#ParsedReport #CompletenessMedium
19-08-2025

Ransomware incidents in Japan during the first half of 2025

https://blog.talosintelligence.com/ransomware_incidents_in_japan_during_the_first_half_of_2025/

Report completeness: Medium

Actors/Campaigns:
Spacebears

Threats:
Qilin_ransomware
Kawalocker
Lockbit
8base
Hunters_international
Ransomhub
Lynx
Nightspire
Akira_ransomware
Cicada_ransomware
Gunra
Royal_ransomware
Clop
Devman
Fog_ransomware
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Small and medium sized enterprises, Manufacturing, Automotive, Trading companies, Construction, Transportation, Japanese companies, Japan

Industry:
Transport

Geo:
Japanese, Japan

ChatGPT TTPs:
do not use without manual check
T1041, T1047, T1059.003, T1106, T1486, T1489

IOCs:
Path: 1
Registry: 1
Command: 3
Hash: 4

Algorithms:
salsa20

Win API:
FindResourceW, CreateFileW, MiniDumpWriteDump, CreateProcessW, CreateMutexA

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Число программ—вымогателей в Японии выросло в 1,4 раза в первом полугодии 2025 года, причем больше всего пострадали малые и средние предприятия, особенно обрабатывающая промышленность; Qilin нанес наибольший ущерб, а новичок Kawa4096 появился в июне. Kawa4096 загружает конфигурацию из своего PE-ресурса через FindResourceW, указывая целевые расширения, исключения, процессы/службы для уничтожения и команды пост‑шифрования (например, cmd_post=calc); он считывает новое расширение из ресурса (смещение 8, 9 байт) и принимает аргумент "all". Актор использует двойное вымогательство, сбрасывая "!!Restore-My-file-Kavva.txt " в C:\ и зашифрованных папках; KaWaLocker 2.0 в июле изменил уведомление о выкупе, указав новый контакт.
-----

Число случаев использования программ-вымогателей в Японии увеличилось примерно в 1,4 раза в первом полугодии 2025 года по сравнению с предыдущим годом, причем основными мишенями были малые и средние предприятия. Обрабатывающая промышленность оставалась наиболее пострадавшим сектором (18,2% инцидентов), за ней следовали автомобилестроение (5 случаев, 5,7%), а также торговля, строительство и транспорт (по 4 случая, 4,6%). Было установлено, что Qilin group нанесла наибольший ущерб внутри страны. LockBit и 8base — ранее распространенные — не наблюдались в 2025 году после проверок правоохранительными органами в феврале 2024 и феврале 2025 годов. Новый актор, Kawa4096, появился в конце июня и, возможно, оказал воздействие на две японские компании.

Технический анализ Kawa4096 показывает, что программа-вымогатель загружает файл конфигурации из раздела ресурсов PE, используя FindResourceW. Встроенная конфигурация определяет целевые расширения файлов, каталоги и папки для исключения, процессы и службы для завершения и произвольные команды для выполнения (примеры включают cmd_post="calc", используемый в качестве шага проверки после шифрования). Другие наблюдаемые конфигурации приводят к принудительной перезагрузке (shutdown /r /t 0) после шифрования. Расширение, добавляемое к зашифрованным файлам, также берется из данных ресурса: код считывает данные, начинающиеся с 8 байт, в загруженное значение и использует следующие 9 байт в качестве нового расширения. Двоичный файл проверяет наличие аргумента командной строки "all" при выполнении.

Программа-вымогатель реализует поведение двойного вымогательства: она отправляет записку с требованием выкупа под названием "!!Restore-My-file-Kavva.txt " в C:\ и в каждой зашифрованной папке, требуя эксфильтрации данных и угрожая публикацией в случае отказа в связи, а также перечисляя типы украденных данных (информация о сотрудниках и клиентах), чтобы оказать давление на жертв. Похожий вариант, KaWaLocker 2.0, был замечен в конце июля 2025 года; он включает измененное уведомление о выкупе с недавно добавленным контактом по электронной почте, что предполагает активную разработку и продолжение развертывания актором.

#ParsedReport #CompletenessMedium
19-08-2025

GodRAT New RAT targeting financial institutions

https://securelist.com/godrat/117119/

Report completeness: Medium

Actors/Campaigns:
Winnti

Threats:
Godrat
Gh0st_rat
Steganography_technique
Asyncrat
Awesomepuppet
Dll_hijacking_technique

Victims:
Financial trading and brokerage firms, Financial sector

Geo:
Malaysia, United arab emirates, Arab emirates, Jordan, Lebanon, Hong kong

ChatGPT TTPs:
do not use without manual check
T1001.003, T1027, T1036.005, T1041, T1055, T1059.003, T1102, T1105, T1105, T1106, have more...

IOCs:
Hash: 25
File: 16
Registry: 1
Path: 13
IP: 6
Domain: 1
Url: 1

Soft:
curl, Internet Explorer, chrome

Algorithms:
sha2, deflate, xor, md5, zip, 7zip

Win API:
CreateProcessA, ShellExecuteA, EtwEventWrite

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания сентября 2024 года доставила вредоносный .scr через Skype с использованием Стеганографии; два варианта загрузчика (шеллкод, встроенный в двоичный файл, или считанный из образа) вводят шеллкод в свой собственный процесс. На первом этапе выполняется поиск "godinfo", XOR-декодирует config с помощью 0x63, чтобы получить C2/порт, отправляет "GETGOD" для получения bootstrap и библиотеки DLL GodRAT, упакованной в UPX (ONLINE.dll ) затем вызывает свой единственный экспортный "запуск". FileManager от GodRAT поддерживает широкие операции с файлами, выполнение и встроенный 7zip; на втором этапе удаляются средства для кражи паролей Chrome / Edge и инжектор AsyncRAT; builder / source и автоматически сгенерированные UID ссылаются на наборы инструментов Gh0st / AwesomePuppet и несколько IP-адресов/доменов C2.
-----

#ParsedReport #CompletenessMedium
19-08-2025

Analysis of Kimsuky (APT) leaked toolkit, with network disk download address

https://www.ctfiot.com/265616.html

Report completeness: Medium

Actors/Campaigns:
Kimsuky (motivation: government_sponsored, cyber_espionage)

Threats:
Cobalt_strike_tool
Rootrot
Spawnchimera

Victims:
Government, Defense

Industry:
Government, Telco, Nuclear_power

Geo:
North korean, Taiwan, Korean, Korea, China, Hong kong, Singapore, North korea

ChatGPT TTPs:
do not use without manual check
T1041, T1078, T1105, T1589

IOCs:
File: 23
IP: 6
Hash: 4

Soft:
Linux, Chrome, curl

Algorithms:
base64, zip, crc-32

Functions:
PluginManager, syn_active_check, master_main_handle

Languages:
javascript, php, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Утечка исходного кода и артефактов оператора, приписываемых северокорейскому Kimsuky, раскрывает инструменты эксфильтрации данных, включая код загрузчика/ конфигурации и адреса сетевых дисков, используемые в качестве конечных точек передачи. Восстановленные журналы и украденный контент нацелены на южнокорейские оборонные и правительственные сети (DCC, Министерство иностранных дел) и Тайвань. Пути, такие как vps/var/www/html, указывают на использование VPS webroot или размещенного хранилища для промежуточного/общедоступного поиска.
-----

Анализ охватывает утечку инструментария и данных, восстановленных с рабочих станций злоумышленников, приписываемых северокорейской сложной целенаправленной атаке Kimsuky (ссылка №14). Исследователи восстановили исходный код и артефакты из скомпрометированных операторских систем, причем набор данных был сосредоточен на компонентах эксфильтрации данных и эксплуатационных материалах. Сообщается, что утечка включает адреса загрузки с сетевого диска, используемые инструментарием для промежуточной загрузки или извлечения отфильтрованного контента.

Изъятые материалы, задокументированные в утечке, включают записи об атаках и журналы доступа южнокорейских объектов: Командования военной контрразведки (DCC), Министерства иностранных дел и других внутренних правительственных сетей Южной Кореи, а также информацию о таргетинге, связанную с Тайванем. Один явный путь к артефакту показывает агрегированные данные, хранящиеся в vps/var/www/html/, что указывает на использование VPS webroot или аналогичного размещенного хранилища для промежуточного или общедоступного поиска украденных файлов.

Поскольку исходный код присутствовал на рабочих станциях операторов, материал может раскрыть детали реализации инструментария Kimsuky, включая то, как автоматизируется эксфильтрация, используемые конечные точки передачи (адреса сетевых дисков) и методы промежуточной обработки файлов. Наличие записей о посещениях и доступе предполагает как подтвержденный доступ, так и сбор конфиденциальных внутренних документов. Эти артефакты указывают на оперативное поведение: целенаправленный сбор данных против правительства Южной Кореи и оборонных структур, использование размещенного веб-хранилища для промежуточной эксфильтрации и включение сведений о загрузчике/конфигурации в системы операторов.

#ParsedReport #CompletenessMedium
19-08-2025

Dawn and Swift Sunset of the Banking Troyan Gorilla

https://rt-solar.ru/solar-4rays/blog/5824/

Report completeness: Medium

Threats:
Gorilla

Victims:
Banking

Industry:
Financial

Geo:
Asia, Russian

IOCs:
File: 1
IP: 38
Hash: 205

Soft:
Telegram, Android, Django

Algorithms:
sha1, sha256, md5

Languages:
swift, kotlin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдаемая кампания по фишингу использовала Telegram-каналы / контакты для доставки приманок и полезной нагрузки. Полезная нагрузка представляет собой ранее не сообщавшийся банковский троян, получивший название "Gorilla", реализованный в Kotlin — предполагающий JVM / Android или кроссплатформенные компоненты Java ‑ и описанный как многофункциональный и коммерчески ориентированный, подразумевающий модульную монетизацию / потенциал MaaS. В отчете опускаются подробности о конкретных целях, C2, закреплении и возможностях.
-----

В марте 2025 года команда Solar 4rays выявила кампанию фишинга, которая использовала Telegram в качестве вектора распространения вредоносного программного обеспечения. Изначально кампания напоминала обычный фишинг на основе обмена сообщениями, но более глубокий технический анализ выявил присутствие ранее не зарегистрированного банковского трояна под названием "Gorilla". Способ доставки использовал каналы Telegram / контакты для распространения приманки и полезной нагрузки, скрывая вредоносное ПО за обычным контентом социальной инженерии.

Gorilla описывается как многофункциональный, коммерчески ориентированный банковский троян, реализованный на Kotlin. Выбор Kotlin в качестве языка реализации указывает на разработку на платформах, совместимых с JVM, и согласуется с ориентированным на Android вредоносным ПО или кроссплатформенными компонентами на основе Java, хотя в отчете не перечисляются конкретные целевые платформы или API. Характеристика вредоносного ПО как многофункционального и коммерчески ориентированного предполагает модульную архитектуру с множеством возможностей монетизации и потенциальную доступность для других акторов (например, MaaS или платное лицензирование), что подразумевает функциональность, выходящую за рамки простой кражи учетных данных.

В оперативном плане использование Telegram в кампании для фишинга подчеркивает тенденцию к распространению сообщений на основе приложений и методов социальной инженерии, использующих надежные каналы связи. Ключевыми техническими моментами являются: Telegram в качестве вектора, приманки для фишинга для инициирования установки, Gorilla в качестве банковского трояна с кодировкой Kotlin и коммерческий / многофункциональный дизайн, который может обеспечить разнообразные возможности мошенничества и повторного использования другими злоумышленниками. Дополнительные технические подробности (конкретные возможности, механизмы управления, закрепления или индикаторы) в резюме представлены не были.

#ParsedReport #CompletenessMedium
19-08-2025

The emergence of MountBot, which hides its processes

https://blog.nicter.jp/2025/08/mountbot_2025aug/

Report completeness: Medium

Threats:
Mountbot
Rapperbot
Socat_tool

Victims:
Iot devices, Online game servers, Minecraft servers, Asus wifi routers, Hikvision devices

Industry:
Entertainment, Iot

Geo:
Japan, Taiwan, China, Chinese, German

CVEs:
CVE-2021-362603 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1046, T1095, T1210, T1498, T1562.001, T1564.001, T1595

IOCs:
Url: 1
Hash: 5

Soft:
Linux, QEMU, curl, FiveM

Functions:
AiCloud

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MountBot - это ботнет интернета вещей, привязанный к хостингу 204.76.203.192/27, совместно используемому RapperBot. Он скрывает процессы, монтируя каталоги процессов, запускает подпрограммы-убийцы для завершения работы инструментов анализа (Wireshark, QEMU) и выдает команды iptables. Распространение использует настраиваемые сканеры (no-scanner, Telnet on 23, Hikvision), включает модули DoS/DDoS-атак, а C2 использует проприетарный зашифрованный протокол с целями, сосредоточенными на TCP 80 и 25565, в основном в Китае.
-----

MountBot - это продолжающееся семейство ботнет Интернета вещей, впервые обнаруженное в апреле и отслеживаемое как использующее ту же немецкую хостинговую сеть (204.76.203.192/27), что и недавняя инфраструктура загрузчика RapperBot, что указывает на вероятную совместную разработку или повторное использование инфраструктуры. Он активно обновлялся с момента первоначального обнаружения и повторно использует сетевую инфраструктуру, связанную с RapperBot.

Наиболее отличительной технической возможностью вредоносного ПО является скрытие процессов, достигаемое путем установки каталогов процессов, эффективно скрывающих его собственные процессы из стандартных списков процессов. Он также реализует множество подпрограмм-убийц, предназначенных для инструментов, связанных с "песочницей" и аналитикой, явно завершая процессы, связанные с Wireshark, QEMU и аналогичными средами анализа. MountBot выдает команды iptables как часть своего поведения, указывая на манипуляции с локальной фильтрацией пакетов или сетевыми конфигурациями, связанными с закреплением.

Распространение происходит с помощью настраиваемых модулей сканера. Подтвержденные режимы сканирования включают сборку без сканера, сканер Telnet, который нацелен на порт 23 для автоматического заражения, и сканер разведки, специально предназначенный для устройств Hikvision. Все варианты, поддерживающие сканер, включают модули DoS/DDoS-атак. Система управления использует запатентованный зашифрованный протокол; анализ и расшифровка протокола трафика C2 в период с 16 июля по 8 августа 2025 года выявили телеметрию цели атаки. На долю Китая приходилось более 50% наблюдаемых целей за этот период, в то время как на долю Японии приходилось примерно 4%, в основном из-за атак на серверы Minecraft. Наиболее часто атакуемыми портами были TCP 80 (HTTP) и TCP 25565 (Minecraft), что соответствовало автоматическим атакам на веб-инфраструктуру и инфраструктуру игровых серверов.

#ParsedReport #CompletenessMedium
19-08-2025

Phantomcore Exchange Ceilger Phantomcore attribution

https://habr.com/ru/companies/pt/articles/936878/

Report completeness: Medium

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Keilger
Phantomdl
Opendir_technique

Victims:
It consulting, It solutions development

Industry:
Logistic

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.002, T1583.001

IOCs:
IP: 2
File: 4
Path: 1
Hash: 1

Soft:
DJango, Telegram, outlook, microsoft exchange

Algorithms:
xor

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantomcore внедрила Keilger (он же Exchange Ceilger) с помощью фишинга, доставляя Calculatorvyplatsetup_1.0.6.zip размещено на сайте voen-pravo.online и связано с клонированной страницей Обсуждения.рф/Voen-Pravo.ru. Keilger - это двоичный файл на базе Qt, который каждые две минуты по таймеру подключается к C2 и извлекает более 5000 учетных данных с десяти российских серверов ИТ/программного обеспечения; образцы отличались только внешним C2. В IOCs указано имя файла архива и voen-pravo.online.
-----

Отчет приписывает активность группировке Phantomcore и описывает множественные развертывания семейства вредоносных ПО, называемого Keilger (также называемого Exchange Ceilger). Распространение осуществлялось с помощью кампании фишинга, в которой размещался архив с именем Calculatorvyplatsetup_1.0.6.zip на сайте "Военное право.онлайн"; ссылка для скачивания была встроена в фишингов -клон страницы "Обсудить.рф", который копировал контент с законного Voen-Pravo.ru сайт. Второй образец Keilger был обнаружен примерно неделю спустя и функционально идентичен первому, за исключением использования другого внешнего сервера (C2).

Вредоносное ПО реализовано с использованием платформы Qt framework и создает экземпляр объекта timer, который запускает сетевое взаимодействие с инфраструктурой управления каждые две минуты. Этот периодический сигнал является основной частью его схемы связи C2. Было замечено, что в ходе кампании были собраны большие объемы учетных данных из скомпрометированных систем — было собрано более 5000 учетных записей выявленных жертв.

В оперативном плане за последние месяцы было выявлено десять серверов-жертв, на которых размещался компонент Exchange Ceilger; все жертвы - российские организации, специализирующиеся на ИТ-консалтинге или разработке программного обеспечения. Ссылка на “Exchange” в названии подразумевает таргетинг или развертывание в инфраструктуре mail/exchange на этих серверах, хотя в отчете в основном подчеркивается присутствие на серверах-жертвах и эксфильтрация учетных данных, а не подробная механика эксплуатации. Предоставленные ключевые IOCs включают в себя имя вредоносного архивного файла и распространяющий домен voen-pravo.online, а также тактику использования клонированных законных веб-страниц для размещения фишинг-ссылок. Разница между образцами была ограничена внешней конфигурацией C2, что предполагало повторное использование основного двоичного кода с простыми изменениями C2.

#ParsedReport #CompletenessLow
19-08-2025

Android Malware Promises Energy Subsidy to Steal Financial Data

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-promises-energy-subsidy-to-steal-financial-data/

Report completeness: Low

Threats:
Smishing_technique
Pmmby

Victims:
Indian users, Energy consumers

Industry:
Government, Financial, Energy

Geo:
India, Indian

ChatGPT TTPs:
do not use without manual check
T1401, T1407, T1408, T1454, T1471

IOCs:
Url: 5
File: 2

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4