#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VexTrio управляет экосистемой партнерского мошенничества, используя смарт-ссылки и сети (Los Pollos, Adtrafico, TacoLoco), которые направляют трафик на целевые страницы, контролируемые VexTrio, для двойной монетизации. При распространении используются push-запросы в браузере, спам по электронной почте, злоупотребления платформой и инвестиционные приманки, ведущие к крипто-мошенничеству; похожие почтовые домены (sendgrid.rest, mailgun.fun) публикуют SPF для облегчения доставки спама. Они публикуют вредоносные мобильные приложения под несколькими псевдонимами разработчиков в магазинах приложений и управляют инфраструктурой, охватывающей мошеннические сервисы и кажущиеся законными бизнес-направления.
-----

VexTrio - это давно работающее мошенническое предприятие, которое управляет скоординированной экосистемой партнерских сетей, смарт-ссылок, вредоносных приложений и инфраструктуры рассылки спама. Группа управляет партнерскими сетями (названными в отчетах как Los Pollos, Adtrafico, TacoLoco), которые продвигают несколько вертикалей — знакомства, для взрослых, лотереи, nutra и crypto — используя смарт-ссылки, которые в основном указывают на целевые страницы, контролируемые и созданные VexTrio. Это создает двойную монетизацию: аффилированные лица распространяют ссылки, в то время как VexTrio сохраняет контроль над целевым контентом и потоками мошенничества.

Векторы распространения включают в себя push-уведомления в браузере, спам по электронной почте и злоупотребление платформой (например, неправомерное использование товарного знака на социальных платформах) для привлечения партнерских рефералов. Актор использует инвестиционные нарративы “слишком хороши, чтобы быть правдой”, которые направляют трафик на мошенничество с криптовалютами, и использует агрессивную тактику продвижения и социальных сетей для увеличения конверсий. DNS и почтовая инфраструктура указывают на преднамеренное злоупотребление брендингом, связанным с почтой: были замечены домены-двойники, выдающие себя за SendGrid (sendgrid.rest) и Mailgun (mailgun.fun), и эти домены публикуют связанные с почтой записи DNS TXT (SPF), что указывает на попытки обойти аутентификацию электронной почты и увеличить доставку крупномасштабного спама. кампании.

VexTrio разработала и опубликовала вредоносные мобильные приложения (VPN, мониторинг устройств, блокировщики спама, приложения для знакомств) под несколькими псевдонимами разработчиков (включая HolaCode, LocoMind, Hugmi, Klover Group, AlphaScale Media). Эти приложения распространялись через официальные магазины приложений и собрали миллионы установок; высокие рейтинги скрывали вредоносное поведение, в то время как отзывы с низкой оценкой выявляли признаки мошенничества. Анализ инфраструктуры показал, что диапазоны IP-адресов и размещенные активы охватывают как мошеннические сервисы, так и, казалось бы, законные направления бизнеса (розничная торговля, гостиничный бизнес), что указывает на разветвленную коммерческую сеть и корпоративные уровни, связанные с крупномасштабными финансовыми транзакциями. Собранные домены и показатели были занесены в каталог для оперативного использования.

#ParsedReport #CompletenessLow
12-08-2025

Shedding Light on PoisonSeed s Phishing Kit

https://blog.nviso.eu/2025/08/12/shedding-light-on-poisonseeds-phishing-kit/

Report completeness: Low

Actors/Campaigns:
Poisonseed
0ktapus

Threats:
Cryptochameleon_tool
Spear-phishing_technique
Aitm_technique

Victims:
Crm providers, Bulk email providers, Email service users, Cryptocurrency users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.007, T1071.001, T1111, T1204.001, T1566.002, T1583.001, T1583.002, T1584.004, T1589.002, have more...

IOCs:
Domain: 51
File: 33

Soft:
SendGrid, Cloudflare Turnstile, Windows Hello, gatekeeper

Wallets:
coinbase

Algorithms:
zip

Functions:
setError, getItem, setTimeout, setCanVerify, setShouldRedirect, setIsChecked, setItem, setEncryptedEmail, setMessage, setIsLoading, have more...

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PoisonSeed использует набор для фишинга React, устойчивый к MFA, для сбора учетных записей CRM / массовых рассылок по электронной почте для массового спама и манипулирования исходными фразами. Ссылки для Целевого фишинга (многие через sendgrid.net ) приводят к многоэтапному потоку с поддельным Cloudflare Turnstile, который проверяет зашифрованное электронное письмо в URL /cookie, а затем действует как AitM для получения учетных данных, 2FA (TOTP/SMS/email /API) и аутентификационных файлов cookie. Инфра: Домены NICENIC, Cloudflare/Bunny.сетевые серверы имен; центры обнаружения: зашифрованные параметры электронной почты /файлы cookie и вызовы проверки API.
-----

PoisonSeed, активный актор фишинга, связанный с англоязычным сообществом “The Com” и слабо связанный с Scattered Spider и CryptoChameleon, использует набор для фишинга, устойчивый к MFA, предназначенный для сбора учетных данных CRM и поставщиков массовых рассылок электронной почты для экспорта списков контактов и масштабирования спама, связанного с криптовалютой, и атак на манипулирование исходными фразами. Первоначальный доступ осуществляется через целевые электронные письма с Целевым фишингом, которые выдают себя за поставщиков (Google, SendGrid, Mailchimp и т.д.) и предоставляют ссылки в маркетинговом стиле, перенаправляющие на домены, подвергающиеся фишингу. Наблюдается множество перенаправляющих доменов, происходящих из sendgrid.net .

Набор реализован в React и использует многоэтапный процесс: поддельный вызов Cloudflare Turnstile (TurnstileChallenge.jsx) выполняет проверку на стороне сервера зашифрованного электронного письма жертвы, добавленного к URL—адресу и сохраненного в зашифрованном файле cookie - метод, который NVISO описывает как “фишинг с точной проверкой”. App.jsx принудительно завершает этап прохождения Turnstile перед предоставлением маршрутов входа в систему и 2FA. Формы входа в систему захватывают учетные данные и действуют как Злоумышленник посередине (AitM), перенаправляя учетные данные и последующие попытки 2FA в легитимную службу, одновременно захватывая все материалы для аутентификации. Набор поддерживает несколько векторов 2FA (коды аутентификатора, SMS, коды электронной почты, API-ключи) с помощью TwoFactorEmail.jsx и ApiKeyVerification.jsx, обрабатывающих определенные потоки; успешные перехваты создают файлы cookie аутентификации, которые позволяют полностью завладеть учетной записью. После компрометации PoisonSeed автоматизирует массовую загрузку списков контактов и использует скомпрометированные учетные записи для дальнейшей рассылки спама и манипулирования исходными фразами.

Схемы инфраструктуры включают регистрацию доменов через NICENIC, хостинг на Cloudflare, DE-First Colo и SWISSNETWORK02, а также использование Cloudflare и Bunny.сетевые серверы имен. Основные функции обнаружения и поиска включают идентификацию зашифрованных параметров электронной почты в URL-адресах, файлы cookie, содержащие зашифрованные строки электронной почты/ Turnstile, вызовы API, которые проверяют зашифрованные электронные письма, заголовки страниц, содержащие “Подтверждение” или “Вход”, и записи NICENIC WHOIS. Защитные меры включают в себя принудительную аутентификацию, устойчивую к фишингу, мониторинг аномальной активности сеанса/файлов cookie, блокировку идентифицированной инфраструктуры и правила обнаружения, настроенные в соответствии с описанными шаблонами проверки URL/файлов cookie/API.

#technique

PLA: Prompt Learning Attack against Text-to-Image Generative Models

https://arxiv.org/html/2508.03696v1

#technique

Shade BIOS: Unleashing the Full Stealth of UEFI Malware

https://blackhat.com/us-25/briefings/schedule/#shade-bios-unleashing-the-full-stealth-of-uefi-malware-45786

http://i.blackhat.com/BH-USA-25/Presentations/USA-25-Matsuo-Shade-BIOS-Unleashing-the-Full-Stealth-of-UEFI-Malware-Wednesday-V2.pdf

#ParsedReport #CompletenessMedium
05-08-2025

Research of the Russian landscape of cyberurosis

https://bi.zone/upload/for_download/Threat_Zone_2025_BI.ZONE_Research_rus.pdf

Report completeness: Medium

Actors/Campaigns:
Cyber_partisans
Bo_team
Morlock (motivation: financially_motivated)
Oldgremlin (motivation: financially_motivated)
C0met (motivation: financially_motivated, cyber_espionage)
Enigma_wolf (motivation: financially_motivated)
Money_libra (motivation: financially_motivated)
Watch_wolf (motivation: financially_motivated)
has more...

Threats:
Tgrat
Remcom_tool
Shadow_copies_delete_technique
Credential_dumping_technique
Mimikatz_tool
Lazagne_tool
Sliver_c2_tool
Localtonet_tool
Anydesk_tool
has more...

Victims:
State organizations, Research organizations
has more...

Industry:
E-commerce, Education, Healthcare, Energy
has more...

Geo:
Spain, Nepal, India, Armenia, Cyprus
has more...

CVEs:
CVE-2018-19321 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus_graphics_engine (<1.57)
- gigabyte app_center (<19.0422.1)
- gigabyte oc_guru_ii (2.08)
- gigabyte xtreme_gaming_engine (<1.26)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
has more...

ChatGPT TTPs:
do not use without manual check
T1003.001, T1005, T1027, T1046, T1059.001, T1070.001, T1070.004, T1070.006, T1071.001, T1071.004, have more...

IOCs:
Registry: 7
File: 92
Path: 27
Command: 27
Url: 14
Domain: 3

Soft:
Curl, telegram, Psexec, TightVNC, SoftPerfect Network Scanner, squid, Linux, Active Directory, Rsync, ESXI, have more...

Algorithms:
rsa-2048, aes, zip, base64, xor

Functions:
Get-Content, Write-Host

Win API:
showwindow

Win Services:
webclient

Languages:
visual_basic, javascript, php, java, python, rust, powershell, autoit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ситуация с киберугрозами в России и СНГ характеризуется возросшей активностью таких субъектов, как Guerrilla Hyena, использующих социальную инженерию и пользовательские вредоносные программы, эксплуатирующие уязвимости (CVE-2018-19320, CVE-2019-16098). Методы включают фишинг, боковое перемещение с помощью удаленных инструментов и Timestomping для сокрытия вредоносных действий, в то время как такие группы, как Cobalt Werewolf, используют PowerShell для кибершпионажа.
-----

Guerrilla Hyena использует социальную инженерию в фишинговых кампаниях, нацеленных на темы закупок, при этом вредоносные файлы маскируются под законные документы. Их деятельность включает в себя пользовательское вредоносное ПО TGRAT BECDOR и средства защищенной коммуникации, такие как P-Telegram и P-SMS. Они используют утилиты командной строки, такие как Curl.exe чтобы загружать полезные файлы после получения доступа, необходимо проверить хосты на соответствие предопределенным целям, чтобы оставаться скрытыми.

Злоумышленники используют уязвимости, такие как CVE-2018-19320 и CVE-2019-16098, для взлома средств контроля безопасности и используют инструменты удаленного доступа, такие как TightVNC и Anydesk, для перемещения внутри компании. Cobalt Werewolf использует тактику кибершпионажа, нацеленную на государственные и исследовательские организации, инициируя атаки с помощью фишинга и используя CVE-2024-27198 и CVE-2024-23897. Сценарии PowerShell используются для скрытых задач после эксплуатации.

Новые кластеры, такие как Twelfth Hyena и Gambling Hyena, нацелены на правительственные секторы с помощью методологий сложных целенаправленных атак, направленных на кражу информации и сбои в работе. Они поддерживают операционную безопасность, очищая журналы и удаляя вредоносные файлы. Передовые методы, такие как Timestomping, скрывают несанкционированную активность, в то время как такие инструменты, как GS-Netcat, помогают устанавливать безопасные соединения.

Разведка проводится с использованием таких инструментов, как NMAP, для выявления уязвимостей. Повышение привилегий имеет решающее значение, поскольку злоумышленники ищут небезопасные учетные данные для аутентификации и извлекают данные с помощью сценариев администратора. Credential harvesting включает в себя атаки методом перебора с помощью CrackMapExec. Такие группы, как Hoody Hyena, проводят DDoS-атаки против государственных организаций, выполняя разрушительные действия, такие как очистка баз данных и удаление резервных копий.

Ландшафт угроз отражает сложные методологии, включающие Timestomping, разведку, повышение привилегий, сбор учетных данных и вредоносные операции.

#ParsedReport #CompletenessLow
14-08-2025

When Hackers Call: Social Engineering, Abusing Brave Support, and EncryptHubs Expanding Arsenal

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal)

Threats:
Eviltwin_technique
Fickle_stealer
Silentcrystal

CVEs:
CVE-2025-26633 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1203, T1204.002, T1566.002, T1584.002, T1587.001, T1608.006, T1656

IOCs:
Command: 3
File: 6
Url: 2
IP: 1

Soft:
Steam, Microsoft Teams, Telegram

Algorithms:
zip, aes

Win Services:
WebClient

Languages:
swift, powershell, golang

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, table: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EncryptHub получает доступ с помощью социальной инженерии (команды / поддельные видеозвонки, выдающие себя за НЕГО), используя дропперы CVE-2025-26633 и PowerShell (.msc). SilentCrystal, Go Loader, работает в клиентском режиме, подключается к жестко запрограммированному C2 со встроенными учетными данными (api.rivatalk.net ) и использует зашифрованные команды для развертывания полезных нагрузок. Полезные данные, извлеченные из злоупотреблявшей поддержкой Brave/стороннего хостинга (safesurf.fastdomain‑uoemathhvq.workers.dev/payload/pay.ps1).
-----

Кампания EncryptHub сочетает социальную инженерию с эксплуатацией доверенных сервисов и злоупотреблением ими для доставки и сохранения вредоносной полезной нагрузки. Первоначальный доступ осуществляется через прямой контакт (запрос Microsoft Teams или платформа поддельных видеозвонков), где актор выдает себя за ИТ-персонал для установления удаленного подключения и развертывания полезных нагрузок. Кампания использует CVE-2025-26633 как часть своей цепочки доставки и ранее использовала скрипты PowerShell для удаления файлов .msc.

Выявленный новый инструментарий включает SilentCrystal, скомпилированный на Golang загрузчик, который повторяет предыдущее поведение загрузчика PowerShell. SilentCrystal злоупотребляет законной платформой поддержки Brave для размещения и извлечения вредоносных полезных данных. При запуске без параметров он по умолчанию переходит в клиентский режим, подключается к жестко закодированному C2, используя учетные данные, встроенные в двоичный файл, и поддерживает зашифрованную структуру команд для удаленного управления и развертывания полезной нагрузки, обеспечивая быстрые и незаметные операции во время сеансов, управляемых социальной инженерией.

Наблюдаемая инфраструктура включает в себя новое имя хоста C2 api.rivatalk.net и URL-адрес для извлечения полезной нагрузки, запутанный в отчетах как hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/полезная нагрузка/оплата.ps1. Набор инструментов актора демонстрирует эволюцию от загрузчиков на основе сценариев к скомпилированным двоичным файлам Go и продолжающееся злоупотребление сторонними платформами хостинга и поддержки для сокрытия вредоносных артефактов. Руководство по обнаружению, на которое ссылаются, включает правила, нацеленные на методы выполнения, используемые в этих цепочках (выполнение скрипта, удаление MSC, маячок C2 со встроенными учетными данными и извлечение из конечных точек поддержки/хостинга, подвергшихся злоупотреблениям).

#ParsedReport #CompletenessHigh
13-08-2025

Quarterly Report June 2025

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/kvartalnyj-otchet-iyun-2025/

Report completeness: High

Actors/Campaigns:
Team46
Core_werewolf
Ta_tolik
Sapphire_werewolf
Sticky_werewolf
Librarian_ghouls (motivation: financially_motivated)
Werewolves
Darkgaboon (motivation: financially_motivated)
Bo_team
Taxoff

Threats:
Darkwatchman
Cobalt_strike_tool
Trinper
Dll_hijacking_technique
Ultra_vnc_tool
Meshagent_tool
Unicorn_tool
Amethyst
Ngrok_tool
Meta_stealer
Ande_loader
Remcos_rat
Lumma_stealer
Darktrack_rat
Ozone
Quasar_rat
Rhadamanthys
Sliver_c2_tool
Asyncrat
Redline_stealer
Njrat
Xworm_rat
Anydesk_tool
Xmrig_miner
Mipko_tool
Lockbit
Meterpreter_tool
Netscan_tool
Conti
Avemaria_rat
Venomrat
Darktrack
Dcrat
Stealerium_stealer
Revenge_rat
Dotnet_reactor_tool
Themida_tool
Darkvnc_tool
Socgholish_loader
Teamviewer_tool
Killdisk
Passview_tool
Buhtrap
Brockendoor
Darkgate
Babuk

Victims:
Public sector, Banking, Tourism, Retail, Russian organizations, Small websites

Industry:
Government, Healthcare, Telco, Retail, Logistic, Financial, Education, Military, Energy

Geo:
African, Armenia, Ukrainian, American, Poland, Russian federation, Seychelles, Kazakhstan, Russia, German, Russian, Belarus

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2024-6473 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex_browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1203, T1204.002, T1219, T1497.001, T1566.002, T1583.001

IOCs:
Command: 1
Domain: 61
IP: 21
File: 29
Hash: 45

Soft:
Chrome, Yandex Browser, Telegram, SoftPerfect Network Scanner, NET Reactor

Algorithms:
zip

Win Services:
EKRN

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании по фишингу обеспечили первоначальный доступ: Team46 использовала Chrome zero‑day (CVE‑2025‑2783) и Document‑Primanka-приманки, устанавливающие UltraVNC для закрепления и перемещения внутри компании. Sapphire Werewolf использует многоступенчатый дроппер документов с Обходом песочницы VM /time, связывается с Canarytokens, собирает документы и данные сеанса Telegram, фильтруя их с помощью Telegram-бота или NGROK. Акторы повторно используют похожие домены/почтовые серверы; другие группы используют майнеры XMRig, модифицированный LockBit 3 Black, инструментарий Conti, Cobalt Strike, AnyDesk и цепочку CVE‑2017‑0199→CVE‑2017‑11882; сгенерированный искусственным интеллектом код способствует запутыванию.
-----

В отчете задокументированы многочисленные целенаправленные кампании по фишингу и различные наборы инструментов для последующей эксплуатации. Team46 (связанная с деятельностью "Форумного тролля") использовала фишинг для использования CVE-2025-2783 в Chrome в качестве исходного вектора zero-day. Приманки на основе документов (“Document-Primanka”) развертывают документы‑приманки при бесшумной установке UltraVNC для получения постоянного удаленного доступа и обеспечения перемещения внутри компании по корпоративным сетям.

Sapphire Werewolf и связанные с ним семейства используют многоступенчатые средства удаления документов с проверками обхода "песочницы" (обнаружение виртуальной машины и проверка системного времени) для прерывания анализа. После проверки в изолированной среде образцы взаимодействуют со службой Canarytokens, собирают документы с помощью расширения, извлекают данные сеанса Telegram и отфильтровывают с помощью Telegram-бота (@retardio_bot) или туннелируют через NGROK. Кампании TA Tolik (наблюдаемые с использованием стилера на основе Unicorn) сосредоточены на краже конфиденциальных данных государственного сектора. Похитители аметистового стиля были связаны с деятельностью Sapphire Werewolf, начавшейся в 2024 году.

Злоупотребление инфраструктурой фишинга и Имперсонация домена являются повторяющейся тактикой. Фазшифтеры зарегистрировали визуально похожие домены министерства (пример MX разрешен до 193.124.33.207) и повторно использовали почтовые серверы, ранее использовавшиеся в других кампаниях, что указывает на намеренную переработку инфраструктуры. Злоумышленники обычно регистрируют домены‑двойники, компрометируют законные почтовые ресурсы или приобретают стороннюю инфраструктуру отправки.

Были проанализированы несколько финансово мотивированных групп: Rare Werewolf уделяет приоритетное внимание сбору данных с помощью XMRig-майнинга только в качестве второстепенного вида деятельности; Werewolves внедряют модифицированное шифрование LockBit 3 Black, инструменты Conti, Cobalt Strike Beacons, AnyDesk и сканирование сети (Netscan) для перемещение внутри компании и публикация украденных данных на сайтах DLS. Приманки для документов продолжают использовать устаревшие уязвимости Office: CVE-2017-0199 привязывает к удаленно загружаемым RTF-файлам, которые запускают CVE-2017-11882 (редактор уравнений) для выполнения произвольного кода.

DarkWatchman проводил массовый фишинг, делая упор на безобидные запросы о предоставлении документов, звучащие как бизнес. Black Owl проводит деструктивные атаки на инфраструктуру, используя деструктивные программы “церемонии”. В отчете также отмечается более широкое использование фрагментов кода, сгенерированных искусственным интеллектом, для быстрой адаптации и запутывания вредоносных модулей, чтобы избежать традиционного обнаружения.

#ParsedReport #CompletenessLow
14-08-2025

UNC3886 Tactics, Techniques, and Procedures: Full Technical Breakdown

https://www.picussecurity.com/resource/blog/unc3886-tactics-techniques-and-procedures-ttps-full-technical-breakdown

Report completeness: Low

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Fire_ant (motivation: cyber_espionage)

Threats:
Tinyshell
Reptile
Melofee
Blackbasta
Medusa_ransomware
Rhysida

Victims:
Critical infrastructure, Energy, Telecom, Healthcare, Transportation

Industry:
Healthcare, Telco, Energy, Transport, Critical_infrastructure

Geo:
Singapore, Asia, China, America

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 3

Soft:
ChatGPT, Linux, curl, Mac OS, sudo, crontab

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886 нацелен на критическую инфраструктуру и использовал zero‑day в Fortinet, VMware и Juniper для развертывания руткитов и скрытого закрепления. Наблюдаемые TTP включают Маскировку (например, замену ifconfig на чтение /etc/passwd), Изменение временных меток, низкоуровневую разведку Melofee и кражу Закрытых ключей SSH. Передача инструмента из внешней сети (TinyShell) устанавливает зашифрованный C2 на Нестандартных портах с помощью команд IPC и эксфильтрации; закрепление с помощью модулей ядра и cron.
-----

UNC3886 - это связанная с Китаем группа кибершпионажа, которая нацелена на критически важную инфраструктуру в Азии, Европе и Северной Америке, уделяя особое внимание энергетике, телекоммуникациям, здравоохранению и транспорту. Группа использовала уязвимости zero-day в продуктах Fortinet, VMware и Juniper для развертывания руткитов и обеспечения скрытого закрепления на скомпрометированных хостах.

Наблюдаемые TTP включают переименование законных системных утилит для сокрытия вредоносных двоичных файлов (Маскировка, MITRE T1036.003); в одном примере ifconfig был заменен двоичным файлом, который вел себя как cat для чтения /etc/passwd, в то время как отображался как обычная утилита. Злоумышленники манипулируют временными метками файлов для Сокрытия артефактов и срыва сроков судебной экспертизы (Устранение индикатора на хосте, T1564). UNC3886 проводит низкоуровневую разведку с использованием протоколов, не относящихся к прикладному уровню, и специального вредоносного ПО (T1095); Melofee используется для скрытого обнаружения системы. Они активно собирают Закрытые ключи SSH для повышения привилегий или обеспечения скрытого доступа (Учетные данные из хранилищ паролей/Закрытые ключи, T1552.004).

Для бокового контроля и постоянного управления UNC3886 загружает и запускает удаленный инструментарий (Передача инструментов из внешней сети, T1105), в частности клиент вредоносного ПО TinyShell. TinyShell устанавливает зашифрованный C2 через Нестандартные порты (Нестандартный порт, T1571), поддерживает Межпроцессное взаимодействие для выполнения удаленных команд по Зашифрованным каналам (Межпроцессное взаимодействие, T1559) и используется для извлечения конфиденциальных файлов непосредственно по каналу C2 (Эксфильтрация по C2, T1041). Закрепление также достигается с помощью вредоносных модулей ядра или расширений, загружаемых при загрузке (Автозапуск при загрузке или входе в систему: Модули и расширения ядра, T1547.006) и запланированных задач, таких как записи cron для обеспечения повторного выполнения (Запланированная задача/задание: Cron, T1053.003).