#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно идентифицированный вредоносный модуль Go "golang-random-ip-ssh-bruteforce", связанный с русскоязычным злоумышленником, использует случайную генерацию IPv4-адресов для поиска открытых SSH-портов для брутфорса учетных данных. Он использует статический список слов для попыток входа в систему и имеет небезопасный обратный вызов ключа хоста, позволяющий избежать проверок сервера. Успешный вход в систему запускает немедленную эксфильтрацию учетных данных пользователя в жестко запрограммированный Telegram-бот, подчеркивая автономные возможности модуля и методы скрытой передачи данных, которые могут обойти базовые системы обнаружения.
-----

Недавно выявленный вредоносный модуль Go, замаскированный под брутфорсер SSH с именем "golang-random-ip-ssh-bruteforce", был связан с русскоязычным злоумышленником, который использует Telegram для эксфильтрации учетных данных. Этот модуль работает путем генерации случайных IPv4-адресов и проверки наличия открытого TCP-порта 22, типичного для служб SSH. При обнаружении открытого порта он пытается выполнить одновременный вход в систему по SSH, используя локально сохраненный короткий статический список слов. Реализация включает в себя небезопасный обратный вызов ключа хоста, который обходит проверки идентификации сервера, позволяя вредоносному ПО работать без разбора.

После успешной аутентификации модуль передает IP-адрес, имя пользователя и пароль идентифицированной цели жестко запрограммированному Telegram-боту, которым управляет злоумышленник. Такой конструктивный выбор, наряду с отсутствием возможности подключения к сети, позволяет модулю функционировать полностью автономно до тех пор, пока не будет достигнут успешный вход в систему, после чего он подключается к Telegram для немедленной передачи данных перед выходом.

Такой подход иллюстрирует четкую стратегию; выпуская быструю и эффективную утилиту сканирования, злоумышленник может переложить риск обнаружения на тех, кто работает с вредоносным ПО, одновременно объединяя успешные учетные данные в единый централизованный канал. Практика отключения проверки ключа хоста в сочетании с высоким уровнем параллелизма между случайными IP-адресами повышает эффективность работы, маскируя вредоносный трафик под безопасные HTTPS-запросы. Такая скрытность может позволить коммуникациям злоумышленника избежать обнаружения базовыми системами мониторинга исходящих данных.

Однако операторам, использующим этот модуль, крайне важно понимать юридические и эксплуатационные последствия. Использование сканирования портов и подбора учетных данных может привести к нарушению местных законов или политик допустимого использования, а также может привести к внесению в черный список интернет-провайдеров или Облачных сервисов.

Затронутые методы соответствуют нескольким тактикам, описанным в MITRE ATT&CK framework: T1195.002 охватывает компрометации, связанные с supply chain программного обеспечения; T1608.001 относится к загрузке вредоносного ПО; T1204.002 касается Выполнения с участием пользователя через Вредоносные файлы; T1046 посвящен Изучению сетевых служб; T1110.001 подробно Угадывание пароля стратегии; T1021.004 включает удаленные службы SSH; T1071.001 обсуждает эксфильтрацию через Веб-протоколы; и T1567 рассматривает Эксфильтрацию через веб-службы. Это всеобъемлющее описание тактики подчеркивает многогранную угрозу, которую представляет модуль Go.

#ParsedReport #CompletenessLow
21-08-2025

MITM6 + NTLM Relay: How IPv6 Auto-Configuration Leads to Full Domain Compromise

https://www.resecurity.com/blog/article/mitm6-ntlm-relay-how-ipv6-auto-configuration-leads-to-full-domain-compromise

Report completeness: Low

Threats:
Mitm6_technique
Ntlmrelayx_tool
Impacket_tool
Credential_stealing_technique
Crackmapexec_tool
Wmiexec_tool

Victims:
Active directory environments, Corporate environments

Industry:
Iot, Critical_infrastructure, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.006, T1021.002, T1047, T1098, T1136.002, T1550.002, T1557, T1557.001

IOCs:
File: 1
Hash: 2

Soft:
Active Directory, Sudo, PsExec

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ретрансляционная атака MITM6 + NTLM нацелена на среды Active Directory, используя автоматическую настройку IPv6, что позволяет злоумышленникам настраивать поддельные серверы DHCPv6, которые перенаправляют сетевой трафик. Эта манипуляция позволяет перехватывать учетные данные с помощью ретрансляции NTLM, облегчая создание вредоносных учетных записей в домене, извлечение хэшей паролей и дальнейший доступ к сети. Такие инструменты, как mitm6, ntlmrelayx, CrackMapExec, WMIExec и PsExec, обычно используются для выполнения этой сложной последовательности атак.
-----

Ретрансляционная атака MITM6 + NTLM представляет собой серьезную угрозу для сред Active Directory, особенно из-за использования автоматической настройки IPv6 — процесса, который часто упускается из виду системными администраторами. Эта атака основана на том факте, что клиенты Windows автоматически отправляют запросы DHCPv6 при загрузке или подключении к сети, независимо от того, активно ли организация использует IPv6. Манипулируя этими запросами, злоумышленники могут установить вредоносные службы DHCPv6 и DNS, которые служат вредоносным целям.

Последовательность атак начинается с того, что злоумышленник развертывает вредоносный сервер DHCPv6, используя инструмент под названием mitm6. Этот сервер обманом заставляет сетевых клиентов перенаправлять свой трафик через компьютер злоумышленника. Как только эти клиенты пройдут аутентификацию, злоумышленник может затем ретранслировать попытки аутентификации в службу LDAP через NTLM relay, используя такой инструмент, как ntlmrelayx. Этот шаг имеет решающее значение, поскольку он облегчает сбор учетных данных, которые затем могут быть использованы для создания вредоносной учетной записи компьютера в домене.

Как только вредоносная учетная запись установлена, злоумышленник может изменить ее свойства, чтобы выдать себя за пользователя и извлечь хэши паролей из домена. Успешное получение действительных хэшей NTLM — будь то из учетных записей администратора или служб — обеспечивает дальнейший доступ к другим компьютерам в сети. Злоумышленники могут использовать CrackMapExec для проверки подлинности по различным IP-адресам, чтобы идентифицировать доступные цели, обеспечивая путь к более глубокому компрометированию системы.

Чтобы взять под контроль эти скомпрометированные системы, злоумышленники могут использовать такие инструменты, как WMIExec, который обеспечивает скрытый доступ без необходимости загрузки файлов, или PsExec, который позволяет проводить больше интерактивных сеансов, но влечет за собой отключение служб на удаленных хостах. Это подчеркивает критический характер поддержания надлежащих конфигураций безопасности и системных атрибутов мониторинга, поскольку разрешения по умолчанию, предоставляемые пользователям домена в отношении добавления учетных записей компьютеров, могут легко подорвать целостность всего домена.

Таким образом, ретрансляционная атака MITM6 + NTLM служит убедительным напоминанием о том, как упущенные конфигурации по умолчанию в средах Windows могут быть использованы для достижения полной компрометации домена. Это подчеркивает необходимость принятия упреждающих мер безопасности для снижения рисков, связанных с IPv6 по умолчанию, даже в средах, где этот протокол активно не применяется.

#ParsedReport #CompletenessLow
21-08-2025

Proxyware malware distributed on YouTube video download sites 2

https://asec.ahnlab.com/ko/89737/

Report completeness: Low

Threats:
Dropper/win.proxyware.c5783593
Dropper/win.proxyware.c5790716

IOCs:
Hash: 5
Url: 5
Domain: 5

Algorithms:
md5

Languages:
powershell

#ParsedReport #CompletenessHigh
21-08-2025

DragonForce Ransomware Attack Analysis Targets, TTPs and IoCs

https://cybersecuritynews.com/dragonforce-ransomware-attack/

Report completeness: High

Actors/Campaigns:
Dragonforce
Dragonforce_malaysia (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Anydesk_tool
Systembc

Industry:
Critical_infrastructure, Retail, Government

Geo:
Iran, Palau, Chinese

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 5
Technics: 12

IOCs:
IP: 3
Hash: 3
Path: 4
File: 3

Soft:
Ivanti

Algorithms:
sha256

Win API:
DuplicateTokenEx

Languages:
powershell, golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DragonForce - это сложная программа-вымогатель, которая началась в декабре 2023 года с использованием темного веб-портала "DragonLeaks". Он использует передовые тактические приемы, согласованные с платформой MITRE ATT&CK, используя различные методы первоначального доступа, включая социальную инженерию, фишинг и использование уязвимостей программного обеспечения для взлома корпоративных сетей. Способность группы быстро адаптироваться к контрмерам безопасности и постоянно совершенствовать свое вредоносное ПО отражает решительные усилия по повышению эффективности своих атак с использованием программ-вымогателей.
-----

DragonForce - это продвинутая программа-вымогатель, появившаяся в декабре 2023 года и характеризующаяся своим значительным присутствием на рынке киберугроз. В основе его деятельности лежит темный веб-портал "DragonLeaks", который способствовал его деятельности с момента своего создания. Группа демонстрирует тонкое понимание организационных уязвимостей и использует различные изощренные векторы атак для первоначального доступа к целевым сетям.

С точки зрения тактики, методов и процедур (TTP) DragonForce соответствует платформе MITRE ATT&CK, отражающей всестороннее понимание методов компрометации корпоративных сетей. Оперативные стратегии группы свидетельствуют о хорошо скоординированном подходе к внедрению программ-вымогателей, включающем детальную разведку и использование пробелов в безопасности в целевых средах.

Конкретные методы первоначального доступа, используемые DragonForce, не были подробно описаны, но известно, что они используют ряд уязвимостей в цифровой инфраструктуре предприятия. Это включает в себя использование тактики социальной инженерии, схем фишинга и использование известных уязвимостей программного обеспечения, чтобы закрепиться в сети цели.

Кроме того, быстрая адаптация DragonForce's к новым мерам безопасности подчеркивает ее способность развивать и совершенствовать свою тактику в ответ на контрмеры сообщества кибербезопасности. Непрерывная разработка их вредоносного ПО и связанных с ним инструментов означает постоянное стремление максимально увеличить воздействие их атак с использованием программ-вымогателей.

Растущая распространенность таких изощренных групп программ-вымогателей подчеркивает необходимость принятия надежных защитных мер и упреждающих методов кибергигиены для предотвращения потенциальных нарушений и минимизации рисков, связанных с атаками программ-вымогателей в сетях организаций.

#ParsedReport #CompletenessLow
21-08-2025

ESC2. I sign what I want

https://bi.zone/expertise/active-directory-certificate-services/esc2-podpisyvayu-chto-khochu/

Report completeness: Low

Threats:
Esc2_vuln
Certipy_tool
Rubeus_tool
Mimikatz_tool
Cobalt_strike_tool
Empire_loader
Mitm_technique

Victims:
Active directory environments

ChatGPT TTPs:
do not use without manual check
T1552.004, T1558.003

IOCs:
File: 3
Registry: 1

Soft:
Active Directory, Adfs

Functions:
Get-ChildItem, Get-ADObject

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ESC2 представляет серьезную угрозу безопасности служб сертификации Active Directory (AD CS), поскольку позволяет неавторизованным пользователям создавать универсальные сертификаты, подрывая безопасность домена. Неправильные настройки в AD CS позволяют обычным пользователям выдавать сертификаты, способствуя повышению привилегий, Имперсонации пользователей и несанкционированным подключениям. Эта уязвимость вызывает особое беспокойство, поскольку ею могут воспользоваться злоумышленники с низкой квалификацией из-за снижения барьеров для доступа.
-----

Технология ESC2 представляет значительную угрозу безопасности служб сертификации Active Directory (AD CS). Этот метод позволяет неавторизованным пользователям создавать универсальные сертификаты, что потенциально подрывает целостность системы безопасности домена. Имея возможность выдавать эти сертификаты, злоумышленник может повысить свои привилегии и получить дополнительный доступ к сети.

Эта уязвимость возникает из-за неправильной настройки в AD CS, где выделяются определенные разрешения, которые в идеале должны быть ограничены более доверенными пользователями или администраторами. Используя эти неправильные настройки, обычный пользователь может подписывать сертификаты, которые в противном случае не входили бы в его компетенцию. Неправильное использование этих сертификатов может привести к целому ряду вредоносных действий, включая Имперсонацию законных пользователей и потенциальное установление доверенных соединений с другими системами в домене.

Опасность технологии ESC2 заключается в ее способности привлекать злоумышленников с низкой квалификацией, поскольку значительно снижаются препятствия для использования этой конфигурации. Таким образом, устранение этой угрозы требует строгого надзора и соблюдения лучших практик в управлении AD CS. Организации должны обеспечить правильную блокировку шаблонов сертификатов и разрешений, чтобы предотвратить получение таких возможностей неавторизованными пользователями. Регулярные аудиты и проверки политик доступа также необходимы для выявления и устранения потенциальных уязвимостей, прежде чем они смогут быть использованы.

#ParsedReport #CompletenessHigh
19-08-2025

Phantom Pains: A Massive Cyber Espionage Campaign and Possible Split of the PhantomCore APT Group

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/phantom-pains-a-large-scale-cyber-espionage-campaign-and-a-possible-split-of-the-apt-group-phantomcore/

Report completeness: High

Actors/Campaigns:
Phantomcore

Threats:
Phantomcore
Phantomtaskshell
Meshagent_tool
Fakecaptcha_technique
Xenarmor_tool
Phantom_stealer
Phantomgoshell
Phantom_control_panel_tool
Meshcentral_tool
Phantomrat
Phantomrshall
Rclone_tool
Polyglot_technique
Anydesk_tool

Victims:
Critical infrastructure

Industry:
Healthcare, Software_development, Chemical, Financial, Critical_infrastructure

Geo:
Netherlands, Russia, Russian, Hong kong, Poland, Canadian, Germany, Finland, Moldova, France, Usa, Moscow

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1071.001, T1090, T1105, T1105, T1112, T1219, T1566.001, have more...

IOCs:
IP: 24
Path: 33
Command: 17
Domain: 1
File: 29
Hash: 17
Registry: 1

Soft:
RSOCX, UBUNTU, Yandex Browser, Google Chrome, Discord, Google Chrome, Discord, OpenSSH, chrome, Active Directory, Windows Defender, have more...

Algorithms:
base64, cbc, aes-256, sha256, zip

Win API:
ISDebuggerPreSent, COCREATEGUID, Getcomputernamew

Languages:
golang, python, powershell

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа PhantomCore, занимающаяся сложными целенаправленными атаками, действующая с начала 2024 года, нацелена на критически важную инфраструктуру России, используя самостоятельно разработанные инструменты для кибершпионажа. Их тактика включает в себя развертывание троянов RAT, замаскированных под ZIP-файлы, по электронной почте, использование сложной сегментации сети и использование сред VPS для непредсказуемой загрузки вредоносного ПО. Ключевые инструменты включают в себя бэкдор на базе Go Phantomrat и новые варианты, такие как Phantomgoshell, который позволяет выполнять команды через командную строку Windows, сохраняя при этом закрепление в скомпрометированных сетях.
-----

Группа PhantomCore, занимающаяся сложными целенаправленными атаками, впервые выявленная в начале 2024 года, активно занималась кибершпионажем, нацеленным на критически важную инфраструктуру России. Со временем группа развила свои наступательные возможности, интегрируя самостоятельно разработанные инструменты для проведения многочисленных атак.

В начале мая 2025 года группа внедрила троянские программы RAT, замаскированные под ZIP-архивы под названием "Documents_for_consideration" и доставленные по электронной почте. Методы, используемые PhantomCore, включают сложную сегментацию сетевой инфраструктуры, которая функционально организует их инструменты кибершпионажа. Известная тактика включает в себя использование VPS под управлением Ubuntu, оснащенного расширенными SSH-сервисами, с портами HTTP и HTTPS, которые переключаются между открытым и закрытым состояниями, чтобы облегчить загрузку вредоносного ПО в стратегически важные моменты.

Среди инструментов, используемых группой, - бэкдор на базе Go под названием Phantomrat, используемый для получения первоначального доступа и развертывания дальнейших вредоносных программ, таких как Phantomtaskshell, Phantomproxylite и Meshagent. Известно также, что группа использует RCLONE, утилиту с открытым исходным кодом для синхронизации данных, в целях эксфильтрации. Способы доставки включают использование polyglot files и Адреса эл. почты законных российских компаний.

Пик активности PhantomCore's пришелся на июнь 2025 года, когда сообщалось о 181 зараженном хосте; средняя продолжительность компрометации многих из них составляла 24 дня, а самая продолжительная - 78 дней. В настоящее время под контролем группы остаются 49 хостингов. Недавнее появление нового бэкдора под названием Phantomgoshell предполагает потенциальный раскол внутри группы, имеющий сходство с более ранними версиями, такими как Phantomrshell и Phantomrat. Этот новый бэкдор выполняет команды через командную строку Windows и реализовал методы для Изменения реестра и запуска инструментов удаленного рабочего стола, таких как Openor's Remote Desktop Connection и Anydesk.

Несмотря на совпадающие характеристики с предыдущими инструментами, показатели указывают на то, что в разработке и использовании этих вариантов вредоносного ПО могут быть задействованы различные хакерские группировки. В целом, деятельность PhantomCore's подчеркивает крайне скрытный и методичный подход к кибершпионажу, направленный на поддержание закрепления в скомпрометированных сетях при одновременном развитии их инструментария, позволяющего избежать обнаружения.

#ParsedReport #CompletenessHigh
21-08-2025

Think before you Click(Fix): Analyzing the ClickFix social engineering technique

https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/

Report completeness: High

Actors/Campaigns:
Storm-1607
Storm-0426
Storm-0249
Obscure_bat

Threats:
Clickfix_technique
Lumma_stealer
Xworm_rat
Asyncrat
Netsupportmanager_rat
Sectop_rat
Latrodectus
Mintsloader
Lolbin_technique
Lampion
Darkgate
Screenconnect_tool
R77rk_tool
Amos_stealer
Fakecaptcha_technique
Poseidon
Odyssey_stealer
Uac_bypass_technique
Polymorphism_technique
Clickflix_technique
Bitsadmin_tool

Victims:
Government, Finance, Transportation, Education, Financial services, Macos users, Windows users

Industry:
Government, Transport, Financial, Education

Geo:
Mexico, Italian, Germany, Canada, Switzerland, France, Luxembourg, Brazilian, Portugal, Spanish, Hungary, French, German, Portuguese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1056.001, T1059, T1059.001, T1071, T1105, T1140, T1189, T1190, have more...

IOCs:
File: 15
Domain: 7
Url: 5
IP: 7

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, macOS, Windows Terminal, Windows PowerShell, Microsoft Word, WordPress, Cloudflare Turnstile, Discord, Telegram, have more...

Algorithms:
base64, zip

Functions:
runVerification

Win API:
CreateProcess

Languages:
powershell, jscript, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 11, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Метод социальной инженерии ClickFix все чаще нацелен на корпоративные устройства и устройства конечных пользователей, используя взаимодействие с пользователем для доставки вредоносных программ, таких как Lumma Stealer, который поражает системы Windows и macOS. Векторы атак включают фишинг электронных писем, скомпрометированные веб-сайты и Вредоносную рекламу, при этом такие известные кампании, как Lampion, нацелены на государственный и финансовый секторы. Передовые методы, такие как запутанные команды и имитация законных служб, помогают обойти меры безопасности, в то время как доступность наборов ClickFix на хакерских форумах свидетельствует о растущем спектре угроз.
-----

Технология социальной инженерии ClickFix нацелена на устройства предприятий и конечных пользователей по всему миру, позволяя доставлять различные вредоносные программы. Вредоносное ПО Lumma Stealer поражает как системы Windows, так и macOS, что приводит к эксфильтрации данных и краже информации. Атаки ClickFix начинаются с фишинга электронных писем, Вредоносной рекламы или скомпрометированных веб-сайтов, которые обманом заставляют пользователей выполнять вредоносные команды. Этот метод основан на взаимодействии с пользователем, что позволяет ему обходить обычные меры безопасности.

Кампании по борьбе с вредоносным ПО Lampion были нацелены на правительственный и финансовый секторы с использованием ClickFix. Злоумышленники используют электронные письма с фишингом, вредоносную рекламу и скомпрометированные веб-сайты, чтобы заманить пользователей. Группа Storm-1607 использовала HTML-вложения для развертывания загрузчика DarkGate, который выполняет Регистрацию нажатий клавиш и другие вредоносные действия. Вредоносная реклама вводила в заблуждение пользователей, ищущих бесплатный контент, в то время как скомпрометированные веб-сайты использовались, как это было видно на примере актора Storm-0249, который перешел от атак по электронной почте к использованию уязвимостей сайта.

Целевые страницы ClickFix выдают себя за законные службы для снижения защиты пользователей и быстрого выполнения команд в диалоговом окне "Запуск Windows". Ресурсы JavaScript и CSS используются для повышения легитимности. Попав на эти страницы, пользователям предлагается взаимодействовать, используя их недостаточное знакомство с компонентами операционной системы. Продвинутые методы запутывания, такие как вложенные цепочки выполнения и закодированные команды, помогают избежать обнаружения.

Технология ClickFix была адаптирована для пользователей macOS с использованием вредоносного ПО, такого как Atomic macOS Stealer. Злоумышленники продают наборы ClickFix на хакерских форумах, облегчая другим выполнение подобных атак. Даже при использовании существующих решений для обнаружения конечных точек и реагирования на них атаки с ClickFix были успешными. Корпорация Майкрософт заблокировала вредоносные домены, связанные с этими атаками, а Microsoft Defender XDR обеспечивает защиту от различных векторов атак, связанных с кампаниями ClickFix.

#ParsedReport #CompletenessMedium
21-08-2025

The Ghost in the Machine: The Complete Dossier on TA-NATALSTATUS and the Cryptojacking Turf War

https://www.cloudsek.com/blog/the-ghost-in-the-machine-the-complete-dossier-on-ta-natalstatus-and-the-cryptojacking-turf-war

Report completeness: Medium

Actors/Campaigns:
Ta-natalstatus (motivation: sabotage)
Teamtnt

Threats:
Cloaking_technique
Empire_loader
Timestomp_technique
Masscan_tool
Pnscan_tool
Kinsing_miner
Xmrig_miner
Minerd

Geo:
Indonesia, Korea, Hong kong, China, Germany, Singapore, Brazil, India, United kingdom, Netherlands, Finland, Japan, France, Australia, Canada, Russia, Ireland, Vietnam

IOCs:
File: 1
Coin: 1
IP: 19
Hash: 5

Soft:
Redis, curl, Linux, crontab, SELinux

Languages:
java

Platforms:
arm