#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Supply-chain атака через termncolor, используемая в unicode.py который загружает terminate.dll/terminate.итак, который выполняется, а затем удаляет сам себя. terminate dll AES‑CBC расшифровывает полезную нагрузку, используя ключ "xterminalunicode", отбрасывает vcpktsvr.exe в %LOCALAPPDATA%\vcpacket и создает HKCU, запускающий pkt‑обновление для закрепления (Linux через terminate.so ). Вторая стадия libcef.dll собирает метаданные хоста и отфильтровывает их по протоколу HTTPS, используя шаблоны, подобные Zulip, при одновременном запутывании имен API / DLL с помощью пользовательского умножения ASCII / побитового хэширования.
-----

Была идентифицирована вредоносная цепочка supply-chain Python, в которой кажущийся безобидным пакет termncolor подключал зависимость с именем colorinal, которая содержала фактическое вредоносное ПО. Модуль-нарушитель включал в себя файл unicode.py это маскировалось под терминальную цветовую утилиту, но предоставляло функцию is_color_supported, которая загружает встроенную собственную библиотеку (terminate.библиотека dll в Windows, завершите работу.так и в Linux). Эта собственная библиотека выполняет действия первого этапа и удаляет unicode.py и родную библиотеку после выполнения, чтобы избежать обнаружения.

прекратить.библиотека dll расшифровывает встроенную полезную нагрузку, используя AES-CBC с ключевой строкой UTF-8 "xterminalunicode", предоставляемой уровнем Python. Расшифрованная полезная нагрузка содержит компоненты, сброшенные на диск, включая исполняемый файл Windows vcpktsvr.exe размещен в разделе %LOCALAPPDATA%\vcpacket. Закрепление достигается путем создания ключа запуска pkt-update в разделе HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run, указывающего на vcpktsvr.exe . Вариант Linux использует terminate.so для обеспечения эквивалентной функциональности в Unix-подобных системах.

Компонент второго этапа, libcef.dll (отброшен на первом этапе), реализует функциональность C2 и разведку. Он собирает системные метаданные, такие как имя компьютера, имя пользователя и версия операционной системы, объединяет и форматирует эти значения и передает их на сервер управления по протоколу HTTPS. Трафик C2 запутывается за счет использования шаблонов протокола платформы обмена сообщениями Zulip team для смешивания с законными сообщениями. Вредоносное ПО также использует пользовательскую облегченную процедуру хэширования API, которая оперирует значениями ASCII с умножением и побитовыми операциями для запутывания имен API /DLL-библиотек; этот подход быстр, но увеличивает риск коллизий по сравнению с криптографическими хэшами.

#ParsedReport #CompletenessMedium
15-08-2025

Dark Web Profile: Void Blizzard

https://socradar.io/dark-web-profile-void-blizzard/

Report completeness: Medium

Actors/Campaigns:
Void_blizzard (motivation: cyber_espionage)
Fancy_bear

Threats:
Supply_chain_technique
Password_spray_technique
Spear-phishing_technique
Typosquatting_technique
Evilginx_tool
Aitm_technique
Azurehound_tool
Qshing_technique

Victims:
Governments, Defense sector, Critical infrastructure, Organizations linked to nato, Organizations linked to the european union

Industry:
E-commerce, Education, Ngo, Critical_infrastructure, Government, Aerospace, Military

Geo:
Ukraine, Russian, Dutch

TTPs:
Tactics: 6
Technics: 12

IOCs:
Domain: 1

Soft:
Microsoft Teams, Azure AD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Void Blizzard (Laundry Bear) - поддерживаемый российским государством актор, действующий с 2024 года, нацеленный на правительства НАТО/ ЕС, оборону и критическую инфраструктуру, уделяя особое внимание совместной работе в облаке и электронной почте. Он получает доступ с помощью кражи учетных данных, фишинга, приобретенных сеансовых файлов cookie, Распыления пароля и прямого входа в облако Microsoft (Exchange Online, SharePoint). После компрометации он использует API Microsoft Graph и Exchange для перечисления, эксфильтрации, бокового перемещения и сохранения через доверенные учетные записи, избегая традиционного вредоносного ПО и оставляя минимальные артефакты.
-----

Void Blizzard (отслеживается голландской разведкой как "Laundry Bear") - актор кибершпионажа, поддерживаемый российским государством, действующий как минимум с 2024 года, с акцентом на правительства, оборонные секторы и критически важную инфраструктуру в странах НАТО и ЕС. Группа уделяет приоритетное внимание доступу к организациям, связанным с НАТО и Европейским союзом, и ориентирована на облачные сервисы совместной работы и электронной почты.

Тактика отдает предпочтение несложным, но скрытным методам, а не заказному вредоносному ПО. Void Blizzard редко использует традиционное вредоносное ПО; вместо этого он полагается на кражу учетных данных, фишинг и злоупотребление собственными Облачными сервисами и API для поддержания постоянного доступа с низким уровнем шума. Способы первоначального доступа включают использование украденных учетных данных и сеансовых файлов cookie, приобретенных на криминальных рынках, прямой вход в Облачные сервисы Microsoft, такие как Exchange Online и SharePoint, а также кампании по password-spraying, в которых используется небольшое количество общих паролей для многих учетных записей, чтобы избежать блокировок и обнаружения.

Действия после компрометации сосредоточены на злоупотреблении облачными API и интерфейсами управления для перечисления, эксфильтрации и поддержания доступа. Группа использует API Microsoft Graph и Exchange Online для горизонтального перемещения в облачных средах, доступа к почтовым ящикам и файлам и сохранения данных через доверенные учетные записи, а не для внедрения обнаруживаемого вредоносного ПО. Такое злоупотребление законными облачными функциями обеспечивает долговременный доступ с ограниченными криминалистическими артефактами, типичными для вторжений, основанных на вредоносном ПО.

В защитных целях особое внимание уделяется идентификации и облачной гигиене, а не антивирусу конечных точек. Эффективные меры по снижению рисков включают надежную защиту идентификационных данных (Многофакторная аутентификация, условный доступ), обнаружение и реагирование на аномальные модели аутентификации и использования API (необычные вызовы Microsoft Graph или Exchange Online, повторное использование файлов cookie в сеансе, нетипичные географические области или время входа в систему), быструю ротацию учетных данных и мониторинг продаж учетных данных и файлов cookie, а также более жесткие меры элементы управления привилегированными Облачными учетными записями. Поскольку актор использует доверенные учетные записи и встроенные облачные инструменты, защитникам следует уделять приоритетное внимание управлению доступом, протоколированию активности облачного API и оповещению об аномальном поведении токена или сеанса.

#ParsedReport #CompletenessMedium
15-08-2025

UAT-7237 targets Taiwanese web hosting infrastructure

https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/

Report completeness: Medium

Actors/Campaigns:
Uat-7237
Uat-5918
Flax_typhoon

Threats:
Cobalt_strike_tool
Soundbill_tool
Meterpreter_tool
Lolbin_technique
Sharpwmi_tool
Wmicmd_tool
Spear-phishing_technique
Mimikatz_tool
Juicypotato_tool
Fscan_tool
Netstat_tool

Victims:
Web infrastructure entities, Web hosting infrastructure

Geo:
Taiwanese, Chinese, Taiwan

ChatGPT TTPs:
do not use without manual check
T1003.001, T1036, T1055, T1068, T1082, T1105, T1112, T1133, T1190, T1204, have more...

IOCs:
Command: 17
IP: 2
Path: 6
Url: 2
File: 9
Domain: 1
Registry: 3
Coin: 1
Hash: 8

Soft:
SoftEther, Local Security Authority

Languages:
powershell

Links:
https://github.com/GhostPack/SharpWMI
https://github.com/nccgroup/WMIcmd
have more...
https://github.com/cdxiaodong/some-function-in-binary/blob/08b66e5504f03373bd70341a4493a7450091c471/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86/%E5%BC%82%E6%88%96%2B%E6%B7%B7%E6%B7%86.cpp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAT-7237 (активен с 2022 года) - сложная целенаправленная атака на тайваньский веб-хостинг, использующая незащищенные серверы и выполняющая быстрое снятие отпечатков пальцев жертвы. Они развертывают SoundBill — загрузчик на базе VTHello, который декодирует диск "ptiti.txt " запустить произвольный шелл—код (можно встроить Mimikatz) - и использовать Mimikatz для кражи учетных данных. Действия после компрометации включают в себя JuicyPotato, изменения UAC в реестре, сканирование сети на предмет перемещения внутри компании и двоичные файлы SoftEther VPN для удаленного доступа и закрепления.
-----

Cisco Talos указывает на китайскоязычный кластер сложных целенаправленных атак, отслеживаемый как UAT-7237 (активен, по крайней мере, с 2022 года, со значительным совпадением с UAT-5918), который был нацелен на инфраструктуру веб-хостинга Тайваня. Актор получает первоначальный доступ, используя известные уязвимости на незащищенных от Интернета серверах, затем выполняет быструю проверку отпечатков пальцев жертв, чтобы определить, следует ли продолжать деятельность. Группа делает упор на скрытность и долгосрочное закрепление, в значительной степени полагаясь на индивидуальные инструменты с открытым исходным кодом.

Примечательным пользовательским инструментом в их арсенале является "SoundBill", загрузчик шелл-кода, основанный на VTHello. SoundBill написан на китайском языке, декодирует находящийся на диске файл с именем "ptiti.txt ," и выполняет результирующий шеллкод; он способен загружать произвольный шеллкод, включая полезные нагрузки Cobalt Strike. Талос наблюдал, как UAT-7237 внедряет функциональность Mimikatz в SoundBill, что указывает на эволюцию методов кражи учетных данных, позволяющих избежать обнаружения. Отдельно группа продолжает использовать Mimikatz для сбора учетных записей.

Для повышения привилегий UAT-7237 развертывает JuicyPotato для запуска команд с повышенными правами на скомпрометированных хостах Windows. Актор также вносит постоянные и оперативные изменения конфигурации в системы Windows, включая попытки отключить контроль учетных записей пользователей с помощью изменений реестра. Для расширения в пределах сред группа использует инструменты сетевого сканирования (названия не указаны) для обнаружения и перемещения в боковом направлении.

Артефакты, связанные с развертыванием инфраструктуры удаленного доступа, включают пакеты SoftEther VPN, размещенные на удаленном сервере: были обнаружены два архива, один из которых содержал исполняемый файл клиента SoftEther и конфигурацию, а другой ‑ двоичный файл сервера на основе ELF, что предполагает использование компонентов SoftEther для удаленного подключения или закрепления. В целом, UAT-7237 сочетает в себе использование выявленных уязвимостей, настраиваемых загрузчиков и встроенной кражи учетных данных, повышение привилегий, изменения конфигурации операционной системы и инструменты VPN для обеспечения скрытого долгосрочного доступа к ценным объектам веб-хостинга.

#ParsedReport #CompletenessMedium
16-08-2025

Scattered Spider: A Threat Profile

https://flashpoint.io/blog/scattered-spider-threat-profile/

Report completeness: Medium

Actors/Campaigns:
0ktapus (motivation: information_theft, financially_motivated, cyber_criminal)
Lapsus
Unc6040
Sp1d3r_hunters
Spidermandata
Dragonforce
Shiny_spider

Threats:
Sim_swapping_technique
Blackcat
Qilin_ransomware
Ransomhub
Hellcat
Supply_chain_technique
Dragonforce_ransomware
Smishing_technique
Credential_dumping_technique
Byovd_technique
Mfa_bombing_technique
Teamviewer_tool
Anydesk_tool
Screenconnect_tool
Splashtop_tool
Fleetdeck_tool
Raccoon_stealer
Vidar_stealer
Redline_stealer
Avemaria_rat
Spectre_rat

Victims:
Multiple industries

Industry:
Foodtech, Aerospace, Logistic, Retail, Entertainment

Geo:
United kingdom

TTPs:
Tactics: 9
Technics: 16

Soft:
Telegram, twitter, Pulseway

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Scattered Spider проводит "волны", ориентированные на сектор, используя SMS-фишинг для подмены порталов единого входа, мошеннических доменов, SIM swapping и вишинг с использованием искусственного интеллекта для кражи учетных данных и обхода MFA. После компрометации операторы принудительно устанавливают RMM и злоупотребляют законными инструментами администрирования для перемещения внутри компании, эскалации и закрепления. Они извлекают массовые данные и запускают программы‑вымогатели с двойным вымогательством, используя / сотрудничая с ALPHV/BlackCat, RansomHub и DragonForce.
-----

Scattered Spider - это кластер действий, определяемый целевой социальной инженерией, кражей учетных данных, SIM swapping, получением первоначального доступа, внедрением программ-вымогателей и кражей/вымогательством данных. Группа применяет “волновой” подход, выбирая конкретную отрасль и быстро ориентируясь на множество организаций в этом секторе, с документально подтвержденными переходами к новым секторам и использованием компромиссов в цепочке поставок для расширения воздействия.

Первоначальный доступ часто зависит от SMS-фишинга, который заманивает цели на контролируемые злоумышленниками поддельные порталы единого входа (SSO); мошеннические домены обычно имитируют законные названия брендов или компаний для сбора учетных данных. SIM swapping и кража учетных данных являются дополнительными способами доступа. Наблюдатели отметили переход к голосовому фишингу (вишингу) в качестве основного метода: операторы выдают себя за сотрудников, чтобы заставить ИТ‑отдел и сотрудников службы поддержки сбросить пароли и обойти MFA, иногда используя генеративный искусственный интеллект для создания убедительных Имперсонаций голоса или чата.

Деятельность после компромисса делает упор на жизнь за пределами земли и злоупотребление законными административными инструментами, чтобы избежать обнаружения. Операторы принуждают жертв устанавливать программное обеспечение для удаленного мониторинга и управления (RMM) под видом ИТ‑поддержки, затем используют скомпрометированные учетные данные и встроенные средства администрирования для перемещения внутри компании, повышения привилегий и поддержания закрепления. Эти методы снижают зависимость от заказного вредоносного ПО и повышают оперативную скрытность.

Для воздействия и монетизации Scattered Spider применяет модель двойного вымогательства, сочетающую массовую эксфильтрацию данных с шифрованием файлов. Полезные программы-вымогатели были приписаны или развернуты в партнерстве с дочерними семействами, включая ALPHV/BlackCat, RansomHub и DragonForce. В целом, группа нацелена на слабые стороны персонала и процессов для обхода технического контроля, уделяя особое внимание социальной инженерии, краже учетных данных и злоупотреблению законными инструментами для обеспечения вторжения, перемещения внутри компании и вымогательства.

#ParsedReport #CompletenessHigh
16-08-2025

Threat Actor Profile: Interlock Ransomware

https://arcticwolf.com/resources/blog/threat-actor-profile-interlock-ransomware/

Report completeness: High

Actors/Campaigns:
Interlock

Threats:
Interlock
Clickfix_technique
Rhysida
Lolbin_technique
Filefix_technique
Lumma_stealer
Asyncrat
Danabot
Darkgate
Cobalt_strike_tool
Interlockrat
Nodesnake
Systembc

Victims:
City of st paul minnesota, Education, Healthcare, Technology, Government, Businesses, Critical infrastructure

Industry:
Education, Government, Entertainment, Healthcare, Critical_infrastructure

Geo:
America, Australia, Canada, Mexico

TTPs:
Tactics: 8
Technics: 17

IOCs:
Command: 2
Url: 1
Registry: 3
Hash: 12
IP: 17
Domain: 11
File: 1

Soft:
Linux, Twitter, PyInstaller, Google Chrome, Microsoft Edge, Chrome, trycloudflare, Windows registry, ESXi, WordPress, have more...

Algorithms:
sha1, gzip, xor, sha256

Functions:
Get-Service, Get-PSDrive

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock (он же Nefarious Mantis), действующий с сентября 2024 года в NA/EU, использует скомпрометированные веб‑сайты с приманками социальной инженерии ClickFix /FileFix и поддельными обновлениями, упакованными в PyInstaller. Разработчики обновлений устанавливают постоянный PowerShell RAT, который проводит инвентаризацию хостов, включает удаленные команды/полезные нагрузки второго этапа и опрашивает C2 по протоколу HTTP с резервированием домена/IP. Акторы используют цепочки LOTL/инициируемые пользователем, извлекают данные, а затем шифруют (двойное вымогательство) с помощью шифраторов для Windows, Linux и виртуальных машин.
-----

Interlock (он же Nefarious Mantis) - это оппортунистический оператор программ-вымогателей, впервые обнаруженный в сентябре 2024 года и действующий в Северной Америке и Европе до 2025 года, нацеленный на образование, здравоохранение, технологии, правительство и другие секторы. В рекомендациях правоохранительных органов (CISA/ФБР) в середине 2025 года отмечалось обновление инструментария Interlock, включая шифровальщики как для Windows, так и для Linux и возможность шифрования виртуальных машин.

Первоначальный доступ обычно осуществляется через скомпрометированные веб‑сайты, служащие приманками социальной инженерии. Кампании обычно используют метод “ClickFix” (и аналогичный “FileFix”): жертвы перенаправляются на сайты, которые просят их “доказать, что они люди” (например, нажимать клавиши), что запускает загрузку/выполнение вредоносных двоичных файлов. Также используются поддельные программы обновления программного обеспечения, размещенные на скомпрометированных сайтах; эти программы обновления поставляются в комплекте с PyInstaller для имитации законных приложений (Chrome / Edge) и доставки полезной нагрузки при запуске.

При выполнении используется троян удаленного доступа на базе PowerShell (RAT), поставляемый этими установщиками обновлений. Бэкдор PowerShell постоянно работает в автономном режиме/без окон, перезапускаясь, чтобы избежать обнаружения пользователем. Он собирает обширные данные инвентаризации хостов, обеспечивает удаленное выполнение команд и вторичную доставку полезной нагрузки, а также реализует HTTP-опрос для управления с возможностью резервного копирования между доменами и IP-адресами.

Interlock использует методы "жизни за пределами земли" (LOTL) и инициируемые пользователем цепочки заражения, чтобы сочетать вредоносные действия с законной активностью, усложняя обнаружение конечных точек и сети. Их операции основаны на модели двойного вымогательства: эксфильтрация данных предшествует шифрованию, и жертвы, отказывающиеся от оплаты, публикуются на сайте утечки с метаданными (имя жертвы, количество украденных данных, количество файлов/папок и ссылка на сайт жертвы). В последних рекомендациях также сообщается о шифраторах Interlock, специально разработанных для работы в обоих типах ОС хоста и в виртуализированных средах.

#ParsedReport #CompletenessHigh
16-08-2025

Lazarus Stealer : Android Malware for Russian Bank Credential Theft Through Overlay and SMS Manipulation

https://www.cyfirma.com/research/lazarus-stealer-android-malware-for-russian-bank-credential-theft-through-overlay-and-sms-manipulation/

Report completeness: High

Threats:
Lazarus_stealer
Credential_harvesting_technique
Supply_chain_technique

Victims:
Banking users

Industry:
E-commerce, Entertainment, Financial

Geo:
Dprk, Russian

TTPs:
Tactics: 8
Technics: 17

IOCs:
File: 4
Domain: 1
Url: 6
IP: 7
Hash: 1

Soft:
Android, Telegram

Functions:
m1717s, m1718t, m1715q, RunnableC0131y, RunnableC0193J, m1711g, a, c, r, sendTextMessage, have more...

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lazarus Stealer - это банковский троян для Android (com.lazarus.app), нацеленный на SDK 26-34, который скрывает свой значок и запрашивает доступ к RECEIVE_SMS, draw-over и Usage. Он перехватывает SMS (экспортированный приемник + RoleManager) и использует постоянный SMSForwardService для фильтрации OTP; опрашивает UsageStats для обнаружения банковских приложений и развертывает наложения для захвата PIN-кодов / учетных данных. C2 - это HTTP к 193.151.108.33:1133, обменивающийся командами/метаданными в формате JSON; инфраструктура связана с русскоязычными панелями и идентификаторами Telegram.
-----

Lazarus Stealer - это банковский троян для Android, распространяемый в виде замаскированного приложения (GiftFlipSoft), зарегистрированного как com.lazarus.app (код версии/имя версии 307881), предназначенный для Android SDK 34 с минимальным SDK 26. Вредоносное ПО скрывает свой значок запуска и исключает себя из списка последних приложений, чтобы оставаться невидимым. Он запрашивает разрешения с высоким уровнем риска, включая RECEIVE_SMS, и программно принудительно запрашивает доступ к другим приложениям и доступ к использованию, чтобы включить наложения и мониторинг приложений.

Перехват SMS осуществляется с помощью экспортированного широковещательного приемника com.lazarus.app.SMSReceiver, зарегистрированного с максимальным приоритетом (2147483647), чтобы вытеснить законные приложения для обмена сообщениями. Вредоносное ПО включает логику для перехода к роли SMS устройства по умолчанию: m1717s() проверяет RoleManager (android.app.role.SMS) на Android 10+ или сравнивает системные значения по умолчанию в более старых версиях; m1718t() запрашивает роль через RoleManager.createRequestRoleIntent или передает ACTION_CHANGE_DEFAULT. SMSForwardService получает WakeLock и реализует ping-запросы с сохранением активности на C2, обеспечивая захват и эксфильтрацию OTP и других сообщений в режиме реального времени.

Мониторинг приложений использует ежесекундный опрос UsageStatsManager (RunnableC0193J) для захвата переходов переднего плана и имен пакетов. При обнаружении целевого банковского пакета вредоносное ПО запускает мошенническое наложение (m1711g()), имитирующее пользовательский интерфейс ввода PIN-кода банка (пример шаблона пакета ru.____.mobilebanking.android) для сбора PIN-кодов, номеров карт, паролей и других учетных данных. Обработчик (RunnableC0131y()) принудительно выполняет запросы разрешений и запускает службы на основе внутренних флагов.

Эксфильтрация и обработка C2 основаны на протоколе HTTP. SMSForwardService.a() отправляет JSON в http://193.151.108.33:1133/check_version (порт 1133), отправляя версию вредоносного ПО и получая ответы в формате JSON, содержащие идентификатор оператора (имя пользователя, вероятно, дескриптор Telegram). Ответы анализируются с помощью b(...), который проверяет поле ok и извлекает массив команд в объекты, пригодные для действия; вредоносное ПО повторно запрашивает /get_commands и отправляет метаданные устройства (идентификатор пользователя, версия Android, версия APK, модель). Постоянные уведомления используются для того, чтобы службы оставались на переднем плане.

Анализ инфраструктуры связывает несколько Панелей управления на сервере.HOST GROUP LTD, в первую очередь русскоязычные панели и связанные с ними профили Telegram с указанием русскоязычного оператора. Архитектура C2 и обработка команд обеспечивают непрерывный сбор данных и удаленное выполнение задач.

#ParsedReport #CompletenessMedium
14-08-2025

Hunt.io Exposes and Analyzes ERMAC V3.0 Banking Trojan Full Source Code Leak

https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak

Report completeness: Medium

Threats:
Ermac
Cerberus

Victims:
Banking users, Shopping app users, Financial app users, Cryptocurrency app users

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 9
Technics: 0

IOCs:
IP: 17
File: 2
Hash: 2

Soft:
Laravel, Android, Docker, Gmail, Google Play

Algorithms:
base64, aes, aes-cbc

Languages:
golang, javascript, kotlin, php

Platforms:
intel

YARA: Found

Links:
https://github.com/ClaudiuGeorgiu/Obfuscapk

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 3, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Просочившийся ERMAC версии 3.0 содержит Laravel / PHP C2 с панелью React, службу Golang exfil (зашифрованный HTTP API, часто защищенный базовой аутентификацией) и запутанный Kotlin Android-бэкдор, созданный веб-разработчиком, который создает настраиваемые APK-файлы. Имплантат использует наложения WebView и формы‑инъекции, ориентированные на более чем 700 банковских / криптографических приложений, и поддерживает 71 язык. Артефакты включают файл cookie ermac_session по умолчанию, HTML-заголовки панели, обнаруживаемые конечные точки exfil, процедуры шифрования и утечку CSV/YARA.
-----

Утечка исходного кода ERMAC версии 3.0 была получена из открытого архива 141.164.62.236:443. Кодовая база включает в себя серверную часть Laravel/ PHP C2, Панель управления на основе React для взаимодействия с оператором, службу эксфильтрации Golang, предоставляющую зашифрованный HTTP API (часто защищенный базовой аутентификацией), и запутанный Android-бэкдор, написанный на Kotlin. Панель web builder генерирует настроенные сборки Android (настраиваемое имя приложения, URL-адрес сервера, ключи шифрования, конечные точки C2 и другие параметры среды выполнения).

Android-имплантат использует наложения Android WebView и возможности form-inject для сбора учетных данных и платежных данных из целевых приложений; проект содержит определения form inject, ориентированные на более чем 700 банковских приложений и приложений для криптовалют. Бэкдор поддерживает 71 язык и позволяет операторам устанавливать параметры шифрования и использовать несколько серверов C2. Операционные артефакты и индикаторы включают файл cookie ermac_session по умолчанию, установленный C2 API, и идентифицируемые заголовки HTML для Панели управления; конечные точки эксфильтрации доступны для обнаружения, а некоторые используют базовую аутентификацию. Служба эксфильтрации использует зашифрованный транспорт и пользовательские процедуры шифрования при загрузке полезной нагрузки, повышая скрытность.

Операционный процесс состоит из сгенерированных разработчиком APK-файлов, доставляемых жертвам, выполнения задач C2 через серверную часть PHP/Laravel и эксфильтрации в службу Golang. Возможности обнаружения и смягчения последствий включают поиск файла cookie ermac_session и HTML-заголовков панели, мониторинг API exfil на основе Golang, лежащих в основе базовой аутентификации, и развертывание правил YARA/подписи на основе хоста и сети для двоичных файлов ERMAC. В Android средства защиты включают в себя принудительное использование FLAG_SECURE, обнаружение или блокирование возможностей наложения и ужесточение использования WebView для предотвращения внедрения форм на основе наложения. Вместе с утечкой были опубликованы CSV-файл с вводимыми формами и правило YARA, предоставляющие дополнительные материалы для IOC и обнаружения.

#ParsedReport #CompletenessMedium
18-08-2025

Evolution of the PipeMagic backdoor: from the RansomExx incident to CVE-2025-29824

https://securelist.com/pipemagic/117270/

Report completeness: Medium

Threats:
Pipemagic
Ransomexx
Dll_hijacking_technique
Procdump_tool

Victims:
Industrial companies, Organizations

Geo:
Brazil, Asia, Saudi arabia

CVEs:
CVE-2017-0144 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server_message_block (1.0)

CVE-2025-29824 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20978)
- microsoft windows_10_1607 (<10.0.14393.7969)
- microsoft windows_10_1809 (<10.0.17763.7136)
- microsoft windows_10_21h2 (<10.0.19044.5737)
- microsoft windows_10_22h2 (<10.0.19045.5737)
have more...

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1140, T1195.002, T1203, T1218.005, T1574.001, T1620

IOCs:
Hash: 6
File: 4
Path: 1
Domain: 1

Soft:
ChatGPT, Google Chrome

Algorithms:
rc4, md5, fnv-1a, cbc, aes

Win API:
GetProcAddress, AmsiScanString, AmsiScanBuffer

Languages:
rust