#ParsedReport #ExtractedSchema

Classified images:
code: 8, schema: 1, table: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
EncryptHub получает доступ с помощью социальной инженерии (команды / поддельные видеозвонки, выдающие себя за НЕГО), используя дропперы CVE-2025-26633 и PowerShell (.msc). SilentCrystal, Go Loader, работает в клиентском режиме, подключается к жестко запрограммированному C2 со встроенными учетными данными (api.rivatalk.net ) и использует зашифрованные команды для развертывания полезных нагрузок. Полезные данные, извлеченные из злоупотреблявшей поддержкой Brave/стороннего хостинга (safesurf.fastdomain‑uoemathhvq.workers.dev/payload/pay.ps1).
-----

Кампания EncryptHub сочетает социальную инженерию с эксплуатацией доверенных сервисов и злоупотреблением ими для доставки и сохранения вредоносной полезной нагрузки. Первоначальный доступ осуществляется через прямой контакт (запрос Microsoft Teams или платформа поддельных видеозвонков), где актор выдает себя за ИТ-персонал для установления удаленного подключения и развертывания полезных нагрузок. Кампания использует CVE-2025-26633 как часть своей цепочки доставки и ранее использовала скрипты PowerShell для удаления файлов .msc.

Выявленный новый инструментарий включает SilentCrystal, скомпилированный на Golang загрузчик, который повторяет предыдущее поведение загрузчика PowerShell. SilentCrystal злоупотребляет законной платформой поддержки Brave для размещения и извлечения вредоносных полезных данных. При запуске без параметров он по умолчанию переходит в клиентский режим, подключается к жестко закодированному C2, используя учетные данные, встроенные в двоичный файл, и поддерживает зашифрованную структуру команд для удаленного управления и развертывания полезной нагрузки, обеспечивая быстрые и незаметные операции во время сеансов, управляемых социальной инженерией.

Наблюдаемая инфраструктура включает в себя новое имя хоста C2 api.rivatalk.net и URL-адрес для извлечения полезной нагрузки, запутанный в отчетах как hxxps://safesurf.fastdomain-uoemathhvq.workers.dev/полезная нагрузка/оплата.ps1. Набор инструментов актора демонстрирует эволюцию от загрузчиков на основе сценариев к скомпилированным двоичным файлам Go и продолжающееся злоупотребление сторонними платформами хостинга и поддержки для сокрытия вредоносных артефактов. Руководство по обнаружению, на которое ссылаются, включает правила, нацеленные на методы выполнения, используемые в этих цепочках (выполнение скрипта, удаление MSC, маячок C2 со встроенными учетными данными и извлечение из конечных точек поддержки/хостинга, подвергшихся злоупотреблениям).

#ParsedReport #CompletenessHigh
13-08-2025

Quarterly Report June 2025

https://ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/kvartalnyj-otchet-iyun-2025/

Report completeness: High

Actors/Campaigns:
Team46
Core_werewolf
Ta_tolik
Sapphire_werewolf
Sticky_werewolf
Librarian_ghouls (motivation: financially_motivated)
Werewolves
Darkgaboon (motivation: financially_motivated)
Bo_team
Taxoff

Threats:
Darkwatchman
Cobalt_strike_tool
Trinper
Dll_hijacking_technique
Ultra_vnc_tool
Meshagent_tool
Unicorn_tool
Amethyst
Ngrok_tool
Meta_stealer
Ande_loader
Remcos_rat
Lumma_stealer
Darktrack_rat
Ozone
Quasar_rat
Rhadamanthys
Sliver_c2_tool
Asyncrat
Redline_stealer
Njrat
Xworm_rat
Anydesk_tool
Xmrig_miner
Mipko_tool
Lockbit
Meterpreter_tool
Netscan_tool
Conti
Avemaria_rat
Venomrat
Darktrack
Dcrat
Stealerium_stealer
Revenge_rat
Dotnet_reactor_tool
Themida_tool
Darkvnc_tool
Socgholish_loader
Teamviewer_tool
Killdisk
Passview_tool
Buhtrap
Brockendoor
Darkgate
Babuk

Victims:
Public sector, Banking, Tourism, Retail, Russian organizations, Small websites

Industry:
Government, Healthcare, Telco, Retail, Logistic, Financial, Education, Military, Energy

Geo:
African, Armenia, Ukrainian, American, Poland, Russian federation, Seychelles, Kazakhstan, Russia, German, Russian, Belarus

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...
CVE-2024-6473 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- yandex yandex_browser (<24.7.1.380)

CVE-2025-2783 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<134.0.6998.177)


ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1203, T1204.002, T1219, T1497.001, T1566.002, T1583.001

IOCs:
Command: 1
Domain: 61
IP: 21
File: 29
Hash: 45

Soft:
Chrome, Yandex Browser, Telegram, SoftPerfect Network Scanner, NET Reactor

Algorithms:
zip

Win Services:
EKRN

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании по фишингу обеспечили первоначальный доступ: Team46 использовала Chrome zero‑day (CVE‑2025‑2783) и Document‑Primanka-приманки, устанавливающие UltraVNC для закрепления и перемещения внутри компании. Sapphire Werewolf использует многоступенчатый дроппер документов с Обходом песочницы VM /time, связывается с Canarytokens, собирает документы и данные сеанса Telegram, фильтруя их с помощью Telegram-бота или NGROK. Акторы повторно используют похожие домены/почтовые серверы; другие группы используют майнеры XMRig, модифицированный LockBit 3 Black, инструментарий Conti, Cobalt Strike, AnyDesk и цепочку CVE‑2017‑0199→CVE‑2017‑11882; сгенерированный искусственным интеллектом код способствует запутыванию.
-----

В отчете задокументированы многочисленные целенаправленные кампании по фишингу и различные наборы инструментов для последующей эксплуатации. Team46 (связанная с деятельностью "Форумного тролля") использовала фишинг для использования CVE-2025-2783 в Chrome в качестве исходного вектора zero-day. Приманки на основе документов (“Document-Primanka”) развертывают документы‑приманки при бесшумной установке UltraVNC для получения постоянного удаленного доступа и обеспечения перемещения внутри компании по корпоративным сетям.

Sapphire Werewolf и связанные с ним семейства используют многоступенчатые средства удаления документов с проверками обхода "песочницы" (обнаружение виртуальной машины и проверка системного времени) для прерывания анализа. После проверки в изолированной среде образцы взаимодействуют со службой Canarytokens, собирают документы с помощью расширения, извлекают данные сеанса Telegram и отфильтровывают с помощью Telegram-бота (@retardio_bot) или туннелируют через NGROK. Кампании TA Tolik (наблюдаемые с использованием стилера на основе Unicorn) сосредоточены на краже конфиденциальных данных государственного сектора. Похитители аметистового стиля были связаны с деятельностью Sapphire Werewolf, начавшейся в 2024 году.

Злоупотребление инфраструктурой фишинга и Имперсонация домена являются повторяющейся тактикой. Фазшифтеры зарегистрировали визуально похожие домены министерства (пример MX разрешен до 193.124.33.207) и повторно использовали почтовые серверы, ранее использовавшиеся в других кампаниях, что указывает на намеренную переработку инфраструктуры. Злоумышленники обычно регистрируют домены‑двойники, компрометируют законные почтовые ресурсы или приобретают стороннюю инфраструктуру отправки.

Были проанализированы несколько финансово мотивированных групп: Rare Werewolf уделяет приоритетное внимание сбору данных с помощью XMRig-майнинга только в качестве второстепенного вида деятельности; Werewolves внедряют модифицированное шифрование LockBit 3 Black, инструменты Conti, Cobalt Strike Beacons, AnyDesk и сканирование сети (Netscan) для перемещение внутри компании и публикация украденных данных на сайтах DLS. Приманки для документов продолжают использовать устаревшие уязвимости Office: CVE-2017-0199 привязывает к удаленно загружаемым RTF-файлам, которые запускают CVE-2017-11882 (редактор уравнений) для выполнения произвольного кода.

DarkWatchman проводил массовый фишинг, делая упор на безобидные запросы о предоставлении документов, звучащие как бизнес. Black Owl проводит деструктивные атаки на инфраструктуру, используя деструктивные программы “церемонии”. В отчете также отмечается более широкое использование фрагментов кода, сгенерированных искусственным интеллектом, для быстрой адаптации и запутывания вредоносных модулей, чтобы избежать традиционного обнаружения.

#ParsedReport #CompletenessLow
14-08-2025

UNC3886 Tactics, Techniques, and Procedures: Full Technical Breakdown

https://www.picussecurity.com/resource/blog/unc3886-tactics-techniques-and-procedures-ttps-full-technical-breakdown

Report completeness: Low

Actors/Campaigns:
Unc3886 (motivation: cyber_espionage)
Fire_ant (motivation: cyber_espionage)

Threats:
Tinyshell
Reptile
Melofee
Blackbasta
Medusa_ransomware
Rhysida

Victims:
Critical infrastructure, Energy, Telecom, Healthcare, Transportation

Industry:
Healthcare, Telco, Energy, Transport, Critical_infrastructure

Geo:
Singapore, Asia, China, America

TTPs:
Tactics: 8
Technics: 11

IOCs:
File: 3

Soft:
ChatGPT, Linux, curl, Mac OS, sudo, crontab

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886 нацелен на критическую инфраструктуру и использовал zero‑day в Fortinet, VMware и Juniper для развертывания руткитов и скрытого закрепления. Наблюдаемые TTP включают Маскировку (например, замену ifconfig на чтение /etc/passwd), Изменение временных меток, низкоуровневую разведку Melofee и кражу Закрытых ключей SSH. Передача инструмента из внешней сети (TinyShell) устанавливает зашифрованный C2 на Нестандартных портах с помощью команд IPC и эксфильтрации; закрепление с помощью модулей ядра и cron.
-----

UNC3886 - это связанная с Китаем группа кибершпионажа, которая нацелена на критически важную инфраструктуру в Азии, Европе и Северной Америке, уделяя особое внимание энергетике, телекоммуникациям, здравоохранению и транспорту. Группа использовала уязвимости zero-day в продуктах Fortinet, VMware и Juniper для развертывания руткитов и обеспечения скрытого закрепления на скомпрометированных хостах.

Наблюдаемые TTP включают переименование законных системных утилит для сокрытия вредоносных двоичных файлов (Маскировка, MITRE T1036.003); в одном примере ifconfig был заменен двоичным файлом, который вел себя как cat для чтения /etc/passwd, в то время как отображался как обычная утилита. Злоумышленники манипулируют временными метками файлов для Сокрытия артефактов и срыва сроков судебной экспертизы (Устранение индикатора на хосте, T1564). UNC3886 проводит низкоуровневую разведку с использованием протоколов, не относящихся к прикладному уровню, и специального вредоносного ПО (T1095); Melofee используется для скрытого обнаружения системы. Они активно собирают Закрытые ключи SSH для повышения привилегий или обеспечения скрытого доступа (Учетные данные из хранилищ паролей/Закрытые ключи, T1552.004).

Для бокового контроля и постоянного управления UNC3886 загружает и запускает удаленный инструментарий (Передача инструментов из внешней сети, T1105), в частности клиент вредоносного ПО TinyShell. TinyShell устанавливает зашифрованный C2 через Нестандартные порты (Нестандартный порт, T1571), поддерживает Межпроцессное взаимодействие для выполнения удаленных команд по Зашифрованным каналам (Межпроцессное взаимодействие, T1559) и используется для извлечения конфиденциальных файлов непосредственно по каналу C2 (Эксфильтрация по C2, T1041). Закрепление также достигается с помощью вредоносных модулей ядра или расширений, загружаемых при загрузке (Автозапуск при загрузке или входе в систему: Модули и расширения ядра, T1547.006) и запланированных задач, таких как записи cron для обеспечения повторного выполнения (Запланированная задача/задание: Cron, T1053.003).

#ParsedReport #CompletenessHigh
13-08-2025

Curly COMrades: A New Threat Actor Targeting Geopolitical Hotbeds

https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds

Report completeness: High

Actors/Campaigns:
Curly_comrades (motivation: cyber_espionage)
Fancy_bear
Fin12

Threats:
Dumplsass_tool
Resocks_tool
Stunnel_tool
Atexec_tool
Mucoragent
Impacket_tool
Garble_tool
Dcsync_technique
Netcat_tool
Ru_rat
Amsi_bypass_technique
Lolbin_technique
Netstat_tool
Shadow_copies_delete_technique
Mimikatz_tool
Procdump_tool
Trickdump_tool
Vssadmin_tool
Com_hijacking_technique

Victims:
Judicial bodies, Government bodies, Energy distribution company

Industry:
Energy, Government

Geo:
Russian, Ukraine, Russian federation, Georgia, Moldova

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.003, T1003.006, T1021.004, T1036, T1041, T1046, T1048, T1053.005, T1059.001, have more...

IOCs:
File: 21
Command: 15
Url: 3
Path: 77
IP: 7
Hash: 44
Registry: 4
Coin: 1

Soft:
NET Framework, curl, Component Object Model, Active Directory, WordPress, Chrome, Firefox, Linux

Algorithms:
aes, cbc, base64, deflate, md5, gzip, exhibit

Functions:
AllocConsole, TaskLauncher, TaskHandlerBase, Start, Launch, CreateInstanceFrom, TaskHandler, Decode, Show, Main, have more...

Win API:
FindWindowA, ShowWindow, PeekNamedPipe, ReadFile, WriteFile, AmsiScanBuffer, VirtualProtect, MiniDumpWriteDump

Languages:
powershell, php, java

Platforms:
x64, x86, intel

Links:
have more...
https://github.com/earthquake/Socks5Server
https://github.com/burrowers/garble
https://github.com/RedTeamPentesting/resocks?tab=readme-ov-file

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Curly COMrades нацелились на правительства Грузии и Молдовы/критически важную инфраструктуру, используя украденные привилегированные учетные данные, прокси-ретрансляторы и повторяющиеся дампы NTDS/LSASS. Они развернули запутанные прокси‑серверы resocks, переадресацию удаленных портов SSH с помощью stunnel и цепочку CurlCat, которая порождает GoogleUpdate.exe для туннелирования C2. Для закрепления использовались удаленные утилиты и MucorAgent (CLSID hijack, TaskLauncher); для кражи учетных данных/exfil использовались LOLBins, Mimikatz/DCSync/procdump/VSS и curl через PowerShell.
-----

Активность, наблюдаемая с середины 2024 года, была приписана группе под названием "Curly COMrades", нацеленной на правительственные, судебные организации и организации критической инфраструктуры в Грузии и Молдове. Вторжения основывались на украденных привилегированных учетных данных и различных формах прокси-ретрансляторов для получения и поддержания общесетевого доступа, неоднократных попытках извлечения NTDS из контроллеров домена и дампов Памяти процессов LSASS для сбора учетных данных и обеспечения перемещения внутри компании.

Центральное место занимали инструменты прокси: часто применялся resocks (прокси-инструмент GitHub), а образцы создавались с использованием Go obfuscator garble, чтобы затруднить анализ. Было обнаружено, что адаптированный двоичный файл сервера SOCKS5 привязан к 0.0.0.0:55333 (и более позднему образцу на 55334; MD5: 44a57a7c388af4d96771ab23e85b7f1e). Этот двоичный файл скрывает свою консоль с помощью вызовов API AllocConsole(), FindWindowA() и ShowWindow(SW_HIDE). Более поздний метод перешел на удаленную переадресацию портов по SSH (ssh.exe ) в сочетании с tstunnel.exe (компонент Stunnel) для шифрования TCP-трафика, что, вероятно, позволит избежать обнаружения в сети. Задействован вспомогательный артефакт (с именем CurlCat) ssh.exe нерест C:\Program Файлы (x86)\Google\GoogleUpdate.exe (MD5: dd253f7403644cfa09d8e42a7120180d), который передает двунаправленные данные между stdin/stdout и каналом HTTPS C2 и, вероятно, используется с SSH ProxyCommand для ретрансляции трафика.

Дополнительное закрепление и удаленное управление включало развертывание законных утилит RMM Remote Utilities (RuRat) через %COMMON_APDATA%\run.bat для установки каталога по умолчанию и двоичных файлов. Было идентифицировано новое семейство вредоносных ПО MucorAgent; использовалось типичное развертывание reg.exe для перехвата записей CLSID, часто автоматизированных с помощью C:\ProgramData\r.bat . Первый этап MucorAgent предоставляет класс TaskLauncher (наследует TaskHandlerBase), предназначенный для загрузки с помощью taskhostw.exe ; его метод Start() проверяет зашифрованную полезную нагрузку перед вызовом второго этапа.

Для обнаружения и получения учетных данных использовались двоичные файлы living-off-the-land и известные инструменты: Mimikatz, методы на основе comsvcs, procdump, DCSync и извлечение NTDS с помощью Shadow Copy тома. Промежуточные архивы данных были отфильтрованы с использованием curl.exe автоматизировано с помощью скрипта PowerShell (run.ps1). В целом, актор объединил инструменты с открытым исходным кодом/ пользовательские прокси-серверы, LOLBins, кражу учетных данных и перехват CLSID для обеспечения устойчивого доступа и скрытой эксфильтрации.

#ParsedReport #CompletenessMedium
14-08-2025

Crypto24 Ransomware Group Blends Legitimate Tools with Custom Malware for Stealth Attacks

https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html

Report completeness: Medium

Threats:
Crypto24
Psexec_tool
Anydesk_tool
Credential_harvesting_technique
Realblindingedr_tool
Netuser_tool
Lolbin_technique
Basecamp_tool

Victims:
Financial services, Manufacturing, Entertainment, Technology

Industry:
Entertainment

Geo:
Asia, Usa

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021, T1036, T1053.005, T1056.001, T1059.003, T1071.001, T1078, T1082, T1087.001, have more...

IOCs:
File: 22
Command: 7
Path: 18

Soft:
PSExec, Windows Defender, WinINet API, TightVNC

Algorithms:
exhibit

Languages:
swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, code: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crypto24 запускает многоэтапные вторжения, используя LOLBins и инструменты администрирования наряду с пользовательским вредоносным ПО и защитой от EDR (RealBlindingEDR) для скрытности и закрепления. Первоначальный доступ включает в себя создание привилегированных Локальных учетных записей и автоматическое профилирование с помощью 1.bat (WMIC); полезные нагрузки/скрипты удаляются в %ProgramData%\Update\ и сохраняются в запланированных задачах. Для перемещения внутри компании используются runas, PsExec, AnyDesk и объекты групповой политики; a WinMainSvc.dll кейлоггер (развернутый run_new.bat) загружает компоненты через Google Drive API (WinInet) для кражи данных, нацеливаясь на организации в Азии, Европе и США.
-----

Crypto24 проводит скоординированные многоэтапные вторжения, которые сочетают законные административные инструменты и LOLBins с пользовательским вредоносным ПО и компонентами защиты от EDR для максимальной скрытности и закрепления. Операторы предпочитают синхронизировать атаки во внепиковые часы и сочетать активность с обычными ИТ-операциями, чтобы избежать обнаружения.

Первоначальный доступ и разведка часто включают создание привилегированных Локальных учетных записей с последующим автоматическим профилированием с использованием сценария 1.bat, который использует WMIC для перечисления разделов диска, общей физической памяти, заголовка операционной системы, учетных записей локальных пользователей и членства в группах. Это системное профилирование информирует о перемещении внутри компании и выборе важных целей. Пакетные файлы и скрипты, размещенные в разделе %ProgramData%\Update\, планируются к выполнению через регулярные промежутки времени, поддерживая установку полезной нагрузки и повторяющееся выполнение.

Методы повышения привилегий и перемещения внутри компании включают в себя runas.exe и PsExec для выполнения процессов с повышенными правами и удаленного выполнения команд на разных хостах. Службы удаленного доступа и инструменты, такие как AnyDesk и утилиты групповой политики, используются для расширения доступа и поддержания удаленного управления. PsExec явно используется для укрепления позиций после первоначального компромисса.

Для обхода защиты группа развертывает пользовательскую утилиту защиты от EDR (называемую RealBlindingEDR), способную целенаправленно манипулировать безопасностью конечных точек; связанные файлы были обнаружены на нескольких конечных точках. Актор также использует двоичные файлы Living Off the Land, чтобы вредоносная активность смешивалась с законным административным трафиком.

Сбор данных и кража учетных данных осуществляются с помощью развернутого кейлоггера (WinMainSvc.dll ), доставляется и выполняется через run_new.bat и сохраняется с помощью запланированных задач. Анализ псевдокода показывает, что кейлоггер включает в себя функциональность для загрузки компонентов с Google Диска с использованием API Google Диска через WinInet, обеспечивая эксфильтрацию и удаленную доставку полезной нагрузки. Таргетинг был ориентирован на организации в Азии, Европе и США, работающие в секторах финансовых услуг, производства, развлечений и технологий.

#ParsedReport #CompletenessLow
14-08-2025

Raspberry Robin Malware in 2025: From USB Worm to Elite Initial Access Broker

https://www.picussecurity.com/resource/blog/raspberry-robin-malware-in-2025-from-usb-worm-to-elite-initial-access-broker

Report completeness: Low

Actors/Campaigns:
Raspberry_robin

Threats:
Raspberry_robin
Lolbin_technique
Fastflux_technique
Spear-phishing_technique
Dll_sideloading_technique
Uac_bypass_technique
Paexec_tool
Raven_stealer
Lumma_stealer

Victims:
Multiple sectors

Industry:
Iot

CVEs:
CVE-2024-38196 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1037, T1055, T1059.003, T1071.001, T1091, T1105, T1112, T1204, have more...

IOCs:
File: 8
Path: 1

Soft:
ChatGPT, Discord, PsExec, Event Tracing for Windows

Algorithms:
rc4, chacha20

Win API:
NtTraceEvent

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raspberry Robin (он же Roshtyak/Storm-0856) превратился из червя, распространяющегося по USB, в брокера начального доступа, предоставляющего программы‑вымогатели, загрузчики и шпионские инструменты, перейдя от USB‑рассылки к фишингу, Вредоносной рекламе и доставке через облако /CDN (особенно Discord). Он использует загрузчики WSF, боковую загрузку, интенсивное запутывание / антианализ, Внедрение кода в процесс и LOLBINs (rundll32, dllhost, regsvr32) с цепочками, такими как explorer→cmd→msiexec и быстрое внедрение эксплойтов (CVE‑2024‑38196). Инфраструктура C2 охватывает более 200 доменов плюс активность Tor; артефакты включают записи RunOnce во временные библиотеки DLL и большие tmp-файлы в C:\Windows\Installer ; Консультанты США связали подразделение 29155 ГРУ с развертыванием в конце 2024 года.
-----

Raspberry Robin (он же Roshtyak, отслеживаемый как Microsoft Storm-0856) превратился из распространяющегося по USB червя (активен с 2019 года) в плодовитого брокера первоначального доступа, который распространяет программы-вымогатели, расширенные загрузчики и наборы инструментов для шпионажа. Раннее распространение основывалось на съемных носителях: вредоносное ПО постоянно отслеживает подключенные диски, засеивая их вредоносным ПО.Ярлыки LNK, замаскированные под папки плюс скрытый файл полезной нагрузки, и использует cmd.exe чтобы перезапустить цепочку заражения при нажатии на ярлык. К 2024-2025 годам операторы перешли от крупномасштабной загрузки по USB к фишингу, Вредоносной рекламе и механизмам доставки через облако/CDN (в частности, Discord CDN-архивы) и использовали загрузчики с боковой загрузкой и на основе WSF с мощными функциями запутывания и антианализа.

Поведение при выполнении включает в себя Внедрение кода в процесс и методы living-off-the-land, позволяющие вписаться в законную деятельность: внедренные хосты обычно включают rundll32.exe , dllhost.exe , и regsvr32.exe . Типичные наблюдаемые цепочки вредоносных процессов включают explorer.exe → cmd.exe → msiexec.exe выполнение исходящих HTTP-запросов. Несколько одновременных rundll32.exe или dllhost.exe характерны случаи, демонстрирующие сетевую активность. Операторы внедрили эксплуатацию (в частности, интеграцию CVE-2024-38196 в течение нескольких недель после публичного раскрытия), чтобы расширить первоначальный доступ.

Система управления разработана для обеспечения устойчивости и анонимности с использованием многоуровневой обфускации и шифрования в разветвленной инфраструктуре, состоящей из более чем 200 доменов C2, охватывающих 22 TLD, плюс доказательства наличия по крайней мере одного узла ретрансляции Tor, координирующего операции. Артефакты обхода защиты включают загрузчики WSF, боковую загрузку, средства защиты от анализа, записи реестра RunOnce, указывающие на библиотеки DLL в %TEMP%, и большие файлы .tmp, размещенные в C:\Windows\Installer \. Возможности обнаружения включают аномальный поиск в DNS для очень коротких доменов в необычных TLD, неожиданные подключения Tor от процессов, отличных от Tor, записи RunOnce, ссылающиеся на временные библиотеки DLL, большие файлы installer .tmp и конкретные цепочки исходящих процессов с поддержкой HTTP, указанные выше. Консультант из США связал подразделение 29155 ГРУ с развертыванием Raspberry Robin в конце 2024 года.

#ParsedReport #CompletenessMedium
14-08-2025

Inside Silver Foxs Den: Trustwave SpiderLabs Unmasks a Global Threat Actor

https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/inside-silver-foxs-den-trustwave-spiderlabs-unmasks-a-global-threat-actor/

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft, financially_motivated, cyber_espionage, cyber_criminal)

Threats:
Valleyrat
Winos
Sainbox_rat
Disabling_antivirus_technique
Vmprotect_tool
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Nidhogg

Victims:
Chinese speaking organizations, Taiwanese organizations

Industry:
Healthcare, Government, Entertainment, Education

Geo:
Taiwan, China, Taiwanese, Pacific

TTPs:
Tactics: 2
Technics: 5

Soft:
Sogou, DeepSeek, Telegram, DICOM

Algorithms:
zip, exhibit