Слив внутренних данных Kimsuky
https://data.ddosecrets.com/APT%20Down%20-%20The%20North%20Korea%20Files/

#ParsedReport #CompletenessLow
12-08-2025

Detecting Linux PAM Exploit Malware Attacks Using AhnLab EDR

https://asec.ahnlab.com/ko/89515/

Report completeness: Low

Threats:
Plague

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.004, T1574.006

IOCs:
File: 1
Hash: 5
Url: 2

Soft:
Linux, sudo, OpenSSH

Algorithms:
md5

Functions:
pam_authenticate, pam_sm_authenticate

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PAM централизует аутентификацию с помощью libpam; компрометация пути его выполнения приводит к предоставлению учетных данных для разных служб. Plague (август 2025) использует предварительную загрузку динамического загрузчика (например, LD_PRELOAD) для ввода общего объекта и перехвата pam_authenticate(), получая учетные данные из sshd и других процессов, использующих PAM. Он использует вставку библиотеки времени выполнения вместо установки модуля PAM для подрыва потоков аутентификации.
-----

Подключаемые модули аутентификации (PAM) - это модульная платформа, используемая Unix-подобными системами для централизации аутентификации в таких приложениях, как su, sudo и sshd. Приложения обращаются к библиотеке libpam, которая загружает и выполняет настроенные модули PAM и агрегирует их результаты для обеспечения соблюдения политик аутентификации. Поскольку аутентификация делегирована libpam, нарушение пути выполнения PAM может привести к раскрытию учетных данных, используемых многими службами.

Описанное вредоносное ПО, получившее название "Plague" в отчете за август 2025 года, злоупотребляет предварительной загрузкой динамического загрузчика для перехвата вызовов аутентификации PAM. Вместо установки законного модуля PAM, Plague использует метод предварительной загрузки (обычно LD_PRELOAD), чтобы внедрить общий объект в адресное пространство целевых процессов и подключить функцию pam_authenticate(). Подключив функцию pam_authenticate(), вредоносное ПО может перехватывать учетные данные, предоставляемые таким службам, как sshd, и другим процессам, использующим PAM, без регистрации в качестве модуля PAM. Этот метод основан на внедрении библиотеки времени выполнения для загрузки вредоносного кода в запущенные процессы и нарушения потоков аутентификации, что позволяет осуществлять кражу учетных данных в нескольких службах, которые полагаются на libpam.

#ParsedReport #CompletenessMedium
12-08-2025

Detecting LodaRAT malware with Wazuh

https://wazuh.com/blog/detecting-lodarat-malware-with-wazuh/

Report completeness: Medium

Threats:
Lodarat
Process_injection_technique

TTPs:

IOCs:
Path: 4
Hash: 2
File: 37

Soft:
Sysinternals, Pyinstaller

Algorithms:
sha256

Functions:
message

Languages:
python, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LodaRAT - это скрытный троян удаленного доступа, распространяющийся с помощью фишинга и вредоносных документов, способный к краже учетных данных, выполнению команд, закреплению, Внедрению кода в процесс, зашифрованному C2 и эксфильтрации через легальные сервисы. Он поддерживает выполнение из командной строки, адаптируется на хосте и обычно удаляет двоичные файлы для загрузки пользователями. Наблюдаемые объекты включают в себя создание файлов, события системной команды/процесса, следы внедрения.
-----

LodaRAT - это скрытый троян удаленного доступа, который распространяется с помощью фишинга и вредоносных документов и способен к краже учетных данных, выполнению команд, закреплению, Внедрению кода в процесс, зашифрованной передаче данных по управлению (C2) и эксфильтрации данных через законные службы. В основном он работает с помощью командной строки и может динамически адаптировать свое поведение на скомпрометированных хостах.

Обнаружение в описанной среде использует Sysmon на конечных точках Windows для сбора соответствующих системных событий, а сервер Wazuh - для обработки этих событий и применения пользовательских правил обнаружения. Мониторинг целостности файлов (FIM) используется для обнаружения дополнений, таких как двоичный файл LodaRAT, помещенный в папку загрузок пользователя. Обнаруженные создания или модификации файлов хэшируются и автоматически запрашиваются с помощью VirusTotal API; вредоносный вердикт от VirusTotal запускает автоматический активный ответ. Активный ответ реализован в виде скрипта на Python, настроенного в Wazuh, который удаляет идентифицированные варианты LodaRAT и записи правил (например, в /var/ossec/etc/rules/lodarat_rules.xml ) генерировать оповещения, когда активный ответ удаляет Вредоносные файлы.

Рабочий процесс обнаружения генерирует оповещения на сервере/панели мониторинга Wazuh при выполнении LodaRAT: события Sysmon поступают в Wazuh, FIM обнаруживает добавление файлов, хэши отправляются в VirusTotal, а подтвержденный вредоносный результат вызывает сценарий удаления с активным ответом при протоколировании исправления. Такое сочетание телеметрии (Sysmon), FIM, анализа угроз (VirusTotal) и автоматического исправления обеспечивает ориентированный на сдерживание ответ на наблюдаемое поведение LodaRAT, такое как удаление файлов, активность в командной строке и механизмы закрепления.

#ParsedReport #CompletenessMedium
12-08-2025

New Ransomware Charon Uses Earth Baxia APT Techniques to Target Enterprises

https://www.trendmicro.com/en_us/research/25/h/new-ransomware-charon.html

Report completeness: Medium

Actors/Campaigns:
Earth_baxia

Threats:
Charon
Dll_sideloading_technique
Process_injection_technique
Swordldr
Shadow_copies_delete_technique
Dark-kill_tool

Industry:
Government, Aerospace

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1055.012, T1059.003, T1574.002

IOCs:
File: 41
Path: 1
Hash: 3

Soft:
Windows service, DefWatch

Algorithms:
sha1, chacha20, exhibit, curve25519

Win API:
NetShareEnum

Win Services:
AcronisAgent, AcrSch2Svc, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, CAARCUpdateSvc, have more...

Links:
https://github.com/SaadAhla/dark-kill

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, dump: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Charon - это программа-вымогатель, ориентированная на предприятия, которая использует DLL sideloading: законную Edge.exe используется для загрузки вредоносного msedge.dll (SWORDLDR). SWORDLDR расшифровывает встроенную полезную нагрузку программы-вымогателя и вводит ее в созданный svchost.exe чтобы замаскироваться под Службу Windows и обойти элементы управления. Программа-вымогатель также анализирует аргументы командной строки, чтобы изменить поведение во время выполнения.
-----

Charon - это недавно обнаруженное семейство программ-вымогателей, используемое в кампании, ориентированной на предприятия, которая включает в себя приемы в стиле сложных целенаправленных атак, приписываемые методам Earth Baxia, и выдает индивидуальные требования о выкупе. Наблюдаемая цепочка атак основана на DLL sideloading: законном Edge.exe двоичный файл выполняется и используется для загрузки вредоносного msedge.dll (отслеживается как "SWORDLDR"). SWORDLDR функционирует как загрузчик, который расшифровывает встроенную полезную нагрузку программы-вымогателя и вводит ее во вновь созданный svchost.exe процесс. Выполнение полезной нагрузки внутри svchost.exe позволяет программе-вымогателю маскироваться под законную Службу Windows и обходить обычные средства управления конечными точками.

Двоичный файл программы-вымогателя принимает множество параметров командной строки, которые изменяют его поведение во время выполнения; наличие и синтаксический анализ этих аргументов являются частью его операционной логики (в отчете отмечается проверка наличия конкретных аргументов). Инъекция в svchost.exe и использование загруженной со стороны библиотеки DLL являются основными методами уклонения и закрепления в цепочке. Сочетание скрытности, скорости и уклончивости соответствует методологиям сложных целенаправленных атак, а не оппортунистическому товарному Ransomware.

В оборонительных рекомендациях, содержащихся в отчете, подчеркивается многоуровневый подход. Ключевые технические точки обнаружения и усиления защиты, подразумеваемые цепочкой, включают мониторинг DLL sideloading связанных с Edge библиотек DLL (непредвиденный msedge.экземпляры dll), аномальные родительско-дочерние отношения, включающие исполняемые файлы браузера, порождающие нестандартные библиотеки DLL или svchost.exe , обнаружение операций расшифровки/внедрения в память, связанных с отражающими загрузчиками, и ведение журнала/анализ аргументов командной строки для подозрительных двоичных файлов. Меры по сдерживанию и реагированию должны учитывать внедрение в процессы обслуживания системы и потенциал быстрого шифрования и перемещения внутри компании с учетом наблюдаемых методов в стиле сложных целенаправленных атак.

#ParsedReport #CompletenessMedium
12-08-2025

Picture Paints a Thousand Codes: Dissecting Image-Based Steganography in a .NET (Quasar) RAT Loader

https://www.splunk.com/en_us/blog/security/image-steganography-quasar-rat-detection.html

Report completeness: Medium

Threats:
Quasar_rat
Steganography_technique
Spear-phishing_technique
Motw_bypass_technique
Agent_tesla
Formbook
Masslogger

Industry:
Telco

TTPs:

IOCs:
File: 12
Hash: 14

Soft:
Opera, Firefox, Microsoft Edge, Google Chrome, Windows registry, WinSCP, windows scheduled task, Internet Explorer, Slack

Algorithms:
base64, aes, xor

Platforms:
x86

Links:
https://github.com/tccontre/KnowledgeBase/tree/main/malware\_re\_tools/pixdig
https://gist.github.com/tccontre/9b3630d80c0e15bd6c75010c68df4ee2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик .NET, поставляемый с помощью spearphishing (с подделкой значков), запускает Quasar RAT с использованием Стеганографии на основе изображений: BMP-ресурс, проанализированный дешифратором PNG (captive.dll ) восстанавливает заглушку (montero.dll ), который извлекает и расшифровывает вторую полезную нагрузку в формате PNG и зашифрованный большой двоичный объект ресурса. Quasar собирает учетные данные браузера и файла/реестра, сохраняется с помощью ключей запуска реестра и автозагрузки.URL, удаляет зону.Идентификатор, использует задержки ping и runas для уклонения от синхронизации и повышения привилегий, собирает инвентарь через WMI и поддерживает обратный прокси C2. Конфигурации закодированы в Base64/AES; сетевое поведение включает запросы проверки IP (api.ipify.org , ipwho.is ) и сигнатуры Snort (SIDS 1:65142,1:65132,1:65133,1:301276).
-----

Образцом является .NET-загрузчик, доставляемый с помощью Целевого фишинга с вложениями (T1566.001), который использует подмену значков для отображения в качестве доброкачественных документов. Он использует Стеганографию на основе изображений (T1027.003) для обработки своей полезной нагрузки: исходный ресурс BMP анализируется заглушкой дешифратора PNG (captive.dll ), который выполняет итерацию пиксельных компонентов RGB для поэтапного восстановления заглушки (до трех байт на пиксель). Этот огрызок (montero.dll ) расшифровывает и извлекает вторую полезную нагрузку из PNG, хранящегося в ресурсах загрузчика, используя аналогичное извлечение на основе пикселей, прежде чем расшифровать зашифрованный большой двоичный объект в метаданных ресурса в качестве конечной полезной нагрузки: Quasar RAT.

Возможности Quasar RAT включают в себя сбор учетных записей браузера (T1555.003), ориентированный на Opera, Firefox, Edge, Brave, Yandex и Chrome для извлечения сохраненных имен пользователей, паролей, кредитных карт и файлов cookie, а также сбор учетных данных, хранящихся в файлах или реестре (T1552.001), таких как FileZilla Site Manager и последние настройки сервера. Закрепление достигается с помощью ключей запуска реестра и путем удаления .Ярлыки URL-адресов в папке автозагрузки Windows (T1547.001). Вредоносное ПО удаляет зону.Идентификатор (Mark-of-the-Web), предназначенный для Нарушения работы средств контроля доверия (T1553.005). Он использует задержки на основе ping в пакетных сценариях, чтобы затруднить анализ в изолированной среде и уклонение от обнаружения на основе времени (командная оболочка T1059.003).

Попытки повышения привилегий используют Windows runas (Манипуляции с токенами доступа, T1134). Quasar собирает системный инвентарь (T1082) через WMI для создания маяка и включает функцию обратного прокси (T1090) для ретрансляции трафика злоумышленника через скомпрометированные хосты. Метаданные конфигурации и этапа встроены в кодировку Base64 и зашифрованы AES, содержат версию сборки, адреса C2, пути удаления, байты подписи для проверки клиента и сертификат X.509 для защищенной связи. Сетевое поведение включает запросы к Веб-службам проверки IP-адресов (например, api.ipify.org , ipwho.is ) обнаруживается с помощью Sysmon EventCode 22 и мониторинга DNS. Артефакты обнаружения и сетевые сигнатуры были созданы в виде правил Snort (SID, включая 1:65142, 1:65132, 1:65133 для Snort 2 и 1:65142, 1:301276 для Snort 3) выпущен в пакете 2025-07-21 для обнаружения загрузок загрузчика и начального трафика Quasar C2.

#ParsedReport #CompletenessMedium
12-08-2025

From ClickFix to Command: A Full PowerShell Attack Chain

https://www.fortinet.com/blog/threat-research/clickfix-to-command-a-full-powershell-attack-chain

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Clickfix_technique
Lolbin_technique

Victims:
Israeli organizations, Regional business landscape

Industry:
Healthcare

Geo:
Israeli

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1566.001

IOCs:
Url: 6
Command: 1
Path: 1
File: 3
Hash: 1

Soft:
Microsoft Teams

Algorithms:
exhibit, sha256, gzip, base64

Functions:
Get-Decompress, Get-File

Win API:
decompress

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Целенаправленный фишинг через скомпрометированную внутреннюю электронную почту привел к появлению фишингов -сайта с запутанным загрузчиком PowerShell Base64, разделенным на три строки, которые загружают вторичный этап PowerShell. Вторичный этап считывает локальный test.html чтобы реконструировать окончательный .ps1, включив RAT без файлов / в памяти с рандомизированным опросом (\~ 2-7 секунд), вызывающий Get-Appversion для отправки регистраций. C2 использует многоуровневое кодирование (GZip, Base64, reverse), декодируемое с помощью Get-распаковки; команды используют числовые префиксы; коммуникационные рычаги.ЧИСТЫЙ HTTP, urlmon.пользовательский агент dll, учетные данные Windows по умолчанию и системный прокси-сервер, а кампания демонстрирует боковое расширение, избегая RMM и публичного хостинга.
-----

Вторжение начинается с целенаправленного фишинга электронных писем, распространяемых через скомпрометированную внутреннюю инфраструктуру электронной почты, с использованием социально ориентированных сообщений (наставническая сессия по медицинским/фармацевтическим поставкам военного времени) для поощрения обмена информацией и внутреннего распространения. HTML-код сайта фишинга содержит запутанную команду PowerShell в кодировке Base64, разделенную на три строки, которая служит начальным загрузчиком и запускает вторичный этап PowerShell.

Вторичный этап считывает локальный test.html файл для восстановления окончательной вредоносной полезной нагрузки .ps1. Вся цепочка заражения, включая доставку и выполнение троянца удаленного доступа (RAT), реализована в PowerShell, что эффективно обеспечивает работу без файлов или в памяти без удаления традиционных исполняемых файлов. Постоянный цикл опроса реализует случайные переходы в спящий режим (по умолчанию \~ 2-7 секунд), чтобы избежать обнаружения, и повторно вызывает функцию с надписью Get-Appversion для отправки регистраций в C2.

Ответы C2 передаются в многоуровневой кодированной форме: сжатой в GZip, закодированной в Base64 и обратной. Клиент декодирует и распаковывает эти ответы локально, используя процедуру Get-распаковки. Команды обрамлены числовыми префиксами, которые соотносятся с конкретными действиями, позволяя RAT анализировать и выполнять различные инструкции удаленно. Скрытность на сетевом уровне включает в себя использование собственных HTTP-запросов .NET, установку законного пользовательского агента через urlmon.dll, используя учетные данные Windows по умолчанию и соблюдая настройки системного прокси-сервера, чтобы они сочетались с обычным трафиком.

Операционное поведение демонстрирует горизонтальную экспансию за счет использования недавно взломанных сред для нацеливания на другие организации, но актор избегал инструментов RMM и общедоступных сервисов размещения файлов, которые обычно используются в подобных кампаниях. Сочетание многоуровневой обфускации, выполнения в PowerShell в памяти, рандомизированного опроса и собственных сетевых API Windows демонстрирует подход living-off-the-land, ориентированный на уклонение и устойчивую связь C2.

#ParsedReport #CompletenessMedium
12-08-2025

VexTrio Unmasked: A Legacy of Spam and Homegrown Scams

https://blogs.infoblox.com/threat-intelligence/vextrio-unmasked-a-legacy-of-spam-and-homegrown-scams/

Report completeness: Medium

Threats:
Vextrio
Fakecaptcha_technique
Holacode
Adspro
Lospollos
Locomind
Residential_proxy_technique

Victims:
Internet users, Consumers

Industry:
Energy, Government, Software_development

Geo:
Ukrainian, German, Ukraine, Belarus, Japanese, Belarussian, Bulgaria, Switzerland, Czechia

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584

IOCs:
Domain: 19
Url: 8
IP: 4

Soft:
Instagram, Google Play, SendGrid, Tinder, TikTok, Dropbox, Gmail

Languages:
php

Platforms:
apple, arm

Links:
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VexTrio управляет экосистемой партнерского мошенничества, используя смарт-ссылки и сети (Los Pollos, Adtrafico, TacoLoco), которые направляют трафик на целевые страницы, контролируемые VexTrio, для двойной монетизации. При распространении используются push-запросы в браузере, спам по электронной почте, злоупотребления платформой и инвестиционные приманки, ведущие к крипто-мошенничеству; похожие почтовые домены (sendgrid.rest, mailgun.fun) публикуют SPF для облегчения доставки спама. Они публикуют вредоносные мобильные приложения под несколькими псевдонимами разработчиков в магазинах приложений и управляют инфраструктурой, охватывающей мошеннические сервисы и кажущиеся законными бизнес-направления.
-----

VexTrio - это давно работающее мошенническое предприятие, которое управляет скоординированной экосистемой партнерских сетей, смарт-ссылок, вредоносных приложений и инфраструктуры рассылки спама. Группа управляет партнерскими сетями (названными в отчетах как Los Pollos, Adtrafico, TacoLoco), которые продвигают несколько вертикалей — знакомства, для взрослых, лотереи, nutra и crypto — используя смарт-ссылки, которые в основном указывают на целевые страницы, контролируемые и созданные VexTrio. Это создает двойную монетизацию: аффилированные лица распространяют ссылки, в то время как VexTrio сохраняет контроль над целевым контентом и потоками мошенничества.

Векторы распространения включают в себя push-уведомления в браузере, спам по электронной почте и злоупотребление платформой (например, неправомерное использование товарного знака на социальных платформах) для привлечения партнерских рефералов. Актор использует инвестиционные нарративы “слишком хороши, чтобы быть правдой”, которые направляют трафик на мошенничество с криптовалютами, и использует агрессивную тактику продвижения и социальных сетей для увеличения конверсий. DNS и почтовая инфраструктура указывают на преднамеренное злоупотребление брендингом, связанным с почтой: были замечены домены-двойники, выдающие себя за SendGrid (sendgrid.rest) и Mailgun (mailgun.fun), и эти домены публикуют связанные с почтой записи DNS TXT (SPF), что указывает на попытки обойти аутентификацию электронной почты и увеличить доставку крупномасштабного спама. кампании.

VexTrio разработала и опубликовала вредоносные мобильные приложения (VPN, мониторинг устройств, блокировщики спама, приложения для знакомств) под несколькими псевдонимами разработчиков (включая HolaCode, LocoMind, Hugmi, Klover Group, AlphaScale Media). Эти приложения распространялись через официальные магазины приложений и собрали миллионы установок; высокие рейтинги скрывали вредоносное поведение, в то время как отзывы с низкой оценкой выявляли признаки мошенничества. Анализ инфраструктуры показал, что диапазоны IP-адресов и размещенные активы охватывают как мошеннические сервисы, так и, казалось бы, законные направления бизнеса (розничная торговля, гостиничный бизнес), что указывает на разветвленную коммерческую сеть и корпоративные уровни, связанные с крупномасштабными финансовыми транзакциями. Собранные домены и показатели были занесены в каталог для оперативного использования.