#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель BQTLOCK, работающая по модели Ransomware-as-a-Service (RaaS), предоставляет инструменты для аффилированных лиц с ограниченными техническими навыками, включая генерацию полезной нагрузки и автоматизированный сбор платежей. Последний вариант повышает его устойчивость благодаря расширенным проверкам антианализа, обходу контроля учетных записей пользователей и улучшенной защите от запутывания кода. Недавние действия свидетельствуют о продолжающемся развитии, несмотря на заявления о приостановленном цикле обновления, включая маркетинг нового инструмента для поиска украденных данных и инициативу по временному бесплатному доступу после сбоев в их каналах связи.
-----

Программа-вымогатель BQTLOCK является примером модели "Программа-вымогатель как услуга" (RaaS), распространенной в сфере киберпреступности. Такой подход позволяет разработчикам продавать свои вредоносные инструменты и инфраструктуру аффилированным лицам, которым может не хватать технических знаний, и которые могут подписаться на эти сервисы. Эти предложения RaaS облегчают такие действия, как генерация полезной нагрузки, общение с жертвами, механизмы шифрования и автоматизированный сбор платежей в криптовалюте, снижая барьер для проникновения потенциальных злоумышленников.

Недавний анализ обновленного образца BQTLOCK, проведенный 5 августа 2025 года, выявил улучшения в дизайне вредоносного ПО. Обновленный вариант включает дополнительные проверки антианализа, методы обхода контроля учетных записей пользователей (UAC) и более сложные методы запутывания кода. Эти улучшения указывают на значительное усложнение программы-вымогателя, что усложняет анализ для специалистов по кибербезопасности.

Несмотря на то, что разработчик ZeroDayX позиционирует программу-вымогателя как полностью необнаруживаемую (FUD), заявления о BQTLOCK сопровождаются скептицизмом. Распространенный образец был идентифицирован как поврежденный ISO-файл, что сделало его нефункциональным. Кроме того, данные свидетельствуют о том, что отправленный файл был получен из Ливана, что, вероятно, указывает на причастность разработчика или близких аффилированных лиц к его распространению. Это вызывает опасения по поводу обоснованности заявлений FUD и наводит на мысль о возможном преувеличении в рекламных усилиях.

Кроме того, текущая рекламная активность, связанная с BQTLOCK, указывает на продолжающуюся разработку, и разработчики RaaS объявили о выпуске версии 4. Однако они также сообщили о прекращении будущих обновлений, что создает неопределенность в отношении реальных намерений, стоящих за этим объявлением. В течение короткого периода времени они выпустили четыре обновления, но затем внезапно прекратили работу, что вызвало предположения о том, является ли это фактическим прекращением, стратегическим ребрендингом или тактикой стимулирования интереса потенциальных покупателей. Примечательно, что их Telegram-канал был заблокирован, и в качестве ответной меры они предложили бесплатную услугу в течение трех дней через новый канал. Кроме того, они запустили инструмент под названием BAQIYAT.osint, предназначенный для поиска украденной информации по ключевым словам, по цене подписки, что еще раз указывает на расширение бизнес-модели в рамках их деятельности.

#technique

SpeechRuntimeMove
Lateral Movement as loggedon User via Speech Named Pipe COM & ISpeechNamedPipe + COM Hijacking

https://github.com/rtecCyberSec/SpeechRuntimeMove

#technique

GroupPolicyBackdoor

GroupPolicyBackdoor is a python utility for Group Policy Objects (GPOs) manipulation and exploitation. GPO attack vectors can very often lead to impactful privilege escalation scenarios in Active Directory environments. And yet, offensive security professionals may be reluctant to leverage them, partly due to the perceived risks associated with GPO manipulation.

GroupPolicyBackdoor aims at providing a modular, stable and stealthy exploitation framework for GPO attack vectors, all in python. The tool was presented at DEFCON 33.

https://github.com/synacktiv/GroupPolicyBackdoor

#ParsedReport #CompletenessHigh
22-08-2025

SpyNote Malware Part 2

https://dti.domaintools.com/spynote-malware-part-2/

Report completeness: High

Threats:
Spynote_rat

Victims:
Android users, Consumers

Industry:
Telco, Entertainment, Financial

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 30

IOCs:
IP: 2
File: 3
Hash: 4
Domain: 33
Url: 26

Soft:
Android, Google Play, nginx, Chrome, Zoom

Algorithms:
gzip, exhibit, aes

Functions:
JavaScript, download

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SpyNote нацелено на устройства Android через поддельные веб-сайты, имитирующие законные загрузки из Google Play, функционируя как троян удаленного доступа (RAT) с возможностями наблюдения, эксфильтрации данных и удаленного управления. Он поддерживает Регистрацию нажатий клавиш и может управлять функциональными возможностями устройств, такими как камеры, микрофоны и звонки, используя методы перехвата кликов. Вредоносное ПО распространяется через скомпрометированные веб-сайты с использованием закодированных процедур для установки полезной нагрузки, демонстрируя устойчивую тактику с ограниченной адаптивностью, в основном использующую поддельные приложения для социальной инженерии.
-----

Вредоносное ПО SpyNote вновь стало серьезной угрозой кибербезопасности, в первую очередь нацеливаясь на устройства Android через поддельные веб-сайты, имитирующие страницы загрузки законных приложений из магазина Google Play. Этот троян для удаленного доступа к Android (RAT) может похвастаться обширными возможностями, ориентированными на наблюдение, эксфильтрацию данных и удаленное управление зараженными устройствами. Недавние действия указывают на продолжение тактики, применяемой тем же злоумышленником, о котором говорилось в предыдущих отчетах, с незначительными корректировками IP-адресов и улучшенными методами антианализа, внедренными в их APK-дроппер, чтобы избежать обнаружения.

Функциональные возможности SpyNote's вызывают тревогу; он может управлять камерой и микрофоном устройства, управлять вызовами и выполнять команды удаленно. Одной из его наиболее опасных функций является Регистрация нажатий клавиш, позволяющая получать важные учетные данные пользователя и коды двухфакторной аутентификации (2FA) с помощью специальных служб Android. Вредоносное ПО еще больше расширяет свой охват, занимаясь перехватом кликов с помощью оверлейных атак. Если вредоносное ПО получает права администратора, оно обладает способностью удаленно стирать данные с устройств, блокировать их или устанавливать дополнительные вредоносные приложения, что делает его серьезной угрозой для кибершпионажа и связанной с ним преступной деятельности.

Доставка вредоносного ПО осуществляется с помощью обманных функций загрузки, встроенных в скомпрометированные веб-сайты, в частности, с использованием закодированных процедур, которые расшифровывают и активируют полезную нагрузку SpyNote при установке. Исходный APK-файл действует как дроппер, который использует зашифрованные ресурсы для облегчения этого процесса, подчеркивая детальный и стратегический метод, лежащий в основе его распространения.

Актор, распространяющий SpyNote, проявляет закрепление, но ограниченную адаптивность в своих методах. Центральное место в их стратегии занимает неоднократное использование поддельных приложений Google Play Store в качестве приманки, представляющее собой подход социальной инженерии, который по-прежнему имеет решающее значение для их деятельности. Несмотря на то, что они поменяли конкретные IP-адреса для своей инфраструктуры, они преимущественно работают только с двух основных адресов, что указывает на несколько ограниченные возможности диверсификации. Меры защиты от анализа в их APK-файлах относительно элементарны и включают базовые методы запутывания и динамическое дешифрование полезной нагрузки, предназначенные для маскировки истинных операций SpyNote.

#ParsedReport #CompletenessHigh
22-08-2025

Fortune telling on Goffee grounds: current tools and features of the Goffee group in attacks on Russia

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/fortune-telling-on-goffee-grounds/

Report completeness: High

Actors/Campaigns:
Paper_werewolf

Threats:
Sauropsida
Dquic
Bindsycler
Mirat
Powertaskel
Ebowla_tool
Owowa
Mythic_c2
Chisel_tool
Tinyshell
Sliver_c2_tool
Dll_sideloading_technique
Infinity_loader
Rawcopy_tool
Impacket_tool
Reptile
Garble_tool
Gophish_tool
Metasploit_tool
Powerprepare
Powermodule
Spear-phishing_technique
Goloader
Qwakmyagent

Victims:
Defense industry, Military industrial complex, Russian organizations

Industry:
Government

Geo:
Russian, Russia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 9
Technics: 27

IOCs:
File: 20
IP: 9
Path: 4
Command: 3
Domain: 2
Url: 4
Hash: 32

Soft:
Unix, Linux, OpenSSH

Algorithms:
fnv-1a, base64, aes, hmac, xor, sha1, rolmod13

Functions:
Get-ProcAddress, Get-DelegateType, Emit-CallThreadStub, CreateThread

Win API:
MI_Application_InitializeV1, recvfrom, CreateThread, VirtualProtect, irtualAlloc дл, я загрузки шел

Win Services:
eventlog

Languages:
dotnet, powershell, golang

Links:
https://github.com/fortra/impacket
have more...
https://github.com/milabs/khook
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Goffee с 2022 года настойчиво нацеливается на российские организации, использующие сочетание инструментов с открытым исходным кодом и проприетарных инструментов. Их кампания включает в себя настроенное вредоносное ПО, такое как модифицированный owowa для сбора учетных записей и DQuic для туннелирования UDP, наряду с использованием инструмента PowerTaskel для промежуточной установки модулей. Они проводили изощренные атаки с использованием методов запутывания и скомпрометированных учетных записей, используя тактику фишинга для проникновения в системы и эксплуатации их, особенно в сообщениях, имитирующих официальные российские агентства.
-----

Группа Goffee была связана с серией кибератак, нацеленных на российские организации с 2022 года, используя для проведения своих кампаний целый ряд как открытых, так и проприетарных инструментов. Примечательно, что группа использовала уникальные модификации известного вредоносного ПО и разработала свои собственные вредоносные скрипты, которые используют системы Unix. Их деятельность, в частности, связана с использованием средства обфускации трафика, Ebowla packer и алгоритма шифрования как трафика, так и файлов, что усложняет судебно-медицинский анализ их деятельности.

В июле 2024 года группа Goffee была вовлечена в атаку с использованием инструмента PowerTaskel, который был усовершенствован для поэтапной загрузки дополнительных модулей. Такой уровень модификации свидетельствует об адаптивности и техническом мастерстве группы. Впоследствии, в октябре 2024 года, Goffee нацелился на другую российскую организацию с помощью модифицированной версии вредоносного ПО owowa, предназначенной для сбора учетных данных пользователей, а также новых форматов для Nim-дропперов Infinity Loader, сохранив Sliver в качестве конечной полезной нагрузки.

К концу 2024 года группа продемонстрировала свою способность к сложному проникновению, используя скомпрометированную учетную запись и уязвимость для доступа к интерпретатору bash в системе жертвы. Они использовали команды, направленные на сбор данных об инфраструктуре и установление удаленного соединения.

Среди вредоносных инструментов, используемых группой Goffee, выделяются DQuic и BindSycler. DQuic использует протокол QUIC для туннелирования оболочки UDP bind, основанный на более старой версии библиотеки picoquic, что указывает на график разработки, простирающийся до 2023 года. BindSycler, инструмент на базе Golang, также облегчает туннелирование трафика по SSH, демонстрируя запутывание с помощью инструмента garble, таким образом скрывая его рабочие параметры.

О том, что группа полагалась на структурированную сетевую инфраструктуру, свидетельствовало обнаружение различных цепочек атак. Для проведения кампаний по фишингу Goffee преимущественно регистрировала вредоносные домены в зонах .ru и .com/.org, используя часто используемые российские IP-адреса и хостинговые сервисы, известные своей снисходительной позицией в отношении вредоносных действий. GoPhish был определен как инструмент, используемый для выполнения фишинг-атак.

Понимание операционной методологии позволяет выявить отдельные этапы атаки, каждый из которых имеет специфические сетевые характеристики и показатели компрометации, которые были собраны и проанализированы. Например, на этапе фишинга Goffee нацеливается на российские организации, в том числе в военно-промышленном секторе, с помощью тщательно разработанных вредоносных сообщений. Инцидент, произошедший в июле 2025 года, был связан с получением электронного письма, замаскированного под сообщение Министерства промышленности и торговли России, содержащего вредоносный архив, предназначенный для использования системы получателя.

#ParsedReport #CompletenessLow
23-08-2025

StardustChollima/BlueNoroff stole TG accounts and launched ZoomClickFIX phishing attacks

https://mp.weixin.qq.com/s/r1FAt-vHn-Yuw2wu54s5Rg

Report completeness: Low

Actors/Campaigns:
Bluenoroff
Zoomclickfix
Lazarus
Cryptocore
Tradertraitor
Famous_chollima

Geo:
North korean, Dprk

ChatGPT TTPs:
do not use without manual check
T1036, T1204.001, T1204.002, T1566.002, T1583.001, T1608.004

IOCs:
Url: 3
Domain: 12

Soft:
Zoom

Languages:
applescript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StardustChollima, также известная как BlueNoroff, использует метод фишинга под названием "ZoomClickFIX" для кражи учетных записей Telegram. Атака включает в себя поддельную ссылку Zoom meeting, которая перенаправляет пользователей на замаскированный URL-адрес, ведущий к загрузке вредоносного ПО под предлогом необходимости исправить функциональность Zoom. Этот метод подчеркивает использование социальной инженерии для использования доверия пользователей в злонамеренных целях, подчеркивая постоянные риски, связанные со схемами фишинга.
-----

StardustChollima, также известная как BlueNoroff, недавно была вовлечена в кражу учетных записей Telegram (TG) для облегчения фишингов -атак с использованием метода, получившего название “ZoomClickFIX”. Эта тактика заключается в создании обманчивой ссылки на встречу Zoom, которая кажется законной. При атаке обычный URL-адрес Zoom, предоставляемый пользователям, - это hxxps://reforge.zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt. Однако, как только ссылка нажата, пользователи перенаправляются на замаскированный адрес, который изменяет исходный URL на hxxps://reforge.web05zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt.

При переходе по этой мошеннической ссылке пользователи сталкиваются с сообщением, указывающим на то, что Zoom не может работать корректно и что им необходимо выполнить определенные инструкции по ремонту. Предоставленный контент для этого исправления на самом деле является загрузкой вредоносного ПО, расположенной по ссылке hxxp://web21zoom.us/audio/fix/2721598407. Эта методология фишинга подчеркивает подход злоумышленника к использованию тактики социальной инженерии для использования доверия пользователей и облегчения распространения вредоносного ПО под видом законного сервиса. Эта операция подчеркивает сохраняющийся риск, создаваемый схемами фишинга, особенно теми, которые используют популярные платформы и инструменты, широко используемые для удаленной коммуникации. Меры по кибербезопасности должны быть направлены на выявление и смягчение этих типов угроз, чтобы защитить пользователей от того, чтобы они не стали жертвами таких обманчивых практик.

#ParsedReport #CompletenessHigh
23-08-2025

UAC-0057 keeps applying pressure on Ukraine and Poland

https://harfanglab.io/insidethelab/uac-0057-pressure-ukraine-poland/

Report completeness: High

Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage)

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Confuserex_tool
Macropack_tool

Victims:
Government services, Media organizations

Industry:
Entertainment, Government

Geo:
Ukraine, Belarusian, Polish, Russia, Poland, Ukrainian

CVEs:
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1082, T1090, T1102, T1105, T1132.001, T1547.001, T1566.001, have more...

IOCs:
Hash: 25
File: 25
Path: 29
Url: 9
Domain: 7
Command: 1
Registry: 4

Soft:
Slack, OpenSSL, Mac OS, Task Scheduler, protonmail

Algorithms:
rc4, xor, zip, base64, sha256

Functions:
TaskScheduler

Win API:
CopyFile, VirtualProtect, CreateDirectory

Languages:
dotnet

Platforms:
intel, apple, x64

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR250801

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Белорусский злоумышленник UAC-0057 занимается кибершпионажем, нацеленным на Украину и Польшу, используя тактику spearphishing и дезинформации. В их кампаниях используются сжатые архивные файлы и создаются документы-приманки для обмана целей, используя встроенную библиотеку DLL на C# и вариант, написанный на C++, для эксфильтрации данных и обмена данными C2. Инфраструктура обеих стран демонстрирует сходство: серверы C2 замаскированы, чтобы казаться законными, что усложняет обнаружение, и используют макро-эксплойты в XLS-файлах для дополнительного вторжения.
-----

Злоумышленник UAC-0057, связанный с белорусскими интересами, продолжает свою кампанию кибершпионажа, нацеленную на Украину и Польшу. Их тактика в первую очередь связана с использованием дезинформации и методов spearphishing. В ходе недавнего расследования были выявлены сжатые архивные файлы, которые, вероятно, были направлены украинским организациям в период с конца мая 2025 года по июль 2025 года. Хотя способ доставки остается неподтвержденным, есть подозрение, что эти архивы были распространены с помощью spearphishing электронных писем, либо в виде вложений, либо по ссылкам.

Вредоносное ПО, используемое в этих кампаниях, включает в себя имплантат первой стадии - библиотеку DLL на C#, написанную для постоянного закрепления на скомпрометированных системах. Этот имплантат, запутанный с помощью ConfuserEx, предназначен для сбора системной информации, передачи ее на сервер командования и контроля (C2) и периодического запроса дополнительных вредоносных полезных нагрузок. Злоумышленники использовали поддельные документы, напоминающие законные сообщения Министерства цифровой трансформации Украины, чтобы повысить вероятность успеха в своих попытках фишинга.

Параллельно деятельность UAC-0057's в Польше в апреле и мае 2025 года продемонстрировала использование аналогичных методов, но с вариантом имплантата первой стадии, написанным на C++. Эти имплантаты также собирают системную информацию и взаимодействуют с серверами C2 для эксфильтрации данных. Было отмечено заметное совпадение в инфраструктуре, используемой как для украинской, так и для польской кампаний, что указывает на скоординированные операции. Серверы C2 размещены в доменах со структурами, имитирующими законные веб-сайты, иногда скрытыми с помощью сервисов Cloudflare, что еще больше усложняет усилия по обнаружению.

В арсенале злоумышленника также есть XLS-файлы, содержащие эксплойты на основе макросов, частично замаскированные с помощью таких инструментов, как MacroPack. Кроме того, в некоторых случаях коммуникации C2 выполняются по каналам Slack, при этом злоумышленник использует модели бесплатной подписки, чтобы сохранить анонимность и избежать обнаружения.

#ParsedReport #CompletenessLow
23-08-2025

MURKY PANDA: A Trusted-Relationship Threat in the Cloud

https://www.crowdstrike.com/en-us/blog/murky-panda-trusted-relationship-threat-in-cloud/

Report completeness: Low

Actors/Campaigns:
Hafnium (motivation: cyber_espionage)
Volt_typhoon

Threats:
Neo-regeorg_tool
Cloudedhope
Garble_tool

Victims:
Government, Technology, Academic, Legal, Professional services, Saas providers, Cloud solution providers

Industry:
Education, Government

Geo:
China, America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1190, T1199, T1505.003

Soft:
Outlook, Citrix NetScaler ADC

Languages:
golang

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4