#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53770 в SharePoint Server 2016/2019/Подписка позволяет злоумышленникам подделать HTTP-ссылку на SignOut.aspx, чтобы получить доступ к ToolPane.aspx, поместить spinstall0.aspx в каталог LAYOUTS и извлечь machineKey (validationKey/decryptionKey). Собранные ключи используются для подделки ASP.NET ViewState (например, ysoserial.net ) для неаутентифицированного RCE; w3wp.exe порождает cmd.exe/powershell.exe . Наблюдаемые IP-адреса C2: 96.9.125.147, 107.191.58.76, 104.238.159.149; обнаружения включают журналы IIS/прокси (POST ToolPane.aspx, GET spinstall0.aspx), new.aspx в МАКЕТАХ, деревья процессов Sysmon/EDR и аномальные/большие поля ViewState.
-----

CVE-2025-53770 влияет на SharePoint Server 2016, 2019 и выпуск по подписке и разрешает не прошедший проверку подлинности доступ к конечной точке ToolPane.aspx путем подмены заголовка HTTP-ссылки на SignOut.aspx. Успешная эксплуатация позволяет злоумышленнику поместить веб-полезную нагрузку для разведки (spinstall0.aspx) в каталог SharePoint LAYOUTS и получить криптографический машинный ключ сервера (validationKey и decryptionKey).

Деятельность после эксплуатации использует собранные ключи для подделки ASP.NET Объекты ViewState (в частности, с помощью таких инструментов, как ysoserial.net ) для достижения удаленного выполнения кода без проверки подлинности. Цепочка атак обычно развертывает spinstall0.aspx в качестве файла разведки/webshell и использует выполнение команд для запуска дочерних процессов из рабочего процесса IIS (w3wp.exe ), часто нерестящийся cmd.exe и powershell.exe для выполнения дальнейших действий. Известная инфраструктура C2, наблюдаемая в ходе расследований, включает IP-адреса 96.9.125.147, 107.191.58.76 и 104.238.159.149.

Соответствующие источники обнаружения включают журналы IIS и журналы веб-прокси для индикаторов HTTP (подозрительные записи в ToolPane.aspx и переходы в spinstall0.aspx), мониторинг файловой системы на предмет создания неизвестных файлов .aspx в каталоге LAYOUTS и события создания процесса Sysmon/EDR для обнаружения w3wp.exe нерест cmd.exe/powershell.exe . В журналах сети/брандмауэра/идентификаторов следует выполнить поиск исходящего трафика на идентифицированные IP-адреса C2. При обнаружении также следует искать признаки подделки ViewState или необычно большие / непрозрачные поля ViewState, соответствующие сериализованным цепочкам гаджетов.

Смягчение: примените обновления для системы безопасности Microsoft, выпущенные в июле 2025 года, для затронутых версий SharePoint и измените значения machineKey (validationKey и decryptionKey) после исправления. Руководство по поиску: перечислять неизвестные aspx-файлы в макетах, отслеживать w3wp.exe дочерние деревья процессов и сопоставляют исходящие подключения с серверов SharePoint с указанными IP-адресами, одновременно настраивая обнаружение подделки ViewState и сброшенных полезных нагрузок разведки.

#technique

A tool to transform Chromium browsers into a C2 Implant

https://github.com/praetorian-inc/ChromeAlone/tree/main

#ParsedReport #CompletenessMedium
19-08-2025

Advanced Threat Tracking (APT)Analysis of the latest dual-platform special horse attack incident of amdc6766 gang

https://www.ctfiot.com/265575.html

Report completeness: Medium

Actors/Campaigns:
Amdc6766

Threats:
Supply_chain_technique
Xshell_tool
Dns_tunneling_technique
Dumplsass_tool
Process_injection_technique
Todesk_tool
Termius_tool
Mobaxterm_tool

ChatGPT TTPs:
do not use without manual check
T1190, T1195, T1204.002, T1583.001

IOCs:
Hash: 7
File: 5
IP: 6

Soft:
Navicat, Linux, JetBrains, VScode, WeChat

Algorithms:
md5, xor

Win API:
LoadLibraryA, GetProcAddress

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Актор amdc6766 с начала 2023 года нацелен на персонал по эксплуатации и техническому обслуживанию, используя социальную инженерию, компрометацию цепочки поставок и использование общедоступных веб-уязвимостей. Они размещают поддельные страницы поставщиков /администраторов, троянские установщики и отравляют LNMP/OneinStack provisioning для развертывания кроссплатформенных бэкдоров / веб‑оболочек в Windows и Linux. Имплантаты используют DNS tunneling для C2 и, вероятно, эксфильтрацию.
-----

С начала 2023 года актор, отслеживаемый как amdc6766, проводил целенаправленные операции против персонала по эксплуатации и техническому обслуживанию, используя сочетание социальной инженерии, компрометации supply-chain и использования общедоступных веб-уязвимостей. Векторы атак включают поддельные страницы, выдающие себя за административные инструменты и поставщиков (AMH, Pagoda, Xshell, Navicat), на которых размещаются троянские установщики или утилиты развертывания, а также заражение популярных серверных стеков и платформ установки (LNMP, OneinStack) для распространения вредоносных компонентов во время обычной подготовки.

Полезная нагрузка группы описывается как “двухплатформенная специальная платформа”, что указывает на кроссплатформенные развертывания backdoor /webshell, влияющие как на административные инструменты Windows, так и на серверные стеки Linux. Жертв побуждают загружать и запускать модифицированные средства развертывания или управления; эти средства содержат встроенный вредоносный код, который удаляет и активирует Backdoor. После заражения имплантаты устанавливают скрытые каналы на основе DNS к инфраструктуре атакующего C2, используя DNS tunneling для командования и контроля и, вероятно, эксфильтрацию данных, чтобы избежать традиционной сетевой фильтрации.

Наблюдаемые тактики и методы включают Маскировку вредоносных двоичных файлов под законные утилиты администратора, использование доверия цепочки поставок к сценариям установки и менеджерам стека, использование общедоступных веб‑уязвимостей для получения первоначального доступа или сохранения, а также нацеливание на оперативный персонал с высокими привилегиями для максимального воздействия. Возможности обнаружения включают мониторинг аномального DNS‑трафика (высокая энтропия, шаблоны DNS tunneling, необычные объемы запросов или домены), неожиданные загрузки или обновления средств администрирования/ развертывания со сторонних страниц, проверки целостности компонентов LNMP/OneinStack и индикаторы после выполнения, соответствующие активности webshell/backdoor в обеих Windows и хосты Linux.

#ParsedReport #CompletenessMedium
19-08-2025

Noodlophile Stealer Evolves: Targeted Copyright Phishing Hits Enterprises with Social Media Footprints

https://www.morphisec.com/blog/noodlophile-stealer-evolves-targeted-copyright-phishing-hits-enterprises-with-social-media-footprints/

Report completeness: Medium

Actors/Campaigns:
Copyrhight_adamantys

Threats:
Noodlophile_stealer
Spear-phishing_technique
Rhadamanthys
Dll_sideloading_technique
Lolbin_technique

Victims:
Enterprises, Social media marketing

Geo:
Apac, Latvian, Polish, Spanish

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1059.003, T1059.006, T1071.001, T1102, T1105, T1217, T1486, T1566.001, have more...

IOCs:
File: 5
Registry: 1
Url: 25
Hash: 19

Soft:
Telegram, Gmail, dropbox, Event Tracing for Windows, Chrome, Opera

Algorithms:
zip, base64

Win API:
RmStartSession

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Noodlophile запускает целенаправленный Целевой фишинг, используя собранные идентификаторы страниц Facebook и информацию о владельце, рассылая многоязычные приманки для защиты авторских прав с помощью искусственного интеллекта. Он злоупотребляет подписанными приложениями с помощью боковой загрузки библиотеки DLL для распаковки архивов, выявления запутанных BAT и переносимого Python для установления закрепления и развертывания окончательного Stealer. Скрипты извлекают URL-адреса динамической полезной нагрузки из описаний Telegram; в коде есть заполнители для скриншотов, Регистрации нажатий клавиш, эксфильтрации, разведки и сбора артефактов браузера.
-----

Кампания Noodlophile, действующая уже более года, перешла от обычных поддельных видео-приманок с искусственным интеллектом к высоконаправленному Целевому фишингу, который использует предприятия с заметным влиянием в Facebook. Злоумышленники проводят разведку, чтобы собрать такие данные, как идентификаторы конкретных страниц Facebook и информацию о владельцах компаний, а затем отправляют многоязычные персонализированные уведомления о нарушении авторских прав, призванные побудить к срочному взаимодействию. Приманки могут быть сгенерированы искусственным интеллектом или с помощью ИИ для повышения реалистичности.

При доставке используются законные, подписанные приложения, которые подвержены боковой загрузке DLL—файлов - наблюдаемые примеры включают Haihaisoft PDF Reader и некоторые утилиты для конвертации Excel. Злоумышленники упаковывают вредоносные библиотеки DLL в архивы; при боковой загрузке эти библиотеки DLL переименовывают содержимое архива (файлы, Маскировка под .pptx/.docx/.pdf), чтобы предоставить доступ к скриптам BAT и портативному интерпретатору Python. Эти промежуточные артефакты обеспечивают закрепление и связывают начальное выполнение с заключительной стадией перехвата.

Сценарии BAT и command более сильно запутаны, чем в предыдущих итерациях. Вместо жестко закодированных URL-адресов загрузки скрипты извлекают динамические местоположения полезной нагрузки из поля описания группы Telegram, обеспечивая гибкую промежуточную обработку и усложняя удаление. Двоичные файлы Final stealer были размещены на бесплатных сервисах paste (например, paste.rs ), тактика, которая сокращает накладные расходы на инфраструктуру и площадь обнаружения.

Анализ кодовой базы Noodlophile показывает несколько незавершенных функций, указывающих на планируемое расширение возможностей: захват скриншотов, Регистрация нажатий клавиш, сбор файлов/эксфильтрация, мониторинг процессов, разведка сети, перечисление расширений браузера, шифрование файлов и извлечение истории браузера. Эти заполнители указывают на то, что вредоносное ПО является модульным и активно разрабатывается для расширения возможностей кражи данных и закрепления. В целом, кампания сочетает в себе целевую социальную инженерию, DLL side-loading для приложений с доверенной подписью, многоэтапную маскировку и динамическую постановку на основе Telegram, чтобы избежать обнаружения и способствовать быстрой эволюции.

#ParsedReport #CompletenessLow
18-08-2025

Dissecting PipeMagic: Inside the architecture of a modular backdoor framework

https://www.microsoft.com/en-us/security/blog/2025/08/18/dissecting-pipemagic-inside-the-architecture-of-a-modular-backdoor-framework/

Report completeness: Low

Actors/Campaigns:
Storm-2460 (motivation: financially_motivated)

Threats:
Pipemagic

Geo:
America, Middle east

CVEs:
CVE-2025-29824 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20978)
- microsoft windows_10_1607 (<10.0.14393.7969)
- microsoft windows_10_1809 (<10.0.17763.7136)
- microsoft windows_10_21h2 (<10.0.19044.5737)
- microsoft windows_10_22h2 (<10.0.19045.5737)
have more...

ChatGPT TTPs:
do not use without manual check
T1041, T1068, T1071, T1105, T1127.001, T1620

IOCs:
Domain: 2
Hash: 3

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, ChatGPT, Twitter

Algorithms:
deflate, xor, rc4, gzip, sha256, sha1

Win API:
NetBIOS

Platforms:
x64

Links:
https://github.com/lencx/ChatGPT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PipeMagic - это бэкдор в памяти, связанный с Storm-2460, поставляемый через certutil/MSBuild, использующий CVE-2025-29824, при этом акторы используют связанный с CLFS эксплойт для повышения привилегий. Он реализует четыре двусвязных списка — полезные нагрузки (необработанный PE), конфигурация, сетевые модули и список "неизвестно" — и генерирует 16-байтовый идентификатор хоста. Сетевые модули (три экспорта) обрабатывают C2, извлекают системное/внутреннее состояние и анализируют внешние коды 0x1 (выполнение внутренних команд/полезной нагрузки) и 0x8 (взаимодействие с неизвестным списком).
-----

PipeMagic - это модульный бэкдор в памяти, приписываемый Storm-2460 и поставляемый в рамках подготовки к эксплуатации, связанной с CVE-2025-29824. Актор использовал certutil для извлечения вредоносного файла MSBuild с взломанного законного веб-сайта; полезная нагрузка MSBuild удаляется и выполняется PipeMagic непосредственно в памяти. После выполнения актор использует эксплойт, связанный с CLFS, для повышения привилегий перед развертыванием Ransomware.

Бэкдор построен на основе четырех различных структур двусвязных списков, которые разделяют функциональность. Один связанный список управляет модулями полезной нагрузки: каждый узел содержит полезную нагрузку, сохраненную в виде необработанного образа Windows PE. Перед инициализацией этого списка вредоносное ПО генерирует 16-байтовый случайный идентификатор бота, уникальный для хоста. Отдельная структура конфигурации содержит рабочие параметры. Список, связанный с сетью, содержит сетевые модули, ответственные за связь C2; сама PipeMagic делегирует сетевую связь этим модулям, а не обменивается данными напрямую. На четвертый связанный список ссылаются как на “неизвестный” список, на который некоторые команды специально нацелены.

Когда сетевой модуль запускается, он экспортирует и регистрирует небольшой набор внутренних функций (три экспорта) для использования основным Backdoor. Сетевой модуль устанавливает канал C2, и после подключения бэкдор собирает и отправляет на сервер полный набор информации о системе и внутреннем состоянии. Ответы C2 анализируются для извлечения внешней команды обработки, которая определяет, как обрабатывается ответ. Код обработки 0x1 содержит внутренние команды и аргументы бэкдора, которые позволяют выполнять широкий спектр операций, включая выполнение полезных нагрузок из связанного списка полезных данных. Код обработки 0x8 аналогично содержит внутренний код/данные, но предназначен для взаимодействия с неизвестным связанным списком. Дизайн подчеркивает модульность, выполнение в памяти и делегирование сетевых функций взаимозаменяемым модулям.

#ParsedReport #CompletenessHigh
19-08-2025

Pay2Keys Resurgence

https://engage.morphisec.com/hubfs/Pay2Key_Iranian_Cyber_Warfare_Targets_the_West_Whitepaper.pdf

Report completeness: High

Actors/Campaigns:
Fox_kitten

Threats:
Pay2key
Mimic_ransomware
Defendnot_tool
Themida_tool
Timebomb_technique
Uac_bypass_technique

Industry:
Petroleum, Military

Geo:
Russian, Iran, Israel, Iranian, Usa, American, Chinese

TTPs:
Tactics: 3
Technics: 0

IOCs:
File: 27
Command: 1
Path: 2
Registry: 1
Hash: 8
Domain: 1

Soft:
Windows Defender, Windows Security Center, Microsoft Defender, Twitter, Telegram, unix

Algorithms:
xor, curve25519, chacha20, 7zip

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Pay2Key.I2P (связанный с Fox Kitten) - это возрожденный RaaS, повторно использующий компоненты Mimic и предоставляющий аффилированным лицам панель мониторинга для создания пользовательских шифровальщиков и управления кошельками. При доставке используются доброкачественные файлы и многоуровневые скрипты, которые извлекают data2.bin/data3.bin и запускают enc-build.exe (Защищенный Фемидой имитационный вариант с несколькими встроенными ключами). Evasion использует гибридный трюк с комментариями CMD/PowerShell, спящий режим \~10 секунд, затем самоудаление; переименованный powrprof (NoDefender) изменяет реестр, чтобы отключить Defender; в нем отсутствует самораспространение.
-----

Pay2Key.I2P - это возрожденный связанный с Ираном RaaS, привязанный к Fox Kitten и наблюдаемый за повторным использованием или включением компонентов Mimic ransomware. Операторы рекламировали услугу на русскоязычных и китайскоязычных форумах даркнета и на X с января 2025 года, привлекая партнеров с помощью веб-панели мониторинга, которая выдает уникальные идентификаторы оператора, позволяет партнерам создавать пользовательские шифровальщики, настраивать криптовалютные кошельки и общаться с жертвами. Банда сообщила о более чем 50 успешных выплатах и \~ 4 миллионах долларов выкупа в течение четырех месяцев. Были замечены операторы, предлагающие льготное распределение доходов (80% против 70%) для акторов, нацеленных на определенных геополитических противников.

Техническая цепочка: при первоначальной доставке используются безобидные на вид файлы и многоуровневые скрипты/инструменты для сокрытия намерений, затем извлекаются связанные двоичные файлы (data2.bin/data3.bin), отключается защита конечных точек и, наконец, развертывается шифровальщик, производный от Mimic. Развертывание полезной нагрузки включает в себя выполнение enc-build.exe (Mimic encryptor), который защищен с помощью Themida, что усложняет статический анализ и распаковку. Mimic поддерживает режимы шифрования и не-шифрования; шифровальщик встраивает несколько “ключей” и выбирает один случайным образом при запуске. Инструменты восстановления расшифровывают только файлы, зашифрованные одним и тем же ключом; операторам дается указание управлять стеками ключей или конфигурациями с одним ключом в зависимости от желаемой области восстановления.

Уклонение и закрепление: установщики используют трюк с гибридным сценарием CMD/PowerShell, заключающий логику CMD в разделители комментариев в стиле PowerShell, поэтому PowerShell пропускает разделы CMD, а затем повторно вызывает себя в PowerShell. Скрипт устанавливает переменные среды, распаковывает и исправляет большие двоичные объекты данных, запускает программу-вымогатель, ожидает (≈10 секунд) и самоудаляется, чтобы свести к минимуму следы криминалистической проверки и избежать “песочниц” (был отмечен метод "раннего завершения" обхода "песочницы"). После извлечения переименованный “powrprof/powerprof.exe ” двоичный файл (копия NoDefender) вносит изменения в реестр, чтобы отключить Microsoft Defender. RaaS не распространяется самостоятельно; ожидается, что филиалы запустят шифровальщик на каждом целевом хосте, чтобы повлиять на сети.

#ParsedReport #CompletenessHigh
19-08-2025

The Coordinated Embassy Hunt: Unmasking the DPRK-linked GitHub C2 Espionage Campaign

https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: cyber_espionage)
Deep_drive

Threats:
Spear-phishing_technique
Xenorat
Confuser_tool
Moonpeak

Victims:
Embassies, Foreign ministries, Diplomatic missions

Industry:
Petroleum, Military, Healthcare, Education

Geo:
Poland, Russian, America, Koreas, Asia, Korean, French, China, North korean, Iranian, Polish, American, Chinese, North korea, Dprk, Russia, Iran, Korea

TTPs:
Tactics: 6
Technics: 24

IOCs:
File: 24
IP: 6
Domain: 1
Hash: 30
Url: 6

Soft:
Dropbox, Gmail, Chrome, Windows Defender, Task Scheduler

Algorithms:
gzip, zip, sha256, base64, md5

Win API:
Arc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Март–июль 2025 Целевой фишинг, связанный с КНДР, отправлял почтовые сообщения с паролем .сочетания клавиш lnk для запуска запутанного PowerShell, который декодировал полезные нагрузки base64 в памяти, собирал данные хоста и поддерживал закрепление. Используемый загрузчик raw.githubusercontent.com и GitHub Contents API с жестко закодированными токенами для извлечения и эксфильтрации через PUT, ссылающийся на измененные URL-адреса Dropbox. Полезной нагрузкой был GZIP .Сетевые сборки загружаются в память в виде запутанного XenoRAT (mutex Dansweit_Hk65-PSAccerdle), обеспечивающего Регистрацию нажатий клавиш, скриншоты, камеру/ микрофон, передачу файлов и удаленную оболочку.
-----

В период с марта по июль 2025 года операторы, предположительно связанные с КНДР, провели по меньшей мере 19 целенаправленных атак с использованием Целевого фишинга против сотрудников посольства и министерства иностранных дел в Сеуле. Приманки выдавали себя за дипломатов и сотрудников протокола и доставляли защищенные паролем ZIP-архивы по облачным ссылкам (Dropbox, Google Drive) и корейским почтовым сервисам (Daum). Архивы содержали ярлыки Windows с двойным расширением (например, "Срочное письмо от посла.pdf.lnk"), замаскированные значками PDF/хангыль; пароли ZIP (например, "USProtocol") были включены в электронное письмо, чтобы избежать сканирования и повысить достоверность.

Тот самый .Файлы LNK выполняли запутанные команды PowerShell, которые декодировали полезные нагрузки base64 в памяти, выполняли разведку хоста (собирали версию ОС, номер сборки, архитектуру ОС, время последней загрузки, дату установки, тип системы, запущенные процессы, IP-адрес и т.д.) и устанавливали закрепление с помощью запланированных задач. Загрузчик запросил контролируемые злоумышленником репозитории GitHub (raw.githubusercontent.com ) для получения управляющих инструкций и использовал GitHub Contents API для эксфильтрации данных с помощью запросов PUT с использованием жестко закодированных токенов личного доступа. Украденные артефакты были закодированы в base64, названы с использованием шаблонов timestamp/IP (например, "IP - MMDD_HHMM -0956_info.txt "), загружается в каталоги репозитория злоумышленника, а затем удаляется локально. В репозитории GitHub также размещался управляющий текстовый файл (onf.txt ), указывающие на URL-адреса полезной нагрузки в Dropbox; операторы быстро меняли эти URL-адреса для развертывания или удаления полезной нагрузки.

Полезные данные хранились в облаке в виде доброкачественных файлов .rtf, содержащих сжатые полезные данные GZIP. Загрузчик PowerShell исправил заголовок GZIP, перезаписав первые семь байт магической последовательностью (0x1F8B08...), распакованной с помощью System.IO.Compression.GZipStream, и загрузил полученный результат .СЕТЕВАЯ сборка в памяти через систему.Отражение.Сборка::Загрузить(). Окончательной полезной нагрузкой был Confuser Core 1.6.0-запутанный вариант XenoRAT (подобный MoonPeak), содержащий уникальный GUID ("12DE1212-167D-45BA-1284-780DA98CF901") и мьютекс ("Dansweit_Hk65-PSAccerdle"). RAT обеспечивал ведение журнала нажатий клавиш, захват скриншотов, доступ к веб-камере/микрофону, передачу файлов и удаленную оболочку, избегая при этом закрепления исполняемых артефактов на диске. Инфраструктура атаки включала в себя несколько учетных записей GitHub и многоязычные документы-приманки (54 PDF-файла на корейском, английском, персидском, арабском, французском, русском языках). Показатели соответствуют определению Kimsuky, хотя операционные модели показали нетипичное планирование, что предполагает возможную внешнюю поддержку или координацию.

#ParsedReport #CompletenessMedium
19-08-2025

Ransomware incidents in Japan during the first half of 2025

https://blog.talosintelligence.com/ransomware_incidents_in_japan_during_the_first_half_of_2025/

Report completeness: Medium

Actors/Campaigns:
Spacebears

Threats:
Qilin_ransomware
Kawalocker
Lockbit
8base
Hunters_international
Ransomhub
Lynx
Nightspire
Akira_ransomware
Cicada_ransomware
Gunra
Royal_ransomware
Clop
Devman
Fog_ransomware
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Small and medium sized enterprises, Manufacturing, Automotive, Trading companies, Construction, Transportation, Japanese companies, Japan

Industry:
Transport

Geo:
Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1041, T1047, T1059.003, T1106, T1486, T1489

IOCs:
Path: 1
Registry: 1
Command: 3
Hash: 4

Algorithms:
salsa20

Win API:
FindResourceW, CreateFileW, MiniDumpWriteDump, CreateProcessW, CreateMutexA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Число программ—вымогателей в Японии выросло в 1,4 раза в первом полугодии 2025 года, причем больше всего пострадали малые и средние предприятия, особенно обрабатывающая промышленность; Qilin нанес наибольший ущерб, а новичок Kawa4096 появился в июне. Kawa4096 загружает конфигурацию из своего PE-ресурса через FindResourceW, указывая целевые расширения, исключения, процессы/службы для уничтожения и команды пост‑шифрования (например, cmd_post=calc); он считывает новое расширение из ресурса (смещение 8, 9 байт) и принимает аргумент "all". Актор использует двойное вымогательство, сбрасывая "!!Restore-My-file-Kavva.txt " в C:\ и зашифрованных папках; KaWaLocker 2.0 в июле изменил уведомление о выкупе, указав новый контакт.
-----

Число случаев использования программ-вымогателей в Японии увеличилось примерно в 1,4 раза в первом полугодии 2025 года по сравнению с предыдущим годом, причем основными мишенями были малые и средние предприятия. Обрабатывающая промышленность оставалась наиболее пострадавшим сектором (18,2% инцидентов), за ней следовали автомобилестроение (5 случаев, 5,7%), а также торговля, строительство и транспорт (по 4 случая, 4,6%). Было установлено, что Qilin group нанесла наибольший ущерб внутри страны. LockBit и 8base — ранее распространенные — не наблюдались в 2025 году после проверок правоохранительными органами в феврале 2024 и феврале 2025 годов. Новый актор, Kawa4096, появился в конце июня и, возможно, оказал воздействие на две японские компании.

Технический анализ Kawa4096 показывает, что программа-вымогатель загружает файл конфигурации из раздела ресурсов PE, используя FindResourceW. Встроенная конфигурация определяет целевые расширения файлов, каталоги и папки для исключения, процессы и службы для завершения и произвольные команды для выполнения (примеры включают cmd_post="calc", используемый в качестве шага проверки после шифрования). Другие наблюдаемые конфигурации приводят к принудительной перезагрузке (shutdown /r /t 0) после шифрования. Расширение, добавляемое к зашифрованным файлам, также берется из данных ресурса: код считывает данные, начинающиеся с 8 байт, в загруженное значение и использует следующие 9 байт в качестве нового расширения. Двоичный файл проверяет наличие аргумента командной строки "all" при выполнении.

Программа-вымогатель реализует поведение двойного вымогательства: она отправляет записку с требованием выкупа под названием "!!Restore-My-file-Kavva.txt " в C:\ и в каждой зашифрованной папке, требуя эксфильтрации данных и угрожая публикацией в случае отказа в связи, а также перечисляя типы украденных данных (информация о сотрудниках и клиентах), чтобы оказать давление на жертв. Похожий вариант, KaWaLocker 2.0, был замечен в конце июля 2025 года; он включает измененное уведомление о выкупе с недавно добавленным контактом по электронной почте, что предполагает активную разработку и продолжение развертывания актором.