#technique

TURNt
TURNt (TURN tunneler) is a red team tool designed for one-off interactive command and control communications along-side an existing implant providing a long-term command and control connection. TURNt allows an operator to tunnel interactive command and control traffic such as hidden VNC and SOCKS traffick over legitimate meeting protocols used by web conferencing software such as Zoom or Microsoft Teams.

https://github.com/praetorian-inc/turnt/

#technique

A no-reboot, in-memory Linux persistence PoC leveraging namespace joining, user-namespace elevation, and self‑deletion.

https://github.com/0pepsi/Linux-persistence

Рашен хакерс конфермд

Телефон сегодня весь день взрывается от звонков со странных номеров... Совпадение? Не думаю.

#ParsedReport #CompletenessMedium
07-08-2025

MSPs a top target for Akira and Lynx ransomware

https://www.acronis.com/en-us/tru/posts/msps-a-top-target-for-akira-and-lynx-ransomware/

Report completeness: Medium

Actors/Campaigns:
Fin12
Inc_ransomware

Threats:
Akira_ransomware
Lynx
Shadow_copies_delete_technique
Lockbit
Conti
Inc_ransomware

Victims:
Hitachi vantara, Toppan next tech, Cbs affiliate television station

Industry:
Financial

Geo:
Russian, Spain

CVEs:
CVE-2023-20269 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco adaptive_security_appliance_software (9.8.1, 9.8.1.5, 9.8.1.7, 9.8.2, 9.8.2.8)

CVE-2024-40766 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- sonicwall sonicos (<5.9.2.14-13o)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1027, T1041, T1046, T1057, T1059.001, T1070.004, T1071.001, T1078, T1082, have more...

IOCs:
File: 2
Hash: 2
Url: 16

Soft:
Visual Studio, Linux, ESXI, Docker

Algorithms:
aes, aes-128-ctr, sha512, curve25519-donna, chacha20, base64, sha256, ecc

Functions:
GetQuedCompletionStatus, FindFirstFile, FindNextFile

Win API:
WinMain, CoSetProxyBlanket, GetSystemInfo, GetLastError, CryptGenRandom, SetVolumeMountPointW, EnumServicesStatusExW, ControlService, DeviceIoControl, SeTakeOwnership, have more...

Languages:
typescript, powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Akira и Lynx разрабатывают семейства программ-вымогателей, использующих Ransomware-as-a-Service (RaaS) и тактику двойного вымогательства. Они используют уязвимости, такие как Cisco CVE-2023-20269 и SonicWall CVE-2024-40766, отключают программное обеспечение безопасности и используют сбор учетных данных пользователя для бокового перемещения. Оба используют передовые методы и операционные функции, чтобы избежать обнаружения и максимизировать выплаты выкупа за счет целенаправленных атак на малый бизнес и поставщиков управляемых услуг.
-----

Семейства программ-вымогателей Akira и Lynx работают по модели "Программа-вымогатель как услуга" (RaaS) и используют тактику двойного вымогательства. Обе группы используют уязвимости, такие как Cisco CVE-2023-20269 и брандмауэр SonicWall CVE-2024-40766, для получения несанкционированного доступа. Они отключают программное обеспечение безопасности, удаляют shadow copies и очищают журналы событий, чтобы избежать обнаружения. Akira ransomware, действующая с 2022 года, нацелена на малый бизнес и поставщиков управляемых услуг (MSP), извлекая данные перед шифрованием и используя алгоритм шифрования ChaCha20. Akira добавляет определенное расширение к зашифрованным файлам, а сумма выкупа определяется на основе украденных данных. Программа-вымогатель Lynx, связанная с INC group, использует фишинговые электронные письма для доставки полезной нагрузки и активно ищет системные уязвимости. Он собирает системную информацию, извлекает файлы и использует сбор учетных данных при боковом перемещении. Lynx закодирован на C/C++ и может завершать процессы, подключать скрытые диски и печатать уведомления о выкупе со взломанных принтеров. Оба типа программ-вымогателей отключают процессы и службы, чтобы обойти меры безопасности, и используют передовые тактики для доступа к файлам во время атак. Их действия отражают продуманный подход, в котором основное внимание уделяется потенциальным выплатам с помощью обширных исследований жертв, подчеркивающих эволюцию тактики вымогателей.

#ParsedReport #CompletenessLow
07-08-2025

ScarCrufts New Language: Whispering in PubNub, Crafting Backdoor in Rust, Striking with Ransomware

https://medium.com/s2wblog/scarcrufts-new-language-whispering-in-pubnub-crafting-backdoor-in-rust-striking-with-ransomware-21628cb8b56e

Report completeness: Low

Actors/Campaigns:
Scarcruft (motivation: financially_motivated, cyber_espionage)
Chinopunk

Threats:
Chinotto
Nubspy
Lightpeek
Txpyloader
W4sp
Chillychino
Goably

Victims:
North korean defectors, Journalists, Government entities, South korean users

Industry:
Government

Geo:
Russia, North korea, North korean, Vietnam, Nepal, Japan, Middle east, Korean

ChatGPT TTPs:
do not use without manual check
T1027, T1055.002, T1059.001, T1059.006, T1071.001, T1102, T1105, T1204.002, T1486, T1566.001, have more...

Soft:
PubNub, Zoom

Languages:
rust, powershell, autoit, python

Links:
https://github.com/S2W-TALON/Threat-Intelligence-Report/blob/main/250807\_ScarCruft's%20New%20Language%3A%20Whispering%20in%20PubNub%2C%20Crafting%20Backdoor%20in%20Rust%2C%20Striking%20with%20Ransomware/%5BS2W%5D%20ScarCruft%E2%80%99s%20New%20Language\_%20Whispering%20in%20PubNub%2C%20Crafting%20Backdoor%20in%20Rust%2C%20Striking%20with%20Ransomware.pdf

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ChinopuNK, подгруппа северокорейских сложных целенаправленных атак ScarCruft, нацеливает на южнокорейских пользователей вредоносное ПО, замаскированное под обновления почтовых индексов. Эта кампания включает вредоносный файл LNK, ведущий к загрузчику AutoIt, который извлекает различные полезные файлы, включая программы-похитители и программы-вымогатели. Известные инструменты включают бэкдор NubSpy, использующий PubNub для C2, LightPeek в качестве похитителя PowerShell и новое вредоносное ПО на основе Rust, что указывает на переход к финансово мотивированным кибероперациям.
-----

Центр анализа угроз и разведки S2W (TALON) выявил новую вредоносную кампанию, приписываемую ChinopuNK, подгруппе северокорейской группы по сложным целенаправленным атакам ScarCruft. Эта кампания нацелена на южнокорейских пользователей и осуществляется с помощью метода маскировки вредоносного файла LNK под уведомление об обновлении почтового индекса, которое содержится в архиве RAR. После активации файл LNK запускает загрузчик AutoIt, который извлекает различные вредоносные полезные файлы с внешнего сервера, включая сочетание программ-похитителей, программ-вымогателей и бэкдоров.

В ходе расследования было обнаружено девять различных образцов вредоносных программ, связанных с этой операцией, причем некоторые из них выделяются своими уникальными функциональными возможностями. Бэкдор NubSpy реализует PubNub для командно-контрольного взаимодействия (C2), в то время как LightPeek работает как средство кражи информации, созданное в PowerShell. TxPyLoader, загрузчик на базе Python, примечателен тем, что в нем используется транзакционное выдалбливание. Кроме того, FadeStealer был связан с предыдущими действиями ScarCruft, направленными на эксфильтрацию данных, а новый вариант программы-вымогателя VCD завершает зашифрованные файлы с помощью .Расширение VCD. Другой важной новинкой является CHILLYCHINO, бэкдор на основе Rust, который развился из предыдущей версии, написанной на PowerShell.

Эта кампания указывает на значительный сдвиг в оперативной тактике и возможностях ScarCruft's, в частности, на их растущую зависимость от платформ обмена сообщениями в режиме реального времени, таких как PubNub, которые они используют для связи C2, по крайней мере, с 2017 года. В целом, появление программ-вымогателей и адаптация инструментов к современным языкам программирования, таким как Rust, свидетельствуют о стратегическом повороте в сторону финансово мотивированных операций. Эта эволюция отражает более широкое потенциальное расширение целей ScarCruft's за рамки традиционного шпионажа, указывая на возможную склонность к тактике срыва и вымогательства.

Полученные данные свидетельствуют об инновационном использовании группой вредоносных программ и их адаптации к существующим штаммам, что проливает свет на более сложную операционную систему в экосистеме ScarCruft. Появление этих новых инструментов и техник свидетельствует об увеличении их оперативных возможностей и продолжает подтверждать их статус, поддерживаемый государством, в контексте северокорейской киберугрозы.

#ParsedReport #CompletenessLow
06-08-2025

11 Malicious Go Packages Distribute Obfuscated Remote Payloads

https://socket.dev/blog/11-malicious-go-packages-distribute-obfuscated-remote-payloads

Report completeness: Low

Threats:
Typosquatting_technique
Process_injection_technique

TTPs:

IOCs:
File: 4
Url: 10
Hash: 5
Command: 1
Path: 1

Soft:
Outlook, Unix, Linux, curl

Algorithms:
sha256

Links:
https://socket.dev/go/package/github.com/agitatedleopa/stm?version=v0.0.0-20250310195632-9b44df6faf7b
https://socket.dev/go/package/github.com/expertsandba/opt?version=v0.0.0-20250323175433-944daabf89b7
https://socket.dev/go/package/github.com/stripedconsu/linker?version=v0.0.0-20250227084011-d195c182cc85
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было идентифицировано одиннадцать вредоносных пакетов Go, использующих запутанные загрузчики для выполнения полезных нагрузок из активных доменов C2, причем восемь из них являются опечатками. Они используют методы выполнения в памяти, чтобы избежать обнаружения, нацеливаясь как на системы Linux, так и на Windows с помощью таких методов, как exec.Command и загрузка полезных нагрузок для эксфильтрации данных. Децентрализованная экосистема Go увеличивает риск интеграции этих угроз, усложняя идентификацию и меры защиты.
-----

Недавнее исследование Socket выявило одиннадцать вредоносных пакетов Go, которые используют запутанные загрузчики для выполнения полезных нагрузок второго этапа, полученных из доменов command-and-control (C2). Из них десять пакетов в настоящее время доступны в модуле Go, причем восемь являются typosquats — злонамеренно разработанными для имитации законных пакетов. Наблюдаемый метод обфускации включает строковый метод на основе индекса, при выполнении которого вредоносный код запускает оболочку и загружает полезную нагрузку второго этапа из набора назначенных конечных точек C2 (в основном используя пути /storage/de373d0df/a31546bf). Примечательно, что шесть из этих URL-адресов C2 остаются активными, что позволяет злоумышленникам использовать любую систему разработки или непрерывной интеграции (CI), которая интегрирует эти пакеты.

Операционный механизм для этих пакетов обычно использует структуру команд "exec.Command("/bin/sh", "-c", с обфускацией)", которая позволяет использовать такие инструменты, как "wget" в системах Unix и "certutil.exe" в Windows, для извлечения и выполнения двоичных файлов. В зависимости от операционной системы, полезной нагрузкой может быть либо сценарий bash, либо исполняемые файлы Windows. Механизм требует, чтобы вредоносный код воздерживался от создания файлов на диске, используя выполнение в памяти, чтобы избежать обнаружения системами безопасности.

Например, определенная полезная нагрузка загружает вредоносный двоичный файл ELF объемом 9,4 МБ с указанного URL-адреса C2, помеченного его хэшем SHA256 (844013025bf7c5d...). Этот двоичный файл предназначен для извлечения системной информации, чтения данных браузера и связи с внешними серверами при реализации одночасовой задержки в качестве тактики Обхода песочницы. Аналогичные вредоносные функции структурированы в различные примеры кодов, с несколькими деобфускациями URL, указывающими на адреса серверов, ранее отмеченные службами обнаружения угроз, такими как VirusTotal.

Децентрализованный характер экосистемы Go усложняет идентификацию вредоносных пакетов. Разработчики часто не могут отличить законный код от вредоносного из-за наличия множества пакетов с похожими названиями и функциональностью, что увеличивает риск случайной интеграции этих угроз в их среду. Многие вредоносные пакеты не демонстрируют существенной активности пользователей или не содержат уникальной документации по сравнению с их безобидными аналогами, что вносит путаницу и затрудняет обеспечение безопасного импорта пакетов.

Потенциал для компрометации охватывает как системы Linux, так и Windows, используя методы, классифицированные по таким тактикам, как T1059.004 (Интерпретатор командной строки и сценариев: Unix Shell) и T1218.010 (Выполнение подписанного двоичного прокси-сервера: Certutil). Исследование иллюстрирует растущую сложность того, как работают эти вредоносные пакеты, и подчеркивает необходимость усиленного контроля в рамках системы управления пакетами Go, чтобы защитить разработчиков от непреднамеренного выполнения вредоносного кода.

#ParsedReport #CompletenessLow
07-08-2025

Shared secret: EDR killer in the kill chain

https://news.sophos.com/en-us/2025/08/06/shared-secret-edr-killer-in-the-kill-chain/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Edr-killer
Ransomhub
Qilin_ransomware
Heartcrypt_tool
Av-killer
Royal_ransomware
Medusa_ransomware
Crytox
Lynx
Medusalocker
Simplehelp_tool
Inc_ransomware

Geo:
Hong kong, China

ChatGPT TTPs:
do not use without manual check
T1027, T1140, T1486, T1543.003, T1547.006, T1574.002, T1588.002, T1620

IOCs:
File: 9
Hash: 14
Registry: 2
Path: 9
Command: 1

Algorithms:
sha256, md5, xor, sha1

Win Services:
MsMpEng, SAVService

Links:
https://github.com/sophoslabs/IoCs/blob/master/06082025-edrkiller-iocs.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступные группировки Ransomhub, Qilin, DragonForce и INC сотрудничают, делясь инструментами и знаниями, облегчая сложные операции с программами-вымогателями. Продвинутая вредоносная программа EDR killer, замаскированная под легальное программное обеспечение, отключает антивирусную защиту и нацелена на крупных поставщиков систем безопасности. Уязвимость zero-day в SimpleHelp была использована для первоначального доступа, при этом в последующих инцидентах были отмечены постоянные улучшения тактики уклонения.
-----

Недавние расследования деятельности программ-вымогателей выявили тревожные модели обмена инструментами и сотрудничества между конкурирующими группами, такими как Ransomhub, Qilin, DragonForce и INC. Несмотря на то, что эти группы функционируют как соперники в экосистеме киберпреступников, факты свидетельствуют о том, что они обмениваются техническими знаниями и вредоносными инструментами, способствуя разработке вариантов и стратегий, которые укрепляют их деятельность. Каждая группа, по-видимому, использует различные сборки проприетарных инструментов, все из которых упакованы с использованием HeartCrypt, что указывает на уровень координации или совместного получения ресурсов между ними. Сложность этой экосистемы создает дополнительные проблемы для защитников кибербезопасности, которым поручено отслеживать и нейтрализовывать такие угрозы.

Важным инструментом, выявленным в ходе этих атак, является EDR (Endpoint Detection and Response) killer, в частности, продвинутая вредоносная программа, предназначенная для отключения антивирусной защиты. Этот инструмент часто использовался наряду с программами-вымогателями, что намекает на его решающую роль в содействии этим атакам. Примечательно, что конкретный вариант, идентифицированный как uA8s.exe (SHA-1: 2bc75023f6a4c50b21eb54d1394a7b8417608728) был обнаружен замаскированным в инструменте сравнения буфера обмена, легальном программном обеспечении. Процесс выполнения показывает, что вредоносная программа надежно защищена, демонстрируя сложные защитные механизмы, препятствующие обнаружению. Ключевые характеристики этого средства защиты от EDR включают наличие драйвера со случайно сгенерированным именем, использование скомпрометированного сертификата подписи кода и ориентацию на конкретных поставщиков продуктов безопасности, таких как Sophos. Распространение этого инструмента совпало с многочисленными предупреждениями, связанными с деятельностью программ-вымогателей, особенно с RansomHub.

В частности, злоумышленники использовали уязвимость zero-day Remote Code Execution (RCE) в SimpleHelp для получения первоначального доступа, что привело к использованию EDR-убийцы, упакованного в HeartCrypt. Вредоносная программа, впоследствии использованная для отключения антивирусных функций, специально предназначалась для взлома продуктов безопасности ведущих производителей, таких как Eset и Kaspersky. Примечательно, что в отдельном инциденте, зафиксированном в июне 2025 года, была замечена обновленная версия EDR-убийцы, использующая дополнительный уровень запутывания. В этом случае была задействована интеграция отдельных упаковщиков как сервиса, что улучшило тактику обхода вредоносного ПО. Многогранные стратегии защиты, используемые этими киберпреступниками, иллюстрируют постоянно меняющийся ландшафт угроз, где сотрудничество может повысить эффективность операций с программами-вымогателями, усложняя усилия защитников по превентивной нейтрализации таких угроз.

#ParsedReport #CompletenessLow
06-08-2025

VexTrios Origin Story : From Spam to Scam to Adtech

https://blogs.infoblox.com/threat-intelligence/vextrios-origin-story-from-spam-to-scam-to-adtech/

Report completeness: Low

Threats:
Vextrio
Lospollos
Adspro
Fakecaptcha_technique
Clickbait_technique
Blackseo_technique
Cloaking_technique

Industry:
Education, E-commerce, Petroleum, Software_development, Financial, Government, Energy, Telco, Media

Geo:
London, Chinese, Bulgarian, Belarussian, New york, Egypt, Switzerland, Bulgaria, Italian, Russia, Czechia, Estonia, Romania, Belarus, Italy, Canada, Albanian, Dutch, Slovenian, Montenegro, Russian, Italians, Moldova

IOCs:
Domain: 14
IP: 1

Soft:
WordPress, Instagram, SendGrid, Alpine

Platforms:
apple, arm, intel

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VexTrio - это преступная сеть, использующая систему распределения трафика для содействия различным онлайн-мошенничествам, включая scareware и мошенничество на свиданиях. Они используют взломанные веб-сайты, спам и методы обмана, такие как fake CAPTCHAs, для привлечения пользователей, при этом значительный трафик поступает со взломанных сайтов. Действующая с 2015 года VexTrio привлекает множество подставных компаний для сокрытия своей деятельности, и у нее есть ключевые фигуры в Европе, которые организуют ее сложные партнерские схемы.
-----

VexTrio работает как сложная система распределения трафика (TDS), объединяющая множество онлайн-мошенничеств, включая scareware, мошенничество на свиданиях и криптовалютные схемы. К 2024 году VexTrio отвечала за перенаправление трафика с более чем 50% клиентских сетей на свои TDS, что значительно облегчало различные мошеннические действия. Созданная в результате слияния преступных группировок Италии и Восточной Европы, VexTrio использует взломанные веб-сайты и спам в качестве основных средств распространения вредоносного контента. Сеть базируется в Лугано, Швейцария, и полагается на пуленепробиваемые услуги хостинга, используя при этом IP-адреса, арендованные у местных интернет-провайдеров, чтобы скрыть их операции.

Сеть организации включает в себя сложные связи с многочисленными коммерческими структурами, в частности, с мошенническими компаниями, такими как Los Pollos и AdsPro, обе из которых вовлечены в партнерский маркетинг и имеют связи с нелегальными источниками трафика. Исследователи установили, что VexTrio действует с 2015 года и состоит почти из ста компаний, занимающихся рассылкой спама и мошенничеством. Этой деятельности способствуют подставные компании с псевдонимами и вводящими в заблуждение личностями, чтобы замаскировать свои истинные операции, тем самым усложняя анализ их полного охвата.

Ключевые фигуры, связанные с VexTrio, включают таких людей, как Игорь Воронин, Эндрю Куница и Крум Василев, которые связаны с несколькими организациями по всей Европе, каждая из которых фигурирует под разными названиями компаний, чтобы еще больше скрыть свою личность. Инфраструктура, поддерживающая этот TDS, использует такие методы, как создание обманчивых веб-сайтов, fake CAPTCHAs для облегчения процессов входа в систему для получения push-уведомлений и использование тактики социальной инженерии для привлечения пользователей. Значительная часть трафика, примерно 40%, поступает со взломанных веб-сайтов, которые были перенаправлены на TDS VexTrio, что иллюстрирует масштаб их вредоносных операций.

VexTrio также занимается разработкой и распространением мошеннических приложений, утверждая, что предлагает такие услуги, как очистка оперативной памяти и мобильная безопасность. Их партнерские сети используют различные средства, включая схемы интерактивного голосового ответа (IVR), предназначенные для сбора личных данных жертв. Рекламные стратегии, такие как SmartRotation, используются для улучшения их целевых страниц для получения обманчивых предложений. Несмотря на высокий уровень риска, связанный с их операциями, основанными на мошенничестве, VexTrio остается в значительной степени успешной благодаря своей обширной практике обфускации и злонамеренному, но прибыльному характеру их сделок, что позволяет участникам вести роскошный образ жизни, избегая при этом значительных юридических последствий.

Таким образом, VexTrio является примером высокоорганизованного преступного предприятия, которое сочетает традиционную тактику мошенничества с современными технологическими методами для эксплуатации ничего не подозревающих пользователей по всему миру, демонстрируя постоянную проблему борьбы с изощренными сетями киберпреступников.