#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант вредоносной программы DarkCloud использует тактику фишинга для установки скрытого похитителя информации с помощью вредоносного файла JavaScript. Он использует запутанные команды PowerShell, process hollowing и нацелен на конфиденциальные данные, отправляя их злоумышленникам с использованием протоколов FTP и SMTP.
-----

В начале июля 2025 года FortiGuard Labs из Fortinet задокументировала новую кампанию, в которой использовался вариант вредоносного по DarkCloud, скрытого похитителя информации на базе Windows, впервые выявленного в 2022 году. Эта кампания использует тактику фишинга, начиная с электронного письма, содержащего вложение - архив RAR с именем Quote #S_260627.RAR . Внутри этого архива находится файл JavaScript, который при выполнении запускает серию событий, приводящих к установлению вредоносной программы в системе жертвы.

Код JavaScript запутан и содержит закодированные команды PowerShell, предназначенные для того, чтобы избежать обнаружения. После выполнения с помощью WScript.exe , он динамически декодирует и запускает команды PowerShell, которые обнаруживают и загружают вредоносную .NET DLL-библиотеку, замаскированную под законный модуль планировщика задач. Эта библиотека DLL является ключевой для поддержания закрепления в зараженной системе, загрузки основной полезной нагрузки DarkCloud в качестве компонента без файлов и ее развертывания с использованием метода, называемого process hollowing.

Полезная нагрузка без файлов DarkCloud извлекается из системы с помощью базовой библиотеки .NET DLL, которая использует команды PowerShell для копирования и подготовки JavaScript к выполнению. Он ищет MSBuild.exe процесс, создает приостановленный экземпляр и вводит в него полезную нагрузку DarkCloud, изменяя соответствующие параметры процесса, чтобы обеспечить его выполнение.

Сама полезная нагрузка DarkCloud, разработанная в Microsoft Visual Basic 6, использует несколько таймеров и шифрование, чтобы скрыть детали ее работы. Ключевые функции включают в себя возможность отслеживать активность клавиатуры и мыши с помощью периодических вызовов API GetAsyncKeyState(). Это позволяет вредоносному ПО оставаться бездействующим до тех пор, пока не будет обнаружено взаимодействие с пользователем.

DarkCloud фокусируется на эксфильтрации данных, нацеливаясь на конфиденциальную информацию, такую как сохраненные учетные данные браузера, платежные данные и контакты электронной почты. Он работает в популярных веб-браузерах, получая доступ к сохраненным данным в базах данных SQLite3 и используя дополнительные исполняемые компоненты для расшифровки зашифрованных данных, когда это необходимо. Кроме того, он способен агрегировать учетные данные из различных источников, включая почтовые клиенты и FTP-приложения.

Эксфильтрация данных достигается за счет поддержки протоколов FTP и SMTP, что позволяет отправлять собранную конфиденциальную информацию обратно злоумышленникам. В целом, этот вариант DarkCloud представляет собой сложную разработку вредоносного ПО без файлов, использующего передовые методы запутывания и скрытности для успешного проникновения и сбора данных из систем-жертв.

#ParsedReport #CompletenessLow
07-08-2025

A spy that pretends to be an antivirus

https://www.kaspersky.ru/blog/disguised-spy-for-android/40244/

Report completeness: Low

Threats:
Lunaspy
Sparkcat
Finfisher

Victims:
Android smartphone owners, Telegram users

Industry:
Financial

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1119, T1204.001, T1204.002

Soft:
Android, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LunaSpy, новая программа-шпион для Android, распространяется с помощью мгновенных сообщений, выдавая себя за антивирусные или банковские приложения, и собирает конфиденциальные данные, включая пароли от браузеров и приложений для обмена сообщениями. Она передает собранные данные через более чем 150 командных серверов, что подчеркивает необходимость бдительности пользователей в отношении нежелательных предложений программного обеспечения.
-----

Новая шпионская программа для Android, идентифицированная как LunaSpy, представляет значительный риск для пользователей смартфонов, особенно в России. Это вредоносное ПО в основном распространяется через мессенджеры, маскируясь под антивирусное программное обеспечение или приложения для защиты банковских операций. Вредоносное ПО внедряется с помощью сообщений, которые заманивают пользователей предложениями загрузить защитное программное обеспечение. Такая тактика обмана часто включает сообщения от незнакомых отправителей или захваченные учетные записи контактов, используя социальную инженерию, чтобы убедить пользователей установить вредоносное приложение.

После установки LunaSpy имитирует функциональность легальных антивирусных программ, сканируя устройства и ложно сообщая о многочисленных угрозах. Однако на самом деле он не обеспечивает никакого реального обнаружения вредоносного ПО; скорее, он функционирует как шпион, собирающий конфиденциальную информацию с зараженного устройства. Самая последняя версия LunaSpy была дополнена возможностями кражи паролей из различных веб-браузеров и приложений для обмена сообщениями, что подчеркивает меняющийся ландшафт угроз. Наличие таких функций подчеркивает важность использования менеджеров паролей для защиты конфиденциальных данных. Кроме того, шпионское ПО содержит вредоносный код, который потенциально может получить доступ к фотогалереям пользователей, хотя в настоящее время эта функциональность не используется.

Собранные данные с зараженных устройств передаются злоумышленникам примерно через 150 различных доменов и IP-адресов, все они функционируют как командные серверы для вредоносного ПО. Эта обширная инфраструктура указывает на хорошо организованную вредоносную кампанию, направленную на компрометацию пользователей Android и использование их личной информации. Этот сценарий подчеркивает необходимость того, чтобы пользователи сохраняли бдительность в отношении устанавливаемых ими приложений и остерегались нежелательных сообщений, рекламирующих программное обеспечение, которое якобы повышает безопасность.

#ParsedReport #CompletenessLow
07-08-2025

Unmasking the SVG Threat: How Hackers Use Vector Graphics for Phishing Attacks

https://www.seqrite.com/blog/unmasking-the-svg-threat-how-hackers-use-vector-graphics-for-phishing-attacks/

Report completeness: Low

Threats:
Spear-phishing_technique

Geo:
Burma

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1140, T1204.001, T1204.002, T1566.001, T1566.002

IOCs:
File: 5
Url: 1
Hash: 6

Soft:
Dropbox, Office 365

Algorithms:
xor

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют SVG-файлы в фишинг-атаках, используя встроенный JavaScript для перенаправления жертв на вредоносные сайты, выдающие себя за службы, такие как Microsoft 365. Эти файлы обходят традиционные фильтры и часто приходят замаскированными под доброкачественные вложения в электронных письмах с spear-phishing, что приводит к краже учетных данных.
-----

В нынешних условиях кибербезопасности злоумышленники все чаще используют файлы масштабируемой векторной графики (SVG) для проведения сложных фишинговых атак, подрывающих традиционные средства защиты. В отличие от обычных графических форматов, файлы SVG используют кодировку на основе XML для представления векторных контуров, фигур и текста, что позволяет создавать масштабируемые изображения без потери качества. Эта структура также позволяет вставлять встроенный JavaScript, который может автоматически выполняться при открытии файла в веб-браузере, что особенно часто используется во многих средах Windows.

Методы атак эволюционировали: злоумышленники используют SVG-файлы в качестве вложений в spear-phishing электронных письмах или по общим ссылкам на облачных платформах хранения данных, таких как Dropbox или Google Drive, часто обходя фильтры электронной почты, предназначенные для обнаружения вредоносного контента. Эти электронные письма с фишингом обычно содержат вводящие в заблуждение строки темы, предназначенные для того, чтобы вызвать доверие, такие как "Напоминание о запланированном мероприятии" или "Напоминание о встрече”, и включают, казалось бы, безобидные вложения в формате SVG с такими названиями, как "Предстоящая встреча.svg" или "Список ваших дел.svg.".

После открытия встроенный JavaScript в этих SVG-файлах выполняется автоматически, перенаправляя ничего не подозревающих жертв на сайты фишинга, которые точно имитируют легальные сервисы, такие как Microsoft 365 или Google Workspace. В одном проанализированном примере SVG вредоносный код скрыт с помощью раздела CDATA, который включает длинную строку в шестнадцатеричном коде вместе с коротким ключом XOR. Это позволяет декодировать и выполнять полезную нагрузку JavaScript, чтобы беспрепятственно перенаправить жертву на сайт фишинга.

Процесс начинается с электронного письма, содержащего вложение в формате SVG; после выполнения вредоносная логика инициирует перенаправление на фишинговую ссылку, намеренно скрытую, чтобы казаться безвредной. Перенаправленная страница, скрытая капчей Cloudflare, еще больше манипулирует жертвами, заставляя их подтвердить свою человечность, прежде чем получить доступ к фактическому вредоносному интерфейсу. Этот интерфейс настроен так, чтобы выглядеть как законная страница входа в Office 365, на которой злоумышленники захватывают и сохраняют учетные данные электронной почты и пароля жертвы по мере их ввода.

Таким образом, этот новый метод атаки на основе SVG означает тревожный сдвиг в тактике фишинга, использующий, казалось бы, безобидный формат файла для выполнения вредоносных скриптов и обманом заставляющий пользователей разглашать конфиденциальную информацию, подчеркивая необходимость повышения осведомленности и усовершенствования механизмов фильтрации электронной почты в области кибербезопасности.

#ParsedReport #CompletenessLow
07-08-2025

Subtle Snail Group Indicators of Compromise

https://github.com/prodaft/malware-ioc/blob/master/SubtleSnail/README.md

Report completeness: Low

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Charming_kitten (motivation: cyber_espionage)

Geo:
Iran

IOCs:
Domain: 23
Hash: 23

Soft:
Outlook

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская шпионская группа Subtle Snail (UNC1549) переключила внимание на европейские организации, скомпрометировав 34 устройства в 11 организациях. Их тактика остается предметом расследования, что подчеркивает сохраняющиеся риски, связанные с угрозами, спонсируемыми государством.
-----

Subtle Snail, идентифицированная как UNC1549 или TA455, является иранской шпионской группой, связанной с Eclipsed Wasp, также известной как Charming Kitten. Их деятельность отслеживалась по меньшей мере с ноября 2022 года, что свидетельствует о постоянной угрозе в сфере кибершпионажа. В ходе недавней кампании группа перенаправила свои усилия на европейские организации, что указывает на стратегический сдвиг в их целевых приоритетах.

Эта кампания привела к значительному компромиссу: группа успешно заразила 34 различных устройства, охватывающих 11 различных организаций. Точная тактика, методы и процедуры (TTP), используемые Subtle Snail, остаются предметом дальнейшего расследования; однако их действия подчеркивают сохраняющийся риск, который представляют спонсируемые государством акторы в Европе. Службы безопасности в затронутых секторах должны сохранять бдительность, поскольку кампания группы может продолжать развиваться и расширяться, создавая постоянную угрозу информационной безопасности и целостности организации в целевых регионах.

#ParsedReport #CompletenessMedium
07-08-2025

CAPTCHAgeddon Unmasking the Viral Evolution of the ClickFix Browser-Based Threat

https://guard.io/labs/captchageddon-unmasking-the-viral-evolution-of-the-clickfix-browser-based-threat

Report completeness: Medium

Threats:
Captchageddon_technique
Clickfix_technique
Spear-phishing_technique
Fakecaptcha_technique
Clearfake
Lumma_stealer
Etherhiding_technique
Filefix_technique
Polymorphism_technique

Victims:
Individual users, Wordpress site owners, Property owners (booking.com), Streaming site visitors, Software downloaders, Developers, Website administrators

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1059.004, T1071.001, T1116, T1189, T1190, T1204.001, T1204.002, have more...

IOCs:
Command: 4
Url: 3
File: 2
Domain: 340
IP: 16

Soft:
WordPress, macOS, Linux, curl

Crypto:
ethereum

Algorithms:
base64

Functions:
Invoke-Expression

Languages:
powershell

Platforms:
cross-platform

Links:
https://github.com/JohnHammond/recaptcha-phish

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, chart: 3, windows: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология атаки ClickFix модернизирует фишинг, используя страницы с fake captcha для доставки вредоносных программ, исключая загрузку файлов. Он использует запутанные команды PowerShell и динамическую загрузку скриптов, использует надежные инфраструктуры, такие как Google, чтобы избежать обнаружения, и нацелен как на системы macOS, так и на Linux в рамках кроссплатформенных атак.
-----

Появление метода атаки "ClickFix" знаменует собой значительную эволюцию в ландшафте киберугроз, особенно в контексте фишинга и распространения вредоносных программ. Изначально созданный на основе мошенничества с поддельными обновлениями браузера, ClickFix пересмотрел тактику социальной инженерии, устранив необходимость в загрузке файлов и применив более изощренные уловки. Его метод распространения, который в основном начинается с недобросовестной рекламы в сомнительных рекламных сетях, направляет пользователей на вводящие в заблуждение страницы с капчей, имитирующие законные процессы проверки, создавая путь заражения с низким коэффициентом трения. Незаметно копируя вредоносные команды PowerShell в буфер обмена пользователей с помощью, казалось бы, безобидных действий, злоумышленники эффективно извлекают конфиденциальную информацию, включая учетные данные для входа в систему и личные данные.

В начале 2024 года исследователи отследили кампанию под названием ClearFake, которая использовала скомпрометированные сайты WordPress с высоким уровнем SEO для предоставления поддельных запросов на обновление браузера, заманивая жертв к загрузке вредоносного ПО Lumma stealer под видом необходимых обновлений. По мере того как эта тактика набирала обороты, появилось ClickFix, быстро вытеснившее ClearFake за счет использования страниц с fake captcha, которые были проще в развертывании и более убедительны для пользователей. Он использовал передовые методы запутывания и отказался от традиционных методов, вместо этого используя надежные инфраструктуры, включая хостинг на авторитетных платформах, таких как Google, чтобы избежать механизмов обнаружения.

Дизайн ClickFix's позволил злоумышленникам легко внедрять вредоносный контент в веб—интерфейс, отображая вызовы fake captcha, которые манипулировали поведением пользователя в подходящие моменты — например, при попытке разблокировать контент - тем самым повышая вероятность заражения. Злоумышленники все чаще совершенствуют эти конструкции, имитируя знакомые системы защиты от ботов, такие как Google reCAPTCHA или Cloudflare challenges, используя хорошо продуманные варианты макета и фирменного стиля, которые еще больше маскируют злонамеренные намерения.

Стратегия развертывания вредоносного ПО также претерпела значительные изменения. Первоначальная тактика включала использование запутанных команд PowerShell для обхода протоколов безопасности. Со временем они эволюционировали, чтобы использовать динамическую загрузку скриптов и файлы, выглядящие законно, чтобы избежать статического анализа. Злоумышленники использовали средства сокращения URL-адресов для маскировки фишинговых ссылок и начали внедрять вредоносные скрипты в популярные библиотеки, что еще больше затрудняет обнаружение. К июню 2025 года стал очевиден переход к кросс-платформенным атакам, включающим сценарии оболочки, нацеленные на macOS и Linux, что значительно расширило круг жертв.

Эволюция этих векторов атак привела к распространению аналогичных кампаний по всему киберпреступному ландшафту. Эта трансформация иллюстрирует не только адаптивность участников угроз, но и растущую сложность их методов, которые сочетают техническую изощренность с психологическими манипуляциями для повышения эффективности атаки. Понимание этих закономерностей и создание упреждающей, интеллектуальной защиты имеет решающее значение в борьбе с этой коварной и постоянно развивающейся киберугрозой.

#ParsedReport #CompletenessMedium
07-08-2025

Akira Exploits SonicWall SSLVPN in Suspected Zero-Day Attacks

https://socradar.io/akira-exploits-sonicwall-sslvpn-zero-day-attacks/

Report completeness: Medium

Threats:
Akira_ransomware
Cloudflared_tool
Shadow_copies_delete_technique

Victims:
Sonicwall gen 7 firewall appliances

ChatGPT TTPs:
do not use without manual check
T1003, T1021.001, T1047, T1078, T1136, T1190, T1219, T1486, T1490, T1562.001, have more...

IOCs:
File: 6
IP: 8
Hash: 1

Soft:
OpenSSH, Active Directory, Microsoft Defender

Algorithms:
sha256

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние атаки на брандмауэры SonicWall поколения 7 используют уязвимость zero-day в SSLVPN, связанную с инцидентами с вымогателями, связанными с Akira. Злоумышленники получают доступ администратора через учетные записи с избыточными правами доступа и используют PowerShell и WMI для перемещения в стороны, избегая при этом обнаружения путем отключения мер безопасности. Развертыванию программ-вымогателей предшествует удаление Shadow Copies томов; меры по предотвращению включают отключение SSLVPN и повышение безопасности учетной записи.
-----

Недавние кибератаки, нацеленные на брандмауэры SonicWall поколения 7, используют предполагаемую уязвимость zero-day в функциональности SSLVPN, что приводит к значительным нарушениям безопасности. Эти атаки были связаны с новой волной инцидентов с программами-вымогателями, которые появились в середине июля, в частности, связанных с вариантом Akira Ransomware. Первоначальные расследования, проведенные охранными фирмами, включая Arctic Wolf, выявили эту вредоносную активность, отметив, что злоумышленники скомпрометировали устройства SonicWall, чтобы начать свои операции.

Методология атаки, используемая злоумышленниками, начинается с первоначального взлома устройств SonicWall. Оказавшись внутри, киберпреступники используют учетные записи служб с избыточными правами доступа, такие как LDAPAdmin и sonicwall, для повышения своих привилегий до уровня администратора. Для обеспечения устойчивости злоумышленники используют такие инструменты, как Cloudflared и OpenSSH, для создания надежной инфраструктуры командования и контроля.

В рамках своей стратегии горизонтального перемещения акторы используют удаленное взаимодействие PowerShell, инструментарий управления Windows (WMI) и различные встроенные средства Windows для навигации по сети. Кража учетных данных также является важным аспектом атаки; скрипты используются для извлечения конфиденциальных данных, включая резервные копии Veeam, учетные данные, сохраненные в браузере, и даже информацию Active Directory с помощью утилиты резервного копирования Windows (wbadmin.exe ). Кроме того, чтобы избежать обнаружения, злоумышленники отключают основные меры безопасности, такие как Microsoft Defender и существующие правила брандмауэра, перед выполнением полезной нагрузки программы-вымогателя.

На заключительном этапе злоумышленники удаляют Shadow Copies тома с помощью команды vssadmin.exe , прокладывая путь к внедрению Akira ransomware. Чтобы снизить эти риски, рекомендации по безопасности включают полное отключение SSLVPN, если это возможно, ограничение доступа к VPN через список разрешенных IP-адресов источника и включение защитных служб, таких как защита от ботнетов и фильтрация гео-IP. Хотя рекомендуется использовать многофакторную аутентификацию (MFA), текущие кампании продемонстрировали возможность ее обхода. Регулярный аудит учетных записей пользователей, особенно любых неактивных учетных записей с доступом по SSLVPN, наряду со строгими правилами соблюдения паролей и мониторингом попыток взлома, также являются важнейшими превентивными мерами для повышения безопасности от подобных угроз.

#ParsedReport #CompletenessMedium
07-08-2025

New Infection Chain and ConfuserEx-Based Obfuscation for DarkCloud Stealer

https://unit42.paloaltonetworks.com/new-darkcloud-stealer-infection-chain/

Report completeness: Medium

Threats:
Confuserex_tool
Darkcloud
Process_hollowing_technique
Process_injection_technique
Runpe_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1027.002, T1055.012, T1059.001, T1059.007, T1140, T1204.002, T1218.011, T1566.001

IOCs:
File: 4
Url: 2
Command: 1
Hash: 9

Soft:
NET Framework, Telegram

Algorithms:
xor, base64, rc4, 3des

Languages:
visual_basic, powershell, javascript, autoit, jscript

Links:
https://github.com/javascript-obfuscator/javascript-obfuscator
https://github.com/ViRb3/de4dot-cex
have more...
https://github.com/yck1509/ConfuserEx/blob/master/Confuser.Core/ConfuserEngine.cs#L303