#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Beast Ransomware, разновидность штамма Monster, появилась в марте 2022 года и в основном действует из Восточной Европы или России, нацеливаясь на организации в основном в Соединенных Штатах и в нескольких других странах. Его методы распространения используют электронные письма с фишингом и скомпрометированные конечные точки RDP, при этом некоторые кампании используют вводящие в заблуждение сообщения о нарушениях авторских прав или поддельные резюме для доставки замаскированных исполняемых файлов вредоносного ПО. Модель "Программа-вымогатель как услуга" указывает на различные тактики вторжения, включая социальную инженерию и использование слабых учетных данных.
-----

Beast Ransomware, эволюционировавший вариант более раннего штамма Monster, впервые появился в марте 2022 года, и его деятельность набирала обороты через российскую анонимную торговую площадку (RAMP). Аналитики полагают, что злоумышленники, стоящие за этим программным обеспечением-вымогателем, в основном действуют из Восточной Европы или России. Программа-вымогатель в первую очередь была нацелена на организации в Соединенных Штатах, при этом подтверждены инциденты с участием десяти жертв. Дополнительные зарегистрированные случаи включают организации в Чехии, Бельгии, Дании, Индии и Гватемале, что указывает на целенаправленный, но международный оперативный охват.

Оперативные методы, используемые филиалами Beast, включают различные точки входа для развертывания Ransomware. Исследователи безопасности отмечают, что типичными векторами вторжений являются электронные письма с фишингом и скомпрометированные конечные точки Протокола удаленного рабочего стола (RDP). Эти методы часто дополняются учетными данными, приобретенными на подпольных форумах, что соответствует распространенной практике, наблюдаемой среди групп вымогателей. В 2024 году была выявлена заметная кампания, в ходе которой Beast распространялся с помощью попыток фишинга, замаскированных под предупреждения о нарушении авторских прав или ложные резюме, при этом зараженные электронные письма были связаны с внешними страницами, содержащими сжатые архивы. Эти архивы часто маскировали исполняемые файлы Beast внутри файлов, которые казались безобидными, используя значки HWP или Excel.

Учитывая модель "Программа-вымогатель как услуга", используемую Beast, тактика вторжения может сильно отличаться в разных кампаниях. Некоторые случаи могут в значительной степени зависеть от социальной инженерии посредством фишинга, в то время как другие могут использовать незащищенные сервисы или слабые методы проверки учетных данных. Такая изменчивость требует от организаций комплексной и многоуровневой стратегии защиты, включающей меры по предотвращению, обнаружению и восстановлению, подкрепленные надежными возможностями разведки киберугроз (CTI). Такая стратегия имеет решающее значение для снижения риска, связанного с различными методологиями, используемыми Beast Ransomware и его филиалами.

#ParsedReport #CompletenessLow
20-08-2025

DIANNA Explains 3DBatLoader: Master of Disguise

https://www.deepinstinct.com/blog/dianna-explains-3-dbatloader-master-of-disguise

Report completeness: Low

Threats:
Dbatloader

Industry:
Software_development

IOCs:
File: 5

Win API:
GetTickCount

Languages:
delphi

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DBatLoader - это сложное вредоносное ПО на базе Delphi, которое использует мощные методы запутывания, чтобы избежать обнаружения и усложнить анализ. Его разработка отражает тенденцию, когда злоумышленники используют законные структуры для создания продвинутых киберугроз, что свидетельствует об их адаптивности и находчивости. Появление DBatLoader подчеркивает растущую сложность и анонимность разработки вредоносного ПО, что создает проблемы для специалистов по кибербезопасности при выявлении таких угроз и борьбе с ними.
-----

DBatLoader - это сложное вредоносное ПО, разработанное с использованием языка программирования Delphi, демонстрирующее тенденцию, когда злоумышленники используют широко используемые фреймворки для создания продвинутых киберугроз. В качестве примечательного аспекта своей функциональности DBatLoader демонстрирует мощные методы запутывания, позволяющие ему избегать обнаружения и усложняющие анализ. Дизайн этого вредоносного ПО отражает значительный сдвиг в том, как действуют киберпреступники, указывая на то, что они используют законные технологии для создания вводящих в заблуждение и мощных угроз.

Возможности вредоносного ПО предполагают определенный уровень адаптивности, поскольку его создатели, похоже, выбирают среды разработки, основанные на эффективности, а не на традиционных ассоциациях с разработкой вредоносного ПО. Выбор Delphi, часто связанного с устаревшими бизнес-приложениями, подчеркивает универсальность и изобретательность злоумышленников в их стремлении к запутыванию и скрытности.

Хронология обнаружения DBatLoader's подчеркивает текущие проблемы, с которыми сталкиваются специалисты по кибербезопасности при выявлении возникающих угроз и борьбе с ними. По мере того как разработка вредоносного ПО становится все более сложной и анонимной, это вызывает тревогу по поводу прогнозируемой эволюции киберугроз, подчеркивая необходимость постоянного мониторинга и инновационных стратегий обнаружения. Поведение DBatLoader служит напоминанием об опасностях, связанных с таким продвинутым запутыванием, усиливая важность бдительности в практиках кибербезопасности.

#ParsedReport #CompletenessHigh
20-08-2025

Warlock: From SharePoint Vulnerability Exploit to Enterprise Ransomware

https://www.trendmicro.com/en_us/research/25/h/warlock-ransomware.html

Report completeness: High

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
X2anylock
Rclone_tool
Blackbasta
Toolshell_vuln
Trojan.bat.killlav.h
Trojan.win64.killlav.i
Cloudflared_tool
Nltest_tool
Credential_dumping_technique
Mimikatz_tool
Crackmapexec_tool
Secretsdump_tool
Lockbit
Dll_sideloading_technique
Cobalt_strike_tool
Xiebroc2_tool
Ransom.win32.warlock.a
Jadtre

Victims:
Technology, Critical infrastructure, Finance, Electronics, Amea region

Industry:
Critical_infrastructure, Government, Financial

Geo:
Portugal, Africa, Turkey, America, Middle east, Asia, Croatia

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)


TTPs:
Tactics: 9
Technics: 0

IOCs:
File: 89
Command: 16
Path: 7
Registry: 1
Hash: 4

Soft:
Microsoft SharePoint, Microsoft SharePoint server, nginx, PccNTMon, SharePoint server, Active Directory, Windows registry, QuickBooks, DefWatch, firefox, have more...

Algorithms:
7zip

Functions:
Get-Veeam-Creds

Win Services:
Ntrtscan, CNTAoSMgr, ccSetMgr, VeeamNFSSvc, SavRoam, RTVscan, PDVFSService, QBFCService, BackupExecVSSProvider, QBIDPService, have more...

Languages:
powershell, swift, java

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 9, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Warlock ransomware нацелен на незащищенные серверы Microsoft SharePoint, чтобы получить доступ и внедрить программу-вымогателя, одновременно извлекая конфиденциальные данные. Злоумышленники используют уязвимости для загрузки Веб-шеллов, облегчая разведку и кражу учетных данных, используя такие инструменты, как Mimikatz для credential Dumping и SMB для перемещения внутри компании. Программа-вымогатель шифрует файлы с расширением ".x2anylock", использует RClone для скрытой эксфильтрации данных и использует определенную уязвимость (CVE-2023-27532) в программном обеспечении резервного копирования Veeam для улучшения своей работы.
-----

Warlock ransomware использует уязвимости в незащищенных серверах Microsoft SharePoint для проникновения в корпоративные сети, повышения привилегий и развертывания программ-вымогателей с одновременной фильтрацией данных. Группа инициирует атаки, отправляя целевые HTTP POST-запросы для загрузки Веб-шеллов на уязвимые экземпляры SharePoint, что облегчает разведку и кражу учетных данных. Воздействие программы-вымогателя было широкомасштабным, затрагивая организации на различных континентах и в отраслях промышленности, при этом операции включали такие тактики, как злоупотребление групповой политикой и перемещение внутри компании с использованием как встроенных инструментов Windows, так и специально разработанного вредоносного ПО.

Атака начинается с использования уязвимостей Microsoft SharePoint, предоставляя злоумышленникам первоначальный доступ к внутренней сети. Они запускают пакетный файл, обнаруженный как Trojan.BAT.KILLLAV.H, подключаясь к удаленному файловому ресурсу, используя жестко закодированные учетные данные для копирования различных файлов, включая двоичный файл программы-вымогателя, в общую папку в системе. Разведка в целевой среде обширна и может включать в себя credential Dumping с помощью Mimikatz, который злоумышленники используют для получения учетных данных.

Для перемещения внутри компании группа использует Службы удаленного доступа, в частности Server Message Block (SMB), для передачи полезной нагрузки между компьютерами. Это позволяет проводить дальнейшую эксплуатацию и выполнять дополнительные полезные нагрузки. Warlock ransomware шифрует файлы, добавляя расширение ".x2anylock", и отправляет уведомление о выкупе в уязвимые каталоги, чтобы сообщить жертвам о шифровании.

Скрытый канал управления (C&C) устанавливается в скомпрометированной среде с использованием тактики Туннелирования протокола, которая помогает скрыть присутствие злоумышленника. Процедура эксфильтрации использует RClone, законный инструмент синхронизации, замаскированный под доброкачественный исполняемый файл, для передачи целевых данных во внешнее хранилище, часто используя для этого скомпрометированную учетную запись ProtonMail.

Анализ предыдущих попыток развертывания показал, что злоумышленники также использовали различные исполняемые файлы, даже переименовывая их, чтобы имитировать законные процессы, что помогает избежать обнаружения и поддерживать закрепление в системе. Их действия выявили использование уязвимости в программном обеспечении резервного копирования Veeam (CVE-2023-27532), которая позволяет злоумышленникам нацеливаться на системы, работающие с устаревшим программным обеспечением, что значительно подрывает инфраструктуру резервного копирования.

Кроме того, чтобы запутать свою деятельность, злоумышленники используют такие утилиты, как writenull.exe для перезаписи дискового пространства нулевыми байтами, что усложняет судебно-медицинскую экспертизу и препятствует восстановлению данных. Операция Warlock ransomware является примером сложной цепочки атак, демонстрирующей настоятельную необходимость для организаций использовать комплексные стратегии исправления, усиления механизмов сетевой защиты и многогранные возможности обнаружения для эффективного противодействия подобным угрозам.

#ParsedReport #CompletenessLow
20-08-2025

Patching for persistence: How DripDropper Linux malware moves through the cloud

https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/

Report completeness: Low

Actors/Campaigns:
Red_delta

Threats:
Dripdropper
Tellyouthepass
Ransomhub
Hellokitty
Kinsing_miner
Sliver_c2_tool
Chimneysweep
Whispergate
Godzilla_webshell
Lambert

Victims:
Cloud linux systems, Web servers

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190

Soft:
Linux, ActiveMQ, PyInstaller, Dropbox, Discord, Telegram, curl, Apache Maven

Languages:
java

Platforms:
intel

Links:
https://github.com/BishopFox/sliver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DripDropper - это сложное вредоносное ПО для Linux, использующее уязвимость CVE-2023-46604 в Apache ActiveMQ для удаленного выполнения кода в облачных системах Linux, обеспечивающее постоянный доступ. Вредоносное ПО представляет собой зашифрованный ELF-файл, созданный с помощью PyInstaller, что усложняет анализ, и взаимодействует с учетной записью Dropbox с помощью жестко закодированного токена. Злоумышленники эксплуатируют веб-серверы в облачных инфраструктурах, подчеркивая растущую тенденцию нацеливания на среды Linux и одновременно подчеркивая важность упреждающего мониторинга уязвимостей и управления ими.
-----

DripDropper - это сложное вредоносное ПО для Linux, которое использует уязвимость CVE-2023-46604 в Apache ActiveMQ, широко используемом брокере сообщений с открытым исходным кодом. Эта уязвимость позволяет злоумышленникам выполнять удаленный код, что позволяет им получать постоянный доступ к облачным системам Linux. Как только доступ защищен, злоумышленники исправляют уязвимость, чтобы закрепиться в системе и избежать обнаружения.

Само вредоносное ПО представляет собой зашифрованный исполняемый файл в формате ELF, сгенерированный PyInstaller, что затрудняет эффективный анализ в изолированной среде из-за его защиты паролем. DripDropper взаимодействует с учетной записью Dropbox, контролируемой злоумышленником, используя жестко закодированный токен на предъявителя, что облегчает создание двух дополнительных Вредоносных файлов, хотя точный характер обмениваемых данных остается неопределенным.

Эксплуатация веб-серверов, особенно в контексте облачной инфраструктуры и Unix-подобных систем, стала основным направлением для первоначального доступа к этим средам Linux. Эта тенденция требует специальных стратегий реагирования на инциденты, учитывающих сложности, присущие облачным архитектурам и операционным системам Linux. Защита на уровне хоста имеет жизненно важное значение - Веб—службы должны работать под учетными записями, отличными от root, чтобы минимизировать потенциальный ущерб в результате компрометации, а для предотвращения несанкционированного доступа следует применять обязательную аутентификацию.

Проактивное исправление имеет решающее значение, особенно для уязвимостей с высокой степенью риска, таких как CVE-2023-46604. Такие ресурсы, как список известных эксплуатируемых уязвимостей (KEV) CISA, могут помочь администраторам определить приоритетность устранения уязвимостей. Для организаций жизненно важно перейти от реактивной позиции, которая просто подтверждает, что проблема решена, к проактивному подходу, который включает в себя запросы о том, кто инициировал процесс исправления, и обоснование этого. Этот сдвиг может повысить эффективность программ обеспечения безопасности и реагирования на инциденты и способствовать формированию более здоровой культуры управления изменениями.

Развитие облачных сред и растущее использование технологий контейнеризации привели к росту числа атак, нацеленных на системы Linux, что показывает, что противники постоянно совершенствуют свои методы. Инцидент с DripDropper подчеркивает важность того, чтобы не полагаться исключительно на сканирование уязвимостей для обеспечения безопасности, поскольку даже системы, считающиеся чистыми, могут содержать невидимые угрозы.

#cyberthreattech

Переехали обратно на GPT 4o mini для генерации саммари, т.к. GPT5 показал себя плоховато в части лаконичности формируемого текста.

#ParsedReport #CompletenessLow
21-08-2025

Smuggling Requests with Chunked Extensions: A New HTTP Desync Trick

https://www.imperva.com/blog/smuggling-requests-with-chunked-extensions-a-new-http-desync-trick/

Report completeness: Low

Threats:
Smuggling_technique
Desync_technique

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленный метод smuggling HTTP-запросов использует синтаксический анализ несоответствий между интерфейсными системами, такими как CDNS и балансировщики нагрузки, и внутренними серверами, возникающих из-за уязвимостей в протоколе HTTP/1.1. Эта атака использует различия в интерпретации границ запросов, позволяя злоумышленникам отправлять вредоносные запросы, которые могут обойти меры безопасности. Несоответствие происходит из-за различий в реализации спецификаций HTTP с течением времени, что делает различные серверы уязвимыми для этих типов атак.
-----

Исследователи выявили новый метод smuggling HTTP-запросов, который использует расхождения в синтаксическом анализе расширений блоков между интерфейсными системами, такими как CDN и балансировщики нагрузки, и внутренними серверами. Эта атака использует уязвимости, присущие протоколу HTTP/1.1, особенно при отсутствии консенсуса относительно границ запросов. Несоответствие возникает из-за того, что HTTP/1.1 позволяет определять границы с использованием нескольких методов, включая длину содержимого и кодировку передачи: фрагментированные заголовки, что может привести к неправильной интерпретации различными компонентами сети.

Основная причина этой уязвимости связана с изменяющимися со временем реализациями спецификаций HTTP. Различные серверы, часто построенные на различных интерпретациях RFC, регулирующих HTTP, демонстрируют слабый синтаксический анализ неиспользуемых функций протокола, что делает их уязвимыми для атак smuggling запросов. Этот метод позволяет злоумышленникам отправлять вредоносные запросы, которые по-разному интерпретируются различными системами, потенциально обходя реализации безопасности и воздействуя на нижестоящие серверы.

В ответ на это обнаружение развертываются комплексные исправления безопасности для защиты затронутых систем. Ожидается, что организации, использующие брандмауэры облачных веб-приложений (WAFS) и готовые решения WAF, поддерживающие современное программное обеспечение, будут защищены от этой недавно выявленной уязвимости. Постоянный мониторинг любых возникающих вариантов этой атаки является обязательным, подчеркивая необходимость принятия упреждающих мер безопасности в условиях меняющегося ландшафта киберугроз.

#ParsedReport #CompletenessMedium
21-08-2025

Falcon Platform Prevents COOKIE SPIDER s SHAMOS Delivery on macOS

https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/

Report completeness: Medium

Actors/Campaigns:
Cookie_spider (motivation: cyber_criminal)

Threats:
Amos_stealer
Cuckoo_stealer

Geo:
Japan, Russia, Mexico, Australia, Colombia, Russian, China, Italy, Canada

TTPs:
Tactics: 1
Technics: 5

IOCs:
Domain: 2
Url: 5
File: 1
Hash: 6

Soft:
macOS, Gatekeeper, curl, Ledger Live, Sudo

Algorithms:
zip, base64, sha256

Languages:
applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания SHAMOS по вредоносному ПО, связанная с группой COOKIE SPIDER, нацелилась на более чем 300 пользователей посредством Вредоносной рекламы, перенаправляя их на вредоносные сайты, избегая российских целей из-за местных правил. Процесс установки включал загрузку файла Mach-O, изменение разрешений на выполнение и выполнение проверок на защиту от виртуальных машин, чтобы избежать обнаружения. Конфиденциальные данные, включая криптовалютные кошельки из Связки ключей и браузеров, были отфильтрованы с помощью curl после объединения в ZIP-файл с использованием тактики, задокументированной в MITRE ATT&CK framework.
-----

В период с июня по август 2025 года кампания вредоносного ПО, идентифицированная как SHAMOS, вариант Atomic macOS Stealer (AMOS), связанный с киберпреступной группой COOKIE SPIDER, пыталась скомпрометировать более 300 сред, но была успешно заблокирована платформой CrowdStrike Falcon. В этой кампании использовалась Вредоносная реклама, нацеленная на пользователей, которые ищут проблемы, связанные с macOS, перенаправляя их на вредоносные веб-сайты. Жертвы в основном находились во многих странах, включая США, Великобританию, Японию и Канаду, в то время как кампания избегала нацеливания на физических лиц в России из-за местных правил форума, запрещающих операции с товарным вредоносным ПО.

Процесс установки вредоносного ПО SHAMOS включал загрузку файла Mach-O в каталог /tmp/ и удаление расширенных атрибутов файла, чтобы избежать проверок Gatekeeper. Затем вредоносное ПО изменило разрешения, чтобы разрешить выполнение, выполнило проверку защиты от виртуальных машин, чтобы убедиться, что оно не работает в изолированной среде, и выполнило многочисленные команды AppleScript для разведки и сбора данных. Это включало поиск файлов криптовалютного кошелька и конфиденциальной информации, хранящейся в Связке ключей, AppleNotes и браузерах. После сбора конфиденциальные данные были упакованы в ZIP-файл и отфильтрованы с помощью curl.

Кроме того, кампания была связана со второй попыткой Вредоносной рекламы, в ходе которой использовался репозиторий GitHub, Маскировка под официальный репозиторий iTerm2. В этом репозитории содержались инструкции по загрузке iTerm2, легитимного эмулятора терминала для macOS, еще раз иллюстрирующие, как злоумышленники смешивают законные инструменты с вредоносными методами распространения.

Обнаружению SHAMOS CrowdStrike способствовала комбинация машинного обучения и индикаторов атаки (IOAs), позволяющая платформе идентифицировать и блокировать вредоносное ПО на различных этапах его выполнения, от начальной загрузки до попыток эксфильтрации данных. Кампания подчеркнула распространенную тактику среди акторов электронной преступности, продемонстрировав, как Вредоносная реклама может значительно увеличить посещаемость сайта и, следовательно, потенциальную виктимизацию. Более того, использование упрощенной команды установки иллюстрирует распространенный метод обхода мер безопасности, демонстрируя эволюционирующие стратегии, используемые злоумышленниками при распространении программ-похитителей информации macOS. Тактика и методы, используемые COOKIE SPIDER и SHAMOS, были задокументированы в рамках MITRE ATT&CK framework, что указывает на структурированный подход к киберугрозам.

#ParsedReport #CompletenessHigh
21-08-2025

Investigation Report: APT36 Malware Campaign Using Desktop Entry Files and Google Drive Payload Delivery

https://www.cloudsek.com/blog/investigation-report-apt36-malware-campaign-using-desktop-entry-files-and-google-drive-payload-delivery

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique
Antidebugging_technique
Spear-phishing_technique
Supply_chain_technique
Credential_dumping_technique

Victims:
Indian government, Defense sector

Industry:
Government

Geo:
Pakistan, Indian

TTPs:
Tactics: 8
Technics: 13

IOCs:
Domain: 1
Hash: 9
File: 2
IP: 1

Soft:
Linux, Unix, Firefox, curl, Gmail, Systemd

Algorithms:
base64, sha256, sha1, md5, zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4