#ParsedReport #CompletenessHigh
21-08-2025
Think before you Click(Fix): Analyzing the ClickFix social engineering technique
https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/
Report completeness: High
Actors/Campaigns:
Storm-1607
Storm-0426
Storm-0249
Obscure_bat
Threats:
Clickfix_technique
Lumma_stealer
Xworm_rat
Asyncrat
Netsupportmanager_rat
Sectop_rat
Latrodectus
Mintsloader
Lolbin_technique
Lampion
Darkgate
Screenconnect_tool
R77rk_tool
Amos_stealer
Fakecaptcha_technique
Poseidon
Odyssey_stealer
Uac_bypass_technique
Polymorphism_technique
Clickflix_technique
Bitsadmin_tool
Victims:
Government, Finance, Transportation, Education, Financial services, Macos users, Windows users
Industry:
Government, Transport, Financial, Education
Geo:
Mexico, Italian, Germany, Canada, Switzerland, France, Luxembourg, Brazilian, Portugal, Spanish, Hungary, French, German, Portuguese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1056.001, T1059, T1059.001, T1071, T1105, T1140, T1189, T1190, have more...
IOCs:
File: 15
Domain: 7
Url: 5
IP: 7
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, macOS, Windows Terminal, Windows PowerShell, Microsoft Word, WordPress, Cloudflare Turnstile, Discord, Telegram, have more...
Algorithms:
base64, zip
Functions:
runVerification
Win API:
CreateProcess
Languages:
powershell, jscript, javascript
21-08-2025
Think before you Click(Fix): Analyzing the ClickFix social engineering technique
https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/
Report completeness: High
Actors/Campaigns:
Storm-1607
Storm-0426
Storm-0249
Obscure_bat
Threats:
Clickfix_technique
Lumma_stealer
Xworm_rat
Asyncrat
Netsupportmanager_rat
Sectop_rat
Latrodectus
Mintsloader
Lolbin_technique
Lampion
Darkgate
Screenconnect_tool
R77rk_tool
Amos_stealer
Fakecaptcha_technique
Poseidon
Odyssey_stealer
Uac_bypass_technique
Polymorphism_technique
Clickflix_technique
Bitsadmin_tool
Victims:
Government, Finance, Transportation, Education, Financial services, Macos users, Windows users
Industry:
Government, Transport, Financial, Education
Geo:
Mexico, Italian, Germany, Canada, Switzerland, France, Luxembourg, Brazilian, Portugal, Spanish, Hungary, French, German, Portuguese
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1056.001, T1059, T1059.001, T1071, T1105, T1140, T1189, T1190, have more...
IOCs:
File: 15
Domain: 7
Url: 5
IP: 7
Soft:
Microsoft Defender, Microsoft Defender for Endpoint, macOS, Windows Terminal, Windows PowerShell, Microsoft Word, WordPress, Cloudflare Turnstile, Discord, Telegram, have more...
Algorithms:
base64, zip
Functions:
runVerification
Win API:
CreateProcess
Languages:
powershell, jscript, javascript
Microsoft News
Think before you Click(Fix): Analyzing the ClickFix social engineering technique
The ClickFix social engineering technique has been growing in popularity, with campaigns targeting thousands of enterprise and end-user devices daily. This technique exploits users’ tendency to resolve technical issues by tricking them into running malicious…
👍1
CTT Report Hub
#ParsedReport #CompletenessHigh 21-08-2025 Think before you Click(Fix): Analyzing the ClickFix social engineering technique https://www.microsoft.com/en-us/security/blog/2025/08/21/think-before-you-clickfix-analyzing-the-clickfix-social-engineering-technique/…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Метод социальной инженерии ClickFix все чаще нацелен на корпоративные устройства и устройства конечных пользователей, используя взаимодействие с пользователем для доставки вредоносных программ, таких как Lumma Stealer, который поражает системы Windows и macOS. Векторы атак включают фишинг электронных писем, скомпрометированные веб-сайты и Вредоносную рекламу, при этом такие известные кампании, как Lampion, нацелены на государственный и финансовый секторы. Передовые методы, такие как запутанные команды и имитация законных служб, помогают обойти меры безопасности, в то время как доступность наборов ClickFix на хакерских форумах свидетельствует о растущем спектре угроз.
-----
Технология социальной инженерии ClickFix нацелена на устройства предприятий и конечных пользователей по всему миру, позволяя доставлять различные вредоносные программы. Вредоносное ПО Lumma Stealer поражает как системы Windows, так и macOS, что приводит к эксфильтрации данных и краже информации. Атаки ClickFix начинаются с фишинга электронных писем, Вредоносной рекламы или скомпрометированных веб-сайтов, которые обманом заставляют пользователей выполнять вредоносные команды. Этот метод основан на взаимодействии с пользователем, что позволяет ему обходить обычные меры безопасности.
Кампании по борьбе с вредоносным ПО Lampion были нацелены на правительственный и финансовый секторы с использованием ClickFix. Злоумышленники используют электронные письма с фишингом, вредоносную рекламу и скомпрометированные веб-сайты, чтобы заманить пользователей. Группа Storm-1607 использовала HTML-вложения для развертывания загрузчика DarkGate, который выполняет Регистрацию нажатий клавиш и другие вредоносные действия. Вредоносная реклама вводила в заблуждение пользователей, ищущих бесплатный контент, в то время как скомпрометированные веб-сайты использовались, как это было видно на примере актора Storm-0249, который перешел от атак по электронной почте к использованию уязвимостей сайта.
Целевые страницы ClickFix выдают себя за законные службы для снижения защиты пользователей и быстрого выполнения команд в диалоговом окне "Запуск Windows". Ресурсы JavaScript и CSS используются для повышения легитимности. Попав на эти страницы, пользователям предлагается взаимодействовать, используя их недостаточное знакомство с компонентами операционной системы. Продвинутые методы запутывания, такие как вложенные цепочки выполнения и закодированные команды, помогают избежать обнаружения.
Технология ClickFix была адаптирована для пользователей macOS с использованием вредоносного ПО, такого как Atomic macOS Stealer. Злоумышленники продают наборы ClickFix на хакерских форумах, облегчая другим выполнение подобных атак. Даже при использовании существующих решений для обнаружения конечных точек и реагирования на них атаки с ClickFix были успешными. Корпорация Майкрософт заблокировала вредоносные домены, связанные с этими атаками, а Microsoft Defender XDR обеспечивает защиту от различных векторов атак, связанных с кампаниями ClickFix.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Метод социальной инженерии ClickFix все чаще нацелен на корпоративные устройства и устройства конечных пользователей, используя взаимодействие с пользователем для доставки вредоносных программ, таких как Lumma Stealer, который поражает системы Windows и macOS. Векторы атак включают фишинг электронных писем, скомпрометированные веб-сайты и Вредоносную рекламу, при этом такие известные кампании, как Lampion, нацелены на государственный и финансовый секторы. Передовые методы, такие как запутанные команды и имитация законных служб, помогают обойти меры безопасности, в то время как доступность наборов ClickFix на хакерских форумах свидетельствует о растущем спектре угроз.
-----
Технология социальной инженерии ClickFix нацелена на устройства предприятий и конечных пользователей по всему миру, позволяя доставлять различные вредоносные программы. Вредоносное ПО Lumma Stealer поражает как системы Windows, так и macOS, что приводит к эксфильтрации данных и краже информации. Атаки ClickFix начинаются с фишинга электронных писем, Вредоносной рекламы или скомпрометированных веб-сайтов, которые обманом заставляют пользователей выполнять вредоносные команды. Этот метод основан на взаимодействии с пользователем, что позволяет ему обходить обычные меры безопасности.
Кампании по борьбе с вредоносным ПО Lampion были нацелены на правительственный и финансовый секторы с использованием ClickFix. Злоумышленники используют электронные письма с фишингом, вредоносную рекламу и скомпрометированные веб-сайты, чтобы заманить пользователей. Группа Storm-1607 использовала HTML-вложения для развертывания загрузчика DarkGate, который выполняет Регистрацию нажатий клавиш и другие вредоносные действия. Вредоносная реклама вводила в заблуждение пользователей, ищущих бесплатный контент, в то время как скомпрометированные веб-сайты использовались, как это было видно на примере актора Storm-0249, который перешел от атак по электронной почте к использованию уязвимостей сайта.
Целевые страницы ClickFix выдают себя за законные службы для снижения защиты пользователей и быстрого выполнения команд в диалоговом окне "Запуск Windows". Ресурсы JavaScript и CSS используются для повышения легитимности. Попав на эти страницы, пользователям предлагается взаимодействовать, используя их недостаточное знакомство с компонентами операционной системы. Продвинутые методы запутывания, такие как вложенные цепочки выполнения и закодированные команды, помогают избежать обнаружения.
Технология ClickFix была адаптирована для пользователей macOS с использованием вредоносного ПО, такого как Atomic macOS Stealer. Злоумышленники продают наборы ClickFix на хакерских форумах, облегчая другим выполнение подобных атак. Даже при использовании существующих решений для обнаружения конечных точек и реагирования на них атаки с ClickFix были успешными. Корпорация Майкрософт заблокировала вредоносные домены, связанные с этими атаками, а Microsoft Defender XDR обеспечивает защиту от различных векторов атак, связанных с кампаниями ClickFix.
#ParsedReport #CompletenessMedium
21-08-2025
The Ghost in the Machine: The Complete Dossier on TA-NATALSTATUS and the Cryptojacking Turf War
https://www.cloudsek.com/blog/the-ghost-in-the-machine-the-complete-dossier-on-ta-natalstatus-and-the-cryptojacking-turf-war
Report completeness: Medium
Actors/Campaigns:
Ta-natalstatus (motivation: sabotage)
Teamtnt
Threats:
Cloaking_technique
Empire_loader
Timestomp_technique
Masscan_tool
Pnscan_tool
Kinsing_miner
Xmrig_miner
Minerd
Geo:
Indonesia, Korea, Hong kong, China, Germany, Singapore, Brazil, India, United kingdom, Netherlands, Finland, Japan, France, Australia, Canada, Russia, Ireland, Vietnam
IOCs:
File: 1
Coin: 1
IP: 19
Hash: 5
Soft:
Redis, curl, Linux, crontab, SELinux
Languages:
java
Platforms:
arm
21-08-2025
The Ghost in the Machine: The Complete Dossier on TA-NATALSTATUS and the Cryptojacking Turf War
https://www.cloudsek.com/blog/the-ghost-in-the-machine-the-complete-dossier-on-ta-natalstatus-and-the-cryptojacking-turf-war
Report completeness: Medium
Actors/Campaigns:
Ta-natalstatus (motivation: sabotage)
Teamtnt
Threats:
Cloaking_technique
Empire_loader
Timestomp_technique
Masscan_tool
Pnscan_tool
Kinsing_miner
Xmrig_miner
Minerd
Geo:
Indonesia, Korea, Hong kong, China, Germany, Singapore, Brazil, India, United kingdom, Netherlands, Finland, Japan, France, Australia, Canada, Russia, Ireland, Vietnam
IOCs:
File: 1
Coin: 1
IP: 19
Hash: 5
Soft:
Redis, curl, Linux, crontab, SELinux
Languages:
java
Platforms:
arm
Cloudsek
The Ghost in the Machine: The Complete Dossier on TA-NATALSTATUS and the Cryptojacking Turf War | CloudSEK
CloudSEK uncovered an advanced cryptojacking campaign by threat actor TA-NATALSTATUS, active since 2020 and now escalating globally in 2025. The group exploits exposed Redis servers in the US, Europe, Russia, India, and beyond, hijacking root access to install…
CTT Report Hub
#ParsedReport #CompletenessMedium 21-08-2025 The Ghost in the Machine: The Complete Dossier on TA-NATALSTATUS and the Cryptojacking Turf War https://www.cloudsek.com/blog/the-ghost-in-the-machine-the-complete-dossier-on-ta-natalstatus-and-the-cryptojacking…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TA-NATALSTATUS - это хакерская группировка, занимающаяся криптоджекингом, преимущественно нацеленная на незащищенные серверы Redis путем использования неправильных конфигураций и небезопасных настроек. Они получают root-доступ для установки криптоминеров, используя такие методы, как masscan, для выявления уязвимых серверов, отключения функций безопасности и создания заданий cron для закрепления. Их структурированный подход включает методы распространения в скомпрометированных системах и агрессивную тактику против конкурирующих майнеров, что затрудняет уничтожение их вредоносного ПО.
-----
TA-NATALSTATUS - это хакерская группировка, которая активно проводит кампании по криптоджекингу с 2020 года, со значительной эскалацией, отмеченной в 2025 году. Их операции в первую очередь нацелены на незащищенные серверы Redis во многих регионах, включая США, Европу, Россию и Индию, используя уязвимости, возникающие в результате неправильной настройки разработчиком и небезопасных настроек по умолчанию. TA-NATALSTATUS извлекает выгоду из этих уязвимостей, получая root-доступ, позволяющий им не только устанавливать криптоминеры, но и укреплять свою защиту от обнаружения и уничтожать конкурирующие угрозы.
Подход группы отказывается от традиционных эксплойтов в пользу использования неправильных настроек на серверах Redis, которые часто запускаются от имени пользователей root. Используя законные команды Redis, такие как CONFIG SET и SAVE, TA-NATALSTATUS может создавать задания cron, которые поддерживают закрепление на скомпрометированном сервере. Группа действует в рамках структурированного четырехэтапного жизненного цикла, созданного для скрытности и доминирования над зараженными системами.
На этапе первоначального доступа актор использует такие инструменты, как masscan, для идентификации общедоступных серверов Redis на порту 6379. Получив доступ, они развертывают скрипты для отключения основных функций безопасности, таких как SELinux, и манипулируют правилами брандмауэра, тем самым препятствуя будущим подключениям, которые могут их разоблачить. Они также используют уникальную технику "ps hijack", переименовывая законные двоичные файлы, чтобы скрыть свои действия от администраторов.
Как только хост был скомпрометирован, второй этап включает в себя наращивание усилий по заражению путем подготовки компьютера к распространению, включая загрузку и компиляцию средств сканирования непосредственно на компьютере жертвы. Эта стратегия позволяет группе максимально расширить свой охват, превращая каждую скомпрометированную машину в часть более крупного ботнет, которому поручено сканировать дополнительные уязвимые цели.
Заключительные этапы их атаки включают обеспечение закрепления с помощью механизма обновления, который переустанавливает пакет вредоносного ПО по мере необходимости, и применение атрибутов системного уровня к основным файлам для предотвращения изменений даже привилегированными пользователями. Это чрезвычайно затрудняет их удаление, требуя тщательной проверки на наличие вредоносных заданий cron и демонтажа всех механизмов их закрепления для полного уничтожения вредоносного ПО.
В своей деятельности TA-NATALSTATUS придерживается агрессивной позиции по отношению к конкурирующим группам криптоджекеров, применяя подход "списка уничтожения" для устранения конкурирующих майнеров из скомпрометированных систем, гарантируя, что ресурсы будут выделены исключительно для их операций. В целом, методы, используемые TA-NATALSTATUS, свидетельствуют о значительном продвижении к организованному, изощренному киберпреступному поведению, основанному на криптоджекинге.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TA-NATALSTATUS - это хакерская группировка, занимающаяся криптоджекингом, преимущественно нацеленная на незащищенные серверы Redis путем использования неправильных конфигураций и небезопасных настроек. Они получают root-доступ для установки криптоминеров, используя такие методы, как masscan, для выявления уязвимых серверов, отключения функций безопасности и создания заданий cron для закрепления. Их структурированный подход включает методы распространения в скомпрометированных системах и агрессивную тактику против конкурирующих майнеров, что затрудняет уничтожение их вредоносного ПО.
-----
TA-NATALSTATUS - это хакерская группировка, которая активно проводит кампании по криптоджекингу с 2020 года, со значительной эскалацией, отмеченной в 2025 году. Их операции в первую очередь нацелены на незащищенные серверы Redis во многих регионах, включая США, Европу, Россию и Индию, используя уязвимости, возникающие в результате неправильной настройки разработчиком и небезопасных настроек по умолчанию. TA-NATALSTATUS извлекает выгоду из этих уязвимостей, получая root-доступ, позволяющий им не только устанавливать криптоминеры, но и укреплять свою защиту от обнаружения и уничтожать конкурирующие угрозы.
Подход группы отказывается от традиционных эксплойтов в пользу использования неправильных настроек на серверах Redis, которые часто запускаются от имени пользователей root. Используя законные команды Redis, такие как CONFIG SET и SAVE, TA-NATALSTATUS может создавать задания cron, которые поддерживают закрепление на скомпрометированном сервере. Группа действует в рамках структурированного четырехэтапного жизненного цикла, созданного для скрытности и доминирования над зараженными системами.
На этапе первоначального доступа актор использует такие инструменты, как masscan, для идентификации общедоступных серверов Redis на порту 6379. Получив доступ, они развертывают скрипты для отключения основных функций безопасности, таких как SELinux, и манипулируют правилами брандмауэра, тем самым препятствуя будущим подключениям, которые могут их разоблачить. Они также используют уникальную технику "ps hijack", переименовывая законные двоичные файлы, чтобы скрыть свои действия от администраторов.
Как только хост был скомпрометирован, второй этап включает в себя наращивание усилий по заражению путем подготовки компьютера к распространению, включая загрузку и компиляцию средств сканирования непосредственно на компьютере жертвы. Эта стратегия позволяет группе максимально расширить свой охват, превращая каждую скомпрометированную машину в часть более крупного ботнет, которому поручено сканировать дополнительные уязвимые цели.
Заключительные этапы их атаки включают обеспечение закрепления с помощью механизма обновления, который переустанавливает пакет вредоносного ПО по мере необходимости, и применение атрибутов системного уровня к основным файлам для предотвращения изменений даже привилегированными пользователями. Это чрезвычайно затрудняет их удаление, требуя тщательной проверки на наличие вредоносных заданий cron и демонтажа всех механизмов их закрепления для полного уничтожения вредоносного ПО.
В своей деятельности TA-NATALSTATUS придерживается агрессивной позиции по отношению к конкурирующим группам криптоджекеров, применяя подход "списка уничтожения" для устранения конкурирующих майнеров из скомпрометированных систем, гарантируя, что ресурсы будут выделены исключительно для их операций. В целом, методы, используемые TA-NATALSTATUS, свидетельствуют о значительном продвижении к организованному, изощренному киберпреступному поведению, основанному на криптоджекинге.
#ParsedReport #CompletenessMedium
22-08-2025
Examining the tactics of BQTLOCK Ransomware & its variants
https://labs.k7computing.com/index.php/examining-the-tactics-of-bqtlock-ransomware-its-variants/
Report completeness: Medium
Threats:
Bqtlock
Process_hollowing_technique
Uac_bypass_technique
Credential_stealing_technique
Geo:
Saudi, Lebanon
ChatGPT TTPs:
T1027, T1497, T1548.002, T1583.006, T1587.001, T1588.002
IOCs:
File: 11
Path: 2
Registry: 1
Hash: 2
Url: 6
Coin: 1
Email: 1
Soft:
Telegram, Twitter, Discord, Windows Explorer, OpenSSL, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Firefox
Crypto:
monero
Algorithms:
base64, zip, aes, rsa-4096, aes-256
Functions:
OutputDebugString
Win API:
IsDebuggerPresent, OpenProcessToken, AdjustTokenPrivileges, SeDebugPrivilege, NetUserAdd, NetLocalGroupAddMembers, BitBlt, CreateToolhelp32Snapshot, Process32First, Process32Next, have more...
22-08-2025
Examining the tactics of BQTLOCK Ransomware & its variants
https://labs.k7computing.com/index.php/examining-the-tactics-of-bqtlock-ransomware-its-variants/
Report completeness: Medium
Threats:
Bqtlock
Process_hollowing_technique
Uac_bypass_technique
Credential_stealing_technique
Geo:
Saudi, Lebanon
ChatGPT TTPs:
do not use without manual checkT1027, T1497, T1548.002, T1583.006, T1587.001, T1588.002
IOCs:
File: 11
Path: 2
Registry: 1
Hash: 2
Url: 6
Coin: 1
Email: 1
Soft:
Telegram, Twitter, Discord, Windows Explorer, OpenSSL, Google Chrome, Mozilla Firefox, Microsoft Edge, Opera, Firefox
Crypto:
monero
Algorithms:
base64, zip, aes, rsa-4096, aes-256
Functions:
OutputDebugString
Win API:
IsDebuggerPresent, OpenProcessToken, AdjustTokenPrivileges, SeDebugPrivilege, NetUserAdd, NetLocalGroupAddMembers, BitBlt, CreateToolhelp32Snapshot, Process32First, Process32Next, have more...
K7 Labs
Examining the tactics of BQTLOCK Ransomware & its variants
Ransomware-as-a-Service (RaaS), marketed on dark web forums or Telegram channels, is a growing model in the cybercrime ecosystem where ransomware […]
CTT Report Hub
#ParsedReport #CompletenessMedium 22-08-2025 Examining the tactics of BQTLOCK Ransomware & its variants https://labs.k7computing.com/index.php/examining-the-tactics-of-bqtlock-ransomware-its-variants/ Report completeness: Medium Threats: Bqtlock Proce…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель BQTLOCK, работающая по модели Ransomware-as-a-Service (RaaS), предоставляет инструменты для аффилированных лиц с ограниченными техническими навыками, включая генерацию полезной нагрузки и автоматизированный сбор платежей. Последний вариант повышает его устойчивость благодаря расширенным проверкам антианализа, обходу контроля учетных записей пользователей и улучшенной защите от запутывания кода. Недавние действия свидетельствуют о продолжающемся развитии, несмотря на заявления о приостановленном цикле обновления, включая маркетинг нового инструмента для поиска украденных данных и инициативу по временному бесплатному доступу после сбоев в их каналах связи.
-----
Программа-вымогатель BQTLOCK является примером модели "Программа-вымогатель как услуга" (RaaS), распространенной в сфере киберпреступности. Такой подход позволяет разработчикам продавать свои вредоносные инструменты и инфраструктуру аффилированным лицам, которым может не хватать технических знаний, и которые могут подписаться на эти сервисы. Эти предложения RaaS облегчают такие действия, как генерация полезной нагрузки, общение с жертвами, механизмы шифрования и автоматизированный сбор платежей в криптовалюте, снижая барьер для проникновения потенциальных злоумышленников.
Недавний анализ обновленного образца BQTLOCK, проведенный 5 августа 2025 года, выявил улучшения в дизайне вредоносного ПО. Обновленный вариант включает дополнительные проверки антианализа, методы обхода контроля учетных записей пользователей (UAC) и более сложные методы запутывания кода. Эти улучшения указывают на значительное усложнение программы-вымогателя, что усложняет анализ для специалистов по кибербезопасности.
Несмотря на то, что разработчик ZeroDayX позиционирует программу-вымогателя как полностью необнаруживаемую (FUD), заявления о BQTLOCK сопровождаются скептицизмом. Распространенный образец был идентифицирован как поврежденный ISO-файл, что сделало его нефункциональным. Кроме того, данные свидетельствуют о том, что отправленный файл был получен из Ливана, что, вероятно, указывает на причастность разработчика или близких аффилированных лиц к его распространению. Это вызывает опасения по поводу обоснованности заявлений FUD и наводит на мысль о возможном преувеличении в рекламных усилиях.
Кроме того, текущая рекламная активность, связанная с BQTLOCK, указывает на продолжающуюся разработку, и разработчики RaaS объявили о выпуске версии 4. Однако они также сообщили о прекращении будущих обновлений, что создает неопределенность в отношении реальных намерений, стоящих за этим объявлением. В течение короткого периода времени они выпустили четыре обновления, но затем внезапно прекратили работу, что вызвало предположения о том, является ли это фактическим прекращением, стратегическим ребрендингом или тактикой стимулирования интереса потенциальных покупателей. Примечательно, что их Telegram-канал был заблокирован, и в качестве ответной меры они предложили бесплатную услугу в течение трех дней через новый канал. Кроме того, они запустили инструмент под названием BAQIYAT.osint, предназначенный для поиска украденной информации по ключевым словам, по цене подписки, что еще раз указывает на расширение бизнес-модели в рамках их деятельности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель BQTLOCK, работающая по модели Ransomware-as-a-Service (RaaS), предоставляет инструменты для аффилированных лиц с ограниченными техническими навыками, включая генерацию полезной нагрузки и автоматизированный сбор платежей. Последний вариант повышает его устойчивость благодаря расширенным проверкам антианализа, обходу контроля учетных записей пользователей и улучшенной защите от запутывания кода. Недавние действия свидетельствуют о продолжающемся развитии, несмотря на заявления о приостановленном цикле обновления, включая маркетинг нового инструмента для поиска украденных данных и инициативу по временному бесплатному доступу после сбоев в их каналах связи.
-----
Программа-вымогатель BQTLOCK является примером модели "Программа-вымогатель как услуга" (RaaS), распространенной в сфере киберпреступности. Такой подход позволяет разработчикам продавать свои вредоносные инструменты и инфраструктуру аффилированным лицам, которым может не хватать технических знаний, и которые могут подписаться на эти сервисы. Эти предложения RaaS облегчают такие действия, как генерация полезной нагрузки, общение с жертвами, механизмы шифрования и автоматизированный сбор платежей в криптовалюте, снижая барьер для проникновения потенциальных злоумышленников.
Недавний анализ обновленного образца BQTLOCK, проведенный 5 августа 2025 года, выявил улучшения в дизайне вредоносного ПО. Обновленный вариант включает дополнительные проверки антианализа, методы обхода контроля учетных записей пользователей (UAC) и более сложные методы запутывания кода. Эти улучшения указывают на значительное усложнение программы-вымогателя, что усложняет анализ для специалистов по кибербезопасности.
Несмотря на то, что разработчик ZeroDayX позиционирует программу-вымогателя как полностью необнаруживаемую (FUD), заявления о BQTLOCK сопровождаются скептицизмом. Распространенный образец был идентифицирован как поврежденный ISO-файл, что сделало его нефункциональным. Кроме того, данные свидетельствуют о том, что отправленный файл был получен из Ливана, что, вероятно, указывает на причастность разработчика или близких аффилированных лиц к его распространению. Это вызывает опасения по поводу обоснованности заявлений FUD и наводит на мысль о возможном преувеличении в рекламных усилиях.
Кроме того, текущая рекламная активность, связанная с BQTLOCK, указывает на продолжающуюся разработку, и разработчики RaaS объявили о выпуске версии 4. Однако они также сообщили о прекращении будущих обновлений, что создает неопределенность в отношении реальных намерений, стоящих за этим объявлением. В течение короткого периода времени они выпустили четыре обновления, но затем внезапно прекратили работу, что вызвало предположения о том, является ли это фактическим прекращением, стратегическим ребрендингом или тактикой стимулирования интереса потенциальных покупателей. Примечательно, что их Telegram-канал был заблокирован, и в качестве ответной меры они предложили бесплатную услугу в течение трех дней через новый канал. Кроме того, они запустили инструмент под названием BAQIYAT.osint, предназначенный для поиска украденной информации по ключевым словам, по цене подписки, что еще раз указывает на расширение бизнес-модели в рамках их деятельности.
#technique
SpeechRuntimeMove
Lateral Movement as loggedon User via Speech Named Pipe COM & ISpeechNamedPipe + COM Hijacking
https://github.com/rtecCyberSec/SpeechRuntimeMove
SpeechRuntimeMove
Lateral Movement as loggedon User via Speech Named Pipe COM & ISpeechNamedPipe + COM Hijacking
https://github.com/rtecCyberSec/SpeechRuntimeMove
GitHub
GitHub - rtecCyberSec/SpeechRuntimeMove: Lateral Movement as loggedon User via Speech Named Pipe COM & ISpeechNamedPipe + COM Hijacking
Lateral Movement as loggedon User via Speech Named Pipe COM & ISpeechNamedPipe + COM Hijacking - rtecCyberSec/SpeechRuntimeMove
#technique
GroupPolicyBackdoor
GroupPolicyBackdoor is a python utility for Group Policy Objects (GPOs) manipulation and exploitation. GPO attack vectors can very often lead to impactful privilege escalation scenarios in Active Directory environments. And yet, offensive security professionals may be reluctant to leverage them, partly due to the perceived risks associated with GPO manipulation.
GroupPolicyBackdoor aims at providing a modular, stable and stealthy exploitation framework for GPO attack vectors, all in python. The tool was presented at DEFCON 33.
https://github.com/synacktiv/GroupPolicyBackdoor
GroupPolicyBackdoor
GroupPolicyBackdoor is a python utility for Group Policy Objects (GPOs) manipulation and exploitation. GPO attack vectors can very often lead to impactful privilege escalation scenarios in Active Directory environments. And yet, offensive security professionals may be reluctant to leverage them, partly due to the perceived risks associated with GPO manipulation.
GroupPolicyBackdoor aims at providing a modular, stable and stealthy exploitation framework for GPO attack vectors, all in python. The tool was presented at DEFCON 33.
https://github.com/synacktiv/GroupPolicyBackdoor
GitHub
GitHub - synacktiv/GroupPolicyBackdoor: Group Policy Objects manipulation and exploitation framework
Group Policy Objects manipulation and exploitation framework - synacktiv/GroupPolicyBackdoor
#ParsedReport #CompletenessHigh
22-08-2025
SpyNote Malware Part 2
https://dti.domaintools.com/spynote-malware-part-2/
Report completeness: High
Threats:
Spynote_rat
Victims:
Android users, Consumers
Industry:
Telco, Entertainment, Financial
Geo:
Chinese
TTPs:
Tactics: 1
Technics: 30
IOCs:
IP: 2
File: 3
Hash: 4
Domain: 33
Url: 26
Soft:
Android, Google Play, nginx, Chrome, Zoom
Algorithms:
gzip, exhibit, aes
Functions:
JavaScript, download
Languages:
javascript
22-08-2025
SpyNote Malware Part 2
https://dti.domaintools.com/spynote-malware-part-2/
Report completeness: High
Threats:
Spynote_rat
Victims:
Android users, Consumers
Industry:
Telco, Entertainment, Financial
Geo:
Chinese
TTPs:
Tactics: 1
Technics: 30
IOCs:
IP: 2
File: 3
Hash: 4
Domain: 33
Url: 26
Soft:
Android, Google Play, nginx, Chrome, Zoom
Algorithms:
gzip, exhibit, aes
Functions:
JavaScript, download
Languages:
javascript
DomainTools Investigations | DTI
SpyNote Malware Part 2 - DomainTools Investigations | DTI
This report highlights the resurfacing of SpyNote activity by the same actor in a previous DTI report and provides additional information around the recent activity and changes in tactics since the prior report.
CTT Report Hub
#ParsedReport #CompletenessHigh 22-08-2025 SpyNote Malware Part 2 https://dti.domaintools.com/spynote-malware-part-2/ Report completeness: High Threats: Spynote_rat Victims: Android users, Consumers Industry: Telco, Entertainment, Financial Geo: Chinese…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО SpyNote нацелено на устройства Android через поддельные веб-сайты, имитирующие законные загрузки из Google Play, функционируя как троян удаленного доступа (RAT) с возможностями наблюдения, эксфильтрации данных и удаленного управления. Он поддерживает Регистрацию нажатий клавиш и может управлять функциональными возможностями устройств, такими как камеры, микрофоны и звонки, используя методы перехвата кликов. Вредоносное ПО распространяется через скомпрометированные веб-сайты с использованием закодированных процедур для установки полезной нагрузки, демонстрируя устойчивую тактику с ограниченной адаптивностью, в основном использующую поддельные приложения для социальной инженерии.
-----
Вредоносное ПО SpyNote вновь стало серьезной угрозой кибербезопасности, в первую очередь нацеливаясь на устройства Android через поддельные веб-сайты, имитирующие страницы загрузки законных приложений из магазина Google Play. Этот троян для удаленного доступа к Android (RAT) может похвастаться обширными возможностями, ориентированными на наблюдение, эксфильтрацию данных и удаленное управление зараженными устройствами. Недавние действия указывают на продолжение тактики, применяемой тем же злоумышленником, о котором говорилось в предыдущих отчетах, с незначительными корректировками IP-адресов и улучшенными методами антианализа, внедренными в их APK-дроппер, чтобы избежать обнаружения.
Функциональные возможности SpyNote's вызывают тревогу; он может управлять камерой и микрофоном устройства, управлять вызовами и выполнять команды удаленно. Одной из его наиболее опасных функций является Регистрация нажатий клавиш, позволяющая получать важные учетные данные пользователя и коды двухфакторной аутентификации (2FA) с помощью специальных служб Android. Вредоносное ПО еще больше расширяет свой охват, занимаясь перехватом кликов с помощью оверлейных атак. Если вредоносное ПО получает права администратора, оно обладает способностью удаленно стирать данные с устройств, блокировать их или устанавливать дополнительные вредоносные приложения, что делает его серьезной угрозой для кибершпионажа и связанной с ним преступной деятельности.
Доставка вредоносного ПО осуществляется с помощью обманных функций загрузки, встроенных в скомпрометированные веб-сайты, в частности, с использованием закодированных процедур, которые расшифровывают и активируют полезную нагрузку SpyNote при установке. Исходный APK-файл действует как дроппер, который использует зашифрованные ресурсы для облегчения этого процесса, подчеркивая детальный и стратегический метод, лежащий в основе его распространения.
Актор, распространяющий SpyNote, проявляет закрепление, но ограниченную адаптивность в своих методах. Центральное место в их стратегии занимает неоднократное использование поддельных приложений Google Play Store в качестве приманки, представляющее собой подход социальной инженерии, который по-прежнему имеет решающее значение для их деятельности. Несмотря на то, что они поменяли конкретные IP-адреса для своей инфраструктуры, они преимущественно работают только с двух основных адресов, что указывает на несколько ограниченные возможности диверсификации. Меры защиты от анализа в их APK-файлах относительно элементарны и включают базовые методы запутывания и динамическое дешифрование полезной нагрузки, предназначенные для маскировки истинных операций SpyNote.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО SpyNote нацелено на устройства Android через поддельные веб-сайты, имитирующие законные загрузки из Google Play, функционируя как троян удаленного доступа (RAT) с возможностями наблюдения, эксфильтрации данных и удаленного управления. Он поддерживает Регистрацию нажатий клавиш и может управлять функциональными возможностями устройств, такими как камеры, микрофоны и звонки, используя методы перехвата кликов. Вредоносное ПО распространяется через скомпрометированные веб-сайты с использованием закодированных процедур для установки полезной нагрузки, демонстрируя устойчивую тактику с ограниченной адаптивностью, в основном использующую поддельные приложения для социальной инженерии.
-----
Вредоносное ПО SpyNote вновь стало серьезной угрозой кибербезопасности, в первую очередь нацеливаясь на устройства Android через поддельные веб-сайты, имитирующие страницы загрузки законных приложений из магазина Google Play. Этот троян для удаленного доступа к Android (RAT) может похвастаться обширными возможностями, ориентированными на наблюдение, эксфильтрацию данных и удаленное управление зараженными устройствами. Недавние действия указывают на продолжение тактики, применяемой тем же злоумышленником, о котором говорилось в предыдущих отчетах, с незначительными корректировками IP-адресов и улучшенными методами антианализа, внедренными в их APK-дроппер, чтобы избежать обнаружения.
Функциональные возможности SpyNote's вызывают тревогу; он может управлять камерой и микрофоном устройства, управлять вызовами и выполнять команды удаленно. Одной из его наиболее опасных функций является Регистрация нажатий клавиш, позволяющая получать важные учетные данные пользователя и коды двухфакторной аутентификации (2FA) с помощью специальных служб Android. Вредоносное ПО еще больше расширяет свой охват, занимаясь перехватом кликов с помощью оверлейных атак. Если вредоносное ПО получает права администратора, оно обладает способностью удаленно стирать данные с устройств, блокировать их или устанавливать дополнительные вредоносные приложения, что делает его серьезной угрозой для кибершпионажа и связанной с ним преступной деятельности.
Доставка вредоносного ПО осуществляется с помощью обманных функций загрузки, встроенных в скомпрометированные веб-сайты, в частности, с использованием закодированных процедур, которые расшифровывают и активируют полезную нагрузку SpyNote при установке. Исходный APK-файл действует как дроппер, который использует зашифрованные ресурсы для облегчения этого процесса, подчеркивая детальный и стратегический метод, лежащий в основе его распространения.
Актор, распространяющий SpyNote, проявляет закрепление, но ограниченную адаптивность в своих методах. Центральное место в их стратегии занимает неоднократное использование поддельных приложений Google Play Store в качестве приманки, представляющее собой подход социальной инженерии, который по-прежнему имеет решающее значение для их деятельности. Несмотря на то, что они поменяли конкретные IP-адреса для своей инфраструктуры, они преимущественно работают только с двух основных адресов, что указывает на несколько ограниченные возможности диверсификации. Меры защиты от анализа в их APK-файлах относительно элементарны и включают базовые методы запутывания и динамическое дешифрование полезной нагрузки, предназначенные для маскировки истинных операций SpyNote.
#ParsedReport #CompletenessHigh
22-08-2025
Fortune telling on Goffee grounds: current tools and features of the Goffee group in attacks on Russia
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/fortune-telling-on-goffee-grounds/
Report completeness: High
Actors/Campaigns:
Paper_werewolf
Threats:
Sauropsida
Dquic
Bindsycler
Mirat
Powertaskel
Ebowla_tool
Owowa
Mythic_c2
Chisel_tool
Tinyshell
Sliver_c2_tool
Dll_sideloading_technique
Infinity_loader
Rawcopy_tool
Impacket_tool
Reptile
Garble_tool
Gophish_tool
Metasploit_tool
Powerprepare
Powermodule
Spear-phishing_technique
Goloader
Qwakmyagent
Victims:
Defense industry, Military industrial complex, Russian organizations
Industry:
Government
Geo:
Russian, Russia
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 9
Technics: 27
IOCs:
File: 20
IP: 9
Path: 4
Command: 3
Domain: 2
Url: 4
Hash: 32
Soft:
Unix, Linux, OpenSSH
Algorithms:
fnv-1a, base64, aes, hmac, xor, sha1, rolmod13
Functions:
Get-ProcAddress, Get-DelegateType, Emit-CallThreadStub, CreateThread
Win API:
MI_Application_InitializeV1, recvfrom, CreateThread, VirtualProtect, irtualAlloc дл, я загрузки шел
Win Services:
eventlog
Languages:
dotnet, powershell, golang
Links:
have more...
22-08-2025
Fortune telling on Goffee grounds: current tools and features of the Goffee group in attacks on Russia
https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/fortune-telling-on-goffee-grounds/
Report completeness: High
Actors/Campaigns:
Paper_werewolf
Threats:
Sauropsida
Dquic
Bindsycler
Mirat
Powertaskel
Ebowla_tool
Owowa
Mythic_c2
Chisel_tool
Tinyshell
Sliver_c2_tool
Dll_sideloading_technique
Infinity_loader
Rawcopy_tool
Impacket_tool
Reptile
Garble_tool
Gophish_tool
Metasploit_tool
Powerprepare
Powermodule
Spear-phishing_technique
Goloader
Qwakmyagent
Victims:
Defense industry, Military industrial complex, Russian organizations
Industry:
Government
Geo:
Russian, Russia
CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)
CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 9
Technics: 27
IOCs:
File: 20
IP: 9
Path: 4
Command: 3
Domain: 2
Url: 4
Hash: 32
Soft:
Unix, Linux, OpenSSH
Algorithms:
fnv-1a, base64, aes, hmac, xor, sha1, rolmod13
Functions:
Get-ProcAddress, Get-DelegateType, Emit-CallThreadStub, CreateThread
Win API:
MI_Application_InitializeV1, recvfrom, CreateThread, VirtualProtect, irtualAlloc дл, я загрузки шел
Win Services:
eventlog
Languages:
dotnet, powershell, golang
Links:
https://github.com/fortra/impackethave more...
https://github.com/milabs/khookhttps://github.com/jpillora/chiselptsecurity.com
Гадание на Goffeeной гуще: актуальные инструменты и особенности группировки Goffee в атаках на Россию
В течение 2024 года несколько российских организаций обращались к команде PT ESC IR для расследования инцидентов, между которыми удалось обнаружить сходство. В рамках анализа вредоносная активность инцидентов была объединена в один кластер и связана с группой…
CTT Report Hub
#ParsedReport #CompletenessHigh 22-08-2025 Fortune telling on Goffee grounds: current tools and features of the Goffee group in attacks on Russia https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/fortune-telling-on-goffee-grounds/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа компаний Goffee с 2022 года настойчиво нацеливается на российские организации, использующие сочетание инструментов с открытым исходным кодом и проприетарных инструментов. Их кампания включает в себя настроенное вредоносное ПО, такое как модифицированный owowa для сбора учетных записей и DQuic для туннелирования UDP, наряду с использованием инструмента PowerTaskel для промежуточной установки модулей. Они проводили изощренные атаки с использованием методов запутывания и скомпрометированных учетных записей, используя тактику фишинга для проникновения в системы и эксплуатации их, особенно в сообщениях, имитирующих официальные российские агентства.
-----
Группа Goffee была связана с серией кибератак, нацеленных на российские организации с 2022 года, используя для проведения своих кампаний целый ряд как открытых, так и проприетарных инструментов. Примечательно, что группа использовала уникальные модификации известного вредоносного ПО и разработала свои собственные вредоносные скрипты, которые используют системы Unix. Их деятельность, в частности, связана с использованием средства обфускации трафика, Ebowla packer и алгоритма шифрования как трафика, так и файлов, что усложняет судебно-медицинский анализ их деятельности.
В июле 2024 года группа Goffee была вовлечена в атаку с использованием инструмента PowerTaskel, который был усовершенствован для поэтапной загрузки дополнительных модулей. Такой уровень модификации свидетельствует об адаптивности и техническом мастерстве группы. Впоследствии, в октябре 2024 года, Goffee нацелился на другую российскую организацию с помощью модифицированной версии вредоносного ПО owowa, предназначенной для сбора учетных данных пользователей, а также новых форматов для Nim-дропперов Infinity Loader, сохранив Sliver в качестве конечной полезной нагрузки.
К концу 2024 года группа продемонстрировала свою способность к сложному проникновению, используя скомпрометированную учетную запись и уязвимость для доступа к интерпретатору bash в системе жертвы. Они использовали команды, направленные на сбор данных об инфраструктуре и установление удаленного соединения.
Среди вредоносных инструментов, используемых группой Goffee, выделяются DQuic и BindSycler. DQuic использует протокол QUIC для туннелирования оболочки UDP bind, основанный на более старой версии библиотеки picoquic, что указывает на график разработки, простирающийся до 2023 года. BindSycler, инструмент на базе Golang, также облегчает туннелирование трафика по SSH, демонстрируя запутывание с помощью инструмента garble, таким образом скрывая его рабочие параметры.
О том, что группа полагалась на структурированную сетевую инфраструктуру, свидетельствовало обнаружение различных цепочек атак. Для проведения кампаний по фишингу Goffee преимущественно регистрировала вредоносные домены в зонах .ru и .com/.org, используя часто используемые российские IP-адреса и хостинговые сервисы, известные своей снисходительной позицией в отношении вредоносных действий. GoPhish был определен как инструмент, используемый для выполнения фишинг-атак.
Понимание операционной методологии позволяет выявить отдельные этапы атаки, каждый из которых имеет специфические сетевые характеристики и показатели компрометации, которые были собраны и проанализированы. Например, на этапе фишинга Goffee нацеливается на российские организации, в том числе в военно-промышленном секторе, с помощью тщательно разработанных вредоносных сообщений. Инцидент, произошедший в июле 2025 года, был связан с получением электронного письма, замаскированного под сообщение Министерства промышленности и торговли России, содержащего вредоносный архив, предназначенный для использования системы получателя.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа компаний Goffee с 2022 года настойчиво нацеливается на российские организации, использующие сочетание инструментов с открытым исходным кодом и проприетарных инструментов. Их кампания включает в себя настроенное вредоносное ПО, такое как модифицированный owowa для сбора учетных записей и DQuic для туннелирования UDP, наряду с использованием инструмента PowerTaskel для промежуточной установки модулей. Они проводили изощренные атаки с использованием методов запутывания и скомпрометированных учетных записей, используя тактику фишинга для проникновения в системы и эксплуатации их, особенно в сообщениях, имитирующих официальные российские агентства.
-----
Группа Goffee была связана с серией кибератак, нацеленных на российские организации с 2022 года, используя для проведения своих кампаний целый ряд как открытых, так и проприетарных инструментов. Примечательно, что группа использовала уникальные модификации известного вредоносного ПО и разработала свои собственные вредоносные скрипты, которые используют системы Unix. Их деятельность, в частности, связана с использованием средства обфускации трафика, Ebowla packer и алгоритма шифрования как трафика, так и файлов, что усложняет судебно-медицинский анализ их деятельности.
В июле 2024 года группа Goffee была вовлечена в атаку с использованием инструмента PowerTaskel, который был усовершенствован для поэтапной загрузки дополнительных модулей. Такой уровень модификации свидетельствует об адаптивности и техническом мастерстве группы. Впоследствии, в октябре 2024 года, Goffee нацелился на другую российскую организацию с помощью модифицированной версии вредоносного ПО owowa, предназначенной для сбора учетных данных пользователей, а также новых форматов для Nim-дропперов Infinity Loader, сохранив Sliver в качестве конечной полезной нагрузки.
К концу 2024 года группа продемонстрировала свою способность к сложному проникновению, используя скомпрометированную учетную запись и уязвимость для доступа к интерпретатору bash в системе жертвы. Они использовали команды, направленные на сбор данных об инфраструктуре и установление удаленного соединения.
Среди вредоносных инструментов, используемых группой Goffee, выделяются DQuic и BindSycler. DQuic использует протокол QUIC для туннелирования оболочки UDP bind, основанный на более старой версии библиотеки picoquic, что указывает на график разработки, простирающийся до 2023 года. BindSycler, инструмент на базе Golang, также облегчает туннелирование трафика по SSH, демонстрируя запутывание с помощью инструмента garble, таким образом скрывая его рабочие параметры.
О том, что группа полагалась на структурированную сетевую инфраструктуру, свидетельствовало обнаружение различных цепочек атак. Для проведения кампаний по фишингу Goffee преимущественно регистрировала вредоносные домены в зонах .ru и .com/.org, используя часто используемые российские IP-адреса и хостинговые сервисы, известные своей снисходительной позицией в отношении вредоносных действий. GoPhish был определен как инструмент, используемый для выполнения фишинг-атак.
Понимание операционной методологии позволяет выявить отдельные этапы атаки, каждый из которых имеет специфические сетевые характеристики и показатели компрометации, которые были собраны и проанализированы. Например, на этапе фишинга Goffee нацеливается на российские организации, в том числе в военно-промышленном секторе, с помощью тщательно разработанных вредоносных сообщений. Инцидент, произошедший в июле 2025 года, был связан с получением электронного письма, замаскированного под сообщение Министерства промышленности и торговли России, содержащего вредоносный архив, предназначенный для использования системы получателя.
#ParsedReport #CompletenessLow
23-08-2025
StardustChollima/BlueNoroff stole TG accounts and launched ZoomClickFIX phishing attacks
https://mp.weixin.qq.com/s/r1FAt-vHn-Yuw2wu54s5Rg
Report completeness: Low
Actors/Campaigns:
Bluenoroff
Zoomclickfix
Lazarus
Cryptocore
Tradertraitor
Famous_chollima
Geo:
North korean, Dprk
ChatGPT TTPs:
T1036, T1204.001, T1204.002, T1566.002, T1583.001, T1608.004
IOCs:
Url: 3
Domain: 12
Soft:
Zoom
Languages:
applescript
23-08-2025
StardustChollima/BlueNoroff stole TG accounts and launched ZoomClickFIX phishing attacks
https://mp.weixin.qq.com/s/r1FAt-vHn-Yuw2wu54s5Rg
Report completeness: Low
Actors/Campaigns:
Bluenoroff
Zoomclickfix
Lazarus
Cryptocore
Tradertraitor
Famous_chollima
Geo:
North korean, Dprk
ChatGPT TTPs:
do not use without manual checkT1036, T1204.001, T1204.002, T1566.002, T1583.001, T1608.004
IOCs:
Url: 3
Domain: 12
Soft:
Zoom
Languages:
applescript