#ParsedReport #CompletenessLow
20-08-2025

Patching for persistence: How DripDropper Linux malware moves through the cloud

https://redcanary.com/blog/threat-intelligence/dripdropper-linux-malware/

Report completeness: Low

Actors/Campaigns:
Red_delta

Threats:
Dripdropper
Tellyouthepass
Ransomhub
Hellokitty
Kinsing_miner
Sliver_c2_tool
Chimneysweep
Whispergate
Godzilla_webshell
Lambert

Victims:
Cloud linux systems, Web servers

CVEs:
CVE-2023-46604 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apache activemq (<5.15.16, <5.16.7, <5.17.6, <5.18.3)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190

Soft:
Linux, ActiveMQ, PyInstaller, Dropbox, Discord, Telegram, curl, Apache Maven

Languages:
java

Platforms:
intel

Links:
https://github.com/BishopFox/sliver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DripDropper - это сложное вредоносное ПО для Linux, использующее уязвимость CVE-2023-46604 в Apache ActiveMQ для удаленного выполнения кода в облачных системах Linux, обеспечивающее постоянный доступ. Вредоносное ПО представляет собой зашифрованный ELF-файл, созданный с помощью PyInstaller, что усложняет анализ, и взаимодействует с учетной записью Dropbox с помощью жестко закодированного токена. Злоумышленники эксплуатируют веб-серверы в облачных инфраструктурах, подчеркивая растущую тенденцию нацеливания на среды Linux и одновременно подчеркивая важность упреждающего мониторинга уязвимостей и управления ими.
-----

DripDropper - это сложное вредоносное ПО для Linux, которое использует уязвимость CVE-2023-46604 в Apache ActiveMQ, широко используемом брокере сообщений с открытым исходным кодом. Эта уязвимость позволяет злоумышленникам выполнять удаленный код, что позволяет им получать постоянный доступ к облачным системам Linux. Как только доступ защищен, злоумышленники исправляют уязвимость, чтобы закрепиться в системе и избежать обнаружения.

Само вредоносное ПО представляет собой зашифрованный исполняемый файл в формате ELF, сгенерированный PyInstaller, что затрудняет эффективный анализ в изолированной среде из-за его защиты паролем. DripDropper взаимодействует с учетной записью Dropbox, контролируемой злоумышленником, используя жестко закодированный токен на предъявителя, что облегчает создание двух дополнительных Вредоносных файлов, хотя точный характер обмениваемых данных остается неопределенным.

Эксплуатация веб-серверов, особенно в контексте облачной инфраструктуры и Unix-подобных систем, стала основным направлением для первоначального доступа к этим средам Linux. Эта тенденция требует специальных стратегий реагирования на инциденты, учитывающих сложности, присущие облачным архитектурам и операционным системам Linux. Защита на уровне хоста имеет жизненно важное значение - Веб—службы должны работать под учетными записями, отличными от root, чтобы минимизировать потенциальный ущерб в результате компрометации, а для предотвращения несанкционированного доступа следует применять обязательную аутентификацию.

Проактивное исправление имеет решающее значение, особенно для уязвимостей с высокой степенью риска, таких как CVE-2023-46604. Такие ресурсы, как список известных эксплуатируемых уязвимостей (KEV) CISA, могут помочь администраторам определить приоритетность устранения уязвимостей. Для организаций жизненно важно перейти от реактивной позиции, которая просто подтверждает, что проблема решена, к проактивному подходу, который включает в себя запросы о том, кто инициировал процесс исправления, и обоснование этого. Этот сдвиг может повысить эффективность программ обеспечения безопасности и реагирования на инциденты и способствовать формированию более здоровой культуры управления изменениями.

Развитие облачных сред и растущее использование технологий контейнеризации привели к росту числа атак, нацеленных на системы Linux, что показывает, что противники постоянно совершенствуют свои методы. Инцидент с DripDropper подчеркивает важность того, чтобы не полагаться исключительно на сканирование уязвимостей для обеспечения безопасности, поскольку даже системы, считающиеся чистыми, могут содержать невидимые угрозы.

#cyberthreattech

Переехали обратно на GPT 4o mini для генерации саммари, т.к. GPT5 показал себя плоховато в части лаконичности формируемого текста.

#ParsedReport #CompletenessLow
21-08-2025

Smuggling Requests with Chunked Extensions: A New HTTP Desync Trick

https://www.imperva.com/blog/smuggling-requests-with-chunked-extensions-a-new-http-desync-trick/

Report completeness: Low

Threats:
Smuggling_technique
Desync_technique

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленный метод smuggling HTTP-запросов использует синтаксический анализ несоответствий между интерфейсными системами, такими как CDNS и балансировщики нагрузки, и внутренними серверами, возникающих из-за уязвимостей в протоколе HTTP/1.1. Эта атака использует различия в интерпретации границ запросов, позволяя злоумышленникам отправлять вредоносные запросы, которые могут обойти меры безопасности. Несоответствие происходит из-за различий в реализации спецификаций HTTP с течением времени, что делает различные серверы уязвимыми для этих типов атак.
-----

Исследователи выявили новый метод smuggling HTTP-запросов, который использует расхождения в синтаксическом анализе расширений блоков между интерфейсными системами, такими как CDN и балансировщики нагрузки, и внутренними серверами. Эта атака использует уязвимости, присущие протоколу HTTP/1.1, особенно при отсутствии консенсуса относительно границ запросов. Несоответствие возникает из-за того, что HTTP/1.1 позволяет определять границы с использованием нескольких методов, включая длину содержимого и кодировку передачи: фрагментированные заголовки, что может привести к неправильной интерпретации различными компонентами сети.

Основная причина этой уязвимости связана с изменяющимися со временем реализациями спецификаций HTTP. Различные серверы, часто построенные на различных интерпретациях RFC, регулирующих HTTP, демонстрируют слабый синтаксический анализ неиспользуемых функций протокола, что делает их уязвимыми для атак smuggling запросов. Этот метод позволяет злоумышленникам отправлять вредоносные запросы, которые по-разному интерпретируются различными системами, потенциально обходя реализации безопасности и воздействуя на нижестоящие серверы.

В ответ на это обнаружение развертываются комплексные исправления безопасности для защиты затронутых систем. Ожидается, что организации, использующие брандмауэры облачных веб-приложений (WAFS) и готовые решения WAF, поддерживающие современное программное обеспечение, будут защищены от этой недавно выявленной уязвимости. Постоянный мониторинг любых возникающих вариантов этой атаки является обязательным, подчеркивая необходимость принятия упреждающих мер безопасности в условиях меняющегося ландшафта киберугроз.

#ParsedReport #CompletenessMedium
21-08-2025

Falcon Platform Prevents COOKIE SPIDER s SHAMOS Delivery on macOS

https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/

Report completeness: Medium

Actors/Campaigns:
Cookie_spider (motivation: cyber_criminal)

Threats:
Amos_stealer
Cuckoo_stealer

Geo:
Japan, Russia, Mexico, Australia, Colombia, Russian, China, Italy, Canada

TTPs:
Tactics: 1
Technics: 5

IOCs:
Domain: 2
Url: 5
File: 1
Hash: 6

Soft:
macOS, Gatekeeper, curl, Ledger Live, Sudo

Algorithms:
zip, base64, sha256

Languages:
applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания SHAMOS по вредоносному ПО, связанная с группой COOKIE SPIDER, нацелилась на более чем 300 пользователей посредством Вредоносной рекламы, перенаправляя их на вредоносные сайты, избегая российских целей из-за местных правил. Процесс установки включал загрузку файла Mach-O, изменение разрешений на выполнение и выполнение проверок на защиту от виртуальных машин, чтобы избежать обнаружения. Конфиденциальные данные, включая криптовалютные кошельки из Связки ключей и браузеров, были отфильтрованы с помощью curl после объединения в ZIP-файл с использованием тактики, задокументированной в MITRE ATT&CK framework.
-----

В период с июня по август 2025 года кампания вредоносного ПО, идентифицированная как SHAMOS, вариант Atomic macOS Stealer (AMOS), связанный с киберпреступной группой COOKIE SPIDER, пыталась скомпрометировать более 300 сред, но была успешно заблокирована платформой CrowdStrike Falcon. В этой кампании использовалась Вредоносная реклама, нацеленная на пользователей, которые ищут проблемы, связанные с macOS, перенаправляя их на вредоносные веб-сайты. Жертвы в основном находились во многих странах, включая США, Великобританию, Японию и Канаду, в то время как кампания избегала нацеливания на физических лиц в России из-за местных правил форума, запрещающих операции с товарным вредоносным ПО.

Процесс установки вредоносного ПО SHAMOS включал загрузку файла Mach-O в каталог /tmp/ и удаление расширенных атрибутов файла, чтобы избежать проверок Gatekeeper. Затем вредоносное ПО изменило разрешения, чтобы разрешить выполнение, выполнило проверку защиты от виртуальных машин, чтобы убедиться, что оно не работает в изолированной среде, и выполнило многочисленные команды AppleScript для разведки и сбора данных. Это включало поиск файлов криптовалютного кошелька и конфиденциальной информации, хранящейся в Связке ключей, AppleNotes и браузерах. После сбора конфиденциальные данные были упакованы в ZIP-файл и отфильтрованы с помощью curl.

Кроме того, кампания была связана со второй попыткой Вредоносной рекламы, в ходе которой использовался репозиторий GitHub, Маскировка под официальный репозиторий iTerm2. В этом репозитории содержались инструкции по загрузке iTerm2, легитимного эмулятора терминала для macOS, еще раз иллюстрирующие, как злоумышленники смешивают законные инструменты с вредоносными методами распространения.

Обнаружению SHAMOS CrowdStrike способствовала комбинация машинного обучения и индикаторов атаки (IOAs), позволяющая платформе идентифицировать и блокировать вредоносное ПО на различных этапах его выполнения, от начальной загрузки до попыток эксфильтрации данных. Кампания подчеркнула распространенную тактику среди акторов электронной преступности, продемонстрировав, как Вредоносная реклама может значительно увеличить посещаемость сайта и, следовательно, потенциальную виктимизацию. Более того, использование упрощенной команды установки иллюстрирует распространенный метод обхода мер безопасности, демонстрируя эволюционирующие стратегии, используемые злоумышленниками при распространении программ-похитителей информации macOS. Тактика и методы, используемые COOKIE SPIDER и SHAMOS, были задокументированы в рамках MITRE ATT&CK framework, что указывает на структурированный подход к киберугрозам.

#ParsedReport #CompletenessHigh
21-08-2025

Investigation Report: APT36 Malware Campaign Using Desktop Entry Files and Google Drive Payload Delivery

https://www.cloudsek.com/blog/investigation-report-apt36-malware-campaign-using-desktop-entry-files-and-google-drive-payload-delivery

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique
Antidebugging_technique
Spear-phishing_technique
Supply_chain_technique
Credential_dumping_technique

Victims:
Indian government, Defense sector

Industry:
Government

Geo:
Pakistan, Indian

TTPs:
Tactics: 8
Technics: 13

IOCs:
Domain: 1
Hash: 9
File: 2
IP: 1

Soft:
Linux, Unix, Firefox, curl, Gmail, Systemd

Algorithms:
base64, sha256, sha1, md5, zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT36, известная как Transparent Tribe, нацелена на индийское правительство и оборонные структуры с помощью кампании кибершпионажа, используя вредоносные файлы Linux ".desktop", доставляемые с помощью фишинга в ZIP-архивах, которые загружают полезные файлы с Google Диска. Эти файлы маскируют вредоносные компоненты, встраивая значок в кодировке Base64, чтобы избежать обнаружения. Вредоносное ПО подключается к серверу C2 с помощью технологии WebSocket и использует такие тактики, как фиктивные проверки уклонения, чтобы помешать анализу, что указывает на изощренные и развивающиеся методы атаки APT36's.
-----

Группа APT36, также известная как Transparent Tribe, запустила кампанию кибершпионажа, специально нацеленную на индийское правительство и оборонные структуры, по крайней мере, с августа 2025 года. Эта кампания включает в себя сложные методы, использующие вредоносные файлы Linux ".desktop", которые обычно являются файлами конфигурации, используемыми для создания ярлыков приложений и средств запуска в средах Linux. Кампания по фишингу доставляет эти файлы в ZIP-архивах, из которых они загружают вредоносные полезные файлы, размещенные на Google Диске.

Файлы .desktop, используемые в этой атаке, маскируются путем встраивания изображения значка в кодировке Base64. Эта тактика помогает файлам выдавать себя за подлинные документы, что снижает вероятность возникновения подозрений. Кроме того, встроенный вредоносный компонент скрывается под данными значка, что позволяет избежать случайного обнаружения.

После запуска вредоносное ПО устанавливает закрепление и подключается к серверу управления (C2), идентифицированному с помощью технологии WebSocket, в частности к домену seemysitelive.store. Сообщается, что этот сервер отправляет обратно сообщение, указывающее на то, что это "Скрытый сервер", намекая на уровень запутывания, используемый APT36. Вредоносное ПО также включает в себя механизмы выполнения, такие как "фиктивные проверки уклонения", которые предназначены для того, чтобы помешать усилиям по отладке и анализу, тратя впустую время и обнаруживая средства мониторинга.

Переход к использованию Google Диска в качестве способа доставки знаменует собой заметную эволюцию в стратегиях APT36's атак. Этот метод не только облегчает Целевой фишинг, но и представляет значительный риск для систем на базе Linux в государственном и военном секторах из-за растущей зависимости от Облачных сервисов для обмена файлами.

Исследователи рекомендуют принять немедленные меры по устранению этой угрозы, включая блокировку идентифицированного домена C2, проверку на наличие признаков компрометации и усиление защиты электронной почты и конечных точек в целевых организациях. Постоянное внимание группы APT36 к сбору учетных записей и более изощренным векторам атак продолжает подчеркивать их угрозу чувствительным средам.

#ParsedReport #CompletenessLow
21-08-2025

Phishing in the Cloud: SendGrid Campaign Exploits Account Security

https://cofense.com/blog/phishing-in-the-cloud-sendgrid-campaign-exploits-account-security

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Sendgrid users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1566.002, T1589.003

IOCs:
Url: 6
IP: 10

Soft:
SendGrid

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена недавняя кампания по сбору учетных записей, использующая электронные письма с фишингом, отправляемые через SendGrid, надежный почтовый сервис. Злоумышленники используют поддельные адреса отправителей и срочные темы, чтобы обманом заставить получателей действовать быстро и раскрыть учетные данные для входа в систему. Это указывает на серьезную угрозу, когда злоумышленники используют надежные платформы электронной почты для обхода мер безопасности.
-----

Недавние наблюдения Центра защиты от фишинга Cofense свидетельствуют о кампании по сбору учетных записей с использованием фишингов электронных писем, отправляемых через SendGrid, авторитетный облачный сервис электронной почты. Злоумышленники используют надежную репутацию SendGrid для создания электронных писем, которые кажутся законными, эффективно обходя стандартные меры безопасности электронной почты. Эта атака характеризуется использованием поддельных адресов отправителей, что усиливает иллюзию того, что электронные письма являются подлинными сообщениями от SendGrid.

Кампания по фишингу состоит из трех различных тем электронной почты, каждая из которых предназначена для того, чтобы вызвать у получателя ощущение срочности. Эта срочность передается как в строках темы, так и в тексте сообщения, побуждая получателей действовать быстро, не проверяя подлинность электронного письма. Используя такую тактику, злоумышленники повышают вероятность того, что получатели попадутся на схему фишинга и невольно раскроют свои учетные данные.

Поскольку организации все больше полагаются на законные сторонние сервисы для обмена сообщениями по электронной почте, кампании фишинга, использующие эти платформы, создают значительные угрозы безопасности учетных записей. Осведомленность об этой тактике крайне важна для пользователей и организаций, чтобы распознавать потенциальные попытки фишинга и принимать соответствующие меры для защиты конфиденциальной информации.

#ParsedReport #CompletenessMedium
21-08-2025

IBM X-Force Threat Analysis: QuirkyLoader - A new malware loader delivering infostealers and RATs

https://www.ibm.com/think/x-force/ibm-x-force-threat-analysis-quirkyloader

Report completeness: Medium

Threats:
Quirkyloader
Dll_sideloading_technique
Process_hollowing_technique
Snake_keylogger
Remcos_rat
Asyncrat
Agent_tesla

Victims:
Nusoft taiwan, Individuals

Industry:
Telco

Geo:
Mexico, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1566.001, T1574.002, T1583.006, T1587.001

IOCs:
File: 3
Domain: 2
IP: 2
Coin: 2

Soft:
Instagram, Zimbra

Algorithms:
xor

Functions:
ZwUnmapViewOfSection, ZwWriteVirtualMemory

Win API:
CreateFileW, ReadFile, CreateProcessW, SetThreadContext, ResumeThread, GetProcAddress, OpenProcess, TerminateProcess, CloseHandle, GetThreadContext, have more...

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
QuirkyLoader - это недавно обнаруженный загрузчик вредоносного ПО, который распространяет различные вредоносные программы, в том числе инфокрадеры и трояны удаленного доступа, в основном через вредоносные архивные файлы в спам-письмах. Он оснащен модулем загрузки DLL, реализованным на C# .NET с использованием предварительной компиляции (AOT), что повышает его скрытность за счет имитации собственных двоичных файлов. Недавние кампании были нацелены на такие регионы, как Тайвань и Мексика, распространяя хорошо известные семейства вредоносных ПО, такие как Agent Tesla и Remcos, демонстрируя сложный многоэтапный подход к заражению.
-----

QuirkyLoader - это недавно идентифицированный загрузчик вредоносного ПО, который облегчает распространение различных вредоносных полезных нагрузок, включая инфокрадов и троянов удаленного доступа (RATs). Заражение обычно начинается, когда пользователь открывает вредоносный архивный файл, прикрепленный к спам-письму. Этот архив часто содержит законный исполняемый файл вместе с зашифрованной полезной нагрузкой, замаскированной под библиотеку DLL, а также модуль загрузки библиотеки DLL. В определенных случаях архив может содержать дополнительные законные библиотеки DLL, чтобы еще больше скрыть злонамеренные намерения загрузчика.

Модуль загрузки DLL в QuirkyLoader примечателен тем, что для его реализации последовательно используется C# .NET. В нем используется предварительная компиляция (AOT), которая сначала компилирует код C# в Microsoft Intermediate Language (MSIL), а затем преобразует MSIL в машинный код. Этот метод отличается от общепринятого.Процесс сетевой компиляции, эффективно позволяющий конечному двоичному файлу напоминать программу, построенную на C или C++. Этот метод повышает скрытность вредоносного ПО, маскируя его истинную природу.

Недавние виктимологические исследования показывают, что QuirkyLoader активно участвовал в конкретных кампаниях в июле 2025 года, нацеленных на такие регионы, как Тайвань и Мексика. Кампания на Тайване была сосредоточена на сотрудниках Nusoft Taiwan, исследовательской фирмы по безопасности, распространявшей Snake Keylogger infostealer. В Мексике злоумышленники атаковали различных лиц как с помощью Remcos RAT, так и с помощью AsyncRAT.

В ходе дальнейших расследований была обнаружена сетевая инфраструктура, связанная с распространением этих вредоносных электронных писем, которая ведет к домену catherinereynolds.info. Этот домен имеет IP-адрес 157.66.225.11 и содержит веб-клиент Zimbra. Он использует SSL-сертификат, связанный с общим именем mail.catherinereynolds.info. Дополнительные IP-адреса, 103.75.77.90 и 161.248.178.212, были подключены к той же инфраструктуре из-за схожих характеристик, что свидетельствует о скоординированных усилиях.

Таким образом, QuirkyLoader является примером многоэтапной методологии заражения, которая использует хорошо известные семейства вредоносных ПО, такие как Agent Tesla, AsyncRAT и Remcos. Используя вредоносные кампании по электронной почте и сложные методы DLL side-loading, QuirkyLoader способен запускать свой основной модуль DLL, который впоследствии расшифровывает и вводит предполагаемую полезную нагрузку. Этот загрузчик вредоносного ПО представляет собой серьезную угрозу в сфере кибербезопасности, подчеркивая меняющуюся тактику злоумышленников.

#ParsedReport #CompletenessMedium
20-08-2025

Cybercriminals Abuse AI Website Creation App For Phishing

https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_framework
Aitm_technique
Doiloader
Quasar_rat
Clickfix_technique

Victims:
Organizations, Users, Ups customers, Aave users, German software company customers

Industry:
Logistic, Transport, Financial

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566.002, T1584.001

IOCs:
File: 4
Url: 8
IP: 1

Soft:
Telegram, Azure Active Directory, SendGrid, Dropbox, ChatGPT, OpenAI

Languages:
php