#ParsedReport #CompletenessMedium
18-08-2025

Evolution of the PipeMagic backdoor: from the RansomExx incident to CVE-2025-29824

https://securelist.com/pipemagic/117270/

Report completeness: Medium

Threats:
Pipemagic
Ransomexx
Dll_hijacking_technique
Procdump_tool

Victims:
Industrial companies, Organizations

Geo:
Brazil, Asia, Saudi arabia

CVEs:
CVE-2017-0144 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server_message_block (1.0)

CVE-2025-29824 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20978)
- microsoft windows_10_1607 (<10.0.14393.7969)
- microsoft windows_10_1809 (<10.0.17763.7136)
- microsoft windows_10_21h2 (<10.0.19044.5737)
- microsoft windows_10_22h2 (<10.0.19045.5737)
have more...

ChatGPT TTPs:
do not use without manual check
T1036, T1055, T1140, T1195.002, T1203, T1218.005, T1574.001, T1620

IOCs:
Hash: 6
File: 4
Path: 1
Domain: 1

Soft:
ChatGPT, Google Chrome

Algorithms:
rc4, md5, fnv-1a, cbc, aes

Win API:
GetProcAddress, AmsiScanString, AmsiScanBuffer

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PipeMagic - это 32‑разрядный бэкдор для Windows, впервые появившийся в декабре 2022 года, использующий CVE‑2017‑0144 и более поздний CVE‑2025-29824. Загрузчики включают в себя дешифратор C# RC4 (ключ 4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5), который передает выполнение через EnumDeviceMonitor, сборки Tokio/Tauri в стиле ChatGPT, .mshi/msbuild и DLL hijacking. 32‑разрядный PE обеспечивает полный удаленный доступ и режим сетевого шлюза, а также содержит 2025 плагинов для закрепления и перемещения внутри компании.
-----

PipeMagic - это бэкдор, впервые обнаруженный в декабре 2022 года во время кампании RansomExx; первоначальные вторжения использовали CVE-2017-0144 (EternalBlue) и троянский Rufus в качестве загрузчика. В наборе исправлений Microsoft от апреля 2025 года указано, что CVE-2025-29824 активно эксплуатируется; PipeMagic использовалась для использования этой уязвимости в реальных атаках, обнаруженных в Саудовской Аравии и Бразилии. Расследования связали активность 2025 года с доменом hxxp://aaaaabbbbbbb.eastus.cloudapp.azure.com.

Наблюдалось несколько вариантов загрузки. Загрузчик C# расшифровывает зашифрованный RC4 шеллкод (ключ: 4829468622e6b82ff056e3c945dd99c94a1f0264d980774828aadda326b775e5) и передает выполнение расшифрованной полезной нагрузке, вызывая функцию WinAPI EnumDeviceMonitor с первыми двумя параметрами, установленными равными нулю, а третий параметр указывает на функцию, в которую вставлен указатель шеллкода. Отдельное семейство загрузчиков выдает себя за клиент ChatGPT (созданный на основе Tokio и Tauri, использующий управление версиями libaes и PE-метаданные, соответствующие сборкам 2024 года). Первоначальное выполнение также было выполнено с помощью mshi-файлов, запущенных через msbuild.

Злоумышленники использовали DLL hijacking для запуска вредоносной логики без вспомогательных утилит: законный исполняемый файл (наблюдаемый вариант с использованием двоичного файла обновления Google Chrome) размещается рядом с вредоносной библиотекой DLL, экспортирующей функцию, загружаемую приложением; эта библиотека DLL расшифровывает полезную нагрузку и внедряет ее. Во всех методах загрузки развернутая полезная нагрузка представляет собой 32-разрядную версию Windows PE, которая рекламирует графический режим, но не имеет графического интерфейса пользователя; этот исполняемый файл - Backdoor. PipeMagic

Бэкдор реализует два режима работы — полный удаленный доступ и сетевой шлюз — и поддерживает широкий набор команд. В ходе анализа 2025 года были обнаружены три дополнительных 32-разрядных модуля-плагина, расширяющих функциональность, отсутствующую в основном двоичном коде, с наблюдаемыми улучшениями, направленными на закрепление и перемещение внутри компании в сетях-жертвах.

#ParsedReport #CompletenessLow
18-08-2025

Kawabunga, Dude, Youve Been Ransomed!

https://www.huntress.com/blog/kawalocker-ransomware-deployed

Report completeness: Low

Threats:
Kawalocker
Hrsword_tool
Qilin_ransomware
Akira_ransomware
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Enterprises

Geo:
China

ChatGPT TTPs:
do not use without manual check
T1047, T1059.003, T1486, T1562.001

IOCs:
Command: 5
Path: 2
File: 5
Registry: 1
Email: 1
Hash: 5

Soft:
PsExec

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KawaLocker (KAWA4096), выпущенный в июне 2025 года, нацелен на конкретные подключенные тома (наблюдаемый E:\) и использует артефакты для обнаружения утечек в стиле Akira/Qilin и уведомления о выкупе. Операторы выполняют kill.exe и инструмент разведки/видимости HRSword для сопоставления конечных точек и нейтрализации безопасности, затем удаления Shadow Copies Windows с помощью WMI перед шифрованием. Индикаторы включают выполнение kill.exe/HRSword, удаление shadow-copy WMI, целевое шифрование тома и артефакты выкупа в стиле Akira/Qilin.
-----

KawaLocker (он же KAWA4096) - это вирус-вымогатель, впервые обнаруженный в июне 2025 года. Его общедоступный сайт об утечке данных и записка о выкупе имеют явное стилистическое сходство с Akira (макет сайта об утечке) и Qilin (текст записки о выкупе), что, вероятно, предназначено для повышения наглядности, а не для указания на прямой обмен кодом. Наблюдаемые шаблоны развертывания включают целевое шифрование определенных подключенных томов (проанализированный инцидент зашифровал том E:\).

Первоначальный доступ и действия после компрометации включали инструменты, предназначенные для идентификации и нейтрализации безопасности конечных точек. Актор выполнил утилиту с именем kill.exe наряду с компонентом под названием HRSword. HRSword - это инструмент мониторинга/ видимости, который запрашивает несколько системных компонентов для сопоставления конечной точки и облегчения последующих операций злоумышленника. Злоумышленник использовал выполнение HRSword для перечисления и получения видимости по всей системе перед развертыванием программы-вымогателя. Актор также удалил Shadow Copies Windows с помощью вызовов WMI, что является распространенным методом защиты от восстановления, препятствующим восстановлению файлов.

Значимыми для обнаружения индикаторами и поведением в результате инцидента являются: выполнение kill.exe и HRSword на конечных точках, удаление shadow COPY на основе WMI и целевое шифрование, ориентированное на определенные тома (в данном случае E:\). Внедрение программы-вымогателя сопровождалось этапами разведки и исправления с помощью средств защиты. Аналитикам следует уделять приоритетное внимание телеметрии, которая фиксирует выполнение процесса HRSword/kill.exe , вызовы WMI, вызывающие удаление shadow copy (vssadmin или эквивалентные методы WMI), ненормальную активность файловой системы на несистемных томах и обнаружение заметок о выкупе или исходящих объявлений, соответствующих стилистическим шаблонам Akira/Qilin. Эти "хлебные крошки" могут помочь идентифицировать активность KawaLocker в средах, где вредоносное ПО обнаружено впервые.

#ParsedReport #CompletenessLow
13-08-2025

Android Malware Campaign Mimics Indian Banks to Harvest Financial Credentials

https://www.sonicwall.com/blog/android-malware-campaign-mimics-indian-banks-to-harvest-financial-credentials

Report completeness: Low

Victims:
Banking users, Financial sector

Industry:
Financial

Geo:
Indian

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1407, T1566.002

IOCs:
File: 2
Hash: 11
Url: 2
Domain: 2

Soft:
Android, Telegram

Functions:
On-device

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО для Android-банкинга нацелена на пользователей индийских банков с помощью фишингов -страниц, которые точно копируют пользовательские интерфейсы законных мобильных банковских приложений, чтобы вызвать доверие. Злоумышленники доставляют APK-файл-дроппер, содержащий вредоносную полезную нагрузку, по адресу Assets/app.apk и отображают поддельное приглашение "ОБНОВИТЬ приложение", чтобы социально настроить дополнительную загрузку входящего в комплект APK-файла. После установки банковское приложение собирает предоставленные финансовые учетные данные; никаких подробных сведений о C2, закреплении или дополнительных возможностях не было.
-----

Продолжающаяся кампания по вредоносному ПО для Android-банкинга нацелена на пользователей индийских банков с помощью фишинг-страниц, которые точно повторяют интерфейсы законных мобильных банковских приложений. Злоумышленники клонируют визуальные элементы, такие как логотипы, макеты и элементы дизайна, чтобы вызвать доверие и заманить жертв на установку вредоносного APK-файла. Основной целью является сбор учетных записей от банковских пользователей с помощью социально спроектированного процесса установки.

Цепочка заражения использует приложение-дроппер, которое содержит вредоносную полезную нагрузку в своей папке Assets под именем файла "app.apk". Дроппер отображает поддельное приглашение "ОБНОВИТЬ приложение", чтобы предложить пользователю установить встроенный APK-файл, эффективно выполняя дополнительную загрузку с помощью социальной инженерии, а не используя уязвимость Android. После установки банковское вредоносное ПО предназначено для сбора финансовых учетных данных, передаваемых через поддельные интерфейсы. Кампания использует страницы фишинга для первоначальной доставки и прилагаемый APK-файл в dropper для развертывания полезной нагрузки; в источнике не было подробно описано никаких конкретных механизмов управления, закрепления или возможностей полезной нагрузки, помимо сбора учетных записей.

#ParsedReport #CompletenessLow
11-08-2025

Detecting the ToolShell SharePoint Exploit

https://www.anomali.com/blog/detecting-the-toolshell-sharepoint-exploit

Report completeness: Low

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
Toolshell_vuln
Credential_harvesting_technique

Victims:
Sharepoint servers

Geo:
China

CVEs:
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.003, T1190, T1203, T1210, T1505.003, T1552.004

IOCs:
File: 11
IP: 3

Soft:
Microsoft SharePoint, SharePoint Server

Functions:
system

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53770 в SharePoint Server 2016/2019/Подписка позволяет злоумышленникам подделать HTTP-ссылку на SignOut.aspx, чтобы получить доступ к ToolPane.aspx, поместить spinstall0.aspx в каталог LAYOUTS и извлечь machineKey (validationKey/decryptionKey). Собранные ключи используются для подделки ASP.NET ViewState (например, ysoserial.net ) для неаутентифицированного RCE; w3wp.exe порождает cmd.exe/powershell.exe . Наблюдаемые IP-адреса C2: 96.9.125.147, 107.191.58.76, 104.238.159.149; обнаружения включают журналы IIS/прокси (POST ToolPane.aspx, GET spinstall0.aspx), new.aspx в МАКЕТАХ, деревья процессов Sysmon/EDR и аномальные/большие поля ViewState.
-----

CVE-2025-53770 влияет на SharePoint Server 2016, 2019 и выпуск по подписке и разрешает не прошедший проверку подлинности доступ к конечной точке ToolPane.aspx путем подмены заголовка HTTP-ссылки на SignOut.aspx. Успешная эксплуатация позволяет злоумышленнику поместить веб-полезную нагрузку для разведки (spinstall0.aspx) в каталог SharePoint LAYOUTS и получить криптографический машинный ключ сервера (validationKey и decryptionKey).

Деятельность после эксплуатации использует собранные ключи для подделки ASP.NET Объекты ViewState (в частности, с помощью таких инструментов, как ysoserial.net ) для достижения удаленного выполнения кода без проверки подлинности. Цепочка атак обычно развертывает spinstall0.aspx в качестве файла разведки/webshell и использует выполнение команд для запуска дочерних процессов из рабочего процесса IIS (w3wp.exe ), часто нерестящийся cmd.exe и powershell.exe для выполнения дальнейших действий. Известная инфраструктура C2, наблюдаемая в ходе расследований, включает IP-адреса 96.9.125.147, 107.191.58.76 и 104.238.159.149.

Соответствующие источники обнаружения включают журналы IIS и журналы веб-прокси для индикаторов HTTP (подозрительные записи в ToolPane.aspx и переходы в spinstall0.aspx), мониторинг файловой системы на предмет создания неизвестных файлов .aspx в каталоге LAYOUTS и события создания процесса Sysmon/EDR для обнаружения w3wp.exe нерест cmd.exe/powershell.exe . В журналах сети/брандмауэра/идентификаторов следует выполнить поиск исходящего трафика на идентифицированные IP-адреса C2. При обнаружении также следует искать признаки подделки ViewState или необычно большие / непрозрачные поля ViewState, соответствующие сериализованным цепочкам гаджетов.

Смягчение: примените обновления для системы безопасности Microsoft, выпущенные в июле 2025 года, для затронутых версий SharePoint и измените значения machineKey (validationKey и decryptionKey) после исправления. Руководство по поиску: перечислять неизвестные aspx-файлы в макетах, отслеживать w3wp.exe дочерние деревья процессов и сопоставляют исходящие подключения с серверов SharePoint с указанными IP-адресами, одновременно настраивая обнаружение подделки ViewState и сброшенных полезных нагрузок разведки.

#technique

A tool to transform Chromium browsers into a C2 Implant

https://github.com/praetorian-inc/ChromeAlone/tree/main

#ParsedReport #CompletenessMedium
19-08-2025

Advanced Threat Tracking (APT)Analysis of the latest dual-platform special horse attack incident of amdc6766 gang

https://www.ctfiot.com/265575.html

Report completeness: Medium

Actors/Campaigns:
Amdc6766

Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Dumplsass_tool
Process_injection_technique
Todesk_tool
Termius_tool
Mobaxterm_tool

ChatGPT TTPs:
do not use without manual check
T1190, T1195, T1204.002, T1583.001

IOCs:
Hash: 7
File: 5
IP: 6

Soft:
Navicat, Linux, JetBrains, VScode, WeChat

Algorithms:
md5, xor

Win API:
LoadLibraryA, GetProcAddress

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Актор amdc6766 с начала 2023 года нацелен на персонал по эксплуатации и техническому обслуживанию, используя социальную инженерию, компрометацию цепочки поставок и использование общедоступных веб-уязвимостей. Они размещают поддельные страницы поставщиков /администраторов, троянские установщики и отравляют LNMP/OneinStack provisioning для развертывания кроссплатформенных бэкдоров / веб‑оболочек в Windows и Linux. Имплантаты используют DNS tunneling для C2 и, вероятно, эксфильтрацию.
-----

С начала 2023 года актор, отслеживаемый как amdc6766, проводил целенаправленные операции против персонала по эксплуатации и техническому обслуживанию, используя сочетание социальной инженерии, компрометации supply-chain и использования общедоступных веб-уязвимостей. Векторы атак включают поддельные страницы, выдающие себя за административные инструменты и поставщиков (AMH, Pagoda, Xshell, Navicat), на которых размещаются троянские установщики или утилиты развертывания, а также заражение популярных серверных стеков и платформ установки (LNMP, OneinStack) для распространения вредоносных компонентов во время обычной подготовки.

Полезная нагрузка группы описывается как “двухплатформенная специальная платформа”, что указывает на кроссплатформенные развертывания backdoor /webshell, влияющие как на административные инструменты Windows, так и на серверные стеки Linux. Жертв побуждают загружать и запускать модифицированные средства развертывания или управления; эти средства содержат встроенный вредоносный код, который удаляет и активирует Backdoor. После заражения имплантаты устанавливают скрытые каналы на основе DNS к инфраструктуре атакующего C2, используя DNS tunneling для командования и контроля и, вероятно, эксфильтрацию данных, чтобы избежать традиционной сетевой фильтрации.

Наблюдаемые тактики и методы включают Маскировку вредоносных двоичных файлов под законные утилиты администратора, использование доверия цепочки поставок к сценариям установки и менеджерам стека, использование общедоступных веб‑уязвимостей для получения первоначального доступа или сохранения, а также нацеливание на оперативный персонал с высокими привилегиями для максимального воздействия. Возможности обнаружения включают мониторинг аномального DNS‑трафика (высокая энтропия, шаблоны DNS tunneling, необычные объемы запросов или домены), неожиданные загрузки или обновления средств администрирования/ развертывания со сторонних страниц, проверки целостности компонентов LNMP/OneinStack и индикаторы после выполнения, соответствующие активности webshell/backdoor в обеих Windows и хосты Linux.

#ParsedReport #CompletenessMedium
19-08-2025

Noodlophile Stealer Evolves: Targeted Copyright Phishing Hits Enterprises with Social Media Footprints

https://www.morphisec.com/blog/noodlophile-stealer-evolves-targeted-copyright-phishing-hits-enterprises-with-social-media-footprints/

Report completeness: Medium

Actors/Campaigns:
Copyrhight_adamantys

Threats:
Noodlophile_stealer
Spear-phishing_technique
Rhadamanthys
Dll_sideloading_technique
Lolbin_technique

Victims:
Enterprises, Social media marketing

Geo:
Apac, Latvian, Polish, Spanish

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1059.003, T1059.006, T1071.001, T1102, T1105, T1217, T1486, T1566.001, have more...

IOCs:
File: 5
Registry: 1
Url: 25
Hash: 19

Soft:
Telegram, Gmail, dropbox, Event Tracing for Windows, Chrome, Opera

Algorithms:
zip, base64

Win API:
RmStartSession

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Noodlophile запускает целенаправленный Целевой фишинг, используя собранные идентификаторы страниц Facebook и информацию о владельце, рассылая многоязычные приманки для защиты авторских прав с помощью искусственного интеллекта. Он злоупотребляет подписанными приложениями с помощью боковой загрузки библиотеки DLL для распаковки архивов, выявления запутанных BAT и переносимого Python для установления закрепления и развертывания окончательного Stealer. Скрипты извлекают URL-адреса динамической полезной нагрузки из описаний Telegram; в коде есть заполнители для скриншотов, Регистрации нажатий клавиш, эксфильтрации, разведки и сбора артефактов браузера.
-----

Кампания Noodlophile, действующая уже более года, перешла от обычных поддельных видео-приманок с искусственным интеллектом к высоконаправленному Целевому фишингу, который использует предприятия с заметным влиянием в Facebook. Злоумышленники проводят разведку, чтобы собрать такие данные, как идентификаторы конкретных страниц Facebook и информацию о владельцах компаний, а затем отправляют многоязычные персонализированные уведомления о нарушении авторских прав, призванные побудить к срочному взаимодействию. Приманки могут быть сгенерированы искусственным интеллектом или с помощью ИИ для повышения реалистичности.

При доставке используются законные, подписанные приложения, которые подвержены боковой загрузке DLL—файлов - наблюдаемые примеры включают Haihaisoft PDF Reader и некоторые утилиты для конвертации Excel. Злоумышленники упаковывают вредоносные библиотеки DLL в архивы; при боковой загрузке эти библиотеки DLL переименовывают содержимое архива (файлы, Маскировка под .pptx/.docx/.pdf), чтобы предоставить доступ к скриптам BAT и портативному интерпретатору Python. Эти промежуточные артефакты обеспечивают закрепление и связывают начальное выполнение с заключительной стадией перехвата.

Сценарии BAT и command более сильно запутаны, чем в предыдущих итерациях. Вместо жестко закодированных URL-адресов загрузки скрипты извлекают динамические местоположения полезной нагрузки из поля описания группы Telegram, обеспечивая гибкую промежуточную обработку и усложняя удаление. Двоичные файлы Final stealer были размещены на бесплатных сервисах paste (например, paste.rs ), тактика, которая сокращает накладные расходы на инфраструктуру и площадь обнаружения.

Анализ кодовой базы Noodlophile показывает несколько незавершенных функций, указывающих на планируемое расширение возможностей: захват скриншотов, Регистрация нажатий клавиш, сбор файлов/эксфильтрация, мониторинг процессов, разведка сети, перечисление расширений браузера, шифрование файлов и извлечение истории браузера. Эти заполнители указывают на то, что вредоносное ПО является модульным и активно разрабатывается для расширения возможностей кражи данных и закрепления. В целом, кампания сочетает в себе целевую социальную инженерию, DLL side-loading для приложений с доверенной подписью, многоэтапную маскировку и динамическую постановку на основе Telegram, чтобы избежать обнаружения и способствовать быстрой эволюции.

#ParsedReport #CompletenessLow
18-08-2025

Dissecting PipeMagic: Inside the architecture of a modular backdoor framework

https://www.microsoft.com/en-us/security/blog/2025/08/18/dissecting-pipemagic-inside-the-architecture-of-a-modular-backdoor-framework/

Report completeness: Low

Actors/Campaigns:
Storm-2460 (motivation: financially_motivated)

Threats:
Pipemagic

Geo:
America, Middle east

CVEs:
CVE-2025-29824 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20978)
- microsoft windows_10_1607 (<10.0.14393.7969)
- microsoft windows_10_1809 (<10.0.17763.7136)
- microsoft windows_10_21h2 (<10.0.19044.5737)
- microsoft windows_10_22h2 (<10.0.19045.5737)
have more...

ChatGPT TTPs:
do not use without manual check
T1041, T1068, T1071, T1105, T1127.001, T1620

IOCs:
Domain: 2
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, ChatGPT, Twitter

Algorithms:
deflate, xor, rc4, gzip, sha256, sha1

Win API:
NetBIOS

Platforms:
x64

Links:
https://github.com/lencx/ChatGPT