#ParsedReport #CompletenessLow
26-08-2025

DNS Tunneling: The Blind Spot in Your Network Security Strategy

https://www.netskope.com/blog/dns-tunneling-the-blind-spot-in-your-network-security-strategy

Report completeness: Low

Actors/Campaigns:
Emissary_panda

Threats:
Dns_tunneling_technique
Dnspot_tool
Dnscat2_tool

Victims:
Organizations using dns, Enterprises

ChatGPT TTPs:
do not use without manual check
T1041, T1071.004

IOCs:
File: 5
Path: 3

Soft:
sudo, Docker

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DNS tunneling - это серьезная киберугроза, которая позволяет злоумышленникам акторам маскировать незаконные действия в рамках законного трафика DNS, что часто приводит к эксфильтрации данных и операциям управления (C2). Такие инструменты, как Iodine и dnspot, используются для туннелирования данных через DNS-запросы, облегчая скрытую связь даже в условиях ограниченного доступа. Dnscat2 является примером передовых методов установления структурированных каналов C2 через DNS, что оказывается сложной задачей для обнаружения и смягчения обычных средств защиты.
-----

DNS tunneling стал важным вектором угроз из-за его способности маскировать вредоносную активность в рамках законных протоколов DNS. Традиционно система доменных имен (DNS) используется для преобразования доменных имен в IP-адреса, но ее повсеместное присутствие в сетевом трафике часто приводит к злоупотреблениям со стороны киберпреступников для эксфильтрации данных и операций управления (C2). Злоумышленники используют разрешительный характер DNS-трафика, который часто пропускается через брандмауэры, что позволяет им скрытно передавать незаконные данные.

Такие инструменты, как Iodine и dnspot, показывают, как DNS можно использовать в качестве оружия. Iodine облегчает туннелирование данных IPv4 через DNS-запросы, обеспечивая связь в средах, где прямой доступ в Интернет ограничен. Dnspot функционирует аналогично, обеспечивая скрытую передачу данных и управление связью C2 через DNS-запросы и ответы. Используя такие методы, злоумышленники-акторы могут отфильтровывать информацию и поддерживать присутствие в скомпрометированных сетях, не вызывая подозрений. Примечательно, что dnscat2 является примером более сложного инструмента, позволяющего использовать структурированные каналы C2 через DNS-трафик, таким образом обходя стандартную защиту брандмауэра, которая обычно разрешает обмен DNS.

Меры безопасности против DNS tunneling должны включать не только обнаружение, но и проактивное управление DNS-трафиком. Угроза DNS tunneling усугубляется его скрытностью, поскольку он использует протокол, признанный безвредным. Эффективные стратегии защиты включают строгий контроль за использованием DNS, мониторинг аномальных шаблонов запросов и внедрение систем обнаружения, предназначенных для выявления поведения при DNS tunneling, о чем свидетельствуют конфигурации обнаружения угроз, подобные тем, которые доступны в Netskope.

Подводя итог, можно сказать, что для снижения рисков, связанных с атаками на основе DNS, организации должны применять комплексный подход, который включает в себя как технологию, так и политику, расширяя возможности мониторинга и реагирования на этот все чаще используемый вектор атак. Осведомленность о потенциале DNS tunneling's и инструментах, которые его облегчают, жизненно важна для разработки эффективных стратегий безопасности в условиях, когда традиционные средства защиты могут оказаться неэффективными.

#ParsedReport #CompletenessHigh
25-08-2025

Deception in Depth: PRC-Nexus Espionage Campaign Hijacks Web Traffic to Target Diplomats

https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats/

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Staticplugin
Plugx_rat
Aitm_technique
Canonstager

Victims:
Diplomats, Government

Industry:
Government

Geo:
Asia, China

ChatGPT TTPs:
do not use without manual check
T1027, T1059.003, T1071.001, T1082, T1106, T1140, T1189, T1204.002, T1218, T1553.002, have more...

IOCs:
File: 9
Url: 4
IP: 2
Domain: 1
Registry: 1
Path: 2
Hash: 8

Soft:
Gmail, Chrome, openssl, Windows security

Algorithms:
base64, md5, sha256, rc4

Functions:
myFunction, GetCurrentDirectoryW

Win API:
EnumSystemGeoID, ExitProcess, ShowWindow, GetMessageW, TranslateMessage, DispatchMessage

Languages:
javascript

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года злоумышленник PRC-nexus UNC6384 провел изощренную шпионскую кампанию, нацеленную на дипломатов и глобальные организации, используя вредоносное ПО, замаскированное под обновление плагина Adobe, доставляемое с помощью перехвата портала. Вредоносное ПО выполняет многоэтапную цепочку развертывания, используя загруженную на стороне CANONSTAGER библиотеку DLL, которая развертывает бэкдор SOGU.SEC, который работает скрытно, используя методы запутывания и используя законные функции Windows. Бэкдор SOGU.SEC предлагает широкие возможности, включая сбор системной информации и удаленные операции с командной оболочкой, и взаимодействует с сервером C2 по протоколу HTTPS.
-----

В марте 2025 года была раскрыта изощренная шпионская кампания, приписываемая злоумышленнику UNC6384, связанному с КНР, нацеленная на дипломатов в Юго-Восточной Азии и других глобальных организациях. Считается, что эта кампания направлена на поддержку стратегических интересов Китайской Народной Республики в области кибершпионажа. В анализе подробно описываются методы, используемые злоумышленником, в частности методы доставки вредоносного ПО и операционные возможности.

Основной метод, использованный UNC6384, включал в себя скрытый взлом портала для предоставления доступа к вредоносному ПО, замаскированному под обновление плагина Adobe. Закрытый портал обычно перенаправляет пользователей, намеревающихся получить доступ к сети, на определенную веб-страницу для аутентификации или получения информации. Использование этого метода позволило злоумышленникам использовать встроенную функциональность веб-браузеров, применяя тактику социальной инженерии. Они хитро убедили целевых пользователей в необходимости законного обновления программного обеспечения, что привело к загрузке вредоносной полезной нагрузки.

Как только вредоносное ПО запускается в системе Windows, оно запускает сложную многоэтапную цепочку развертывания, предназначенную для того, чтобы избежать обнаружения и сохранить скрытность. Центральное место в этом процессе занимает CANONSTAGER, новая библиотека DLL с боковой загрузкой, которая в конечном итоге обеспечивает Backdoor. CANONSTAGER использует методы запутывания потока управления наряду с законными функциями Windows, такими как очереди сообщений и функции обратного вызова, для незаметного выполнения зашифрованной полезной нагрузки.

Вариант бэкдора SOGU.SEC особенно примечателен своей запутанностью и широкими возможностями, включая сбор системной информации, функции загрузки файлов, а также возможность управлять удаленной командной оболочкой. Во время этой операции СОГУ.Было замечено, что SEC напрямую взаимодействует с сервером командования и контроля (C2), используя HTTPS по IP-адресу "166.88.2.90.".

Отнесение этой кампании к UNC6384 проистекает из наблюдаемого сходства в их тактике, методах и процедурах (TTP), включая значительное совпадение с TEMP.Hex group (также известная как Mustang Panda), что подтверждает их ориентацию на государственный сектор. Обе группы используют схожие инфраструктуры C2 и распространяют вредоносное ПО SOGU.SEC с помощью методов DLL side-loading, подчеркивая более широкую тенденцию использования передовых тактик угроз среди акторов PRC-nexus.

Кампания подчеркивает наблюдаемую эволюцию методов UNC6384, которые включают в себя интеграцию передовых стратегий man-in-the-middle (AitM), валидного Подписей исполняемого кода и сложных методологий социальной инженерии. Эти события иллюстрируют растущую изощренность и скрытность, применяемые злоумышленниками, связанными с PRC-nexus, поскольку они расширяют свои возможности по предотвращению обнаружения при продвижении деятельности по кибершпионажу.

#ParsedReport #CompletenessMedium
25-08-2025

Underground ransomware distributed to the world, including Korea

https://asec.ahnlab.com/ko/89786/

Report completeness: Medium

Threats:
Underground_ransomware
Underground_team_ransomware
Shadow_copies_delete_technique
Vssadmin_tool
Ransomware/win.grounde.c5771977
Ransomware/win.x64.c5768642
Ransom/mdp.behavior.m2813
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946

Victims:
Multiple countries, Multiple industries, Korea

Geo:
France, Slovakia, Korea, Germany, Singapore, United arab emirates, Canada, Spain, Australia, Taiwan, Arab emirates

ChatGPT TTPs:
do not use without manual check
T1112, T1486, T1489, T1490, T1657

IOCs:
Command: 1
Registry: 1
File: 4
Hash: 2

Algorithms:
aes, cbc, md5, bcrypt

Win API:
GetenvironmentVariablew, GetsystemTime, BCRYPTEnCrypt, readFile, BCRYPTGENERATESYMMETRICKEY, GetFileSizeEX

Win Services:
MSSQLSERVER, SQLSERVERAGENT, MSSQLFDLauncher

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банды Underground ransomware все чаще нацеливаются на различные отрасли промышленности, с июля 2023 года наблюдается новый вариант программы-вымогателя, который использует выделенные сайты утечек (DLS) для угрозы утечки данных. Эта программа-вымогатель использует уникальный идентификатор мьютекса для управления выполнением и не реализует распространенные методы уклонения, такие как анти-отладка, вместо этого фокусируясь на шифровании файлов. Основные методы атаки включают использование команды VSSADMIN для удаления shadow copies и изменение параметров реестра для предотвращения подключений к удаленному рабочему столу, тем самым ограничивая возможности восстановления для жертв.
-----

Банды Underground ransomware все чаще нацеливаются на различные страны и отрасли промышленности, включая Корею. Программа-вымогатель, связанная с этой группой, впервые появилась в начале июля 2023 года, но повышенная активность с использованием нового компонента, известного как выделенные сайты утечки (DLS), наблюдалась в мае 2024 года. Эта программа-вымогатель действует аналогично другим бандам, в первую очередь путем шифрования файлов в зараженных системах и извлечения конфиденциальных данных из организаций-жертв, утечка которых грозит в случае невыполнения требований о выкупе.

Вредоносное ПО использует уникальный идентификатор мьютекса "8dC1F7B9D2F4EA58", который предварительно вставляется злоумышленниками для управления выполнением. Примечательно, что эта программа-вымогатель не использует в своих подпрограммах такие распространенные методы, как анти-отладка или защита от "песочницы", что предполагает более простую операционную модель, ориентированную на выполнение своей основной функции — выкуп данных жертвы. Критическим шагом в процессе атаки является удаление всех shadow copies с помощью команды VSSADMIN, которая эффективно предотвращает восстановление жертвами своих зашифрованных файлов. Кроме того, программа-вымогатель изменяет параметры реестра, чтобы ограничить подключения к удаленному рабочему столу, и останавливает службы, которые могут помешать шифрованию файлов базы данных.

Эти действия подчеркивают тактику, применяемую этой группой программ-вымогателей, подчеркивая целенаправленную стратегию, направленную на максимальное воздействие на жертв, лишая их доступа к их собственным критически важным данным и препятствуя возможностям восстановления. Эволюция underground ransomware не только подчеркивает его закрепление, но и необходимость для организаций усилить свою защиту от подобных атак.

#ParsedReport #CompletenessMedium
26-08-2025

2025 State of the Internet: Digging into Residential Proxy Infrastructure

https://censys.com/blog/2025-state-of-the-internet-digging-into-residential-proxy-infrastructure

Report completeness: Medium

Threats:
Residential_proxy_technique
Polaredge
Stormwatch
Lapdogs

Victims:
Iot devices, Network edge devices, Residential proxies

Industry:
Education, Government, Telco, Iot, Critical_infrastructure

Geo:
Sweden, Canada, India, Ukraine, Spanish, Taiwan, Japan, Brazil, Poland, China, American, Czech, Asia, Korea, Russia, Korean, Hong kong

CVEs:
CVE-2023-20118 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco rv016_firmware (*)


ChatGPT TTPs:
do not use without manual check
T1090, T1505.003, T1573

IOCs:
Hash: 3
IP: 1

Soft:
ORB network, Big-IP, Mac OS, AnyConnect

Algorithms:
sha256, base64, ecdsa, rsa-2048

Platforms:
intel, apple, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PolarEdge - это ботнет интернета вещей, появившийся в конце 2023 года, в основном использующий уязвимости устройств Cisco (CVE-2023-20118) для развертывания пользовательского TLS Backdoor. Имея около 40 000 скомпрометированных устройств, в основном расположенных в Южной Корее и США, он нацелен как на устройства корпоративного, так и на потребительского уровня для долгосрочного заражения, избегая обнаружения за счет работы с нестандартными портами высокого уровня. Ботнет демонстрирует тенденцию к росту и действует аналогично шпионским кампаниям, характеризуясь скорее закреплением, чем быстрыми изменениями инфраструктуры.
-----

PolarEdge идентифицирован как значительный ботнет интернета вещей, который функционирует по крайней мере с конца 2023 года, первоначально используя уязвимости в устройствах Cisco, в частности CVE-2023-20118, для развертывания вредоносных инструментов, включая пользовательский TLS-бэкдор на основе Mbed TLS (PolarSSL). Этот ботнет продемонстрировал некоторые характеристики, типичные для сетей оперативной ретрансляции (ORB), особенно с точки зрения его закрепления и моделей нацеливания, которые можно сравнить со шпионскими кампаниями, связанными с китайскими злоумышленниками. Тем не менее, PolarEdge отличается заметно низким оттоком инфраструктуры, поддерживая долгосрочные заражения, а не часто заменяя скомпрометированные устройства.

По состоянию на август 2025 года почти 40 000 устройств находятся под контролем PolarEdge, причем инфекции преимущественно сосредоточены в Южной Корее и Соединенных Штатах. К скомпрометированным устройствам относятся системы корпоративного уровня, такие как брандмауэры Cisco и ASA, а также устройства потребительского класса, такие как маршрутизаторы ASUS и сетевые накопители Synology. Эти устройства, часто расположенные в доверенных жилых IP-пространствах, выбираются из-за их постоянного присутствия в Сети и склонности к отсутствию частых обновлений системы безопасности, что делает их идеальными для проксирования вредоносного трафика. Бэкдор обычно развертывается на нестандартных высоких портах, в частности, между TCP 40000 и 50000, стратегия, используемая для обхода стандартных механизмов сканирования и обнаружения.

Кампания PolarEdge продемонстрировала значительный рост, увеличившись примерно со 150 случаев заражения в середине 2023 года до своих нынешних масштабов. О закреплении ботнет также свидетельствует наличие конкретных индикаторов компрометации, в частности самозаверяющего сертификата PolarSSL Test CA, который помогает отслеживать его операционный след с течением времени. Этот анализ показывает, что эффективность ботнет основывается на хорошо зарекомендовавших себя моделях долгосрочного закрепления, а не на временных, оппортунистических атаках.

При изучении текущего ландшафта угроз PolarEdge's становится ясно, что его операторы стратегически развили присутствие, охватывающее как крупных национальных интернет-провайдеров, так и более мелких местных провайдеров, что указывает на растущую тенденцию нацеливания на жилые сети в злонамеренных целях. Последствия таких широко распространенных заражений создают серьезные проблемы для сетевых операторов, поднимая важные вопросы об обнаружении, реагировании и системе безопасности от подобных скрытых угроз. По мере того как защитники осваивают эту эволюционирующую тактику, улучшенная видимость и мониторинг устройств Интернета вещей и пограничных ресурсов становятся критически важными для противодействия рискам, создаваемым ботнет -сетями, такими как PolarEdge. Растущее дублирование между Сетевыми устройствами в жилых помещениях и инфраструктурой, поддерживающей деятельность киберпреступников, подчеркивает настоятельную необходимость совершенствования мер по кибербезопасности на всех уровнях.

#ParsedReport #CompletenessMedium
26-08-2025

Major Cyber Attacks in August 2025: 7-Stage Tycoon2FA Phishing, New ClickFix Campaign, and Salty2FA

https://any.run/cybersecurity-blog/cyber-attacks-august-2025/

Report completeness: Medium

Actors/Campaigns:
Storm-1575
Storm-1747

Threats:
Tycoon_2fa
Clickfix_technique
Salty_2fa_tool
Rhadamanthys
Steganography_technique
Tycoon_framework
Netsupportmanager_rat
Asyncrat
Aitm_technique
Dadsec_tool

Victims:
Microsoft 365 users, Us region, Canada region, Europe region

Industry:
Military, Government, Financial, Energy, Healthcare, Telco, Education, Logistic

Geo:
Canada

TTPs:

IOCs:
Domain: 14
Url: 4
IP: 4

Soft:
Cloudflare Turnstile

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года участились изощренные кампании фишинга, особенно с помощью фреймворка Tycoon2FA, который использует семиэтапную стратегию атаки, включающую капчи и экраны проверки, чтобы обойти меры безопасности. Программа-похититель Rhadamanthys, поставляемая с помощью фреймворков ClickFix и использующая Стеганографию в формате PNG, нацелена на масштабную кражу данных, используя тактику уклонения. Кроме того, платформа Salty2FA, связанная с группой Storm-1575, эффективно обходит двухфакторную аутентификацию, предназначенную для учетных записей Microsoft 365, что подчеркивает эволюцию тактики фишинга.
-----

В августе 2025 года в киберпространстве произошел заметный рост числа изощренных кампаний фишинга, о чем свидетельствует появление фреймворка Tycoon2FA, который использует уникальную семиэтапную стратегию фишинг-атаки. Этот подход значительно отличается от обычных методов фишинга, повышая его эффективность за счет включения таких элементов, как капчи, проверки удержания кнопки и экраны проверки подлинности. Каждая фаза выполнения Tycoon2FA тщательно продумана, чтобы исчерпать средства защиты пользователя, эффективно обходя автоматизированные меры безопасности. К тому времени, когда жертвы добираются до последней панели фишинга, многие системы безопасности уже скомпрометированы или обойдены.

Другой выявленной важной кампанией является программа Rhadamanthys Stealer, которая поставляется с помощью фреймворков ClickFix, использующих Стеганографию в формате PNG для эксфильтрации данных. Rhadamanthys - это infostealer на базе C++, известный своей способностью осуществлять масштабную кражу данных, используя при этом изощренную тактику уклонения от систем кибербезопасности.

Кроме того, платформа Salty2FA, которая была впервые зарегистрирована в июне 2025 года, стала платформой для фишинга как услуги (PhaaS), нацеленной на учетные записи Microsoft 365 в США, Канаде, Европе и на мировых рынках. Storm-1575, группа, стоящая за этим фреймворком, известна своими связями с более ранними инструментами для фишинга, такими как набор для фишинга Dadsec. Тактика работы Salty2FA претерпела значительную эволюцию, что указывает на способность актора обходить почти все известные протоколы двухфакторной аутентификации (2FA).

Сочетание достижений в тактике фишинга, таких как многоэтапное выполнение Tycoon2FA и использование Стеганографии с вредоносным ПО, таким как Rhadamanthys, подчеркивает необходимость разработки организациями надежных мер защиты. Обычных статических индикаторов компрометации становится все более недостаточно; переход к проактивному мониторингу поведения и анализу угроз в режиме реального времени имеет решающее значение для противодействия этим эволюционирующим угрозам. Поскольку киберугрозы продолжают развиваться, понимание их механизмов и возможностей вовлеченных злоумышленников будет иметь важное значение для эффективной защиты.

#ParsedReport #CompletenessLow
25-08-2025

New Netflix scam is trying to steal your Facebook credentials

https://moonlock.com/new-netflix-scam-facebook-credentials

Report completeness: Low

Victims:
Job seekers, Facebook users, Netflix users

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204, T1566.001, T1566.002, T1583.001

IOCs:
Domain: 5
Url: 1

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество с фишингом, нацеленное на соискателей работы, использует поддельные предложения о работе Netflix для сбора учетных данных Facebook, используя методы, которые перехватывают пароли в режиме реального времени. Электронные письма, кажущиеся законными, направляют жертв на подозрительные ссылки для сбора персональных данных, и эта афера является частью более широкой схемы мошеннических действий, связанных с Netflix, включая обещания финансового вознаграждения за просмотр контента. Продолжающаяся серия инцидентов подчеркивает повышенный уровень угрозы и потенциальную возможность усиления виктимизации среди пользователей.
-----

Недавние сообщения указывают на то, что мошенничество с фишингом, нацеленное на соискателей работы, использует поддельные предложения о работе, связанные с Netflix, для получения учетных данных Facebook. Атака была отмечена отсутствием изощренности, но подчеркивает опыт злоумышленников в совершении кибератак. Они используют методы, которые позволяют им перехватывать пароли в режиме реального времени, что свидетельствует об уровне технической проницательности, повышающем доверие к мошенничеству.

Мошенничество обычно заключается в рассылке электронных писем, которые кажутся законными, и привлечении пользователей, которые активно ищут работу. Эта тактика является частью более широкой кампании, в ходе которой за последние недели произошло множество инцидентов, демонстрирующих сохраняющуюся угрозу и потенциальную возможность увеличения числа жертв. Электронные письма часто приводят жертв к неизвестным ссылкам, по которым в дальнейшем может быть запрошена личная информация, что создает значительные риски для их онлайн-безопасности.

Помимо мошеннических предложений о работе, была обнаружена сеть других подозрительных действий, связанных с Netflix. К ним относятся мошеннические действия, обещающие финансовое вознаграждение за просмотр контента Netflix. Такие подходы перенаправляют жертв на различные сомнительные сайты, которые могут еще больше скомпрометировать пользовательские данные.

Netflix предпринял шаги для информирования пользователей о том, как сообщать о таких попытках фишинга, и подчеркивает важность бдительности. Компания советует частным лицам воздерживаться от перехода по ссылкам или ответа на подозрительные сообщения, тем самым снижая вероятность стать жертвой подобных мошенничеств. Пользователям рекомендуется усилить свои меры безопасности, включая использование Многофакторной аутентификации на платформах Социальных сетей, особенно подверженных этим схемам фишинга.

#ParsedReport #CompletenessHigh
26-08-2025

ZipLine Campaign: A Sophisticated Phishing Attack Targeting US Companies

https://research.checkpoint.com/2025/zipline-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Unk_greensec (motivation: cyber_criminal)

Threats:
Zipline
Mixshell
Procmon_tool
Dns_tunneling_technique
Transferloader
Supply_chain_technique

Industry:
Semiconductor_industry, Aerospace, Energy, Healthcare

Geo:
Japan, Switzerland, Singapore

IOCs:
Command: 2
File: 6
Domain: 20
IP: 5
Hash: 14
Url: 14

Soft:
Internet Explorer, Windows Explorer, qemu

Wallets:
harmony_wallet

Algorithms:
base64, xor, zip, crc-32

Functions:
MixShell

Win API:
GetProcAddress, VirtualAlloc

Languages:
jscript, powershell