#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CL-CRI-1040, связанный с базирующимся в Китае злоумышленником Storm-2603, использует Project AK47, состоящий из бэкдора (AK47C2), программы-вымогателя (AK47/X2ANYLOCK) и загрузчиков. Эта группа использует уязвимости SharePoint с помощью цепочки эксплойтов ToolShell и управляет сайтом двойного вымогательства под названием Warlock Client. Бэкдор использует DNS и HTTP для командования и контроля, применяя кодировку XOR и фрагментированные запросы, чтобы избежать обнаружения, в то время как прототип программы-вымогателя содержит базовые функции, но лишен полных возможностей шифрования.
-----

Анализ, проведенный подразделением 42, выявил кластер киберугроз, отслеживаемый как CL-CRI-1040, который был подключен к набору инструментов, известному как Project AK47, с использованием бэкдора, программ-вымогателей и загрузчиков. Как сообщает Microsoft, эта активность, как полагают, связана с базирующимся в Китае злоумышленником по имени Storm-2603, особенно в отношении использования уязвимостей SharePoint с помощью цепочки эксплойтов под названием ToolShell. Совокупность этих результатов указывает на то, что CL-CRI-1040 начал проявлять вредоносную активность в марте 2025 года, первоначально приписываемую партнеру LockBit 3.0, но эволюционировал для управления сайтом утечки данных с двойным вымогательством под названием Warlock Client.

Project AK47 состоит из различных вредоносных компонентов, включая многопротокольный бэкдор, известный как AK47C2, пользовательскую программу-вымогатель, получившую название AK47 или X2ANYLOCK, и вспомогательные инструменты. Бэкдор AK47C2 продемонстрировал отличительные возможности, используя DNS и HTTP для передачи команд и контроля (C2). Документированный вариант dnsclient использует кодировку XOR для передачи данных со своим сервером C2, отправляя запросы фрагментированными DNS-запросами, чтобы обойти ограничения по длине. Обновленная версия этого бэкдора упрощает его протокол связи и повышает надежность. Между тем, httpclient использует HTTP для взаимодействия C2, снова используя JSON и аналогичную стратегию кодирования в качестве своего аналога DNS.

Компонент программы-вымогателя, идентифицированный как AK47 или X2ANYLOCK, обладает типичными характеристиками программы-вымогателя. Первоначальный анализ показывает, что этот вариант реализует базовые функции, такие как создание записки с требованием выкупа, но на стадии прототипа ему не хватает функций полного шифрования. Он использует проверки временных меток файлов, чтобы избежать обнаружения, завершая свой процесс при выполнении условий. Записка о выкупе содержит конкретные контактные данные для переговоров, облегчающие общение между жертвами и киберпреступниками. Примечательно, что идентификатор Tox, используемый в записках о выкупе, связан с группой программ-вымогателей Warlock и сайтом утечки клиентов Warlock.

Дальнейшее расследование CL-CRI-1040 выявило связи с предыдущими действиями программ-вымогателей, в том числе связанными с LockBit 3.0 и клиентской программой-вымогателем Warlock. Документы раскрывают совпадающие личности в сообществе программ-вымогателей и дают представление об истории совместной инфраструктуры, инструментов и показателей в этих группах. Среди ключевых доказательств утечка базы данных, подключенной к LockBit 3.0, раскрывает последовательные регистрации пользователей и временные рамки, которые намекают на совместную или параллельную вредоносную деятельность злоумышленников.

#ParsedReport #CompletenessLow
05-08-2025

Imperva Detects and Mitigates Rejetto HFS Spray-and-Pray Ransomware/Trojan Campaign

https://www.imperva.com/blog/imperva-detects-and-mitigates-rejetto-hfs-spray-and-pray-ransomware-trojan-campaign/

Report completeness: Low

Threats:
Farfli
Zenpak

Victims:
Rejetto hfs 2.x users

Geo:
Hong kong

CVEs:
CVE-2024-23692 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rejetto http_file_server (le2.4)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1071.001, T1105, T1190, T1204.002, T1486

IOCs:
Url: 6
Hash: 3
IP: 4
Domain: 1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Всплеск HTTP-запросов, нацеленных на файловый сервер Rejetto HTTP (HFS) 2.x, использует CVE-2024-23692, критическую уязвимость при внедрении шаблона без проверки подлинности на стороне сервера, позволяющую удаленно выполнять код. Злоумышленники внедряют троянскую вредоносную программу с помощью специально созданных HTTP-запросов, при этом командно-контрольные коммуникации прослеживаются вплоть до Гонконга, что указывает на скоординированные усилия. Организациям, использующим непатченные версии HFS, рекомендуется усилить меры безопасности.
-----

19 июля исследовательская группа Imperva по исследованию угроз выявила значительное увеличение числа HTTP-запросов, нацеленных на экземпляры Rejetto HTTP File Server (HFS) 2.x, что быстро выявило скоординированные усилия по использованию критической уязвимости внедрения шаблонов на стороне сервера, не прошедшей проверку подлинности, известной как CVE-2024-23692. Эта уязвимость, оцененная по шкале CVSS в 9,8 балла, позволяет злоумышленникам выполнять произвольные команды, что потенциально приводит к широкому распространению программ-вымогателей и троянских программ через скомпрометированные файлообменные серверы.

Метод атаки включал сканирование Интернета на наличие открытых экземпляров HFS 2.x, в частности версий 2.3m и более ранних, которые подвержены этой уязвимости. Используя не прошедшее проверку подлинности Внедрение в шаблон с помощью параметра "поиск", злоумышленники смогли создать один HTTP-запрос, который мог загружать и выполнять вредоносную полезную нагрузку без необходимости аутентификации. В ходе кампании было зафиксировано более 662 попыток эксплойта в 55 доменах клиентов, что подчеркивает масштаб угрозы.

В частности, уязвимость позволяет злоумышленникам создать новый макроблок "exec" в шаблоне HFS, используя специально созданное значение поиска, которое ссылается на вредоносную полезную нагрузку, указанную в параметре запроса "cmd". Поскольку сервер HFS обрабатывает фрагменты шаблона, предоставленные пользователем, после декодирования URL-адреса, это позволяет удаленно выполнять код на любом незапатченном сервере HFS 2.x.

На протяжении всей кампании злоумышленники пытались внедрить различные образцы троянских вредоносных программ, все из которых взаимодействовали с командно-контрольными серверами, расположенными в Гонконге. Анализ показал, что все обнаруженные образцы вредоносных программ последовательно размещались по одному и тому же URL-адресу, и что командно-контрольные сообщения поступали из Гонконга и возвращались обратно, что позволяет предположить, что за этой деятельностью стоит единый скоординированный злоумышленник.

Этот инцидент подчеркивает риски, связанные с устаревшим условно-бесплатным программным обеспечением, которое остается непатентованным и общедоступным в Интернете. Злоумышленники используют такие уязвимости для операций с программами-вымогателями без необходимости использовать уязвимости zero-day. В свете этой угрозы организациям, размещающим файлообменные сервисы, рекомендуется внедрять меры безопасности, такие как VPN или порталы единого входа (SSO), чтобы снизить риск эксплуатации.

#ParsedReport #CompletenessMedium
05-08-2025

RoKRAT Shellcode and Steganographic Threats: Analysis and EDR Response Strategies

https://www.genians.co.kr/en/blog/threat_intelligence/rokrat_shellcode_steganographic

Report completeness: Medium

Actors/Campaigns:
Scarcruft
Toybox_story

Threats:
Rokrat
Steganography_technique
Dll_sideloading_technique

Victims:
Organizations, Institutions, Endpoints

Geo:
North korea, North korean, China, Russia, Korea

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1027.003, T1036, T1055, T1055.002, T1059.001, T1059.003, T1071.001, T1082, have more...

IOCs:
File: 18
Path: 2
Coin: 2
Email: 4
Hash: 11

Soft:
Visual Studio, Dropbox, ShellRunas, Sysinternals

Algorithms:
md5, xor

Functions:
Get-Content, Write-Host, GetMyFirstResult

Win API:
CreateProcessW, SHGetKnownFolderPath, LoadLibraryW

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2, code: 2, dump: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносной программы RoKRAT, связанный с APT37, использует двухэтапное внедрение зашифрованного шеллкода и стеганографию для скрытия в изображениях. В нем используются zip-файлы с файлами быстрого доступа, которые выполняют команды PowerShell и обмениваются данными через облачные сервисы, что затрудняет обнаружение при извлечении конфиденциальных данных.
-----

Был обнаружен новый вариант вредоносной программы RoKRAT, связанный с группой APT37, использующий передовые методы уклонения. Этот вариант использует двухэтапный метод внедрения зашифрованного шеллкода, который усложняет анализ и использует стеганографию для сокрытия вредоносного кода в файлах изображений. Вредоносная программа обычно доставляется через zip-файлы, содержащие файлы быстрого доступа (.lnk), в которых используются команды Cmd или PowerShell для выполнения атак. Примечательный способ доставки включал сжатый архив под названием "Национальная разведка и контрразведка Manuscript.zip ," в котором размещался файл ярлыка значительно большего размера, предназначенный для маскировки полезной нагрузки.

Внутри файла быстрого доступа пакетный файл инициирует последовательность команд PowerShell, которая постепенно загружает шеллкод и выполняет операции декодирования с помощью XOR, что в конечном итоге приводит к декодируемому блоку шеллкода. Шелл-код идентифицируется как содержащий 32-разрядный исполняемый файл со встроенной отладочной информацией, указывающей возможные подробности о его создании и облегчающей дальнейший анализ. Было также отмечено, что в последнем варианте используется 'notepad.exe "процесс в его работе, который отражает эволюционирующий метод сохранения скрытности вредоносного ПО.

Кроме того, вредоносная программа использует преимущества методов атаки без использования файлов и использует бесплатные облачные сервисы, такие как Dropbox, для обмена данными между командами и контролем (C2). Встраивая RoKRAT в файлы изображений и полагаясь на законную облачную инфраструктуру, это затрудняет обнаружение обычными средствами. Вредоносная программа извлекает конфиденциальную информацию, такую как системные данные, файлы документов и скриншоты.

Исторически APT37 использовал различные эволюционирующие тактики, и идентификация строки "InjectShellcode" в последнем варианте предполагает дальнейшие меры по противодействию традиционным механизмам обнаружения. Важным наблюдением является идентификация значений токенов облачного доступа, связанных с субъектами угроз, выявляющая связи с адресами электронной почты Яндекса, указывающая на непрерывность работы операторов.

Кроме того, использование OLE-объектов в документах HWP выявило дополнительные методы, при которых вредоносная полезная нагрузка выполняла действия по загрузке необходимых компонентов способом, характерным для боковой загрузки DLL. Благодаря этим многогранным методам вредоносная программа RoKRAT демонстрирует прогресс в изощренности угроз, связанных с сложными целенаправленными атаками, подчеркивая необходимость расширенных возможностей EDR (Endpoint Detection and Response) для всесторонней визуализации и понимания вредоносных действий. Постоянный мониторинг и выявление ненормального поведения имеют решающее значение для противодействия таким постоянным и скрытым угрозам.

#technique

TURNt
TURNt (TURN tunneler) is a red team tool designed for one-off interactive command and control communications along-side an existing implant providing a long-term command and control connection. TURNt allows an operator to tunnel interactive command and control traffic such as hidden VNC and SOCKS traffick over legitimate meeting protocols used by web conferencing software such as Zoom or Microsoft Teams.

https://github.com/praetorian-inc/turnt/

#technique

A no-reboot, in-memory Linux persistence PoC leveraging namespace joining, user-namespace elevation, and self‑deletion.

https://github.com/0pepsi/Linux-persistence

Рашен хакерс конфермд

Телефон сегодня весь день взрывается от звонков со странных номеров... Совпадение? Не думаю.

#ParsedReport #CompletenessMedium
07-08-2025

MSPs a top target for Akira and Lynx ransomware

https://www.acronis.com/en-us/tru/posts/msps-a-top-target-for-akira-and-lynx-ransomware/

Report completeness: Medium

Actors/Campaigns:
Fin12
Inc_ransomware

Threats:
Akira_ransomware
Lynx
Shadow_copies_delete_technique
Lockbit
Conti
Inc_ransomware

Victims:
Hitachi vantara, Toppan next tech, Cbs affiliate television station

Industry:
Financial

Geo:
Russian, Spain

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1041, T1046, T1057, T1059.001, T1070.004, T1071.001, T1078, T1082, have more...

IOCs:
File: 2
Hash: 2
Url: 16

Soft:
Visual Studio, Linux, ESXI, Docker

Algorithms:
aes, aes-128-ctr, sha512, curve25519-donna, chacha20, base64, sha256, ecc

Functions:
GetQuedCompletionStatus, FindFirstFile, FindNextFile

Win API:
WinMain, CoSetProxyBlanket, GetSystemInfo, GetLastError, CryptGenRandom, SetVolumeMountPointW, EnumServicesStatusExW, ControlService, DeviceIoControl, SeTakeOwnership, have more...

Languages:
typescript, powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Akira и Lynx разрабатывают семейства программ-вымогателей, использующих Ransomware-as-a-Service (RaaS) и тактику двойного вымогательства. Они используют уязвимости, такие как Cisco CVE-2023-20269 и SonicWall CVE-2024-40766, отключают программное обеспечение безопасности и используют сбор учетных данных пользователя для бокового перемещения. Оба используют передовые методы и операционные функции, чтобы избежать обнаружения и максимизировать выплаты выкупа за счет целенаправленных атак на малый бизнес и поставщиков управляемых услуг.
-----

Семейства программ-вымогателей Akira и Lynx работают по модели "Программа-вымогатель как услуга" (RaaS) и используют тактику двойного вымогательства. Обе группы используют уязвимости, такие как Cisco CVE-2023-20269 и брандмауэр SonicWall CVE-2024-40766, для получения несанкционированного доступа. Они отключают программное обеспечение безопасности, удаляют shadow copies и очищают журналы событий, чтобы избежать обнаружения. Akira ransomware, действующая с 2022 года, нацелена на малый бизнес и поставщиков управляемых услуг (MSP), извлекая данные перед шифрованием и используя алгоритм шифрования ChaCha20. Akira добавляет определенное расширение к зашифрованным файлам, а сумма выкупа определяется на основе украденных данных. Программа-вымогатель Lynx, связанная с INC group, использует фишинговые электронные письма для доставки полезной нагрузки и активно ищет системные уязвимости. Он собирает системную информацию, извлекает файлы и использует сбор учетных данных при боковом перемещении. Lynx закодирован на C/C++ и может завершать процессы, подключать скрытые диски и печатать уведомления о выкупе со взломанных принтеров. Оба типа программ-вымогателей отключают процессы и службы, чтобы обойти меры безопасности, и используют передовые тактики для доступа к файлам во время атак. Их действия отражают продуманный подход, в котором основное внимание уделяется потенциальным выплатам с помощью обширных исследований жертв, подчеркивающих эволюцию тактики вымогателей.

#ParsedReport #CompletenessLow
07-08-2025

ScarCrufts New Language: Whispering in PubNub, Crafting Backdoor in Rust, Striking with Ransomware

https://medium.com/s2wblog/scarcrufts-new-language-whispering-in-pubnub-crafting-backdoor-in-rust-striking-with-ransomware-21628cb8b56e

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: financially_motivated, cyber_espionage)
Chinopunk

Threats:
Chinotto
Nubspy
Lightpeek
Txpyloader
W4sp
Chillychino
Goably

Victims:
North korean defectors, Journalists, Government entities, South korean users

Industry:
Government

Geo:
Russia, North korea, North korean, Vietnam, Nepal, Japan, Middle east, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1059.001, T1059.006, T1071.001, T1102, T1105, T1204.002, T1486, T1566.001, have more...

Soft:
PubNub, Zoom

Languages:
rust, powershell, autoit, python

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250807\_ScarCruft's%20New%20Language%3A%20Whispering%20in%20PubNub%2C%20Crafting%20Backdoor%20in%20Rust%2C%20Striking%20with%20Ransomware/%5BS2W%5D%20ScarCruft%E2%80%99s%20New%20Language\_%20Whispering%20in%20PubNub%2C%20Crafting%20Backdoor%20in%20Rust%2C%20Striking%20with%20Ransomware.pdf

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ChinopuNK, подгруппа северокорейских сложных целенаправленных атак ScarCruft, нацеливает на южнокорейских пользователей вредоносное ПО, замаскированное под обновления почтовых индексов. Эта кампания включает вредоносный файл LNK, ведущий к загрузчику AutoIt, который извлекает различные полезные файлы, включая программы-похитители и программы-вымогатели. Известные инструменты включают бэкдор NubSpy, использующий PubNub для C2, LightPeek в качестве похитителя PowerShell и новое вредоносное ПО на основе Rust, что указывает на переход к финансово мотивированным кибероперациям.
-----

Центр анализа угроз и разведки S2W (TALON) выявил новую вредоносную кампанию, приписываемую ChinopuNK, подгруппе северокорейской группы по сложным целенаправленным атакам ScarCruft. Эта кампания нацелена на южнокорейских пользователей и осуществляется с помощью метода маскировки вредоносного файла LNK под уведомление об обновлении почтового индекса, которое содержится в архиве RAR. После активации файл LNK запускает загрузчик AutoIt, который извлекает различные вредоносные полезные файлы с внешнего сервера, включая сочетание программ-похитителей, программ-вымогателей и бэкдоров.

В ходе расследования было обнаружено девять различных образцов вредоносных программ, связанных с этой операцией, причем некоторые из них выделяются своими уникальными функциональными возможностями. Бэкдор NubSpy реализует PubNub для командно-контрольного взаимодействия (C2), в то время как LightPeek работает как средство кражи информации, созданное в PowerShell. TxPyLoader, загрузчик на базе Python, примечателен тем, что в нем используется транзакционное выдалбливание. Кроме того, FadeStealer был связан с предыдущими действиями ScarCruft, направленными на эксфильтрацию данных, а новый вариант программы-вымогателя VCD завершает зашифрованные файлы с помощью .Расширение VCD. Другой важной новинкой является CHILLYCHINO, бэкдор на основе Rust, который развился из предыдущей версии, написанной на PowerShell.

Эта кампания указывает на значительный сдвиг в оперативной тактике и возможностях ScarCruft's, в частности, на их растущую зависимость от платформ обмена сообщениями в режиме реального времени, таких как PubNub, которые они используют для связи C2, по крайней мере, с 2017 года. В целом, появление программ-вымогателей и адаптация инструментов к современным языкам программирования, таким как Rust, свидетельствуют о стратегическом повороте в сторону финансово мотивированных операций. Эта эволюция отражает более широкое потенциальное расширение целей ScarCruft's за рамки традиционного шпионажа, указывая на возможную склонность к тактике срыва и вымогательства.

Полученные данные свидетельствуют об инновационном использовании группой вредоносных программ и их адаптации к существующим штаммам, что проливает свет на более сложную операционную систему в экосистеме ScarCruft. Появление этих новых инструментов и техник свидетельствует об увеличении их оперативных возможностей и продолжает подтверждать их статус, поддерживаемый государством, в контексте северокорейской киберугрозы.