#ParsedReport #ExtractedSchema

Classified images:
windows: 9, schema: 1, code: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crypto24 проводит многоэтапные вторжения, используя LOLBins и инструменты администратора с пользовательским вредоносным ПО и защитой от EDR (RealBlindingEDR), которые могут использовать неподписанные/уязвимые драйверы для взлома ядра. Первоначальные точки опоры с помощью создания привилегированной учетной записи и запланированных задач; 1.bat запускает WMIC для профилирования хоста. Закрепление в %ProgramData%\Update\; перемещение внутри компании через PsExec, AnyDesk, runas/групповую политику; кейлоггер WinMainSvc.dll (run_new.bat) и загрузите файл через API Google Диска через WinInet.
-----

Crypto24 проводит скоординированные многоэтапные вторжения, которые сочетают двоичные файлы Living Off the Land (LOLBins) и законные инструменты администрирования с пользовательским вредоносным ПО и специальными утилитами обхода EDR, чтобы сочетаться с обычной ИТ-деятельностью и избегать обнаружения. Первоначальные точки опоры устанавливаются с помощью создания привилегированной учетной записи и запланированных задач; разведка автоматизируется с помощью скрипта 1.bat, который использует WMIC для перечисления разделов диска, сведений об операционной системе, общей физической памяти, учетных записей локальных пользователей и членства в группах для профилирования хостов и выбора важных целей для перемещения внутри компании.

Механизмы закрепления включают создание привилегированных учетных записей и записей о запланированных задачах. Пакетные файлы и скрипты, размещенные в %ProgramData%\Update\, выполняются через регулярные промежутки времени для переустановки или запуска полезных нагрузок. Перемещение внутри компании осуществляется посредством удаленного Диспетчера управления службами(SCM) с использованием PsExec и инструментов удаленного доступа, таких как AnyDesk. Операторы также используют runas.exe и утилиты групповой политики для выполнения процессов с повышенными привилегиями и распространения активности по всей среде.

Методы обхода защиты включают развертывание пользовательской утилиты защиты от EDR (известной как RealBlindingEDR), которая пытается нейтрализовать или ослепить технологии обнаружения конечных точек; этот инструмент может использовать уязвимые или неподписанные драйверы для обеспечения взлома на уровне ядра и самозащиты агента. Пользовательские компоненты вредоносного ПО включают кейлоггер, реализованный в виде библиотеки DLL (WinMainSvc.dll ) выполняется через run_new.bat; кейлоггер фиксирует учетные данные и другие входные данные и сохраняется в запланированных задачах. Наблюдаемые каналы эксфильтрации данных включают неправильное использование API-интерфейсов Google Диска (реализованных с помощью вызовов WinInet в псевдокоде) для загрузки или извлечения файлов вне обычных корпоративных каналов.

Операция проводится в нерабочее время, чтобы снизить вероятность обнаружения, и ориентирована на корпоративные организации в Азии, Европе и США, а кампании сосредоточены на финансовых услугах, производстве, развлечениях и технологиях. Наблюдаемые имена файлов и их расположение: 1.bat, run_new.bat, WinMainSvc.dll и %ProgramData%\Update\.

#ParsedReport #CompletenessHigh
19-08-2025

Update WinRAR tools now: RomCom and others exploiting zero-day vulnerability

https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)

Threats:
Romcom_rat
Mythic_c2
Snipbot
Meltingclaw
Rustyclaw
Spear-phishing_technique
Com_hijacking_technique
Putty_tool

Victims:
Financial, Manufacturing, Defense, Logistics, Europe, Canada

Industry:
Logistic

Geo:
Russia, Canada, Ukraine, Russian, Ukrainian, Germany

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)

CVE-2024-49039 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20826)
- microsoft windows_10_1607 (<10.0.14393.7515)
- microsoft windows_10_1809 (<10.0.17763.6532)
- microsoft windows_10_21h2 (<10.0.19044.5131)
- microsoft windows_10_22h2 (<10.0.19045.5131)
have more...

TTPs:
Tactics: 12
Technics: 29

IOCs:
File: 5
Registry: 2
Url: 4
Hash: 11
Domain: 4
IP: 4

Soft:
Microsoft Word, Firefox, Tor Browser, UnRAR, Microsoft Edge, Component Object Model

Algorithms:
zip, aes, sha1

Languages:
rust

Links:
https://github.com/NoMoreFood/putty-cac
https://github.com/MythicC2Profiles/dynamichttp
have more...
https://github.com/eset/malware-ioc/tree/master/romcom

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-8088 - это WinRAR/UnRAR.dll прохождение пути в zero‑day, которым злоупотребляют в оружейных раритетах, чтобы сбросить msedge.dll ; Были затронуты WinRAR 7.12 и приложения, использующие общедоступный UnRAR. Spearphishing (18-21 июля 2025 г.) был нацелен на финансы, производство, оборону и логистику ЕС/Канады и приписывается RomCom (Storm‑0978/UNC2596), при этом также наблюдался отдельный актор. Три цепочки: Mythic LNK COM захватывает через PSFactoryBuffer/npmproxy.dll загрузка msedge.dll (AES‑расшифровывает шеллкод, проверка домена); используется SnipBot ApbxHelper.exe (модифицированный CAC PuTTY, расшифровка с использованием ключа имени файла, антианализ RecentDocs) для извлечения этапов из campanole.com ; Настройки.lnk побежал Complaint.exe (RustyClaw) для извлечения install_module_x64.dll (SHA1 01D32F...) из melamorri.com с C2 на gohazeldale.com .
-----

ESET выявила уязвимость обхода пути zero-day в WinRAR (CVE-2025-8088), эксплуатируемую в защищенных архивах RAR, из-за которой удалялась вредоносная библиотека DLL с именем msedge.dll . Ошибка затронула WinRAR 7.12 и любое программное обеспечение, использующее общедоступную Windows UnRAR.dll или его исходный код, в котором не были обновлены зависимости. Об уязвимости было сообщено 24 июля 2025 года, и она была исправлена в WinRAR 7.13 (бета-версия опубликована в тот же день; полный релиз 30 июля 2025 года).

Таргетинг осуществлялся посредством spearphishing (18-21 июля 2025 г.) против финансовых, производственных, оборонных и логистических организаций в Европе и Канаде с использованием вложений на тему резюме. Телеметрия ESET показала, что актору не удалось успешно скомпрометировать наблюдаемые цели. Активность приписывается RomCom (он же Storm-0978/UNC2596/Tropical Scorpius) на основе региона, TTP и инструментария; известно, что RomCom внедряет бэкдоры, способные выполнять команды и модульные загрузки. Второй злоумышленник также независимо использовал CVE-2025-8088.

Были замечены три различные цепочки выполнения. Цепочка агентов Mythic использовала вредоносный LNK (Updater.lnk) для добавления HKCU\SOFTWARE\Classes\CLSID\{1299CF18-C4F5-4B6A-BB0F-2299F0398E27}\InprocServer32 = %TEMP%\msedge.dll , используя COM hijacking CLSID PSFactoryBuffer, присутствующий в npmproxy.dll так что любой процесс, загружающий его (например, Edge) запускает библиотеку DLL. Библиотека DLL AES расшифровывает встроенный шеллкод и выполняет проверку цели путем сравнения доменного имени компьютера с жестко закодированным значением, завершая работу в случае несоответствия.

В варианте SnipBot использовались настройки отображения.lnk для запуска %LOCALAPPDATA%\ApbxHelper.exe , модифицированный двоичный файл CAC PuTTY, подписанный недействительным сертификатом. Загрузчик использует имя файла в качестве ключа для расшифровки строк и шелл-кода; выполнение блокируется проверкой антианализа, требующей определенного количества значений реестра RecentDocs (образец проверен на имя значения реестра "68", т.е. >=69 документов). Если он передан, шелл-код загружает следующий этап из https://campanole.com/TOfrPOseJKZ .

Третья цепочка использовала настройки.lnk для выполнения %LOCALAPPDATA%\Complaint.exe (Загрузчик RustyClaw в Rust, также с недопустимым сертификатом), который извлек полезную нагрузку (SHA-1 01D32FE88ECDEA2B934A00805E138034BF85BF83, внутреннее имя install_module_x64.dll ) из https://melamorri.com/iEZGPctehTZ ; наблюдаемый MeltingClaw C2 был https://gohazeldale.com .

#ParsedReport #CompletenessLow
19-08-2025

MadeYouReset

https://deepness-lab.org/publications/madeyoureset/

Report completeness: Low

Threats:
Madeyoureset_technique

Victims:
Web infrastructure

Industry:
Education

CVEs:
CVE-2025-8671 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-54500 [Vulners]
CVSS V3.1: 6.9,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55163 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-48989 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache tomcat (<9.0.108, <10.1.44, <11.0.10, 9.0.0)

CVE-2025-36047 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ibm websphere_application_server (<25.0.0.9)


ChatGPT TTPs:
do not use without manual check
T1498

Soft:
Apache Tomcat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MadeYouReset - это класс дефектов реализации HTTP/2, вызванных общим недостатком дизайна в том, как функции протокола обрабатываются в нескольких кодовых базах, что позволяет злоупотреблять поведением на уровне протокола. Он нацелен на обработку HTTP/2 на серверах и прокси-серверах и может быть запущен без проверки подлинности с помощью обычных взаимодействий HTTP/2, что приведет к исчерпанию ресурсов и крупномасштабному DoS. Множественные CVE соответствуют различным проявлениям в разных реализациях.
-----

MadeYouReset - это недавно раскрытый класс уязвимостей реализации HTTP/2, который проистекает из общего конструктивного недостатка в том, как функции HTTP/2 реализуются в нескольких кодовых базах. Этот недостаток позволяет злоумышленнику запускать крупномасштабные условия отказа в обслуживании на затронутых серверах, злоупотребляя поведением на уровне протокола, а не полагаясь на ошибки прикладного уровня. Различным проявлениям проблемы было присвоено несколько CVE, указывающих на различные уязвимые компоненты или варианты в разных реализациях.

Целью эксплуатации являются пути обработки протокола HTTP/2 в стеках серверов и прокси-серверов; поскольку основной причиной является общность дизайна/реализации, воздействию подвергся широкий спектр продуктов, поддерживающих HTTP/2. Совокупный эффект - это способность вызывать истощение ресурсов или иным образом нарушать нормальную обработку запросов в масштабе, позволяя проводить массированные DoS-атаки, которые могут повлиять на доступность для многих клиентов одновременно. Класс уязвимостей примечателен тем, что их можно использовать без аутентификации и с использованием стандартных взаимодействий HTTP/2, что увеличивает потенциальную поверхность атаки для конечных точек, подключенных к Интернету и поддерживающих протокол.

Поставщики выпустили исправления, устраняющие выявленные CVE; исправления обычно требуют обновления стеков HTTP/2 или применения обновлений программного обеспечения, предоставляемых поставщиком. Немедленные меры по устранению неполадок заключаются в применении этих исправлений, отключении HTTP/2, где это возможно, до обновления систем и мониторинге трафика на предмет аномальных шаблонов HTTP/2, соответствующих поведению DoS. Операторам следует провести инвентаризацию сервисов с поддержкой HTTP/2, сопоставить их с опубликованными идентификаторами CVE и определить приоритетность исправления общедоступной инфраструктуры.

#ParsedReport #CompletenessHigh
20-08-2025

A Cereal Offender: Analyzing the CORNFLAKE.V3 Backdoor

https://cloud.google.com/blog/topics/threat-intelligence/analyzing-cornflake-v3-backdoor/

Report completeness: High

Actors/Campaigns:
Landupdate808 (motivation: financially_motivated)
Unc5774 (motivation: financially_motivated)
Unc4108

Threats:
Cornflake
Clickfix_technique
Fakecaptcha_technique
Netsupportmanager_rat
Voltmarker
Seo_poisoning_technique
Credential_harvesting_technique
Kerberoasting_technique
Nltest_tool
Windytwist

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1033, T1036, T1047, T1057, T1059.001, T1059.007, T1069.002, T1071.001, T1082, have more...

IOCs:
Registry: 5
Command: 2
Url: 6
File: 31
Path: 8
IP: 5
Domain: 3
Hash: 3

Soft:
Node.js, UNIX, QEMU, active directory, Trycloudflare

Algorithms:
xor, md5, zip, base64

Functions:
Get-WmiObject, Get-Service, Get-PSDrive, mainloop, Get-LocalGroup, Get-LocalGroupMember, Get-Clipboard

Languages:
powershell, java, php, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор CORNFLAKE.V3, связанный с хакерскими группировками UNC5518 и UNC5774, использует страницы fake CAPTCHA для развертывания сценария загрузки, инициирующего цепочку заражения вредоносным ПО. Он поставляется в версиях JavaScript и PHP и подключается к серверу управления для выполнения различных полезных нагрузок, включая команды оболочки и библиотеки DLL, одновременно собирая системную информацию и выполняя разведку Active Directory, включая Керберостинг на предмет кражи учетных данных. Последний вариант, реализованный на PHP, сохраняет аналогичные функциональные возможности и извлекает дополнительную полезную нагрузку, подчеркивая растущую сложность этих скоординированных киберугроз.
-----

Бэкдор CORNFLAKE.V3, являющийся частью кампании, связанной с хакерскими группировками UNC5518 и UNC5774, расследуется Mandiant Threat Defense с середины 2024 года. UNC5518 преимущественно использует легальные веб-сайты, предоставляя страницы проверки fake CAPTCHA для распространения скрипта-загрузчика, инициируя цепочку заражения вредоносным ПО. Эта финансовая группа часто сотрудничает с другими акторами, которые используют полученный доступ для дальнейшего внедрения вредоносных программ.

CORNFLAKE.V3 проявляется в двух вариантах, написанных либо на JavaScript, либо на PHP. Он извлекает полезную нагрузку через HTTP, что позволяет ему выполнять различные типы файлов, включая команды оболочки, исполняемые файлы и библиотеки динамических ссылок (DLL). Бэкдор способен собирать базовую системную информацию и передавать ее на удаленный сервер с дополнительной возможностью злоупотреблять туннелями Cloudflare для передачи трафика через прокси. Вредоносное ПО продемонстрировало способность к закреплению и может гарантировать, что одновременно запущен только один экземпляр.

После запуска CORNFLAKE.V3 выполняет первоначальные проверки и собирает системную информацию, прежде чем установить соединение со своим сервером управления (C2). Он использует два списка (hosts и hostsIP) для управления своей связью, пытаясь подключиться к случайным записям из этих списков. Основная функция бэкдора отправляет первоначальный POST-запрос на сервер C2, содержащий зашифрованную системную информацию и результаты выполнения. Для закрепления он использует аргументы командной строки "node.exe " обработайте, извлеките и запишите исходный вредоносный скрипт в файл журнала в Node.js установочный каталог.

Вредоносное ПО может выполнять различные полезные функции. Примечательно, что было замечено проведение разведки Active Directory, которая включает в себя такие действия, как подсчет количества компьютерных объектов в домене, отображение подробного пользовательского контекста, перечисление доверенных доменов, перечисление контроллеров домена и запрос имен участников службы (SPN). Второй важной возможностью является Керберостинг, при котором он запрашивает учетные записи пользователей, связанные с SPN, для сбора учетных данных. Хэши паролей, полученные с помощью этого метода, передаются на сервер C2 для потенциального взлома.

Появился недавний вариант CORNFLAKE.V3, реализованный на PHP, сохраняющий те же функциональные возможности, что и оригинальный Node.js версия. Кроме того, после взаимодействия с сервером C2 бэкдор извлекает полезную нагрузку DLL, в частности WINDYTWIST.Бэкдор SEA, который затем запускается, еще больше расширяя его возможности в скомпрометированной среде.

Расследование подчеркивает совместную динамику современных киберугроз, иллюстрируя, как UNC5518 извлекает выгоду из скомпрометированных сайтов, в то время как другие группы, такие как UNC5774, внедряют универсальное вредоносное ПО для достижения дальнейших оперативных целей. Сосредоточение внимания на разведке и краже учетных данных свидетельствует о четком намерении перемещения внутри компании в целевых сетях, подчеркивая растущую сложность и опасность, исходящую от таких злоумышленников.

#ParsedReport #CompletenessLow
20-08-2025

Russian state-sponsored espionage group Static Tundra compromises unpatched end-of-life network devices

https://blog.talosintelligence.com/static-tundra/

Report completeness: Low

Actors/Campaigns:
Static_tundra (motivation: cyber_espionage)
Energeticbear

Threats:
Synful_knock

Victims:
Telecommunications, Higher education, Manufacturing

Industry:
Education, Telco, Government

Geo:
Africa, Ukraine, Ukrainian, Russia, America, Russian, Asia

CVEs:
CVE-2018-0171 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)


TTPs:
Tactics: 7
Technics: 0

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Static Tundra, спонсируемая российским государством группа кибершпионажа, связанная с подразделением "Центр 16" ФСБ, использует уязвимость CVE-2018-0171 в программном обеспечении Cisco IOS для атак на телекоммуникационный, образовательный и производственный секторы по всему миру. Группа уделяет особое внимание установлению постоянного доступа с помощью таких инструментов, как имплантат для прошивки SYNful Knock, и использует скомпрометированные строки сообщества SNMP для постоянного наблюдения. Их деятельность сосредоточена на перекачивании сетевого трафика и использовании сложных методов, позволяющих избежать обнаружения и сохранить контроль над скомпрометированными устройствами.
-----

Static Tundra - это спонсируемая российским государством группа кибершпионажа, предположительно связанная с подразделением ФСБ "Центр-16", известная своими давними операциями, в основном сосредоточенными на использовании Сетевых устройств для сбора разведывательной информации. Группа активно использует известную уязвимость CVE-2018-0171, которая была обнаружена семь лет назад в функции интеллектуальной установки программного обеспечения Cisco IOS. Эта уязвимость позволяет злоумышленникам использовать непатентованные и устаревшие устройства, которые являются критически важными объектами безопасности. Static Tundra в первую очередь ориентирована на организации в сфере телекоммуникаций, высшего образования и обрабатывающей промышленности во многих регионах, включая Северную Америку, Азию, Африку и Европу, уделяя особое внимание стратегическим национальным интересам.

Тактика Static Tundra делает упор на обеспечение постоянного доступа к скомпрометированным сетевым средам для длительного шпионажа. Группа использует ряд сложных методов для обеспечения незаметного доступа, в частности, историческую прошивку SYNful Knock implant и пользовательские инструменты SNMP. Использование CVE-2018-0171 является ключевым аспектом стратегии первоначального доступа, позволяющим осуществлять несанкционированные удаленные атаки, которые могут привести к отказу в обслуживании или выполнению произвольного кода. После первоначального доступа Static Tundra манипулирует службой SNMP, используя ранее скомпрометированные строки сообщества, и иногда запутывает их инфраструктуру, подменяя исходные адреса. Это позволяет обходить списки контроля доступа и облегчает выполнение команд и извлечение конфигураций.

Чтобы обеспечить долговечность своих атак, Static Tundra часто полагается на скомпрометированные строки сообщества SNMP и учетные данные, создавая привилегированные Локальные учетные записи для поддержания доступа в течение нескольких лет. Их способность изменять конфигурации TACACS+ на скомпрометированных устройствах рассматривалась как метод обхода защиты, который нарушает ведение журнала и позволяет манипулировать доступом. Для обнаружения группа использует общедоступные службы сканирования для определения местоположения потенциальных целей и использует собственные команды для скрытного обнаружения дополнительных систем, представляющих интерес.

Цели сбора включают захват значительного сетевого трафика путем создания туннелей GRE для передачи данных обратно в инфраструктуру, контролируемую злоумышленниками, и эксфильтрацию информации с помощью различных средств, включая TFTP и FTP-соединения. Cisco предоставила превентивные меры, заявив, что организациям следует исправить CVE-2018-0171 или отключить функцию интеллектуальной установки на уязвимых устройствах. Рекомендации включают применение передовых методов обеспечения безопасности, таких как использование сложных учетных данных, внедрение Многофакторной аутентификации и соблюдение руководств по ужесточению требований, поощряя при этом активное управление устаревшими технологиями. Поддержание актуальной осведомленности о рекомендациях по безопасности также важно для устранения уязвимостей, на которые нацелены сложные злоумышленники, такие как Static Tundra.

#ParsedReport #CompletenessMedium
20-08-2025

Dark Web Profile: Beast Ransomware

https://socradar.io/dark-web-profile-beast-ransomware/

Report completeness: Medium

Threats:
Beast_ransomware
Monster_ransomware
Shadow_copies_delete_technique
Boramae
Vidar_stealer
Process_injection_technique

Industry:
E-commerce, Healthcare, Education

Geo:
Russia, Denmark, Guatemala, Belgium, Czechia, Chinese, Russian, India

TTPs:
Tactics: 9
Technics: 19

IOCs:
File: 3

Soft:
Linux, ESXi, OpenSSL, MSSQL, QuickBooks, Windows Service

Algorithms:
ecdh, chacha20, xor

Languages:
delphi, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Beast Ransomware, разновидность штамма Monster, появилась в марте 2022 года и в основном действует из Восточной Европы или России, нацеливаясь на организации в основном в Соединенных Штатах и в нескольких других странах. Его методы распространения используют электронные письма с фишингом и скомпрометированные конечные точки RDP, при этом некоторые кампании используют вводящие в заблуждение сообщения о нарушениях авторских прав или поддельные резюме для доставки замаскированных исполняемых файлов вредоносного ПО. Модель "Программа-вымогатель как услуга" указывает на различные тактики вторжения, включая социальную инженерию и использование слабых учетных данных.
-----

Beast Ransomware, эволюционировавший вариант более раннего штамма Monster, впервые появился в марте 2022 года, и его деятельность набирала обороты через российскую анонимную торговую площадку (RAMP). Аналитики полагают, что злоумышленники, стоящие за этим программным обеспечением-вымогателем, в основном действуют из Восточной Европы или России. Программа-вымогатель в первую очередь была нацелена на организации в Соединенных Штатах, при этом подтверждены инциденты с участием десяти жертв. Дополнительные зарегистрированные случаи включают организации в Чехии, Бельгии, Дании, Индии и Гватемале, что указывает на целенаправленный, но международный оперативный охват.

Оперативные методы, используемые филиалами Beast, включают различные точки входа для развертывания Ransomware. Исследователи безопасности отмечают, что типичными векторами вторжений являются электронные письма с фишингом и скомпрометированные конечные точки Протокола удаленного рабочего стола (RDP). Эти методы часто дополняются учетными данными, приобретенными на подпольных форумах, что соответствует распространенной практике, наблюдаемой среди групп вымогателей. В 2024 году была выявлена заметная кампания, в ходе которой Beast распространялся с помощью попыток фишинга, замаскированных под предупреждения о нарушении авторских прав или ложные резюме, при этом зараженные электронные письма были связаны с внешними страницами, содержащими сжатые архивы. Эти архивы часто маскировали исполняемые файлы Beast внутри файлов, которые казались безобидными, используя значки HWP или Excel.

Учитывая модель "Программа-вымогатель как услуга", используемую Beast, тактика вторжения может сильно отличаться в разных кампаниях. Некоторые случаи могут в значительной степени зависеть от социальной инженерии посредством фишинга, в то время как другие могут использовать незащищенные сервисы или слабые методы проверки учетных данных. Такая изменчивость требует от организаций комплексной и многоуровневой стратегии защиты, включающей меры по предотвращению, обнаружению и восстановлению, подкрепленные надежными возможностями разведки киберугроз (CTI). Такая стратегия имеет решающее значение для снижения риска, связанного с различными методологиями, используемыми Beast Ransomware и его филиалами.

#ParsedReport #CompletenessLow
20-08-2025

DIANNA Explains 3DBatLoader: Master of Disguise

https://www.deepinstinct.com/blog/dianna-explains-3-dbatloader-master-of-disguise

Report completeness: Low

Threats:
Dbatloader

Industry:
Software_development

IOCs:
File: 5

Win API:
GetTickCount

Languages:
delphi

Platforms:
x86