#ParsedReport #CompletenessMedium
05-08-2025

Research of the Russian landscape of cyberurosis

https://bi.zone/upload/for_download/Threat_Zone_2025_BI.ZONE_Research_rus.pdf

Report completeness: Medium

Actors/Campaigns:
Cyber_partisans
Bo_team
Morlock (motivation: financially_motivated)
Oldgremlin (motivation: financially_motivated)
C0met (motivation: financially_motivated, cyber_espionage)
Enigma_wolf (motivation: financially_motivated)
Money_libra (motivation: financially_motivated)
Watch_wolf (motivation: financially_motivated)
has more...

Threats:
Tgrat
Remcom_tool
Shadow_copies_delete_technique
Credential_dumping_technique
Mimikatz_tool
Lazagne_tool
Sliver_c2_tool
Localtonet_tool
Anydesk_tool
has more...

Victims:
State organizations, Research organizations
has more...

Industry:
E-commerce, Education, Healthcare, Energy
has more...

Geo:
Spain, Nepal, India, Armenia, Cyprus
has more...

CVEs:
CVE-2018-19321 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gigabyte aorus_graphics_engine (<1.57)
- gigabyte app_center (<19.0422.1)
- gigabyte oc_guru_ii (2.08)
- gigabyte xtreme_gaming_engine (<1.26)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
has more...

ChatGPT TTPs:
do not use without manual check
T1003.001, T1005, T1027, T1046, T1059.001, T1070.001, T1070.004, T1070.006, T1071.001, T1071.004, have more...

IOCs:
Registry: 7
File: 92
Path: 27
Command: 27
Url: 14
Domain: 3

Soft:
Curl, telegram, Psexec, TightVNC, SoftPerfect Network Scanner, squid, Linux, Active Directory, Rsync, ESXI, have more...

Algorithms:
rsa-2048, aes, zip, base64, xor

Functions:
Get-Content, Write-Host

Win API:
showwindow

Win Services:
webclient

Languages:
visual_basic, javascript, php, java, python, rust, powershell, autoit

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ситуация с киберугрозами в России и СНГ характеризуется возросшей активностью таких субъектов, как Guerrilla Hyena, использующих социальную инженерию и пользовательские вредоносные программы, эксплуатирующие уязвимости (CVE-2018-19320, CVE-2019-16098). Методы включают фишинг, боковое перемещение с помощью удаленных инструментов и Timestomping для сокрытия вредоносных действий, в то время как такие группы, как Cobalt Werewolf, используют PowerShell для кибершпионажа.
-----

Guerrilla Hyena использует социальную инженерию в фишинговых кампаниях, нацеленных на темы закупок, при этом вредоносные файлы маскируются под законные документы. Их деятельность включает в себя пользовательское вредоносное ПО TGRAT BECDOR и средства защищенной коммуникации, такие как P-Telegram и P-SMS. Они используют утилиты командной строки, такие как Curl.exe чтобы загружать полезные файлы после получения доступа, необходимо проверить хосты на соответствие предопределенным целям, чтобы оставаться скрытыми.

Злоумышленники используют уязвимости, такие как CVE-2018-19320 и CVE-2019-16098, для взлома средств контроля безопасности и используют инструменты удаленного доступа, такие как TightVNC и Anydesk, для перемещения внутри компании. Cobalt Werewolf использует тактику кибершпионажа, нацеленную на государственные и исследовательские организации, инициируя атаки с помощью фишинга и используя CVE-2024-27198 и CVE-2024-23897. Сценарии PowerShell используются для скрытых задач после эксплуатации.

Новые кластеры, такие как Twelfth Hyena и Gambling Hyena, нацелены на правительственные секторы с помощью методологий сложных целенаправленных атак, направленных на кражу информации и сбои в работе. Они поддерживают операционную безопасность, очищая журналы и удаляя вредоносные файлы. Передовые методы, такие как Timestomping, скрывают несанкционированную активность, в то время как такие инструменты, как GS-Netcat, помогают устанавливать безопасные соединения.

Разведка проводится с использованием таких инструментов, как NMAP, для выявления уязвимостей. Повышение привилегий имеет решающее значение, поскольку злоумышленники ищут небезопасные учетные данные для аутентификации и извлекают данные с помощью сценариев администратора. Credential harvesting включает в себя атаки методом перебора с помощью CrackMapExec. Такие группы, как Hoody Hyena, проводят DDoS-атаки против государственных организаций, выполняя разрушительные действия, такие как очистка баз данных и удаление резервных копий.

Ландшафт угроз отражает сложные методологии, включающие Timestomping, разведку, повышение привилегий, сбор учетных данных и вредоносные операции.

#ParsedReport #CompletenessLow
14-08-2025

When Hackers Call: Social Engineering, Abusing Brave Support, and EncryptHubs Expanding Arsenal

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/when-hackers-call-social-engineering-abusing-brave-support-and-encrypthubs-expanding-arsenal/

Report completeness: Low

Actors/Campaigns:
Encrypthub (motivation: cyber_criminal)

Threats:
Eviltwin_technique
Fickle_stealer
Silentcrystal

CVEs:
CVE-2025-26633 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1203, T1204.002, T1566.002, T1584.002, T1587.001, T1608.006, T1656

IOCs:
Command: 3
File: 6
Url: 2
IP: 1

Soft:
Steam, Microsoft Teams, Telegram

Algorithms:
zip, aes

Win Services:
WebClient

Languages:
swift, powershell, golang

#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, table: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EncryptHub получает доступ с помощью социальной инженерии (команды / поддельные видеозвонки, выдающие себя за НЕГО), используя дропперы CVE-2025-26633 и PowerShell (.msc). SilentCrystal, Go Loader, работает в клиентском режиме, подключается к жестко запрограммированному C2 со встроенными учетными данными (api.rivatalk.net ) и использует зашифрованные команды для развертывания полезных нагрузок. Полезные данные, извлеченные из злоупотреблявшей поддержкой Brave/стороннего хостинга (safesurf.fastdomain‑uoemathhvq.workers.dev/payload/pay.ps1).
-----

Кампания EncryptHub сочетает социальную инженерию с эксплуатацией доверенных сервисов и злоупотреблением ими для доставки и сохранения вредоносной полезной нагрузки. Первоначальный доступ осуществляется через прямой контакт (запрос Microsoft Teams или платформа поддельных видеозвонков), где актор выдает себя за ИТ-персонал для установления удаленного подключения и развертывания полезных нагрузок. Кампания использует CVE-2025-26633 как часть своей цепочки доставки и ранее использовала скрипты PowerShell для удаления файлов .msc.

Выявленный новый инструментарий включает SilentCrystal, скомпилированный на Golang загрузчик, который повторяет предыдущее поведение загрузчика PowerShell. SilentCrystal злоупотребляет законной платформой поддержки Brave для размещения и извлечения вредоносных полезных данных. При запуске без параметров он по умолчанию переходит в клиентский режим, подключается к жестко закодированному C2, используя учетные данные, встроенные в двоичный файл, и поддерживает зашифрованную структуру команд для удаленного управления и развертывания полезной нагрузки, обеспечивая быстрые и незаметные операции во время сеансов, управляемых социальной инженерией.

Наблюдаемая инфраструктура включает в себя новое имя хоста C2 api.rivatalk.net и URL-адрес для извлечения полезной нагрузки, запутанный в отчетах как hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/полезная нагрузка/оплата.ps1. Набор инструментов актора демонстрирует эволюцию от загрузчиков на основе сценариев к скомпилированным двоичным файлам Go и продолжающееся злоупотребление сторонними платформами хостинга и поддержки для сокрытия вредоносных артефактов. Руководство по обнаружению, на которое ссылаются, включает правила, нацеленные на методы выполнения, используемые в этих цепочках (выполнение скрипта, удаление MSC, маячок C2 со встроенными учетными данными и извлечение из конечных точек поддержки/хостинга, подвергшихся злоупотреблениям).

#ParsedReport #CompletenessHigh
13-08-2025

Quarterly Report June 2025

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/kvartalnyj-otchet-iyun-2025/

Report completeness: High

Actors/Campaigns:
Team46
Core_werewolf
Ta_tolik
Sapphire_werewolf
Sticky_werewolf
Librarian_ghouls (motivation: financially_motivated)
Werewolves
Darkgaboon (motivation: financially_motivated)
Bo_team
Taxoff

Threats:
Darkwatchman
Cobalt_strike_tool
Trinper
Dll_hijacking_technique
Ultra_vnc_tool
Meshagent_tool
Unicorn_tool
Amethyst
Ngrok_tool
Meta_stealer
Ande_loader
Remcos_rat
Lumma_stealer
Darktrack_rat
Ozone
Quasar_rat
Rhadamanthys
Sliver_c2_tool
Asyncrat
Redline_stealer
Njrat
Xworm_rat
Anydesk_tool
Xmrig_miner
Mipko_tool
Lockbit
Meterpreter_tool
Netscan_tool
Conti
Avemaria_rat
Venomrat
Darktrack
Dcrat
Stealerium_stealer
Revenge_rat
Dotnet_reactor_tool
Themida_tool
Darkvnc_tool
Socgholish_loader
Teamviewer_tool
Killdisk
Passview_tool
Buhtrap
Brockendoor
Darkgate
Babuk

Victims:
Public sector, Banking, Tourism, Retail, Russian organizations, Small websites

Industry:
Government, Healthcare, Telco, Retail, Logistic, Financial, Education, Military, Energy

Geo:
African, Armenia, Ukrainian, American, Poland, Russian federation, Seychelles, Kazakhstan, Russia, German, Russian, Belarus

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2024-6473 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex_browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1203, T1204.002, T1219, T1497.001, T1566.002, T1583.001

IOCs:
Command: 1
Domain: 61
IP: 21
File: 29
Hash: 45

Soft:
Chrome, Yandex Browser, Telegram, SoftPerfect Network Scanner, NET Reactor

Algorithms:
zip

Win Services:
EKRN

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании по фишингу обеспечили первоначальный доступ: Team46 использовала Chrome zero‑day (CVE‑2025‑2783) и Document‑Primanka-приманки, устанавливающие UltraVNC для закрепления и перемещения внутри компании. Sapphire Werewolf использует многоступенчатый дроппер документов с Обходом песочницы VM /time, связывается с Canarytokens, собирает документы и данные сеанса Telegram, фильтруя их с помощью Telegram-бота или NGROK. Акторы повторно используют похожие домены/почтовые серверы; другие группы используют майнеры XMRig, модифицированный LockBit 3 Black, инструментарий Conti, Cobalt Strike, AnyDesk и цепочку CVE‑2017‑0199→CVE‑2017‑11882; сгенерированный искусственным интеллектом код способствует запутыванию.
-----

В отчете задокументированы многочисленные целенаправленные кампании по фишингу и различные наборы инструментов для последующей эксплуатации. Team46 (связанная с деятельностью "Форумного тролля") использовала фишинг для использования CVE-2025-2783 в Chrome в качестве исходного вектора zero-day. Приманки на основе документов (“Document-Primanka”) развертывают документы‑приманки при бесшумной установке UltraVNC для получения постоянного удаленного доступа и обеспечения перемещения внутри компании по корпоративным сетям.

Sapphire Werewolf и связанные с ним семейства используют многоступенчатые средства удаления документов с проверками обхода "песочницы" (обнаружение виртуальной машины и проверка системного времени) для прерывания анализа. После проверки в изолированной среде образцы взаимодействуют со службой Canarytokens, собирают документы с помощью расширения, извлекают данные сеанса Telegram и отфильтровывают с помощью Telegram-бота (@retardio_bot) или туннелируют через NGROK. Кампании TA Tolik (наблюдаемые с использованием стилера на основе Unicorn) сосредоточены на краже конфиденциальных данных государственного сектора. Похитители аметистового стиля были связаны с деятельностью Sapphire Werewolf, начавшейся в 2024 году.

Злоупотребление инфраструктурой фишинга и Имперсонация домена являются повторяющейся тактикой. Фазшифтеры зарегистрировали визуально похожие домены министерства (пример MX разрешен до 193.124.33.207) и повторно использовали почтовые серверы, ранее использовавшиеся в других кампаниях, что указывает на намеренную переработку инфраструктуры. Злоумышленники обычно регистрируют домены‑двойники, компрометируют законные почтовые ресурсы или приобретают стороннюю инфраструктуру отправки.

Были проанализированы несколько финансово мотивированных групп: Rare Werewolf уделяет приоритетное внимание сбору данных с помощью XMRig-майнинга только в качестве второстепенного вида деятельности; Werewolves внедряют модифицированное шифрование LockBit 3 Black, инструменты Conti, Cobalt Strike Beacons, AnyDesk и сканирование сети (Netscan) для перемещение внутри компании и публикация украденных данных на сайтах DLS. Приманки для документов продолжают использовать устаревшие уязвимости Office: CVE-2017-0199 привязывает к удаленно загружаемым RTF-файлам, которые запускают CVE-2017-11882 (редактор уравнений) для выполнения произвольного кода.

DarkWatchman проводил массовый фишинг, делая упор на безобидные запросы о предоставлении документов, звучащие как бизнес. Black Owl проводит деструктивные атаки на инфраструктуру, используя деструктивные программы “церемонии”. В отчете также отмечается более широкое использование фрагментов кода, сгенерированных искусственным интеллектом, для быстрой адаптации и запутывания вредоносных модулей, чтобы избежать традиционного обнаружения.

#ParsedReport #CompletenessLow
14-08-2025

UNC3886 Tactics, Techniques, and Procedures: Full Technical Breakdown

https://www.picussecurity.com/resource/blog/unc3886-tactics-techniques-and-procedures-ttps-full-technical-breakdown

Report completeness: Low

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Fire_ant (motivation: cyber_espionage)

Threats:
Tinyshell
Reptile
Melofee
Blackbasta
Medusa_ransomware
Rhysida

Victims:
Critical infrastructure, Energy, Telecom, Healthcare, Transportation

Industry:
Healthcare, Telco, Energy, Transport, Critical_infrastructure

Geo:
Singapore, Asia, China, America

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 3

Soft:
ChatGPT, Linux, curl, Mac OS, sudo, crontab

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886 нацелен на критическую инфраструктуру и использовал zero‑day в Fortinet, VMware и Juniper для развертывания руткитов и скрытого закрепления. Наблюдаемые TTP включают Маскировку (например, замену ifconfig на чтение /etc/passwd), Изменение временных меток, низкоуровневую разведку Melofee и кражу Закрытых ключей SSH. Передача инструмента из внешней сети (TinyShell) устанавливает зашифрованный C2 на Нестандартных портах с помощью команд IPC и эксфильтрации; закрепление с помощью модулей ядра и cron.
-----

UNC3886 - это связанная с Китаем группа кибершпионажа, которая нацелена на критически важную инфраструктуру в Азии, Европе и Северной Америке, уделяя особое внимание энергетике, телекоммуникациям, здравоохранению и транспорту. Группа использовала уязвимости zero-day в продуктах Fortinet, VMware и Juniper для развертывания руткитов и обеспечения скрытого закрепления на скомпрометированных хостах.

Наблюдаемые TTP включают переименование законных системных утилит для сокрытия вредоносных двоичных файлов (Маскировка, MITRE T1036.003); в одном примере ifconfig был заменен двоичным файлом, который вел себя как cat для чтения /etc/passwd, в то время как отображался как обычная утилита. Злоумышленники манипулируют временными метками файлов для Сокрытия артефактов и срыва сроков судебной экспертизы (Устранение индикатора на хосте, T1564). UNC3886 проводит низкоуровневую разведку с использованием протоколов, не относящихся к прикладному уровню, и специального вредоносного ПО (T1095); Melofee используется для скрытого обнаружения системы. Они активно собирают Закрытые ключи SSH для повышения привилегий или обеспечения скрытого доступа (Учетные данные из хранилищ паролей/Закрытые ключи, T1552.004).

Для бокового контроля и постоянного управления UNC3886 загружает и запускает удаленный инструментарий (Передача инструментов из внешней сети, T1105), в частности клиент вредоносного ПО TinyShell. TinyShell устанавливает зашифрованный C2 через Нестандартные порты (Нестандартный порт, T1571), поддерживает Межпроцессное взаимодействие для выполнения удаленных команд по Зашифрованным каналам (Межпроцессное взаимодействие, T1559) и используется для извлечения конфиденциальных файлов непосредственно по каналу C2 (Эксфильтрация по C2, T1041). Закрепление также достигается с помощью вредоносных модулей ядра или расширений, загружаемых при загрузке (Автозапуск при загрузке или входе в систему: Модули и расширения ядра, T1547.006) и запланированных задач, таких как записи cron для обеспечения повторного выполнения (Запланированная задача/задание: Cron, T1053.003).

#ParsedReport #CompletenessHigh
13-08-2025

Curly COMrades: A New Threat Actor Targeting Geopolitical Hotbeds

https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds

Report completeness: High

Actors/Campaigns:
Curly_comrades (motivation: cyber_espionage)
Fancy_bear
Fin12

Threats:
Dumplsass_tool
Resocks_tool
Stunnel_tool
Atexec_tool
Mucoragent
Impacket_tool
Garble_tool
Dcsync_technique
Netcat_tool
Ru_rat
Amsi_bypass_technique
Lolbin_technique
Netstat_tool
Shadow_copies_delete_technique
Mimikatz_tool
Procdump_tool
Trickdump_tool
Vssadmin_tool
Com_hijacking_technique

Victims:
Judicial bodies, Government bodies, Energy distribution company

Industry:
Energy, Government

Geo:
Russian, Ukraine, Russian federation, Georgia, Moldova

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.003, T1003.006, T1021.004, T1036, T1041, T1046, T1048, T1053.005, T1059.001, have more...

IOCs:
File: 21
Command: 15
Url: 3
Path: 77
IP: 7
Hash: 44
Registry: 4
Coin: 1

Soft:
NET Framework, curl, Component Object Model, Active Directory, WordPress, Chrome, Firefox, Linux

Algorithms:
aes, cbc, base64, deflate, md5, gzip, exhibit

Functions:
AllocConsole, TaskLauncher, TaskHandlerBase, Start, Launch, CreateInstanceFrom, TaskHandler, Decode, Show, Main, have more...

Win API:
FindWindowA, ShowWindow, PeekNamedPipe, ReadFile, WriteFile, AmsiScanBuffer, VirtualProtect, MiniDumpWriteDump

Languages:
powershell, php, java

Platforms:
x64, x86, intel

Links:
have more...
https://github.com/earthquake/Socks5Server
https://github.com/burrowers/garble
https://github.com/RedTeamPentesting/resocks?tab=readme-ov-file

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Curly COMrades нацелились на правительства Грузии и Молдовы/критически важную инфраструктуру, используя украденные привилегированные учетные данные, прокси-ретрансляторы и повторяющиеся дампы NTDS/LSASS. Они развернули запутанные прокси‑серверы resocks, переадресацию удаленных портов SSH с помощью stunnel и цепочку CurlCat, которая порождает GoogleUpdate.exe для туннелирования C2. Для закрепления использовались удаленные утилиты и MucorAgent (CLSID hijack, TaskLauncher); для кражи учетных данных/exfil использовались LOLBins, Mimikatz/DCSync/procdump/VSS и curl через PowerShell.
-----

Активность, наблюдаемая с середины 2024 года, была приписана группе под названием "Curly COMrades", нацеленной на правительственные, судебные организации и организации критической инфраструктуры в Грузии и Молдове. Вторжения основывались на украденных привилегированных учетных данных и различных формах прокси-ретрансляторов для получения и поддержания общесетевого доступа, неоднократных попытках извлечения NTDS из контроллеров домена и дампов Памяти процессов LSASS для сбора учетных данных и обеспечения перемещения внутри компании.

Центральное место занимали инструменты прокси: часто применялся resocks (прокси-инструмент GitHub), а образцы создавались с использованием Go obfuscator garble, чтобы затруднить анализ. Было обнаружено, что адаптированный двоичный файл сервера SOCKS5 привязан к 0.0.0.0:55333 (и более позднему образцу на 55334; MD5: 44a57a7c388af4d96771ab23e85b7f1e). Этот двоичный файл скрывает свою консоль с помощью вызовов API AllocConsole(), FindWindowA() и ShowWindow(SW_HIDE). Более поздний метод перешел на удаленную переадресацию портов по SSH (ssh.exe ) в сочетании с tstunnel.exe (компонент Stunnel) для шифрования TCP-трафика, что, вероятно, позволит избежать обнаружения в сети. Задействован вспомогательный артефакт (с именем CurlCat) ssh.exe нерест C:\Program Файлы (x86)\Google\GoogleUpdate.exe (MD5: dd253f7403644cfa09d8e42a7120180d), который передает двунаправленные данные между stdin/stdout и каналом HTTPS C2 и, вероятно, используется с SSH ProxyCommand для ретрансляции трафика.

Дополнительное закрепление и удаленное управление включало развертывание законных утилит RMM Remote Utilities (RuRat) через %COMMON_APDATA%\run.bat для установки каталога по умолчанию и двоичных файлов. Было идентифицировано новое семейство вредоносных ПО MucorAgent; использовалось типичное развертывание reg.exe для перехвата записей CLSID, часто автоматизированных с помощью C:\ProgramData\r.bat . Первый этап MucorAgent предоставляет класс TaskLauncher (наследует TaskHandlerBase), предназначенный для загрузки с помощью taskhostw.exe ; его метод Start() проверяет зашифрованную полезную нагрузку перед вызовом второго этапа.

Для обнаружения и получения учетных данных использовались двоичные файлы living-off-the-land и известные инструменты: Mimikatz, методы на основе comsvcs, procdump, DCSync и извлечение NTDS с помощью Shadow Copy тома. Промежуточные архивы данных были отфильтрованы с использованием curl.exe автоматизировано с помощью скрипта PowerShell (run.ps1). В целом, актор объединил инструменты с открытым исходным кодом/ пользовательские прокси-серверы, LOLBins, кражу учетных данных и перехват CLSID для обеспечения устойчивого доступа и скрытой эксфильтрации.

#ParsedReport #CompletenessMedium
14-08-2025

Crypto24 Ransomware Group Blends Legitimate Tools with Custom Malware for Stealth Attacks

https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html

Report completeness: Medium

Threats:
Crypto24
Psexec_tool
Anydesk_tool
Credential_harvesting_technique
Realblindingedr_tool
Netuser_tool
Lolbin_technique
Basecamp_tool

Victims:
Financial services, Manufacturing, Entertainment, Technology

Industry:
Entertainment

Geo:
Asia, Usa

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021, T1036, T1053.005, T1056.001, T1059.003, T1071.001, T1078, T1082, T1087.001, have more...

IOCs:
File: 22
Command: 7
Path: 18

Soft:
PSExec, Windows Defender, WinINet API, TightVNC

Algorithms:
exhibit

Languages:
swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, code: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crypto24 запускает многоэтапные вторжения, используя LOLBins и инструменты администрирования наряду с пользовательским вредоносным ПО и защитой от EDR (RealBlindingEDR) для скрытности и закрепления. Первоначальный доступ включает в себя создание привилегированных Локальных учетных записей и автоматическое профилирование с помощью 1.bat (WMIC); полезные нагрузки/скрипты удаляются в %ProgramData%\Update\ и сохраняются в запланированных задачах. Для перемещения внутри компании используются runas, PsExec, AnyDesk и объекты групповой политики; a WinMainSvc.dll кейлоггер (развернутый run_new.bat) загружает компоненты через Google Drive API (WinInet) для кражи данных, нацеливаясь на организации в Азии, Европе и США.
-----

Crypto24 проводит скоординированные многоэтапные вторжения, которые сочетают законные административные инструменты и LOLBins с пользовательским вредоносным ПО и компонентами защиты от EDR для максимальной скрытности и закрепления. Операторы предпочитают синхронизировать атаки во внепиковые часы и сочетать активность с обычными ИТ-операциями, чтобы избежать обнаружения.

Первоначальный доступ и разведка часто включают создание привилегированных Локальных учетных записей с последующим автоматическим профилированием с использованием сценария 1.bat, который использует WMIC для перечисления разделов диска, общей физической памяти, заголовка операционной системы, учетных записей локальных пользователей и членства в группах. Это системное профилирование информирует о перемещении внутри компании и выборе важных целей. Пакетные файлы и скрипты, размещенные в разделе %ProgramData%\Update\, планируются к выполнению через регулярные промежутки времени, поддерживая установку полезной нагрузки и повторяющееся выполнение.

Методы повышения привилегий и перемещения внутри компании включают в себя runas.exe и PsExec для выполнения процессов с повышенными правами и удаленного выполнения команд на разных хостах. Службы удаленного доступа и инструменты, такие как AnyDesk и утилиты групповой политики, используются для расширения доступа и поддержания удаленного управления. PsExec явно используется для укрепления позиций после первоначального компромисса.

Для обхода защиты группа развертывает пользовательскую утилиту защиты от EDR (называемую RealBlindingEDR), способную целенаправленно манипулировать безопасностью конечных точек; связанные файлы были обнаружены на нескольких конечных точках. Актор также использует двоичные файлы Living Off the Land, чтобы вредоносная активность смешивалась с законным административным трафиком.

Сбор данных и кража учетных данных осуществляются с помощью развернутого кейлоггера (WinMainSvc.dll ), доставляется и выполняется через run_new.bat и сохраняется с помощью запланированных задач. Анализ псевдокода показывает, что кейлоггер включает в себя функциональность для загрузки компонентов с Google Диска с использованием API Google Диска через WinInet, обеспечивая эксфильтрацию и удаленную доставку полезной нагрузки. Таргетинг был ориентирован на организации в Азии, Европе и США, работающие в секторах финансовых услуг, производства, развлечений и технологий.