#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GreedyBear проводит промышленную кампанию по краже учетных данных, ориентированную на криптопользователей, развертывая около 650 инструментов через централизованную инфраструктуру, включая расширения Firefox, выдающие себя за кошельки (MetaMask, TronLink, Exodus, Rabby) и мошеннические сайты. Второй компонент включает в себя почти 500 исполняемых файлов Windows из нескольких семейств вредоносных ПО, привязанных к одному C2, что свидетельствует о диверсифицированном подходе к полезной нагрузке. Эволюционируя от Foxy Wallet, он теперь включает расширение Chrome (Filecoin Wallet), использующее ту же логику кражи учетных данных, с доменами на одном IP (185.208.156.66) и массированными атаками с помощью искусственного интеллекта.
-----

GreedyBear представлен как хакерская кАмпания промышленного масштаба, нацеленная на пользователей криптовалют, в которой утверждается, что 650 инструментов атаки развернуты в скоординированной инфраструктуре. Операция объединяет вредоносные расширения, исполняемые файлы Windows и мошеннические веб-сайты для сбора учетных данных и вывода средств, сигнализируя о переходе к крупномасштабному, многовекторному подходу, а не к изолированным инцидентам.

Первый компонент кампании состоит из вредоносных расширений Firefox, которых было выявлено более 150. Эти дополнения выдают себя за популярные криптокошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet, с целью обмана пользователей при вводе учетных данных или секретных ключей в поддельных интерфейсах. Второй компонент включает в себя почти 500 вредоносных исполняемых файлов Windows, связанных с одной и той же инфраструктурой и охватывающих несколько семейств вредоносных программ, что предполагает диверсифицированную стратегию полезной нагрузки, разработанную для максимального компрометирования в различных средах. VirusTotal отслеживает эти образцы в общей экосистеме управления, делая упор на централизованные операции.

В дополнение к полезной нагрузке на программное обеспечение GreedyBear управляет мошенническими веб—сайтами, которые представляют себя как законные криптопродукты или услуги - целевые страницы для цифровых кошельков, аппаратных устройств или услуг по ремонту кошельков — создавая более широкую сеть мошенничества, выходящую за рамки вредоносного ПО и расширений. Инфраструктура выглядит в высшей степени централизованной, поскольку почти все домены разрешаются по одному IP-адресу, что указывает на жестко контролируемую плоскость управления, которая координирует разрозненные каналы доставки под одним баннером.

Кампания, по-видимому, развилась из более ранней деятельности под эгидой Foxy Wallet, которая первоначально выявила 40 вредоносных расширений Firefox. Распространяясь за пределы Firefox, вредоносное расширение Chrome под названием Filecoin Wallet использовало ту же логику кражи учетных данных и взаимодействовало с тем же сервером, о чем свидетельствует домен, размещенный на 185.208.156.66. Появление этой централизованной многопользовательской браузерной системы совпадает с более широкими тенденциями в области инструментов с поддержкой искусственного интеллекта, позволяющих увеличить объем, скорость и сложность атак, что повышает риски для защитников, отслеживающих кражу учетных данных и мошенничество, связанное с криптографией, с помощью расширений, исполняемых файлов и сайтов с мошенническими продуктами.

#ParsedReport #CompletenessMedium
08-08-2025

Eleven Malicious Go Packages Deploy Obfuscated Remote Payloads in Sophisticated Supply Chain Attack

https://www.secureblink.com/cyber-security-news/eleven-malicious-go-packages-deploy-obfuscated-remote-payloads-in-sophisticated-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Supply_chain_technique
Typosquatting_technique
Royal_ransomware
Blacksuit_ransomware

Victims:
Open source software ecosystem, Cryptocurrency ecosystem, Mobile application developers, Software developers, Government organizations, African organizations, Latin american organizations, Users of chromium based browsers

Industry:
Aerospace, Government

Geo:
Latin american, German, South africa, Indonesian, Chinese, Vietnam, African, Dutch, Ukrainian

CVEs:
CVE-2024-6778 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<126.0.6478.182)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1070, T1090, T1105, T1195, T1203, T1218, T1485, have more...

IOCs:
File: 1
Domain: 1
Url: 1

Soft:
Linux, macOS, whatsapp, telegram, chrome, microsoft sharepoint, microsoft sharepoint server

Languages:
swift, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Картина CTI на 2025 год показывает расширенную область атак за счет компрометации supply-chain, инструментов искусственного интеллекта и zero-day в разных экосистемах. При атаках используются запутанные пакеты Go, предоставляющие межосевые бэкдоры (ELF/PE), которые извлекают полезную нагрузку второго этапа из C2, повторно используют инфраструктуру и сохраняются после сбоев. Вредоносное ПО, генерируемое искусственным интеллектом, регионально ограниченная полезная нагрузка, риски быстрого внедрения, а также SharePoint zero-day и активность национальных государств сигнализируют о широком распространении угроз по всему миру.
-----

Одиннадцать вредоносных пакетов Go развертывают скрытую удаленную полезную нагрузку, предназначенную для Linux и Windows.

Код Go скрывает команды оболочки и использует /bin/sh в Linux и certutil.exe в Windows.

Во время выполнения скомпрометированные пакеты запускают оболочки и извлекают полезную нагрузку ELF или PE второго этапа из конечных точек C2, используя взаимозаменяемые домены .icu и .tech.

Имплантаты второго этапа перечисляют системы и извлекают учетные данные, а также автоматически повторно инициализируются при сбоях для поддержания закрепления.

Большинство URL-адресов полезной нагрузки остаются активными, что указывает на продолжающуюся операцию, вероятно, выполняемую одним актором, повторно использующим инфраструктуру C2 и зеркальное кэширование модуля Go; повторяет компромисс с BoltDB, который сохранялся в течение многих лет.

Это демонстрирует запутывание, надежное закрепление и возможности кросс-операционной системы при угрозах supply-chain.

Компоненты, генерируемые искусственным интеллектом, все чаще используются в вредоносном ПО и социальной инженерии; пакет npm @kodane/patch-manager показывает код с помощью искусственного интеллекта для опустошения криптовалютных кошельков тысячами загрузок перед удалением.

Два пакета npm, naya-flore и nvlore-hsc, маскируются под инструменты разработчика WhatsApp, но включают логику деструктивной очистки данных и функцию отключения на основе телефонного номера, которая запускает рекурсивное Удаление файлов в системах, не соответствующих индонезийским номерам.

Два пакета RubyGems, fastlane-plugin-telegram-proxy и fastlane-plugin-proxy_telegram, перенаправляют трафик Telegram API через работников Cloudflare, контролируемых злоумышленниками, для перехвата коммуникаций, злоупотребляя доверенными экосистемами.

Chrome DevTools CVE-2024-6778 выявляет критическое состояние гонки, позволяющее внедрять привилегированный код через скомпрометированные расширения, позволяя внедрять HTML/JavaScript на привилегированные страницы через API DevTools; CVSS около 8.8 с широким воздействием на браузер.

Корпоративные кампании включают в себя использование Microsoft SharePoint zero-day в африканской инфраструктуре с использованием безфайлового выполнения и методов защиты от судебной экспертизы.

Платформа модели отчетности Национальной казначейской инфраструктуры Южной Африки была скомпрометирована; защита предотвратила сбои в обслуживании, продемонстрировав сложную эксплуатацию непатченных корпоративных систем.

Intel отмечает, что в начале 2025 года китайские хакеры nexus будут использовать несколько нулевых дней; BlindEagle проводит сложную целенаправленную атаку на Латинскую Америку с помощью социальной инженерии и вредоносных программ на заказ; операция правоохранительных органов по демонтажу инфраструктуры BlackSuit сигнализирует о продолжающемся давлении в регионе.

Эволюция угроз, управляемая искусственным интеллектом, и риски быстрого внедрения обеспечивают персонализированный фишинг, адаптацию стратегии в режиме реального времени и отравление моделей, что указывает на широкое распространение кросс-сценарных атак в 2025 году.

#ParsedReport #CompletenessHigh
09-08-2025

Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability

https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/

Report completeness: High

Actors/Campaigns:
Paper_werewolf (motivation: cyber_criminal, cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Government

Geo:
Russian, Russia

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 30
Path: 4
IP: 5
Url: 9
Hash: 21
Domain: 3

Algorithms:
sha1, sha256, md5

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Paper Werewolf продолжает нацеливаться на российские организации, используя недостатки WinRAR в качестве отправной точки. В отчете освещается WinRAR zero-day, указывающий на уязвимость высокой степени серьезности, которая используется для быстрых целенаправленных вторжений и скрытого первоначального доступа. Заголовки указывают на многочисленные недостатки WinRAR или кампании, указывая на архивы или созданные архивы в качестве механизма доставки, без указания подробной информации о полезной нагрузке.
-----

В резюме описывается текущая деятельность кластера Paper Werewolf, нацеленного на российские организации, что свидетельствует о продолжении их кампаний. В отчете подчеркивается, что эта группа использует недостатки WinRAR как часть своей работы, что указывает на акцент на эксплойтах, связанных с инструментом архивации WinRAR.

Центральной технической деталью является использование уязвимости WinRAR zero-day. Термин zero-day означает, что по крайней мере одна уязвимость в WinRAR ранее была неизвестна поставщикам и защитникам, подразумевая, что Paper Werewolf использует уязвимость высокой степени серьезности. Упоминание о zero-day требует внимания к потенциальным быстрым целенаправленным вторжениям и вероятности скрытых векторов первоначального доступа, связанных с использованием WinRAR.

В заголовках статей также упоминаются уязвимости WinRAR во множественном числе, что указывает либо на множественные недостатки, либо на последовательные кампании в рамках деятельности этого актора. Хотя точный метод эксплуатации, полезные нагрузки или поведение вредоносного ПО в отрывке не описаны, акцент на WinRAR в качестве точки входа указывает на использование скомпрометированных архивов или созданных вручную архивов в качестве механизма доставки для первоначального доступа.

#ParsedReport #CompletenessMedium
09-08-2025

Echoes in the Shell: Legacy Tooling Behind Ongoing SharePoint ToolShell Exploitation

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/echoes-in-the-shell-legacy-tooling-behind-ongoing-sharepoint-toolshell-exploitation/

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603
Red_delta
Silver_fox

Threats:
Toolshell_vuln
Credential_harvesting_technique
Chinachopper
Antsword
Proxynotshell_vuln
Valleyrat

Victims:
Organizations using microsoft sharepoint on premises

Geo:
Chinese, China

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)

CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)


TTPs:
Tactics: 3
Technics: 12

IOCs:
File: 7
Domain: 1
Hash: 4

Soft:
Microsoft SharePoint, ASP.NET, Active Directory, curl, Visual Studio Code

Algorithms:
base64

Functions:
GetApplicationConfig, WriteAllBytes, eval

Languages:
jscript, powershell

Platforms:
cross-platform

Links:
https://github.com/AntSwordProject/antSword

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Trustwave SpiderLabs CTI отмечает быстрое использование SharePoint на этапе подготовки, когда злоумышленники переходят от первоначального доступа к рекогносцировке, краже учетных данных и развертыванию веб-оболочки, а также исходящему трафику C2. Метод веб-оболочки использует Base64 PowerShell и WriteAllBytes() для удаления ASP.NET страницы (list_display.aspx/listdisplay.aspx) в папку LAYOUTS через IIS worker. Кампании ссылаются на домены RequestRepo C2 и пересекаются с действиями AntSword/China Chopper и ProxyNotShell эпохи, используя устаревшие ASP.NET такие компоненты, как ViewState и machineKey.
-----

Исследователи Trustwave SpiderLabs CTI наблюдали быстро развивающийся ландшафт угроз, сосредоточенный на широкомасштабном использовании локального Microsoft SharePoint. Действие охватывает несколько корпоративных сред, при этом злоумышленники переходят от первоначального компрометирования к операциям после эксплуатации, которые включают разведку, credential harvesting и развертывание веб-оболочки, за которыми следуют исходящие подключения к инфраструктуре, контролируемой злоумышленником, что указывает на вторжение с клавиатуры и устойчивый доступ.

Процесс эксплуатации согласуется с раскрытием корпорацией Майкрософт уязвимостей на локальных серверах SharePoint. После первоначального доступа участники проводят целенаправленную внутреннюю разведку и действия по краже учетных данных, кульминацией которых является развертывание веб-оболочек. В нескольких случаях телеметрия показывала исходящие соединения от скомпрометированных систем к инфраструктуре командования и контроля (C2), контролируемой злоумышленником, что сигнализировало о продолжающемся контроле и мониторинге со стороны злоумышленников.

Поведение после эксплуатации часто связано с рабочим процессом IIS, при этом подозрительная активность исходит из различных пулов приложений SharePoint и часто нацелена на внутренние службы Active Directory. Примечательная тактика веб-оболочки включает в себя больше команд PowerShell в кодировке Base64, используемых в сочетании с функцией WriteAllBytes() для удаления ASP.NET страницы в каталоге SharePoint LAYOUTS, в частности файлы с именами list_display.aspx и listdisplay.aspx.

В дополнение к локальному сохранению, кампании включали попытки установить исходящую связь C2 с доменами, связанными с RequestRepo, что подчеркивает способность акторов поддерживать каналы удаленного доступа и эксфильтрации.

Атрибуция остается неопределенной, но исследователи заметили совпадения с такими инструментами, как AntSword и China Chopper, в кампаниях по использованию SharePoint в середине 2025 года, с историческими связями с активностью эпохи ProxyNotShell в 2022 году, что предполагает потенциальные связи между кампаниями и общими TTP.

В выводах подчеркиваются уроки защиты: несмотря на то, что SharePoint является современной платформой, в локальной среде по-прежнему присутствуют уязвимости, связанные с устаревшими версиями ASP.NET компоненты, включая конфигурации ViewState и machineKey. Эти проблемы сохраняются из-за требований обратной совместимости и несогласованного усиления безопасности в разных развертываниях, что оставляет незащищенными области, которыми могут злоупотреблять злоумышленники.

#ParsedReport #CompletenessLow
08-08-2025

CastleLoader

https://blog.polyswarm.io/castleloader

Report completeness: Low

Threats:
Castleloader
Netsupportmanager_rat
Stealc
Redline_stealer
Deerstealer
Hijackloader
Sectop_rat
Clickfix_technique

Victims:
Us government entities

Industry:
Software_development, Government

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566, T1583.006

IOCs:
Hash: 1

Soft:
SQL Server Management Studio, Docker

Languages:
autoit, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleLoader - это модульный загрузчик вредоносных программ, который будет запущен в 2025 году и который внедряет похитителей информации и крыс по модульной цепочке. Кампании используют фишинг на тему Cloudflare с помощью ClickFix и поддельных репозиториев GitHub для доставки полезной нагрузки, причем 469 из 1634 попыток (28,7%) были нацелены на государственные структуры США. Загрузчик обеспечивает быстрое переключение полезной нагрузки для постоянной фильтрации данных и удаленного доступа, используя надежные платформы.
-----

CastleLoader - это модульный загрузчик вредоносных программ, появившийся в начале 2025 года, разработанный для доставки похитителей информации и троянов удаленного доступа (RATs) по сложной цепочке атак. По данным исследователей PRODAFT, с мая 2025 года кампании заразили 469 устройств из 1634 попыток, что составляет 28,7%, что указывает на высокий уровень эффективности использования поведения пользователей и надежных платформ. Загрузчик действует как дроппер, способный развертывать целый ряд полезных нагрузок, обеспечивая быстрое переключение между модулями для кражи информации и возможностями дистанционного управления, с заметным акцентом на нацеливание на правительственные учреждения США.

Метод кампании основан на фишинговых приманках, разработанных так, чтобы напоминать коммуникации на тему Cloudflare с помощью фишинга ClickFix и использования поддельных репозиториев GitHub для размещения и доставки полезных данных. Этот подход использует социальную инженерию и доверие к популярным платформам для облегчения первоначального доступа с последующим внедрением похитителей информации и RATs с помощью модульной платформы CastleLoader. Сочетание обманчивого брендинга, полезных нагрузок, размещенных на GitHub, и модульного механизма доставки отражает сложную цепочку атак, направленную на обеспечение постоянной фильтрации данных и удаленного доступа. Наблюдаемый уровень инфицирования и нацеленность на цели, связанные с правительством, подчеркивают стратегическую ценность и потенциальное воздействие этих кампаний на чувствительные сети.

#ParsedReport #CompletenessHigh
09-08-2025

From Bitmaps to Payloads: Echoes of TA558 in Italian-Language Campaigns

https://raw.githubusercontent.com/ShadowOpCode/From-Bitmaps-to-Payloads/main/From%20Bitmaps%20to%20Payloads.pdf

Report completeness: High

Actors/Campaigns:
Ta558
Steganoamor
Blindeagle
Sticky_werewolf
Comment_crew

Threats:
Steganography_technique
Purelogs
Remcos_rat
Ngrok_tool
Stego_loader
Purehvnc_tool
Terminator_tool
Opendir_technique

Victims:
Italy, Colombia

Geo:
Italy, Colombian, Spanish, French, Italian, Latin american, Italia, Portuguese

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027.003, T1027.009, T1027.009, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1203, T1204.002, have more...

IOCs:
Url: 6
Domain: 1
IP: 4
File: 20
Path: 4
Hash: 5
Command: 1

Soft:
Microsoft Visual C++, Windows PowerShell

Algorithms:
sha256, base64

Functions:
VAI, Replace

Languages:
cscript, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Июльский–Август 2025 Итальянская кампания malspam использует вложения invoice XLS для доставки стеганографического загрузчика на основе BMP, который использует CVE-2017-11882 для загрузки сборки .NET в память. Загрузчик считывает основную строку данных BMP, восстанавливает полезную нагрузку с длиной в меньшем порядке, загружает DLL через отражение и вызывает метод; строка с обратным base64 указывает на обратный шестнадцатеричный PE-URL с многоязычными именами переменных. TA558 является вероятным актором с инфраструктурой на 181.206.158.190; варианты связывают mshta → cmd → batch → wscript → PowerShell с ASP.NET стадия компиляции и Remcos C2.
-----

Недавняя кампания malspam на итальянском языке, наблюдавшаяся в период с июля по август 2025 года, демонстрирует стеганографический загрузчик, который сочетает использование CVE-2017-11882 с внедрением полезной нагрузки на основе .NET. Приманка использует электронные письма на тему счетов-фактур (fattura), отправляемые с адресов, звучащих на итальянском языке, с приложением XLS. Одна кампания выдает себя за Leister Technologies Italia S.r.l., при этом Excel пытается получить длинную цепочку перенаправлений после открытия файла, включая ссылку на службу сокращения. Глубже в примере код показывает контейнер на основе растровых изображений, а не тонкую steganography LSB, и наличие имен переменных итальянского происхождения, таких как “strozzapreti”, которые расшифровываются как “VAI”, намекая на географическую сигнатуру злоумышленника.

Загрузчик на основе BMP восстанавливает полезную нагрузку, загружая байты BMP в MemoryStream, перебирая каждый пиксель в порядке возрастания строк и добавляя байты красного, зеленого и синего каналов непосредственно в список. Первые четыре байта обрабатываются как 32-разрядная длина N с младшим порядком байтов, а следующие N байтов формируют фактическую полезную нагрузку - необработанные байты сборки .NET. Затем эти байты загружаются в память с помощью отражения.Сборка.Загружается, и метод внутри сборки вызывается посредством отражения. Обратная строка base64 в загрузчике декодируется в URL-адрес, содержащий PE-файл в обратном шестнадцатеричном коде. Лингвистический след загрузчика включает итальянские и французские имена переменных, а в библиотеке DLL появляются португальские термины, что указывает на многоязычность разработки и закономерность, наблюдаемую в инструментарии TA558.

Варианты кампании включают инфраструктуру, связанную с 181.206.158.190, причем первый образец нацелен на колумбийских пользователей и приводит к вредоносному JavaScript, который инициирует цепочку заражения. Схема работы соответствует методам SteganoAmor, связанным с TA558, хотя атрибуция остается неопределенной, поскольку ptsecurity отмечает, что этот TTP использовался несколькими группами, включая PhaseShifters и Blind Eagle. В другом примере запутанный VBScript запускает последовательность PowerShell; полезная нагрузка Remcos связывается с C2 по адресу updatedrvier.duckdns.org:3001, в то время как другое изображение, wp4096799-lost-in-space-wallpapers.jpg , участвует в связанной цепочке. Наблюдаемое дерево процессов начинается с mshta.exe , за которым следует cmd.exe запуск пакетного файла из Temp, conhost.exe , wscript.exe выполнение VBS из Temp, затем PowerShell с закодированными командами и завершается ASP.NET этап компиляции, связанный с “purehvnc”. Анализ приводит к выводу, что TA558 является наиболее вероятным актором, с оговорками относительно общей инфраструктуры, и подчеркивает, что технология — доставка XLS-файлов на тему счетов-фактур с steganography BMP в формате JPG, предоставляющая .NET DLL в памяти - остается основным вектором атаки. Руководство по защите сосредоточено на выявлении файлов JPG со встроенными заголовками BMP и мониторинге общедоступных файловых хостингов на предмет подозрительных загрузок, дополненных правилами IOCs и YARA в полном отчете.

#ParsedReport #CompletenessHigh
06-08-2025

Dissecting the CastleBot Malware-as-a-Service operation

https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation

Report completeness: High

Actors/Campaigns:
Hive0137
Asylum_ambuscade
Ta866

Threats:
Castlebot
Process_injection_technique
Netsupportmanager_rat
Warmcookie
Seo_poisoning_technique
Clickfix_technique
Castleloader
Sandbox_evasion_technique
Dave_loader
Stealc
Rhadamanthys
Remcos_rat
Deerstealer
Sectop_rat
Hijackloader
Shadowladder
Monster_ransomware

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053, T1055, T1071.001, T1105, T1106, T1179, T1204.002

IOCs:
Url: 24
Hash: 20
IP: 2
File: 15
Path: 1

Soft:
Instagram, Task Scheduler

Algorithms:
rc4, xor, chacha20, sha256, zip

Win API:
GetProcAddress, VirtualProtect, NtAllocateVirtualMemory, ShellExecuteW, GetUserNameW, NetBIOS, GetComputerNameW, IsWow64Process, LsaQueryInformationPolicy, GetVolumeInformationW, have more...

Languages:
autoit, powershell

Platforms:
x86

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CastleBot (2025) - это модульная система MaaS, предоставляющая средства сбора информации и бэкдоры (NetSupport, WarmCookie) с помощью троянского программного обеспечения, поддельных сайтов и олицетворений GitHub. Stager вводит шеллкод; загрузчик отображает разделы PE через NtAllocateVirtualMemory; ядро использует хэширование AP и зашифрованный C2 после первоначального получения. Июль 2025 добавляет wow64_bypass для запуска 32-разрядных двоичных файлов; кампании развертывают несколько полезных нагрузок, при этом WarmCookie привязан к TA866/Asylum Ambuscade, сигнализируя бэкдорам MaaS об активности, подобной программе-вымогателю.
-----

CastleBot - это вредоносное ПО как услуга, появившееся в начале 2025 года и с тех пор расширившееся за счет развертывания целого ряда полезных приложений, от инфокрадов до бэкдоров, таких как NetSupport и WarmCookie. Операция является модульной, состоит из трех компонентов (stager, loader и core) и, по-видимому, находится в стадии активной разработки. На его поверхности заражения преобладает троянское программное обеспечение, поставляемое через поддельные веб-сайты с SEO poisoning, репозитории GitHub, выдающие себя за законное программное обеспечение, и такие методы, как метод ClickFix.

Stager CastleBot - это облегченная полезная нагрузка шеллкода, которая может быть введена любым загрузчиком первого этапа. Он обычно используется для доставки более существенных загрузчиков и основных компонентов, с наблюдаемыми шифровальщиками, включая Dave, шифровальщик на основе AutoIt и простые шифровальщики на основе C. Загрузчик - это полнофункциональный PE-загрузчик, который отображает каждый раздел PE в новую область памяти с помощью NtAllocateVirtualMemory, исправляет перемещения, разрешает импорт, настраивает защиту памяти и выполняет обратные вызовы TLS. Ядро использует тот же подход к разрешению API, что и stager и loader, но отличается тем, что использует алгоритм хэширования AP для своих нужд в хэшировании.

Командно-контрольные сообщения шифруются после первоначального незашифрованного запроса GET. Протокол C2 использует сериализованную пользовательскую структуру данных, называемую контейнером, для хранения значений нескольких типов. Контейнер настроек анализируется на основе расшифрованных данных, и выполняется перечисление узлов для сбора информации о компьютере для регистрации в C2 и запросов задач. Выполнение задачи управляется полем launch_method внутри каждой задачи, и вредоносная программа поддерживает простое process INJECTION для полезных нагрузок PE. В Windows 11 24H2 и более поздних версиях разработчики CastleBot обходят проверки памяти, подключая NtManageHotPatch к памяти. Закрепление достигается путем создания запланированной задачи через COM-интерфейс ITaskService, настроенной на запуск при входе пользователя в систему.

В обновлениях за июль 2025 года появился вариант core с новым wow64_bypass для запуска 32-разрядных системных двоичных файлов из SysWOW64. Кампании, как правило, обеспечивают несколько полезных нагрузок для каждого заражения, охватывая как поставщиков информации о товарах, так и бэкдоры, такие как NetSupport и WarmCookie. WarmCookie (он же Quickbind, BadSpace) связан с более широкими экосистемами программ-вымогателей и деятельностью, представляющей общественную угрозу, связанной с TA866 /Asylum Ambuscade; WarmCookie также был связан с деятельностью эпохи Operation Endgame. Кампании Infostealer и развертывания с несколькими полезными нагрузками являются обычным явлением, причем примеры показывают встроенные основные полезные нагрузки, загружаемые из ресурсов исполняемого файла. В целом, CastleBot сигнализирует о переходе к бэкдорам в стиле MaaS и внедрению infostealer /backdoor, распространяемым с помощью троянского программного обеспечения и связанных с ним каналов распространения, что потенциально позволяет проводить высокоэффективные операции с программами-вымогателями через множество филиалов.

#ParsedReport #CompletenessLow
08-08-2025

APT Sidewinder Spoofs Government and Military Institutions to Target South Asian Countries with Credential Harvesting Techniques

https://hunt.io/blog/apt-sidewinder-netlify-government-phishing

Report completeness: Low

Victims:
Government, Military

ChatGPT TTPs:
do not use without manual check
T1566, T1583.003, T1656

#ParsedReport #GeneratedSchema
Generated with GPT-4