#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886 нацелен на критическую инфраструктуру и использовал zero‑day в Fortinet, VMware и Juniper для развертывания руткитов и скрытого закрепления. Наблюдаемые TTP включают Маскировку (например, замену ifconfig на чтение /etc/passwd), Изменение временных меток, низкоуровневую разведку Melofee и кражу Закрытых ключей SSH. Передача инструмента из внешней сети (TinyShell) устанавливает зашифрованный C2 на Нестандартных портах с помощью команд IPC и эксфильтрации; закрепление с помощью модулей ядра и cron.
-----

UNC3886 - это связанная с Китаем группа кибершпионажа, которая нацелена на критически важную инфраструктуру в Азии, Европе и Северной Америке, уделяя особое внимание энергетике, телекоммуникациям, здравоохранению и транспорту. Группа использовала уязвимости zero-day в продуктах Fortinet, VMware и Juniper для развертывания руткитов и обеспечения скрытого закрепления на скомпрометированных хостах.

Наблюдаемые TTP включают переименование законных системных утилит для сокрытия вредоносных двоичных файлов (Маскировка, MITRE T1036.003); в одном примере ifconfig был заменен двоичным файлом, который вел себя как cat для чтения /etc/passwd, в то время как отображался как обычная утилита. Злоумышленники манипулируют временными метками файлов для Сокрытия артефактов и срыва сроков судебной экспертизы (Устранение индикатора на хосте, T1564). UNC3886 проводит низкоуровневую разведку с использованием протоколов, не относящихся к прикладному уровню, и специального вредоносного ПО (T1095); Melofee используется для скрытого обнаружения системы. Они активно собирают Закрытые ключи SSH для повышения привилегий или обеспечения скрытого доступа (Учетные данные из хранилищ паролей/Закрытые ключи, T1552.004).

Для бокового контроля и постоянного управления UNC3886 загружает и запускает удаленный инструментарий (Передача инструментов из внешней сети, T1105), в частности клиент вредоносного ПО TinyShell. TinyShell устанавливает зашифрованный C2 через Нестандартные порты (Нестандартный порт, T1571), поддерживает Межпроцессное взаимодействие для выполнения удаленных команд по Зашифрованным каналам (Межпроцессное взаимодействие, T1559) и используется для извлечения конфиденциальных файлов непосредственно по каналу C2 (Эксфильтрация по C2, T1041). Закрепление также достигается с помощью вредоносных модулей ядра или расширений, загружаемых при загрузке (Автозапуск при загрузке или входе в систему: Модули и расширения ядра, T1547.006) и запланированных задач, таких как записи cron для обеспечения повторного выполнения (Запланированная задача/задание: Cron, T1053.003).

#ParsedReport #CompletenessHigh
13-08-2025

Curly COMrades: A New Threat Actor Targeting Geopolitical Hotbeds

https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds

Report completeness: High

Actors/Campaigns:
Curly_comrades (motivation: cyber_espionage)
Fancy_bear
Fin12

Threats:
Dumplsass_tool
Resocks_tool
Stunnel_tool
Atexec_tool
Mucoragent
Impacket_tool
Garble_tool
Dcsync_technique
Netcat_tool
Ru_rat
Amsi_bypass_technique
Lolbin_technique
Netstat_tool
Shadow_copies_delete_technique
Mimikatz_tool
Procdump_tool
Trickdump_tool
Vssadmin_tool
Com_hijacking_technique

Victims:
Judicial bodies, Government bodies, Energy distribution company

Industry:
Energy, Government

Geo:
Russian, Ukraine, Russian federation, Georgia, Moldova

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1003.003, T1003.006, T1021.004, T1036, T1041, T1046, T1048, T1053.005, T1059.001, have more...

IOCs:
File: 21
Command: 15
Url: 3
Path: 77
IP: 7
Hash: 44
Registry: 4
Coin: 1

Soft:
NET Framework, curl, Component Object Model, Active Directory, WordPress, Chrome, Firefox, Linux

Algorithms:
aes, cbc, base64, deflate, md5, gzip, exhibit

Functions:
AllocConsole, TaskLauncher, TaskHandlerBase, Start, Launch, CreateInstanceFrom, TaskHandler, Decode, Show, Main, have more...

Win API:
FindWindowA, ShowWindow, PeekNamedPipe, ReadFile, WriteFile, AmsiScanBuffer, VirtualProtect, MiniDumpWriteDump

Languages:
powershell, php, java

Platforms:
x64, x86, intel

Links:
have more...
https://github.com/earthquake/Socks5Server
https://github.com/burrowers/garble
https://github.com/RedTeamPentesting/resocks?tab=readme-ov-file

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Curly COMrades нацелились на правительства Грузии и Молдовы/критически важную инфраструктуру, используя украденные привилегированные учетные данные, прокси-ретрансляторы и повторяющиеся дампы NTDS/LSASS. Они развернули запутанные прокси‑серверы resocks, переадресацию удаленных портов SSH с помощью stunnel и цепочку CurlCat, которая порождает GoogleUpdate.exe для туннелирования C2. Для закрепления использовались удаленные утилиты и MucorAgent (CLSID hijack, TaskLauncher); для кражи учетных данных/exfil использовались LOLBins, Mimikatz/DCSync/procdump/VSS и curl через PowerShell.
-----

Активность, наблюдаемая с середины 2024 года, была приписана группе под названием "Curly COMrades", нацеленной на правительственные, судебные организации и организации критической инфраструктуры в Грузии и Молдове. Вторжения основывались на украденных привилегированных учетных данных и различных формах прокси-ретрансляторов для получения и поддержания общесетевого доступа, неоднократных попытках извлечения NTDS из контроллеров домена и дампов Памяти процессов LSASS для сбора учетных данных и обеспечения перемещения внутри компании.

Центральное место занимали инструменты прокси: часто применялся resocks (прокси-инструмент GitHub), а образцы создавались с использованием Go obfuscator garble, чтобы затруднить анализ. Было обнаружено, что адаптированный двоичный файл сервера SOCKS5 привязан к 0.0.0.0:55333 (и более позднему образцу на 55334; MD5: 44a57a7c388af4d96771ab23e85b7f1e). Этот двоичный файл скрывает свою консоль с помощью вызовов API AllocConsole(), FindWindowA() и ShowWindow(SW_HIDE). Более поздний метод перешел на удаленную переадресацию портов по SSH (ssh.exe ) в сочетании с tstunnel.exe (компонент Stunnel) для шифрования TCP-трафика, что, вероятно, позволит избежать обнаружения в сети. Задействован вспомогательный артефакт (с именем CurlCat) ssh.exe нерест C:\Program Файлы (x86)\Google\GoogleUpdate.exe (MD5: dd253f7403644cfa09d8e42a7120180d), который передает двунаправленные данные между stdin/stdout и каналом HTTPS C2 и, вероятно, используется с SSH ProxyCommand для ретрансляции трафика.

Дополнительное закрепление и удаленное управление включало развертывание законных утилит RMM Remote Utilities (RuRat) через %COMMON_APDATA%\run.bat для установки каталога по умолчанию и двоичных файлов. Было идентифицировано новое семейство вредоносных ПО MucorAgent; использовалось типичное развертывание reg.exe для перехвата записей CLSID, часто автоматизированных с помощью C:\ProgramData\r.bat . Первый этап MucorAgent предоставляет класс TaskLauncher (наследует TaskHandlerBase), предназначенный для загрузки с помощью taskhostw.exe ; его метод Start() проверяет зашифрованную полезную нагрузку перед вызовом второго этапа.

Для обнаружения и получения учетных данных использовались двоичные файлы living-off-the-land и известные инструменты: Mimikatz, методы на основе comsvcs, procdump, DCSync и извлечение NTDS с помощью Shadow Copy тома. Промежуточные архивы данных были отфильтрованы с использованием curl.exe автоматизировано с помощью скрипта PowerShell (run.ps1). В целом, актор объединил инструменты с открытым исходным кодом/ пользовательские прокси-серверы, LOLBins, кражу учетных данных и перехват CLSID для обеспечения устойчивого доступа и скрытой эксфильтрации.

#ParsedReport #CompletenessMedium
14-08-2025

Crypto24 Ransomware Group Blends Legitimate Tools with Custom Malware for Stealth Attacks

https://www.trendmicro.com/en_us/research/25/h/crypto24-ransomware-stealth-attacks.html

Report completeness: Medium

Threats:
Crypto24
Psexec_tool
Anydesk_tool
Credential_harvesting_technique
Realblindingedr_tool
Netuser_tool
Lolbin_technique
Basecamp_tool

Victims:
Financial services, Manufacturing, Entertainment, Technology

Industry:
Entertainment

Geo:
Asia, Usa

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1021, T1036, T1053.005, T1056.001, T1059.003, T1071.001, T1078, T1082, T1087.001, have more...

IOCs:
File: 22
Command: 7
Path: 18

Soft:
PSExec, Windows Defender, WinINet API, TightVNC

Algorithms:
exhibit

Languages:
swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1, code: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crypto24 запускает многоэтапные вторжения, используя LOLBins и инструменты администрирования наряду с пользовательским вредоносным ПО и защитой от EDR (RealBlindingEDR) для скрытности и закрепления. Первоначальный доступ включает в себя создание привилегированных Локальных учетных записей и автоматическое профилирование с помощью 1.bat (WMIC); полезные нагрузки/скрипты удаляются в %ProgramData%\Update\ и сохраняются в запланированных задачах. Для перемещения внутри компании используются runas, PsExec, AnyDesk и объекты групповой политики; a WinMainSvc.dll кейлоггер (развернутый run_new.bat) загружает компоненты через Google Drive API (WinInet) для кражи данных, нацеливаясь на организации в Азии, Европе и США.
-----

Crypto24 проводит скоординированные многоэтапные вторжения, которые сочетают законные административные инструменты и LOLBins с пользовательским вредоносным ПО и компонентами защиты от EDR для максимальной скрытности и закрепления. Операторы предпочитают синхронизировать атаки во внепиковые часы и сочетать активность с обычными ИТ-операциями, чтобы избежать обнаружения.

Первоначальный доступ и разведка часто включают создание привилегированных Локальных учетных записей с последующим автоматическим профилированием с использованием сценария 1.bat, который использует WMIC для перечисления разделов диска, общей физической памяти, заголовка операционной системы, учетных записей локальных пользователей и членства в группах. Это системное профилирование информирует о перемещении внутри компании и выборе важных целей. Пакетные файлы и скрипты, размещенные в разделе %ProgramData%\Update\, планируются к выполнению через регулярные промежутки времени, поддерживая установку полезной нагрузки и повторяющееся выполнение.

Методы повышения привилегий и перемещения внутри компании включают в себя runas.exe и PsExec для выполнения процессов с повышенными правами и удаленного выполнения команд на разных хостах. Службы удаленного доступа и инструменты, такие как AnyDesk и утилиты групповой политики, используются для расширения доступа и поддержания удаленного управления. PsExec явно используется для укрепления позиций после первоначального компромисса.

Для обхода защиты группа развертывает пользовательскую утилиту защиты от EDR (называемую RealBlindingEDR), способную целенаправленно манипулировать безопасностью конечных точек; связанные файлы были обнаружены на нескольких конечных точках. Актор также использует двоичные файлы Living Off the Land, чтобы вредоносная активность смешивалась с законным административным трафиком.

Сбор данных и кража учетных данных осуществляются с помощью развернутого кейлоггера (WinMainSvc.dll ), доставляется и выполняется через run_new.bat и сохраняется с помощью запланированных задач. Анализ псевдокода показывает, что кейлоггер включает в себя функциональность для загрузки компонентов с Google Диска с использованием API Google Диска через WinInet, обеспечивая эксфильтрацию и удаленную доставку полезной нагрузки. Таргетинг был ориентирован на организации в Азии, Европе и США, работающие в секторах финансовых услуг, производства, развлечений и технологий.

#ParsedReport #CompletenessLow
14-08-2025

Raspberry Robin Malware in 2025: From USB Worm to Elite Initial Access Broker

https://www.picussecurity.com/resource/blog/raspberry-robin-malware-in-2025-from-usb-worm-to-elite-initial-access-broker

Report completeness: Low

Actors/Campaigns:
Raspberry_robin

Threats:
Raspberry_robin
Lolbin_technique
Fastflux_technique
Spear-phishing_technique
Dll_sideloading_technique
Uac_bypass_technique
Paexec_tool
Raven_stealer
Lumma_stealer

Victims:
Multiple sectors

Industry:
Iot

CVEs:
CVE-2024-38196 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20751)
- microsoft windows_10_1607 (<10.0.14393.7259)
- microsoft windows_10_1809 (<10.0.17763.6189)
- microsoft windows_10_21h2 (<10.0.19044.4780)
- microsoft windows_10_22h2 (<10.0.19045.4780)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1037, T1055, T1059.003, T1071.001, T1091, T1105, T1112, T1204, have more...

IOCs:
File: 8
Path: 1

Soft:
ChatGPT, Discord, PsExec, Event Tracing for Windows

Algorithms:
rc4, chacha20

Win API:
NtTraceEvent

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raspberry Robin (он же Roshtyak/Storm-0856) превратился из червя, распространяющегося по USB, в брокера начального доступа, предоставляющего программы‑вымогатели, загрузчики и шпионские инструменты, перейдя от USB‑рассылки к фишингу, Вредоносной рекламе и доставке через облако /CDN (особенно Discord). Он использует загрузчики WSF, боковую загрузку, интенсивное запутывание / антианализ, Внедрение кода в процесс и LOLBINs (rundll32, dllhost, regsvr32) с цепочками, такими как explorer→cmd→msiexec и быстрое внедрение эксплойтов (CVE‑2024‑38196). Инфраструктура C2 охватывает более 200 доменов плюс активность Tor; артефакты включают записи RunOnce во временные библиотеки DLL и большие tmp-файлы в C:\Windows\Installer ; Консультанты США связали подразделение 29155 ГРУ с развертыванием в конце 2024 года.
-----

Raspberry Robin (он же Roshtyak, отслеживаемый как Microsoft Storm-0856) превратился из распространяющегося по USB червя (активен с 2019 года) в плодовитого брокера первоначального доступа, который распространяет программы-вымогатели, расширенные загрузчики и наборы инструментов для шпионажа. Раннее распространение основывалось на съемных носителях: вредоносное ПО постоянно отслеживает подключенные диски, засеивая их вредоносным ПО.Ярлыки LNK, замаскированные под папки плюс скрытый файл полезной нагрузки, и использует cmd.exe чтобы перезапустить цепочку заражения при нажатии на ярлык. К 2024-2025 годам операторы перешли от крупномасштабной загрузки по USB к фишингу, Вредоносной рекламе и механизмам доставки через облако/CDN (в частности, Discord CDN-архивы) и использовали загрузчики с боковой загрузкой и на основе WSF с мощными функциями запутывания и антианализа.

Поведение при выполнении включает в себя Внедрение кода в процесс и методы living-off-the-land, позволяющие вписаться в законную деятельность: внедренные хосты обычно включают rundll32.exe , dllhost.exe , и regsvr32.exe . Типичные наблюдаемые цепочки вредоносных процессов включают explorer.exe → cmd.exe → msiexec.exe выполнение исходящих HTTP-запросов. Несколько одновременных rundll32.exe или dllhost.exe характерны случаи, демонстрирующие сетевую активность. Операторы внедрили эксплуатацию (в частности, интеграцию CVE-2024-38196 в течение нескольких недель после публичного раскрытия), чтобы расширить первоначальный доступ.

Система управления разработана для обеспечения устойчивости и анонимности с использованием многоуровневой обфускации и шифрования в разветвленной инфраструктуре, состоящей из более чем 200 доменов C2, охватывающих 22 TLD, плюс доказательства наличия по крайней мере одного узла ретрансляции Tor, координирующего операции. Артефакты обхода защиты включают загрузчики WSF, боковую загрузку, средства защиты от анализа, записи реестра RunOnce, указывающие на библиотеки DLL в %TEMP%, и большие файлы .tmp, размещенные в C:\Windows\Installer \. Возможности обнаружения включают аномальный поиск в DNS для очень коротких доменов в необычных TLD, неожиданные подключения Tor от процессов, отличных от Tor, записи RunOnce, ссылающиеся на временные библиотеки DLL, большие файлы installer .tmp и конкретные цепочки исходящих процессов с поддержкой HTTP, указанные выше. Консультант из США связал подразделение 29155 ГРУ с развертыванием Raspberry Robin в конце 2024 года.

#ParsedReport #CompletenessMedium
14-08-2025

Inside Silver Foxs Den: Trustwave SpiderLabs Unmasks a Global Threat Actor

https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/inside-silver-foxs-den-trustwave-spiderlabs-unmasks-a-global-threat-actor/

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft, financially_motivated, cyber_espionage, cyber_criminal)

Threats:
Valleyrat
Winos
Sainbox_rat
Disabling_antivirus_technique
Vmprotect_tool
Seo_poisoning_technique
Dll_sideloading_technique
Process_injection_technique
Nidhogg

Victims:
Chinese speaking organizations, Taiwanese organizations

Industry:
Healthcare, Government, Entertainment, Education

Geo:
Taiwan, China, Taiwanese, Pacific

TTPs:
Tactics: 2
Technics: 5

Soft:
Sogou, DeepSeek, Telegram, DICOM

Algorithms:
zip, exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox, вероятно, является китайской сложной целенаправленной атакой, нацеленной на организации, говорящие на китайском языке, в частности тайваньские организации, независимо действующие по всему Тихоокеанскому региону и за его пределами. Мотивы носят гибридный характер — шпионаж, кража данных и финансовая выгода, — при этом кампании переходят от оппортунистических вторжений к более целенаправленному таргетингу под влиянием геополитики. При первоначальном доступе используется социальная инженерия/фишинг (MITRE ATT&CK T1566.001) с последующим сбором данных и эксфильтрацией с помощью гибких TTP.
-----

Silver Fox, вероятно, является сложной целенаправленной атакой, базирующейся в Китае, которая в первую очередь нацелена на организации, говорящие на китайском языке, с акцентом на тайваньские организации, хотя операции наблюдались и за пределами Тихоокеанского региона. Группа, по-видимому, действует независимо, а не как часть более крупной группы акторов. Мотивы включают шпионаж, кражу данных и финансовую выгоду, что указывает на гибридный профиль, который накладывается на кибершпионаж и киберпреступность.

Trustwave SpiderLabs характеризует Silver Fox как легко адаптирующегося оператора, который перешел от широких оппортунистических вторжений к более целенаправленным кампаниям, особенно против Тайваня, что предполагает смену приоритетов, возможно, связанную с геополитическими драйверами. Инструменты, методы и процедуры группы демонстрируют гибкость как в области таргетинга, так и в области торговли, обеспечивая постоянный доступ и эксфильтрацию данных в целевых средах.

Для получения первоначального доступа Silver Fox использует социальную инженерию на нескольких платформах, сопоставленную с MITRE ATT&CK T1566.001 (фишинг/подводная охота). В последующих действиях особое внимание уделяется сбору и краже данных в соответствии со шпионскими и финансовыми целями. SpiderLabs отмечает постоянный мониторинг актора, поскольку он продолжает свою деятельность на стыке преступной деятельности и деятельности, связанной с государством. В отчете подчеркивается необходимость отслеживания изменений в таргетинге и TTP по мере того, как Silver Fox переходит от оппортунистических кампаний к целенаправленным вторжениям.

#ParsedReport #CompletenessLow
13-08-2025

BadCam: Now Weaponizing Linux Webcams

https://eclypsium.com/blog/badcam-now-weaponizing-linux-webcams/

Report completeness: Low

Threats:
Badcam_tool
Badusb_technique
Hak5_rubber_ducky
Hak5_bash_bunny
Flipper_zero
Supply_chain_technique

Victims:
Webcam manufacturers, Usb peripheral manufacturers, Enterprises, Consumers

Industry:
Telco, Iot

Geo:
China

CVEs:
CVE-2025-4371 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1200, T1204, T1542.003

IOCs:
File: 1

Soft:
Linux, Raspberry Pi

Platforms:
arm

Links:
https://github.com/i-am-shodan/USBArmyKnife

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Веб-камеры Linux USB на SOCS, производных от SigmaStar, допускают перепрошивку прошивки без проверки подлинности (CVE-2025-4371), поскольку в пути обновления отсутствует проверка подписи. Злоумышленники могут поставлять предварительно подключенные устройства или, при выполнении кода хоста, передавать вредоносную прошивку через USB для преобразования камер в постоянные инжекторы BadUSB/HID. Скомпрометированные устройства могут добавлять конечные точки, использовать Wi‑Fi / Bluetooth для C2 и оставаться незаметными, выглядя как обычные камеры.
-----

Исследователи выявили уязвимости в USB-веб-камерах на базе Linux (наблюдаемые в некоторых моделях Lenovo), которые позволяют злоумышленникам перепрошивать прошивку устройства без проверки подписи, что позволяет проводить атаки в стиле BadUSB. Уязвимые веб-камеры работают под управлением Linux на SOCS, производных от SigmaStar; в пути обновления прошивки отсутствует проверка криптографической подписи, поэтому скомпрометированный хост или физически/временно замененное устройство могут быть перепрошиты с помощью вредоносной прошивки.

Описаны два основных вектора атаки. Во-первых, supply-chain или физический компромисс: злоумышленник может доставить или подключить скрытую веб-камеру, которая уже содержит вредоносную прошивку и использует USB-порт устройства для маскировки под дополнительные классы USB, в частности HID, для ввода нажатий клавиш и выполнения команд на хосте. Во-вторых, удаленный компромисс: злоумышленник, выполнив код на хосте, может отправить вредоносный образ прошивки по USB-каналу на веб-камеру, преобразовать периферийное устройство в устройство BadUSB на месте и сохранить его, даже если ОС хоста переустановится или попытается исправить ситуацию.

После установки веб‑камера может эмулировать устройства с интерфейсом пользователя для доставки полезной нагрузки, запускать последовательности ввода команд, создавать новые конечные точки устройства и потенциально использовать другие возможности устройства (например, интерфейсы Wi-Fi или Bluetooth, имеющиеся на периферийном устройстве) для расширения охвата сети или предоставления альтернативных каналов C2. Цепочка атак обеспечивает скрытность и закрепление, поскольку камера может сохранять обычную функциональность камеры, действуя злонамеренно, и она может повторно заразить хосты, которые пытаются устранить компромисс.

Обнаружение затруднено: ввод, созданный HID, отображается как законный ввод, а средства защиты на стороне хоста редко проверяют целостность прошивки периферийного устройства. Проблема отслеживалась в соответствии с CVE-2025-4371; деятельность по раскрытию информации началась 21 марта 2025 года, с скоординированными исправлениями и тестированием до середины 2025 года и публичной презентацией в августе 2025 года. Рекомендуемые технические меры по смягчению последствий включают принудительное подписание и проверку подлинности прошивки при загрузке/обновлении устройства, аттестацию устройства и улучшенную инвентаризацию/ видимость периферийных устройств USB.

#ParsedReport #CompletenessHigh
13-08-2025

Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability

https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/

Report completeness: High

Actors/Campaigns:
Paper_werewolf (motivation: cyber_espionage, cyber_criminal)

Threats:
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Government

Geo:
Russian, Russia

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 30
Path: 4
IP: 5
Url: 7
Hash: 21
Domain: 3

Algorithms:
md5, sha256, sha1

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Paper Werewolf использовал WinRAR zero‑day с помощью созданных архивов RAR/SFX для запуска выполнения кода при открытии или извлечении. При первоначальном выполнении были отключены бэкдоры/загрузчики для установки C2 и обеспечения возможности кражи учетных данных, перемещения внутри компании, закрепления (задачи/службы/ключи запуска) и эксфильтрации данных. Использование WinRAR позволяет злоумышленникам обходить средства защиты, которые не проверяют сжатые файлы и не связывают извлечение с последующими процессами.
-----

В отчетах указывается, что кластер Paper Werewolf нацелился на российские организации, используя уязвимость WinRAR zero‑day. Использование zero‑day в широко используемой утилите архивирования предполагает, что злоумышленники добились первоначального выполнения кода, предоставив созданные архивы RAR или самораспаковывающиеся архивы, которые запускают уязвимость при открытии или извлечении на хостах‑жертвах.

Тактика, вероятно, следует типичной цепочке от эксплуатации до последующего компрометирования: архивы с оружием, доставляемые по электронной почте, веб-загрузки или приманки, используют уязвимость WinRAR для запуска кода без ведома пользователя. Ожидается, что на этом этапе выполнения будет удалена и запущена вторичная полезная нагрузка, такая как бэкдоры или загрузчики, которые устанавливают каналы управления. Как только точки опоры существуют, акторы обычно выполняют сбор учетных записей, перемещение внутри компании с помощью встроенных инструментов или украденных учетных данных, закрепление с помощью запланированных задач, служб или ключей запуска, а также сбор/эксфильтрацию данных. Выбор WinRAR в качестве вектора позволяет обойти средства защиты, которые недостаточно проверяют сжатые полезные нагрузки или не соотносят события извлечения архива с последующей активностью процесса.

Обнаружение должно быть сосредоточено на обработке архивов и последовательности выполнения, происходящей из процессов WinRAR: неожиданные дочерние процессы, порожденные WinRAR, создание исполняемых файлов из извлеченных архивов, артефакты SFX, аномальные сетевые подключения сразу после извлечения архива и индикаторы изменений закрепления. Судебно-медицинская экспертиза должна собрать исходные файлы RAR, пути извлечения, память затронутых процессов и сетевые журналы, чтобы определить места назначения C2. Для смягчения последствий требуется быстрое внесение исправлений, как только исправление становится доступным, блокирование или помещение в карантин ненадежных архивов, улучшение проверки сжатых файлов почтой и веб-шлюзом и настройка EDR для пометки WinRAR о появлении подозрительных двоичных файлов или записи в общие места закрепления. Средства контроля выхода из сети и обнаружения C2 помогают ограничить эксфильтрацию и дальнейшую компрометацию.