#ParsedReport #CompletenessMedium
19-08-2025

Dawn and Swift Sunset of the Banking Troyan Gorilla

https://rt-solar.ru/solar-4rays/blog/5824/

Report completeness: Medium

Threats:
Gorilla

Victims:
Banking

Industry:
Financial

Geo:
Asia, Russian

IOCs:
File: 1
IP: 38
Hash: 205

Soft:
Telegram, Android, Django

Algorithms:
sha1, sha256, md5

Languages:
swift, kotlin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Наблюдаемая кампания по фишингу использовала Telegram-каналы / контакты для доставки приманок и полезной нагрузки. Полезная нагрузка представляет собой ранее не сообщавшийся банковский троян, получивший название "Gorilla", реализованный в Kotlin — предполагающий JVM / Android или кроссплатформенные компоненты Java ‑ и описанный как многофункциональный и коммерчески ориентированный, подразумевающий модульную монетизацию / потенциал MaaS. В отчете опускаются подробности о конкретных целях, C2, закреплении и возможностях.
-----

В марте 2025 года команда Solar 4rays выявила кампанию фишинга, которая использовала Telegram в качестве вектора распространения вредоносного программного обеспечения. Изначально кампания напоминала обычный фишинг на основе обмена сообщениями, но более глубокий технический анализ выявил присутствие ранее не зарегистрированного банковского трояна под названием "Gorilla". Способ доставки использовал каналы Telegram / контакты для распространения приманки и полезной нагрузки, скрывая вредоносное ПО за обычным контентом социальной инженерии.

Gorilla описывается как многофункциональный, коммерчески ориентированный банковский троян, реализованный на Kotlin. Выбор Kotlin в качестве языка реализации указывает на разработку на платформах, совместимых с JVM, и согласуется с ориентированным на Android вредоносным ПО или кроссплатформенными компонентами на основе Java, хотя в отчете не перечисляются конкретные целевые платформы или API. Характеристика вредоносного ПО как многофункционального и коммерчески ориентированного предполагает модульную архитектуру с множеством возможностей монетизации и потенциальную доступность для других акторов (например, MaaS или платное лицензирование), что подразумевает функциональность, выходящую за рамки простой кражи учетных данных.

В оперативном плане использование Telegram в кампании для фишинга подчеркивает тенденцию к распространению сообщений на основе приложений и методов социальной инженерии, использующих надежные каналы связи. Ключевыми техническими моментами являются: Telegram в качестве вектора, приманки для фишинга для инициирования установки, Gorilla в качестве банковского трояна с кодировкой Kotlin и коммерческий / многофункциональный дизайн, который может обеспечить разнообразные возможности мошенничества и повторного использования другими злоумышленниками. Дополнительные технические подробности (конкретные возможности, механизмы управления, закрепления или индикаторы) в резюме представлены не были.

#ParsedReport #CompletenessMedium
19-08-2025

The emergence of MountBot, which hides its processes

https://blog.nicter.jp/2025/08/mountbot_2025aug/

Report completeness: Medium

Threats:
Mountbot
Rapperbot
Socat_tool

Victims:
Iot devices, Online game servers, Minecraft servers, Asus wifi routers, Hikvision devices

Industry:
Entertainment, Iot

Geo:
Japan, Taiwan, China, Chinese, German

CVEs:
CVE-2021-362603 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1046, T1095, T1210, T1498, T1562.001, T1564.001, T1595

IOCs:
Url: 1
Hash: 5

Soft:
Linux, QEMU, curl, FiveM

Functions:
AiCloud

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MountBot - это ботнет интернета вещей, привязанный к хостингу 204.76.203.192/27, совместно используемому RapperBot. Он скрывает процессы, монтируя каталоги процессов, запускает подпрограммы-убийцы для завершения работы инструментов анализа (Wireshark, QEMU) и выдает команды iptables. Распространение использует настраиваемые сканеры (no-scanner, Telnet on 23, Hikvision), включает модули DoS/DDoS-атак, а C2 использует проприетарный зашифрованный протокол с целями, сосредоточенными на TCP 80 и 25565, в основном в Китае.
-----

MountBot - это продолжающееся семейство ботнет Интернета вещей, впервые обнаруженное в апреле и отслеживаемое как использующее ту же немецкую хостинговую сеть (204.76.203.192/27), что и недавняя инфраструктура загрузчика RapperBot, что указывает на вероятную совместную разработку или повторное использование инфраструктуры. Он активно обновлялся с момента первоначального обнаружения и повторно использует сетевую инфраструктуру, связанную с RapperBot.

Наиболее отличительной технической возможностью вредоносного ПО является скрытие процессов, достигаемое путем установки каталогов процессов, эффективно скрывающих его собственные процессы из стандартных списков процессов. Он также реализует множество подпрограмм-убийц, предназначенных для инструментов, связанных с "песочницей" и аналитикой, явно завершая процессы, связанные с Wireshark, QEMU и аналогичными средами анализа. MountBot выдает команды iptables как часть своего поведения, указывая на манипуляции с локальной фильтрацией пакетов или сетевыми конфигурациями, связанными с закреплением.

Распространение происходит с помощью настраиваемых модулей сканера. Подтвержденные режимы сканирования включают сборку без сканера, сканер Telnet, который нацелен на порт 23 для автоматического заражения, и сканер разведки, специально предназначенный для устройств Hikvision. Все варианты, поддерживающие сканер, включают модули DoS/DDoS-атак. Система управления использует запатентованный зашифрованный протокол; анализ и расшифровка протокола трафика C2 в период с 16 июля по 8 августа 2025 года выявили телеметрию цели атаки. На долю Китая приходилось более 50% наблюдаемых целей за этот период, в то время как на долю Японии приходилось примерно 4%, в основном из-за атак на серверы Minecraft. Наиболее часто атакуемыми портами были TCP 80 (HTTP) и TCP 25565 (Minecraft), что соответствовало автоматическим атакам на веб-инфраструктуру и инфраструктуру игровых серверов.

#ParsedReport #CompletenessMedium
19-08-2025

Phantomcore Exchange Ceilger Phantomcore attribution

https://habr.com/ru/companies/pt/articles/936878/

Report completeness: Medium

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Keilger
Phantomdl
Opendir_technique

Victims:
It consulting, It solutions development

Industry:
Logistic

Geo:
Russia

ChatGPT TTPs:
do not use without manual check
T1071.001, T1566.002, T1583.001

IOCs:
IP: 2
File: 4
Path: 1
Hash: 1

Soft:
DJango, Telegram, outlook, microsoft exchange

Algorithms:
xor

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantomcore внедрила Keilger (он же Exchange Ceilger) с помощью фишинга, доставляя Calculatorvyplatsetup_1.0.6.zip размещено на сайте voen-pravo.online и связано с клонированной страницей Обсуждения.рф/Voen-Pravo.ru. Keilger - это двоичный файл на базе Qt, который каждые две минуты по таймеру подключается к C2 и извлекает более 5000 учетных данных с десяти российских серверов ИТ/программного обеспечения; образцы отличались только внешним C2. В IOCs указано имя файла архива и voen-pravo.online.
-----

Отчет приписывает активность группировке Phantomcore и описывает множественные развертывания семейства вредоносных ПО, называемого Keilger (также называемого Exchange Ceilger). Распространение осуществлялось с помощью кампании фишинга, в которой размещался архив с именем Calculatorvyplatsetup_1.0.6.zip на сайте "Военное право.онлайн"; ссылка для скачивания была встроена в фишингов -клон страницы "Обсудить.рф", который копировал контент с законного Voen-Pravo.ru сайт. Второй образец Keilger был обнаружен примерно неделю спустя и функционально идентичен первому, за исключением использования другого внешнего сервера (C2).

Вредоносное ПО реализовано с использованием платформы Qt framework и создает экземпляр объекта timer, который запускает сетевое взаимодействие с инфраструктурой управления каждые две минуты. Этот периодический сигнал является основной частью его схемы связи C2. Было замечено, что в ходе кампании были собраны большие объемы учетных данных из скомпрометированных систем — было собрано более 5000 учетных записей выявленных жертв.

В оперативном плане за последние месяцы было выявлено десять серверов-жертв, на которых размещался компонент Exchange Ceilger; все жертвы - российские организации, специализирующиеся на ИТ-консалтинге или разработке программного обеспечения. Ссылка на “Exchange” в названии подразумевает таргетинг или развертывание в инфраструктуре mail/exchange на этих серверах, хотя в отчете в основном подчеркивается присутствие на серверах-жертвах и эксфильтрация учетных данных, а не подробная механика эксплуатации. Предоставленные ключевые IOCs включают в себя имя вредоносного архивного файла и распространяющий домен voen-pravo.online, а также тактику использования клонированных законных веб-страниц для размещения фишинг-ссылок. Разница между образцами была ограничена внешней конфигурацией C2, что предполагало повторное использование основного двоичного кода с простыми изменениями C2.

#ParsedReport #CompletenessLow
19-08-2025

Android Malware Promises Energy Subsidy to Steal Financial Data

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/android-malware-promises-energy-subsidy-to-steal-financial-data/

Report completeness: Low

Threats:
Smishing_technique
Pmmby

Victims:
Indian users, Energy consumers

Industry:
Government, Financial, Energy

Geo:
India, Indian

ChatGPT TTPs:
do not use without manual check
T1401, T1407, T1408, T1454, T1471

IOCs:
Url: 5
File: 2

Soft:
Android, Google Play

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу Android использует YouTube и поддельный сайт субсидий для ссылки на Dropper. Дроппер встраивает реальный APK-файл в assets/app.apk и призывает отключить подключение; полезная нагрузка PMMBY собирает телефонные номера, банковские реквизиты / UPI, перехватывает SMS (2FA) и пересылает фишинг / смайлики контактам. Эксфильтрация заключается в том, чтобы https://sqcepo.replit.app/addup.php а C2 использует Firebase.
-----

Кампания по фишингу Android, нацеленная на индийских пользователей, выдает себя за государственную службу субсидирования электроэнергии, чтобы обманом заставить жертв установить вредоносное приложение (сообщается как PMMBY). Цепочка распространения использует видеоролики YouTube и поддельный правительственный веб-сайт, который ссылается на размещенный на GitHub APK. Исходный установочный APK‑файл представляет собой дроппер: он содержит фактическое вредоносное ПО в виде встроенного APK-файла в assets/app.apk и предлагает пользователям отключить мобильные данные или Wi-Fi во время установки, что, вероятно, затруднит обнаружение в облаке и принудит к автономной установке.

Встроенный APK-файл (PMMBY) реализует несколько способов credential-stealing и распространения. Он собирает номер телефона, банковские реквизиты и PIN-коды UPI, отправленные пользователем, и отправляет их на удаленную конечную точку по адресу https://sqcepo.replit.app/addup.php . Вредоносное ПО также собирает входящие SMS-сообщения, позволяя перехватывать коды двухфакторной аутентификации, и отправляет фишинг/смс-рассылки контактам с зараженного устройства для дальнейшего распространения кампании.

Функции управления и дистанционной настройки реализованы через Firebase, что позволяет операторам удаленно управлять зараженными устройствами и, возможно, обновлять конфигурацию или полезные нагрузки. Отмеченные артефакты включают встроенный путь к APK (assets/app.apk) и компоненты инфраструктуры хостинга (GitHub для распространения APK и Replit для конечной точки эксфильтрации). Кампания основана на социальной инженерии (поддельные обещания субсидий и Маскировка под “обновление системы безопасности”) в сочетании с архитектурой dropper, перехватом SMS, распространением на основе контактов, эксфильтрацией учетных данных и удаленным управлением на основе Firebase.

#ParsedReport #CompletenessMedium
19-08-2025

APT SideWinder Actor Profile Recent Attacks, Tactics, Techniques, and Procedures

https://cybersecuritynews.com/apt-sidewinder-actor-profile/

Report completeness: Medium

Actors/Campaigns:
Sidewinder (motivation: information_theft, cyber_espionage)

Threats:
Spear-phishing_technique
Stealerbot
Warhawk
Dll_sideloading_technique
Credential_harvesting_technique
Credential_dumping_technique
Cobalt_strike_tool

Victims:
Government, Defense, Diplomatic, Financial, Maritime, Nuclear

Industry:
Military, Nuclear_power, Maritime, Critical_infrastructure, Government, Logistic, Telco

Geo:
Djibouti, India, Egypt, Middle east, Sri lanka, Africa, Ukrainian, Indian, Pakistani, Asia, China, Pakistan, Nepal, Bangladesh

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)

CVE-2017-0199 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
- microsoft windows_7 (-)
- microsoft windows_server_2008 (-, r2)
- microsoft windows_server_2012 (-)
- microsoft windows_vista (-)
have more...

TTPs:
Tactics: 10
Technics: 18

Soft:
Microsoft Office, Telegram

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная целенаправленная атака SideWinder нацелена на правительство и критически важные сектора посредством Целевого фишинга с использованием Office/ZIP и использования устаревших уязвимостей Office (CVE‑2017‑11882, CVE‑2017‑0199). Он использует многоступенчатые загрузчики (запутанный JS/.NET, шеллкод), импланты без файлов в памяти, Внедрение кода в процесс и DLL sideloading, а также модульные полезные нагрузки fields (StealerBot, WarHawk). C2 использует более 400 вращающихся HTTPS-доменов и Telegram с сбором учетных записей (RDP/браузер) для перемещения внутри компании.
-----

SideWinder (он же Rattlesnake, Razor Tiger, T-APT-04) - актор, занимающийся сложной целенаправленной атакой, действующий по меньшей мере с 2012 года и приписываемый Индии. Операции сосредоточены на сборе разведывательных данных о национальной обороне, дипломатическом, финансовом, морском и ядерном секторах по всей Евразии и Африке. Первоначальный доступ в основном достигается с помощью целенаправленного Целевого фишинга с использованием документов Microsoft Office или ZIP-вложений; в кампаниях часто используется доставка полезной нагрузки с географической привязкой и приманки, адаптированные для региона. Использование устаревших уязвимостей Office — в частности, CVE-2017-11882 и CVE-2017-0199 посредством удаленного Внедрения в шаблон — остается распространенным направлением для первоначального выполнения кода.

Для выполнения и закрепления используются многоступенчатые модульные загрузчики: запутанные компоненты JavaScript и .NET предоставляют загрузчики на основе шеллкода, которые извлекают импланты. SideWinder использует методы без файлов (импланты с резидентной памятью и Внедрение кода в процесс) и DLL side-loading путем перехвата законных двоичных файлов для обеспечения скрытого выполнения. Группа предлагает модульный инструментарий, включающий средства для кражи учетных данных (StealerBot) и бэкдоры (WarHawk), с полезной нагрузкой, предназначенной для быстрого обновления или ребрендинга после обнаружения.

Управление очень динамично: инфраструктура включает более 400 доменов с ротацией поддоменов, Зашифрованные каналы HTTPS и использование Telegram для эксфильтрации данных. Тактика уклонения включает в себя интенсивное запутывание, выполнение в памяти, чтобы избежать обнаружения на диске, частый сбой инфраструктуры и быструю модификацию вредоносного ПО по именам и поведению - иногда в течение нескольких часов после обнаружения. Перемещение внутри компании зависит от сбора учетных записей (RDP, учетные данные, сохраняемые в браузере) и повышения привилегий для перехода к смежным системам. Набор TTP группы в целом соответствует методам MITRE ATT&CK для фишинга, использования офисного программного обеспечения, автономной загрузки DLL-файлов, закрепления в памяти и динамического управления C2.

#ParsedReport #CompletenessLow
19-08-2025

Reverse Engineering of the Lockbit Linux ESXi Variant

https://hackandcheese.com/posts/blog1_lockbit/

Report completeness: Low

Threats:
Lockbit

Victims:
Esxi servers, Virtualization infrastructure, Linux servers

Industry:
Iot, Transport

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1486

IOCs:
Hash: 1

Soft:
Linux ESXi, Linux, ESXi, Wordpress, vm-support, vmdumper, vim-cmd, esxcli

Wallets:
nifty

Crypto:
bitcoin

Algorithms:
aes, xor, sha256

Win Services:
bits

Languages:
rust

Links:
https://github.com/pjok1122/AES-Optimization/blob/master/aes.c

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit Linux нацелен на VMware ESXi, предлагая интерфейс CLI для приостановки работы виртуальных машин, очистки свободного пространства, демонизации, ведения журнала и применения исключений для виртуальных машин/расширений. Он выполняет антианализ с помощью PTRACE_ATTACH, оставляет libsodium нетронутым, демонизирует с помощью /tmp/locker.pid и использует инструменты ESXi (vim-cmd, vmdumper, vm-support) для включения SSH и перечисления / приостановки виртуальных машин. Он анализирует df -h для поиска подключений и шифрует файлы для каждой виртуальной машины; 32‑байтовые ключи для каждого файла запечатываются с помощью crypto_box_seal с использованием жестко закодированного открытого ключа.
-----

Исследуемый образец - это вариант LockBit Linux, специально предназначенный для сред VMware ESXi. Он идентифицирует себя в журналах как "LockBit Linux/ESXi locker V: 1.0" и предоставляет управляемый справкой / меню CLI, который управляет такими функциями, как приостановка работы виртуальной машины, удаление свободного места, демонизация, ведение журнала и списки исключений для виртуальных машин и расширений файлов.

Антианализ: двоичный файл пытается выполнить PTRACE_ATTACH против своего родительского процесса и завершает работу, если присоединение завершается неудачей, используя это как простую проверку уклонения от обнаружения отладчиком / динамического анализа. Строки, принадлежащие вредоносному ПО, запутаны, но встроенный библиотечный код сторонних разработчиков (libsodium) отображается неизмененным, что упрощает идентификацию криптопрограмм с помощью перекрестных ссылок на строки.

Закрепление/работа: вредоносное ПО может демонизироваться с помощью libc daemon() и создает /tmp/locker.pid с эксклюзивной блокировкой, чтобы предотвратить несколько одновременных экземпляров. Ведение журнала может быть отключено, отправлено в /tmp/locklog или продублировано в стандартный вывод; журналы содержат сводку, распечатанную после завершения шифрования.

Действия, специфичные для ESXi: в примере выполняются команды управления хостом с помощью набора инструментов ESXi. Он включает SSH с помощью vim-cmd hostsvc/enable_ssh, но не содержит очевидной логики для установки постоянного ключа SSH-бэкдора. Он перечисляет запущенные виртуальные машины с помощью vmdumper -l, извлекает мировые идентификаторы (WID) и может приостановить запуск виртуальных машин перед шифрованием. Перечисление виртуальных машин для шифрования использует vm-support -listvms для извлечения папок виртуальных машин.

Поведение при очистке: опция "очистить свободное пространство" запускает df -h через popen(), анализирует текстовый вывод для извлечения путей монтирования (разбор от первого "/" до новой строки), а затем выполняет операции очистки этих путей.

Шифрование файлов: для каждой папки виртуальной машины вредоносное ПО использует glob() для составления списка файлов, применяет настраиваемые фильтры исключения (виртуальные машины и расширения файлов) и запускает потоки для шифрования файлов. Криптооперации используют libsodium: двоичный файл вызывает randombytes_buf для генерации 32-байтового буфера (256 бит), а затем шифрует этот буфер с помощью crypto_box_seal с использованием жестко закодированного открытого ключа, что указывает на гибридный подход с закрытым ящиком для защиты ключей каждого файла или полезной нагрузки.

#ParsedReport #CompletenessMedium
19-08-2025

Salty 2FA: Undetected PhaaS from Storm-1575 Hitting US and EU Industries

https://any.run/cybersecurity-blog/salty2fa-technical-analysis/

Report completeness: Medium

Actors/Campaigns:
Storm-1575
Storm-1747

Threats:
Salty_2fa_tool
Evilproxy_tool
Sneaky_2fa_tool
Tycoon_framework
Mitm_technique
Dadsec_tool
Tycoon_2fa
Mamba_2fa_tool
Gabagool_tool

Victims:
Multiple industries

Industry:
Healthcare, Financial, Energy, Telco, Petroleum, Transport, Logistic, Chemical, Government, Education

Geo:
Usa, India, Switzerland, Spain, Italy, Greece, France, Canada, Latam, Germany

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.003, T1102, T1204.001, T1566.002, T1598, T1622

IOCs:
Domain: 5
Url: 4
IP: 4

Soft:
Cloudflare Turnstile

Algorithms:
xor, base64

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4