#ParsedReport #CompletenessMedium
14-08-2025

Hunt.io Exposes and Analyzes ERMAC V3.0 Banking Trojan Full Source Code Leak

https://hunt.io/blog/ermac-v3-banking-trojan-source-code-leak

Report completeness: Medium

Threats:
Ermac
Cerberus

Victims:
Banking users, Shopping app users, Financial app users, Cryptocurrency app users

Industry:
Financial

Geo:
Russian

TTPs:
Tactics: 9
Technics: 0

IOCs:
IP: 17
File: 2
Hash: 2

Soft:
Laravel, Android, Docker, Gmail, Google Play

Algorithms:
base64, aes, aes-cbc

Languages:
golang, javascript, kotlin, php

Platforms:
intel

YARA: Found

Links:
https://github.com/ClaudiuGeorgiu/Obfuscapk

#ParsedReport #ExtractedSchema

Classified images:
windows: 5, code: 3, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Просочившийся ERMAC версии 3.0 содержит Laravel / PHP C2 с панелью React, службу Golang exfil (зашифрованный HTTP API, часто защищенный базовой аутентификацией) и запутанный Kotlin Android-бэкдор, созданный веб-разработчиком, который создает настраиваемые APK-файлы. Имплантат использует наложения WebView и формы‑инъекции, ориентированные на более чем 700 банковских / криптографических приложений, и поддерживает 71 язык. Артефакты включают файл cookie ermac_session по умолчанию, HTML-заголовки панели, обнаруживаемые конечные точки exfil, процедуры шифрования и утечку CSV/YARA.
-----

Утечка исходного кода ERMAC версии 3.0 была получена из открытого архива 141.164.62.236:443. Кодовая база включает в себя серверную часть Laravel/ PHP C2, Панель управления на основе React для взаимодействия с оператором, службу эксфильтрации Golang, предоставляющую зашифрованный HTTP API (часто защищенный базовой аутентификацией), и запутанный Android-бэкдор, написанный на Kotlin. Панель web builder генерирует настроенные сборки Android (настраиваемое имя приложения, URL-адрес сервера, ключи шифрования, конечные точки C2 и другие параметры среды выполнения).

Android-имплантат использует наложения Android WebView и возможности form-inject для сбора учетных данных и платежных данных из целевых приложений; проект содержит определения form inject, ориентированные на более чем 700 банковских приложений и приложений для криптовалют. Бэкдор поддерживает 71 язык и позволяет операторам устанавливать параметры шифрования и использовать несколько серверов C2. Операционные артефакты и индикаторы включают файл cookie ermac_session по умолчанию, установленный C2 API, и идентифицируемые заголовки HTML для Панели управления; конечные точки эксфильтрации доступны для обнаружения, а некоторые используют базовую аутентификацию. Служба эксфильтрации использует зашифрованный транспорт и пользовательские процедуры шифрования при загрузке полезной нагрузки, повышая скрытность.

Операционный процесс состоит из сгенерированных разработчиком APK-файлов, доставляемых жертвам, выполнения задач C2 через серверную часть PHP/Laravel и эксфильтрации в службу Golang. Возможности обнаружения и смягчения последствий включают поиск файла cookie ermac_session и HTML-заголовков панели, мониторинг API exfil на основе Golang, лежащих в основе базовой аутентификации, и развертывание правил YARA/подписи на основе хоста и сети для двоичных файлов ERMAC. В Android средства защиты включают в себя принудительное использование FLAG_SECURE, обнаружение или блокирование возможностей наложения и ужесточение использования WebView для предотвращения внедрения форм на основе наложения. Вместе с утечкой были опубликованы CSV-файл с вводимыми формами и правило YARA, предоставляющие дополнительные материалы для IOC и обнаружения.

#ParsedReport #CompletenessMedium
18-08-2025

Evolution of the PipeMagic backdoor: from the RansomExx incident to CVE-2025-29824

https://securelist.com/pipemagic/117270/

Report completeness: Medium

Threats:
Pipemagic
Ransomexx
Dll_hijacking_technique
Procdump_tool

Victims:
Industrial companies, Organizations

Geo:
Brazil, Asia, Saudi arabia

CVEs:
CVE-2017-0144 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server_message_block (1.0)

CVE-2025-29824 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20978)
- microsoft windows_10_1607 (<10.0.14393.7969)
- microsoft windows_10_1809 (<10.0.17763.7136)
- microsoft windows_10_21h2 (<10.0.19044.5737)
- microsoft windows_10_22h2 (<10.0.19045.5737)
have more...

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1140, T1195.002, T1203, T1218.005, T1574.001, T1620

IOCs:
Hash: 6
File: 4
Path: 1
Domain: 1

Soft:
ChatGPT, Google Chrome

Algorithms:
rc4, md5, fnv-1a, cbc, aes

Win API:
GetProcAddress, AmsiScanString, AmsiScanBuffer

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PipeMagic - это 32‑разрядный бэкдор для Windows, впервые появившийся в декабре 2022 года, использующий CVE‑2017‑0144 и более поздний CVE‑2025-29824. Загрузчики включают в себя дешифратор C# RC4 (ключ 4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5), который передает выполнение через EnumDeviceMonitor, сборки Tokio/Tauri в стиле ChatGPT, .mshi/msbuild и DLL hijacking. 32‑разрядный PE обеспечивает полный удаленный доступ и режим сетевого шлюза, а также содержит 2025 плагинов для закрепления и перемещения внутри компании.
-----

PipeMagic - это бэкдор, впервые обнаруженный в декабре 2022 года во время кампании RansomExx; первоначальные вторжения использовали CVE-2017-0144 (EternalBlue) и троянский Rufus в качестве загрузчика. В наборе исправлений Microsoft от апреля 2025 года указано, что CVE-2025-29824 активно эксплуатируется; PipeMagic использовалась для использования этой уязвимости в реальных атаках, обнаруженных в Саудовской Аравии и Бразилии. Расследования связали активность 2025 года с доменом hxxp://aaaaabbbbbbb.eastus.cloudapp.azure.com.

Наблюдалось несколько вариантов загрузки. Загрузчик C# расшифровывает зашифрованный RC4 шеллкод (ключ: 4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5) и передает выполнение расшифрованной полезной нагрузке, вызывая функцию WinAPI EnumDeviceMonitor с первыми двумя параметрами, установленными равными нулю, а третий параметр указывает на функцию, в которую вставлен указатель шеллкода. Отдельное семейство загрузчиков выдает себя за клиент ChatGPT (созданный на основе Tokio и Tauri, использующий управление версиями libaes и PE-метаданные, соответствующие сборкам 2024 года). Первоначальное выполнение также было выполнено с помощью mshi-файлов, запущенных через msbuild.

Злоумышленники использовали DLL hijacking для запуска вредоносной логики без вспомогательных утилит: законный исполняемый файл (наблюдаемый вариант с использованием двоичного файла обновления Google Chrome) размещается рядом с вредоносной библиотекой DLL, экспортирующей функцию, загружаемую приложением; эта библиотека DLL расшифровывает полезную нагрузку и внедряет ее. Во всех методах загрузки развернутая полезная нагрузка представляет собой 32-разрядную версию Windows PE, которая рекламирует графический режим, но не имеет графического интерфейса пользователя; этот исполняемый файл - Backdoor. PipeMagic

Бэкдор реализует два режима работы — полный удаленный доступ и сетевой шлюз — и поддерживает широкий набор команд. В ходе анализа 2025 года были обнаружены три дополнительных 32-разрядных модуля-плагина, расширяющих функциональность, отсутствующую в основном двоичном коде, с наблюдаемыми улучшениями, направленными на закрепление и перемещение внутри компании в сетях-жертвах.

#ParsedReport #CompletenessLow
18-08-2025

Kawabunga, Dude, Youve Been Ransomed!

https://www.huntress.com/blog/kawalocker-ransomware-deployed

Report completeness: Low

Threats:
Kawalocker
Hrsword_tool
Qilin_ransomware
Akira_ransomware
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Enterprises

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1047, T1059.003, T1486, T1562.001

IOCs:
Command: 5
Path: 2
File: 5
Registry: 1
Email: 1
Hash: 5

Soft:
PsExec

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KawaLocker (KAWA4096), выпущенный в июне 2025 года, нацелен на конкретные подключенные тома (наблюдаемый E:\) и использует артефакты для обнаружения утечек в стиле Akira/Qilin и уведомления о выкупе. Операторы выполняют kill.exe и инструмент разведки/видимости HRSword для сопоставления конечных точек и нейтрализации безопасности, затем удаления Shadow Copies Windows с помощью WMI перед шифрованием. Индикаторы включают выполнение kill.exe/HRSword, удаление shadow-copy WMI, целевое шифрование тома и артефакты выкупа в стиле Akira/Qilin.
-----

KawaLocker (он же KAWA4096) - это вирус-вымогатель, впервые обнаруженный в июне 2025 года. Его общедоступный сайт об утечке данных и записка о выкупе имеют явное стилистическое сходство с Akira (макет сайта об утечке) и Qilin (текст записки о выкупе), что, вероятно, предназначено для повышения наглядности, а не для указания на прямой обмен кодом. Наблюдаемые шаблоны развертывания включают целевое шифрование определенных подключенных томов (проанализированный инцидент зашифровал том E:\).

Первоначальный доступ и действия после компрометации включали инструменты, предназначенные для идентификации и нейтрализации безопасности конечных точек. Актор выполнил утилиту с именем kill.exe наряду с компонентом под названием HRSword. HRSword - это инструмент мониторинга/ видимости, который запрашивает несколько системных компонентов для сопоставления конечной точки и облегчения последующих операций злоумышленника. Злоумышленник использовал выполнение HRSword для перечисления и получения видимости по всей системе перед развертыванием программы-вымогателя. Актор также удалил Shadow Copies Windows с помощью вызовов WMI, что является распространенным методом защиты от восстановления, препятствующим восстановлению файлов.

Значимыми для обнаружения индикаторами и поведением в результате инцидента являются: выполнение kill.exe и HRSword на конечных точках, удаление shadow COPY на основе WMI и целевое шифрование, ориентированное на определенные тома (в данном случае E:\). Внедрение программы-вымогателя сопровождалось этапами разведки и исправления с помощью средств защиты. Аналитикам следует уделять приоритетное внимание телеметрии, которая фиксирует выполнение процесса HRSword/kill.exe , вызовы WMI, вызывающие удаление shadow copy (vssadmin или эквивалентные методы WMI), ненормальную активность файловой системы на несистемных томах и обнаружение заметок о выкупе или исходящих объявлений, соответствующих стилистическим шаблонам Akira/Qilin. Эти "хлебные крошки" могут помочь идентифицировать активность KawaLocker в средах, где вредоносное ПО обнаружено впервые.

#ParsedReport #CompletenessLow
13-08-2025

Android Malware Campaign Mimics Indian Banks to Harvest Financial Credentials

https://www.sonicwall.com/blog/android-malware-campaign-mimics-indian-banks-to-harvest-financial-credentials

Report completeness: Low

Victims:
Banking users, Financial sector

Industry:
Financial

Geo:
Indian

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1407, T1566.002

IOCs:
File: 2
Hash: 11
Url: 2
Domain: 2

Soft:
Android, Telegram

Functions:
On-device

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО для Android-банкинга нацелена на пользователей индийских банков с помощью фишингов -страниц, которые точно копируют пользовательские интерфейсы законных мобильных банковских приложений, чтобы вызвать доверие. Злоумышленники доставляют APK-файл-дроппер, содержащий вредоносную полезную нагрузку, по адресу Assets/app.apk и отображают поддельное приглашение "ОБНОВИТЬ приложение", чтобы социально настроить дополнительную загрузку входящего в комплект APK-файла. После установки банковское приложение собирает предоставленные финансовые учетные данные; никаких подробных сведений о C2, закреплении или дополнительных возможностях не было.
-----

Продолжающаяся кампания по вредоносному ПО для Android-банкинга нацелена на пользователей индийских банков с помощью фишинг-страниц, которые точно повторяют интерфейсы законных мобильных банковских приложений. Злоумышленники клонируют визуальные элементы, такие как логотипы, макеты и элементы дизайна, чтобы вызвать доверие и заманить жертв на установку вредоносного APK-файла. Основной целью является сбор учетных записей от банковских пользователей с помощью социально спроектированного процесса установки.

Цепочка заражения использует приложение-дроппер, которое содержит вредоносную полезную нагрузку в своей папке Assets под именем файла "app.apk". Дроппер отображает поддельное приглашение "ОБНОВИТЬ приложение", чтобы предложить пользователю установить встроенный APK-файл, эффективно выполняя дополнительную загрузку с помощью социальной инженерии, а не используя уязвимость Android. После установки банковское вредоносное ПО предназначено для сбора финансовых учетных данных, передаваемых через поддельные интерфейсы. Кампания использует страницы фишинга для первоначальной доставки и прилагаемый APK-файл в dropper для развертывания полезной нагрузки; в источнике не было подробно описано никаких конкретных механизмов управления, закрепления или возможностей полезной нагрузки, помимо сбора учетных записей.

#ParsedReport #CompletenessLow
11-08-2025

Detecting the ToolShell SharePoint Exploit

https://www.anomali.com/blog/detecting-the-toolshell-sharepoint-exploit

Report completeness: Low

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
Toolshell_vuln
Credential_harvesting_technique

Victims:
Sharepoint servers

Geo:
China

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1190, T1203, T1210, T1505.003, T1552.004

IOCs:
File: 11
IP: 3

Soft:
Microsoft SharePoint, SharePoint Server

Functions:
system

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53770 в SharePoint Server 2016/2019/Подписка позволяет злоумышленникам подделать HTTP-ссылку на SignOut.aspx, чтобы получить доступ к ToolPane.aspx, поместить spinstall0.aspx в каталог LAYOUTS и извлечь machineKey (validationKey/decryptionKey). Собранные ключи используются для подделки ASP.NET ViewState (например, ysoserial.net ) для неаутентифицированного RCE; w3wp.exe порождает cmd.exe/powershell.exe . Наблюдаемые IP-адреса C2: 96.9.125.147, 107.191.58.76, 104.238.159.149; обнаружения включают журналы IIS/прокси (POST ToolPane.aspx, GET spinstall0.aspx), new.aspx в МАКЕТАХ, деревья процессов Sysmon/EDR и аномальные/большие поля ViewState.
-----

CVE-2025-53770 влияет на SharePoint Server 2016, 2019 и выпуск по подписке и разрешает не прошедший проверку подлинности доступ к конечной точке ToolPane.aspx путем подмены заголовка HTTP-ссылки на SignOut.aspx. Успешная эксплуатация позволяет злоумышленнику поместить веб-полезную нагрузку для разведки (spinstall0.aspx) в каталог SharePoint LAYOUTS и получить криптографический машинный ключ сервера (validationKey и decryptionKey).

Деятельность после эксплуатации использует собранные ключи для подделки ASP.NET Объекты ViewState (в частности, с помощью таких инструментов, как ysoserial.net ) для достижения удаленного выполнения кода без проверки подлинности. Цепочка атак обычно развертывает spinstall0.aspx в качестве файла разведки/webshell и использует выполнение команд для запуска дочерних процессов из рабочего процесса IIS (w3wp.exe ), часто нерестящийся cmd.exe и powershell.exe для выполнения дальнейших действий. Известная инфраструктура C2, наблюдаемая в ходе расследований, включает IP-адреса 96.9.125.147, 107.191.58.76 и 104.238.159.149.

Соответствующие источники обнаружения включают журналы IIS и журналы веб-прокси для индикаторов HTTP (подозрительные записи в ToolPane.aspx и переходы в spinstall0.aspx), мониторинг файловой системы на предмет создания неизвестных файлов .aspx в каталоге LAYOUTS и события создания процесса Sysmon/EDR для обнаружения w3wp.exe нерест cmd.exe/powershell.exe . В журналах сети/брандмауэра/идентификаторов следует выполнить поиск исходящего трафика на идентифицированные IP-адреса C2. При обнаружении также следует искать признаки подделки ViewState или необычно большие / непрозрачные поля ViewState, соответствующие сериализованным цепочкам гаджетов.

Смягчение: примените обновления для системы безопасности Microsoft, выпущенные в июле 2025 года, для затронутых версий SharePoint и измените значения machineKey (validationKey и decryptionKey) после исправления. Руководство по поиску: перечислять неизвестные aspx-файлы в макетах, отслеживать w3wp.exe дочерние деревья процессов и сопоставляют исходящие подключения с серверов SharePoint с указанными IP-адресами, одновременно настраивая обнаружение подделки ViewState и сброшенных полезных нагрузок разведки.

#technique

A tool to transform Chromium browsers into a C2 Implant

https://github.com/praetorian-inc/ChromeAlone/tree/main

#ParsedReport #CompletenessMedium
19-08-2025

Advanced Threat Tracking (APT)Analysis of the latest dual-platform special horse attack incident of amdc6766 gang

https://www.ctfiot.com/265575.html

Report completeness: Medium

Actors/Campaigns:
Amdc6766

Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Dumplsass_tool
Process_injection_technique
Todesk_tool
Termius_tool
Mobaxterm_tool

ChatGPT TTPs:
do not use without manual check
T1190, T1195, T1204.002, T1583.001

IOCs:
Hash: 7
File: 5
IP: 6

Soft:
Navicat, Linux, JetBrains, VScode, WeChat

Algorithms:
md5, xor

Win API:
LoadLibraryA, GetProcAddress

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Актор amdc6766 с начала 2023 года нацелен на персонал по эксплуатации и техническому обслуживанию, используя социальную инженерию, компрометацию цепочки поставок и использование общедоступных веб-уязвимостей. Они размещают поддельные страницы поставщиков /администраторов, троянские установщики и отравляют LNMP/OneinStack provisioning для развертывания кроссплатформенных бэкдоров / веб‑оболочек в Windows и Linux. Имплантаты используют DNS tunneling для C2 и, вероятно, эксфильтрацию.
-----

С начала 2023 года актор, отслеживаемый как amdc6766, проводил целенаправленные операции против персонала по эксплуатации и техническому обслуживанию, используя сочетание социальной инженерии, компрометации supply-chain и использования общедоступных веб-уязвимостей. Векторы атак включают поддельные страницы, выдающие себя за административные инструменты и поставщиков (AMH, Pagoda, Xshell, Navicat), на которых размещаются троянские установщики или утилиты развертывания, а также заражение популярных серверных стеков и платформ установки (LNMP, OneinStack) для распространения вредоносных компонентов во время обычной подготовки.

Полезная нагрузка группы описывается как “двухплатформенная специальная платформа”, что указывает на кроссплатформенные развертывания backdoor /webshell, влияющие как на административные инструменты Windows, так и на серверные стеки Linux. Жертв побуждают загружать и запускать модифицированные средства развертывания или управления; эти средства содержат встроенный вредоносный код, который удаляет и активирует Backdoor. После заражения имплантаты устанавливают скрытые каналы на основе DNS к инфраструктуре атакующего C2, используя DNS tunneling для командования и контроля и, вероятно, эксфильтрацию данных, чтобы избежать традиционной сетевой фильтрации.

Наблюдаемые тактики и методы включают Маскировку вредоносных двоичных файлов под законные утилиты администратора, использование доверия цепочки поставок к сценариям установки и менеджерам стека, использование общедоступных веб‑уязвимостей для получения первоначального доступа или сохранения, а также нацеливание на оперативный персонал с высокими привилегиями для максимального воздействия. Возможности обнаружения включают мониторинг аномального DNS‑трафика (высокая энтропия, шаблоны DNS tunneling, необычные объемы запросов или домены), неожиданные загрузки или обновления средств администрирования/ развертывания со сторонних страниц, проверки целостности компонентов LNMP/OneinStack и индикаторы после выполнения, соответствующие активности webshell/backdoor в обеих Windows и хосты Linux.