: 1
File: 18
Hash: 28

Soft:
curl, PsExec

Crypto:
bitcoin

Algorithms:
aes, xor

Functions:
Windows

Platforms:
x86

Links:
https://github.com/WBGlIl/IIS\_backdoor

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CL-CRI-1040, связанный с базирующимся в Китае злоумышленником Storm-2603, использует Project AK47, состоящий из бэкдора (AK47C2), программы-вымогателя (AK47/X2ANYLOCK) и загрузчиков. Эта группа использует уязвимости SharePoint с помощью цепочки эксплойтов ToolShell и управляет сайтом двойного вымогательства под названием Warlock Client. Бэкдор использует DNS и HTTP для командования и контроля, применяя кодировку XOR и фрагментированные запросы, чтобы избежать обнаружения, в то время как прототип программы-вымогателя содержит базовые функции, но лишен полных возможностей шифрования.
-----

Анализ, проведенный подразделением 42, выявил кластер киберугроз, отслеживаемый как CL-CRI-1040, который был подключен к набору инструментов, известному как Project AK47, с использованием бэкдора, программ-вымогателей и загрузчиков. Как сообщает Microsoft, эта активность, как полагают, связана с базирующимся в Китае злоумышленником по имени Storm-2603, особенно в отношении использования уязвимостей SharePoint с помощью цепочки эксплойтов под названием ToolShell. Совокупность этих результатов указывает на то, что CL-CRI-1040 начал проявлять вредоносную активность в марте 2025 года, первоначально приписываемую партнеру LockBit 3.0, но эволюционировал для управления сайтом утечки данных с двойным вымогательством под названием Warlock Client.

Project AK47 состоит из различных вредоносных компонентов, включая многопротокольный бэкдор, известный как AK47C2, пользовательскую программу-вымогатель, получившую название AK47 или X2ANYLOCK, и вспомогательные инструменты. Бэкдор AK47C2 продемонстрировал отличительные возможности, используя DNS и HTTP для передачи команд и контроля (C2). Документированный вариант dnsclient использует кодировку XOR для передачи данных со своим сервером C2, отправляя запросы фрагментированными DNS-запросами, чтобы обойти ограничения по длине. Обновленная версия этого бэкдора упрощает его протокол связи и повышает надежность. Между тем, httpclient использует HTTP для взаимодействия C2, снова используя JSON и аналогичную стратегию кодирования в качестве своего аналога DNS.

Компонент программы-вымогателя, идентифицированный как AK47 или X2ANYLOCK, обладает типичными характеристиками программы-вымогателя. Первоначальный анализ показывает, что этот вариант реализует базовые функции, такие как создание записки с требованием выкупа, но на стадии прототипа ему не хватает функций полного шифрования. Он использует проверки временных меток файлов, чтобы избежать обнаружения, завершая свой процесс при выполнении условий. Записка о выкупе содержит конкретные контактные данные для переговоров, облегчающие общение между жертвами и киберпреступниками. Примечательно, что идентификатор Tox, используемый в записках о выкупе, связан с группой программ-вымогателей Warlock и сайтом утечки клиентов Warlock.

Дальнейшее расследование CL-CRI-1040 выявило связи с предыдущими действиями программ-вымогателей, в том числе связанными с LockBit 3.0 и клиентской программой-вымогателем Warlock. Документы раскрывают совпадающие личности в сообществе программ-вымогателей и дают представление об истории совместной инфраструктуры, инструментов и показателей в этих группах. Среди ключевых доказательств утечка базы данных, подключенной к LockBit 3.0, раскрывает последовательные регистрации пользователей и временные рамки, которые намекают на совместную или параллельную вредоносную деятельность злоумышленников.

#ParsedReport #CompletenessLow
05-08-2025

Imperva Detects and Mitigates Rejetto HFS Spray-and-Pray Ransomware/Trojan Campaign

https://www.imperva.com/blog/imperva-detects-and-mitigates-rejetto-hfs-spray-and-pray-ransomware-trojan-campaign/

Report completeness: Low

Threats:
Farfli
Zenpak

Victims:
Rejetto hfs 2.x users

Geo:
Hong kong

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http_file_server (le2.4)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1071.001, T1105, T1190, T1204.002, T1486

IOCs:
Url: 6
Hash: 3
IP: 4
Domain: 1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Всплеск HTTP-запросов, нацеленных на файловый сервер Rejetto HTTP (HFS) 2.x, использует CVE-2024-23692, критическую уязвимость при внедрении шаблона без проверки подлинности на стороне сервера, позволяющую удаленно выполнять код. Злоумышленники внедряют троянскую вредоносную программу с помощью специально созданных HTTP-запросов, при этом командно-контрольные коммуникации прослеживаются вплоть до Гонконга, что указывает на скоординированные усилия. Организациям, использующим непатченные версии HFS, рекомендуется усилить меры безопасности.
-----

19 июля исследовательская группа Imperva по исследованию угроз выявила значительное увеличение числа HTTP-запросов, нацеленных на экземпляры Rejetto HTTP File Server (HFS) 2.x, что быстро выявило скоординированные усилия по использованию критической уязвимости внедрения шаблонов на стороне сервера, не прошедшей проверку подлинности, известной как CVE-2024-23692. Эта уязвимость, оцененная по шкале CVSS в 9,8 балла, позволяет злоумышленникам выполнять произвольные команды, что потенциально приводит к широкому распространению программ-вымогателей и троянских программ через скомпрометированные файлообменные серверы.

Метод атаки включал сканирование Интернета на наличие открытых экземпляров HFS 2.x, в частности версий 2.3m и более ранних, которые подвержены этой уязвимости. Используя не прошедшее проверку подлинности Внедрение в шаблон с помощью параметра "поиск", злоумышленники смогли создать один HTTP-запрос, который мог загружать и выполнять вредоносную полезную нагрузку без необходимости аутентификации. В ходе кампании было зафиксировано более 662 попыток эксплойта в 55 доменах клиентов, что подчеркивает масштаб угрозы.

В частности, уязвимость позволяет злоумышленникам создать новый макроблок "exec" в шаблоне HFS, используя специально созданное значение поиска, которое ссылается на вредоносную полезную нагрузку, указанную в параметре запроса "cmd". Поскольку сервер HFS обрабатывает фрагменты шаблона, предоставленные пользователем, после декодирования URL-адреса, это позволяет удаленно выполнять код на любом незапатченном сервере HFS 2.x.

На протяжении всей кампании злоумышленники пытались внедрить различные образцы троянских вредоносных программ, все из которых взаимодействовали с командно-контрольными серверами, расположенными в Гонконге. Анализ показал, что все обнаруженные образцы вредоносных программ последовательно размещались по одному и тому же URL-адресу, и что командно-контрольные сообщения поступали из Гонконга и возвращались обратно, что позволяет предположить, что за этой деятельностью стоит единый скоординированный злоумышленник.

Этот инцидент подчеркивает риски, связанные с устаревшим условно-бесплатным программным обеспечением, которое остается непатентованным и общедоступным в Интернете. Злоумышленники используют такие уязвимости для операций с программами-вымогателями без необходимости использовать уязвимости zero-day. В свете этой угрозы организациям, размещающим файлообменные сервисы, рекомендуется внедрять меры безопасности, такие как VPN или порталы единого входа (SSO), чтобы снизить риск эксплуатации.

#ParsedReport #CompletenessMedium
05-08-2025

RoKRAT Shellcode and Steganographic Threats: Analysis and EDR Response Strategies

https://www.genians.co.kr/en/blog/threat_intelligence/rokrat_shellcode_steganographic

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Toybox_story

Threats:
Rokrat
Steganography_technique
Dll_sideloading_technique

Victims:
Organizations, Institutions, Endpoints

Geo:
North korea, North korean, China, Russia, Korea

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1027.003, T1036, T1055, T1055.002, T1059.001, T1059.003, T1071.001, T1082, have more...

IOCs:
File: 18
Path: 2
Coin: 2
Email: 4
Hash: 11

Soft:
Visual Studio, Dropbox, ShellRunas, Sysinternals

Algorithms:
md5, xor

Functions:
Get-Content, Write-Host, GetMyFirstResult

Win API:
CreateProcessW, SHGetKnownFolderPath, LoadLibraryW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2, code: 2, dump: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносной программы RoKRAT, связанный с APT37, использует двухэтапное внедрение зашифрованного шеллкода и стеганографию для скрытия в изображениях. В нем используются zip-файлы с файлами быстрого доступа, которые выполняют команды PowerShell и обмениваются данными через облачные сервисы, что затрудняет обнаружение при извлечении конфиденциальных данных.
-----

Был обнаружен новый вариант вредоносной программы RoKRAT, связанный с группой APT37, использующий передовые методы уклонения. Этот вариант использует двухэтапный метод внедрения зашифрованного шеллкода, который усложняет анализ и использует стеганографию для сокрытия вредоносного кода в файлах изображений. Вредоносная программа обычно доставляется через zip-файлы, содержащие файлы быстрого доступа (.lnk), в которых используются команды Cmd или PowerShell для выполнения атак. Примечательный способ доставки включал сжатый архив под названием "Национальная разведка и контрразведка Manuscript.zip ," в котором размещался файл ярлыка значительно большего размера, предназначенный для маскировки полезной нагрузки.

Внутри файла быстрого доступа пакетный файл инициирует последовательность команд PowerShell, которая постепенно загружает шеллкод и выполняет операции декодирования с помощью XOR, что в конечном итоге приводит к декодируемому блоку шеллкода. Шелл-код идентифицируется как содержащий 32-разрядный исполняемый файл со встроенной отладочной информацией, указывающей возможные подробности о его создании и облегчающей дальнейший анализ. Было также отмечено, что в последнем варианте используется 'notepad.exe "процесс в его работе, который отражает эволюционирующий метод сохранения скрытности вредоносного ПО.

Кроме того, вредоносная программа использует преимущества методов атаки без использования файлов и использует бесплатные облачные сервисы, такие как Dropbox, для обмена данными между командами и контролем (C2). Встраивая RoKRAT в файлы изображений и полагаясь на законную облачную инфраструктуру, это затрудняет обнаружение обычными средствами. Вредоносная программа извлекает конфиденциальную информацию, такую как системные данные, файлы документов и скриншоты.

Исторически APT37 использовал различные эволюционирующие тактики, и идентификация строки "InjectShellcode" в последнем варианте предполагает дальнейшие меры по противодействию традиционным механизмам обнаружения. Важным наблюдением является идентификация значений токенов облачного доступа, связанных с субъектами угроз, выявляющая связи с адресами электронной почты Яндекса, указывающая на непрерывность работы операторов.

Кроме того, использование OLE-объектов в документах HWP выявило дополнительные методы, при которых вредоносная полезная нагрузка выполняла действия по загрузке необходимых компонентов способом, характерным для боковой загрузки DLL. Благодаря этим многогранным методам вредоносная программа RoKRAT демонстрирует прогресс в изощренности угроз, связанных с сложными целенаправленными атаками, подчеркивая необходимость расширенных возможностей EDR (Endpoint Detection and Response) для всесторонней визуализации и понимания вредоносных действий. Постоянный мониторинг и выявление ненормального поведения имеют решающее значение для противодействия таким постоянным и скрытым угрозам.

#technique

TURNt
TURNt (TURN tunneler) is a red team tool designed for one-off interactive command and control communications along-side an existing implant providing a long-term command and control connection. TURNt allows an operator to tunnel interactive command and control traffic such as hidden VNC and SOCKS traffick over legitimate meeting protocols used by web conferencing software such as Zoom or Microsoft Teams.

https://github.com/praetorian-inc/turnt/

#technique

A no-reboot, in-memory Linux persistence PoC leveraging namespace joining, user-namespace elevation, and self‑deletion.

https://github.com/0pepsi/Linux-persistence

Рашен хакерс конфермд

Телефон сегодня весь день взрывается от звонков со странных номеров... Совпадение? Не думаю.

#ParsedReport #CompletenessMedium
07-08-2025

MSPs a top target for Akira and Lynx ransomware

https://www.acronis.com/en-us/tru/posts/msps-a-top-target-for-akira-and-lynx-ransomware/

Report completeness: Medium

Actors/Campaigns:
Fin12
Inc_ransomware

Threats:
Akira_ransomware
Lynx
Shadow_copies_delete_technique
Lockbit
Conti
Inc_ransomware

Victims:
Hitachi vantara, Toppan next tech, Cbs affiliate television station

Industry:
Financial

Geo:
Russian, Spain

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1041, T1046, T1057, T1059.001, T1070.004, T1071.001, T1078, T1082, have more...

IOCs:
File: 2
Hash: 2
Url: 16

Soft:
Visual Studio, Linux, ESXI, Docker

Algorithms:
aes, aes-128-ctr, sha512, curve25519-donna, chacha20, base64, sha256, ecc

Functions:
GetQuedCompletionStatus, FindFirstFile, FindNextFile

Win API:
WinMain, CoSetProxyBlanket, GetSystemInfo, GetLastError, CryptGenRandom, SetVolumeMountPointW, EnumServicesStatusExW, ControlService, DeviceIoControl, SeTakeOwnership, have more...

Languages:
typescript, powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Akira и Lynx разрабатывают семейства программ-вымогателей, использующих Ransomware-as-a-Service (RaaS) и тактику двойного вымогательства. Они используют уязвимости, такие как Cisco CVE-2023-20269 и SonicWall CVE-2024-40766, отключают программное обеспечение безопасности и используют сбор учетных данных пользователя для бокового перемещения. Оба используют передовые методы и операционные функции, чтобы избежать обнаружения и максимизировать выплаты выкупа за счет целенаправленных атак на малый бизнес и поставщиков управляемых услуг.
-----

Семейства программ-вымогателей Akira и Lynx работают по модели "Программа-вымогатель как услуга" (RaaS) и используют тактику двойного вымогательства. Обе группы используют уязвимости, такие как Cisco CVE-2023-20269 и брандмауэр SonicWall CVE-2024-40766, для получения несанкционированного доступа. Они отключают программное обеспечение безопасности, удаляют shadow copies и очищают журналы событий, чтобы избежать обнаружения. Akira ransomware, действующая с 2022 года, нацелена на малый бизнес и поставщиков управляемых услуг (MSP), извлекая данные перед шифрованием и используя алгоритм шифрования ChaCha20. Akira добавляет определенное расширение к зашифрованным файлам, а сумма выкупа определяется на основе украденных данных. Программа-вымогатель Lynx, связанная с INC group, использует фишинговые электронные письма для доставки полезной нагрузки и активно ищет системные уязвимости. Он собирает системную информацию, извлекает файлы и использует сбор учетных данных при боковом перемещении. Lynx закодирован на C/C++ и может завершать процессы, подключать скрытые диски и печатать уведомления о выкупе со взломанных принтеров. Оба типа программ-вымогателей отключают процессы и службы, чтобы обойти меры безопасности, и используют передовые тактики для доступа к файлам во время атак. Их действия отражают продуманный подход, в котором основное внимание уделяется потенциальным выплатам с помощью обширных исследований жертв, подчеркивающих эволюцию тактики вымогателей.

#ParsedReport #CompletenessLow
07-08-2025

ScarCrufts New Language: Whispering in PubNub, Crafting Backdoor in Rust, Striking with Ransomware

https://medium.com/s2wblog/scarcrufts-new-language-whispering-in-pubnub-crafting-backdoor-in-rust-striking-with-ransomware-21628cb8b56e

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: financially_motivated, cyber_espionage)
Chinopunk

Threats:
Chinotto
Nubspy
Lightpeek
Txpyloader
W4sp
Chillychino
Goably

Victims:
North korean defectors, Journalists, Government entities, South korean users

Industry:
Government

Geo:
Russia, North korea, North korean, Vietnam, Nepal, Japan, Middle east, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1059.001, T1059.006, T1071.001, T1102, T1105, T1204.002, T1486, T1566.001, have more...

Soft:
PubNub, Zoom

Languages:
rust, powershell, autoit, python

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250807\_ScarCruft's%20New%20Language%3A%20Whispering%20in%20PubNub%2C%20Crafting%20Backdoor%20in%20Rust%2C%20Striking%20with%20Ransomware/%5BS2W%5D%20ScarCruft%E2%80%99s%20New%20Language\_%20Whispering%20in%20PubNub%2C%20Crafting%20Backdoor%20in%20Rust%2C%20Striking%20with%20Ransomware.pdf