#ParsedReport #CompletenessLow
25-08-2025

Android Droppers: The Silent Gatekeepers of Malware

https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware

Report completeness: Low

Actors/Campaigns:
Zombinder

Threats:
Securidropper
Brokewell
Tiramisudropper
Spynote_rat

Victims:
Android users

Industry:
Financial, Government

Geo:
Asia, India, Brazil, Singapore, Thailand

ChatGPT TTPs:
do not use without manual check
T1105, T1204.002, T1516

Soft:
Android, Gatekeepers, Google Play, WhatsApp

Crypto:
monero

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Android-дропперы - это вредоносные приложения, предназначенные для установки вредоносного ПО, такого как банковские трояны и трояны удаленного доступа, на устройства, которые выглядят безобидными. Эти дропперы используют повышенные разрешения, запрашивая доступ к таким функциям, как службы специальных возможностей, после установки, что позволяет им выполнять вредоносные действия без немедленного обнаружения. Их эволюция отражает текущие проблемы в борьбе с мобильным вредоносным ПО, особенно по мере того, как злоумышленники адаптируются к усиленным мерам безопасности в Android.
-----

Android-дропперы служат важнейшим компонентом в распространении вредоносного ПО в экосистеме Android. Это, казалось бы, безобидные приложения, разработанные специально для извлечения и установки вредоносной полезной нагрузки на устройство. Они были особенно распространены при внедрении банковских троянов и троянцев удаленного доступа (RATs). Эволюция мер безопасности Android, особенно после введенных в Android 13 ограничений, которые ужесточили разрешения и доступ к API, еще больше подчеркнула роль дропперов в сокрытии вредоносной активности.

Эффективное использование дропперов позволяет злоумышленникам обходить первоначальные процессы сканирования, поскольку эти небольшие приложения не проявляют явно вредоносного поведения в момент установки. Как только дроппер установлен, он впоследствии может запрашивать критические разрешения, такие как службы специальных возможностей, тем самым получая расширенные возможности для выполнения своих вредоносных функций. Этот механизм позволяет злоумышленникам оставаться незаметными при реализации своих вредоносных намерений, что в конечном счете облегчает беспрепятственную установку более разрушительных полезных программ, избегая при этом немедленного обнаружения.

По мере развития стратегий, связанных с мобильным вредоносным ПО, дропперы будут оставаться основной тактикой киберпреступников, стремящихся использовать пользовательские устройства скрытными способами. Эффективность такого подхода при использовании обновленных протоколов безопасности вызывает серьезную озабоченность у специалистов по кибербезопасности, подчеркивая необходимость в постоянно адаптируемых защитных механизмах для защиты от таких угроз.

#ParsedReport #CompletenessLow
26-08-2025

Interlock ransomware, a corporate targeting attack

https://asec.ahnlab.com/ko/89837/

Report completeness: Low

Actors/Campaigns:
Interlock

Threats:
Interlock
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946

Victims:
Companies, Critical infrastructure organizations

Industry:
Critical_infrastructure

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1027, T1486, T1620, T1622

IOCs:
Hash: 5
File: 2

Soft:
OpenSSL, task scheduler, Windows Defender

Algorithms:
aes-256-gcm, md5, aes, rsa-4096

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock ransomware, выявленный в конце сентября 2024 года, нацелен на предприятия и критически важную инфраструктуру путем шифрования файлов и эксфильтрации конфиденциальных данных. Он использует AES-256-GCM для шифрования и RSA-4096 для обмена ключами, встраивая открытый ключ в зашифрованные файлы для расшифровки, что усложняет усилия по восстановлению. Вредоносное ПО избегает пост-шифрования сетевых сообщений и использует методы обфускации для сокрытия своих операций, что затрудняет обнаружение и анализ для специалистов по кибербезопасности.
-----

С момента своего появления в конце сентября 2024 года Interlock Ransomware стала серьезной угрозой, нацеленной на предприятия и критически важную инфраструктуру по всему миру. Эта киберпреступная группировка использует типичную методологию вымогателей, при которой она не только шифрует файлы в скомпрометированных системах, но и извлекает конфиденциальную информацию. Если жертвы не удовлетворят требования о выкупе, украденным данным грозит публичное раскрытие, что подчеркивает двойной характер их атак.

Техническая архитектура Interlock ransomware примечательна использованием алгоритма шифрования AES-256-GCM, который предназначен для эффективной защиты файлов. Программа-вымогатель использует RSA-4096 для обмена ключами, где симметричный ключ и вектор инициализации (IV) шифруются и добавляются в конец зашифрованного файла. Этот предварительно встроенный открытый ключ позволяет злоумышленникам расшифровывать файлы, используя соответствующий им закрытый ключ. Использование библиотеки OpenSSL повышает безопасность зашифрованных данных, что делает восстановление без выплаты выкупа чрезвычайно сложной задачей для жертв. Интересно, что программа-вымогатель не участвует в сетевом обмене данными после шифрования, сосредоточившись исключительно на локальных процессах. Такая конструкция намеренно ограничивает способы, с помощью которых жертвы могут восстановить данные, поскольку работа вредоносного ПО завершается без внешних взаимодействий, оставляя мало следов.

Кроме того, Interlock ransomware использует продвинутую тактику, чтобы избежать обнаружения. Он запутывает свой основной код перед выполнением, распаковывая основную функциональность в памяти только во время выполнения. Этот метод не только скрывает логику программы-вымогателя от традиционных механизмов обнаружения, но и замедляет усилия по анализу безопасности, создавая уровень уклонения, который усложняет стратегии смягчения последствий для специалистов по кибербезопасности. Следовательно, сочетание сложного шифрования и тактики скрытности значительно повышает риски, связанные с Interlock ransomware, что делает его заметным игроком на развивающемся рынке программ-вымогателей.

#ParsedReport #CompletenessLow
26-08-2025

Trusted My Summarizer, Now My Fridge Is Encrypted How Threat Actors Could Weaponize AI Summarizers with CSS-Based ClickFix Attacks

https://www.cloudsek.com/blog/trusted-my-summarizer-now-my-fridge-is-encrypted----how-threat-actors-could-weaponize-ai-summarizers-with-css-based-clickfix-attacks

Report completeness: Low

Threats:
Clickfix_technique
Mimic_ransomware
Clickflix_technique
Seo_poisoning_technique

Victims:
Users of ai summarizers, Email clients users, Browser extensions users, Productivity platforms users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1204, T1562, T1566, T1583, T1608

IOCs:
Command: 2

Algorithms:
base64, exhibit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант атак социальной инженерии ClickFix использует инструменты обобщения ИИ путем встраивания вредоносных инструкций в запутанный CSS в документах, избегая обнаружения и используя выходные данные ИИ. Этот метод, известный как быстрая передозировка, включает скрытие вредоносных команд, которые доминируют в контексте вывода, обманом заставляя пользователей выполнять Ransomware. Проверка концепции продемонстрировала этот метод с использованием доброкачественного контента, дополненного скрытыми вредоносными инструкциями, подчеркнув риски, связанные с широко используемыми инструментами обобщения.
-----

Недавние разработки в области техник кибератак привели к появлению варианта атак социальной инженерии ClickFix, который использует функциональность инструментов обобщения ИИ. Этот подход использует обфускацию CSS для сокрытия вредоносных инструкций в документах, позволяя им ускользать от обнаружения человеком, оставаясь при этом интерпретируемыми моделями искусственного интеллекта. Когда эти документы обрабатываются составителями резюме, вредоносный код всплывает в контенте, сгенерированном искусственным интеллектом, тем самым обманом заставляя пользователей запускать программы-вымогатели без их ведома.

Тактика ClickFix обычно основана на внедрении четких инструкций в кажущиеся безобидными материалы для манипулирования поведением пользователя. Однако это исследование смещает фокус, концентрируясь на самом механизме обобщения как на случайном проводнике директивы злоумышленника. В нем используются невидимые методы быстрого ввода, которые делают вредоносные команды незаметными для пользователя, гарантируя при этом, что они доминируют в контексте, когда сумматор генерирует выходные данные.

Этот метод включает в себя технику, называемую быстрой передозировкой, при которой вредоносный контент внедряется несколько раз, чтобы гарантировать, что он перекрывает другую важную информацию в окне обработки summarizer. Формулируя эти инструкции в формате, который кажется ИИ заслуживающим доверия, злоумышленники повышают вероятность соблюдения требований пользователя, эффективно превращая сумматор в механизм доставки директив, связанных с программами-вымогателями.

Эксперимент по проверке концепции продемонстрировал этот метод на веб-странице с безобидным контентом, обсуждающим различные темы, в сочетании со скрытыми вредоносными инструкциями, встроенными в HTML с использованием методов CSS, таких как настройка свойств, позволяющих сделать текст невидимым. Наличие этих скрытых инструкций подчеркивает угрозу, исходящую от этого метода, особенно с учетом того, что инструменты обобщения широко используются в различных приложениях, таких как почтовые клиенты и расширения для браузеров.

Чтобы снизить эти риски, организациям следует внедрять стратегии очистки контента на стороне клиента. Это включает в себя предварительную обработку входящего HTML-кода для нормализации или устранения любых элементов, содержащих подозрительные атрибуты CSS, например, те, которые делают текст невидимым, которые затем должны быть помечены для дальнейшей проверки, прежде чем они попадут в модель обобщения.

Необходимы постоянные исследования для создания сложных алгоритмов обнаружения, способных обнаруживать запутанные команды, скрытые в документах, и оценивать эффективность различных средств обобщения в различных контекстах. В будущих исследованиях может быть изучено, как другие вредоносные программы могут сочетаться с этим методом для усиления атак социальной инженерии, что потребует разработки защитных контрмер против таких возникающих угроз. Сделанные здесь выводы подчеркивают настоятельную необходимость принятия упреждающих контрмер и обучения пользователей для защиты от этих новых путей атаки.

#ParsedReport #CompletenessLow
26-08-2025

Cephalus Ransomware: Dont Lose Your Head

https://www.huntress.com/blog/cephalus-ransomware

Report completeness: Low

Threats:
Cephalus
Dll_sideloading_technique
Kawalocker
Hermes
Megacmd_tool

ChatGPT TTPs:
do not use without manual check
T1036.005, T1486, T1574.002

IOCs:
File: 3
Path: 1
Command: 24
Hash: 2

Soft:
Twitter, Microsoft Defender, Windows Defender

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Cephalus появилась в августе 2023 года, используя методы DLL Sideloading с исполняемым файлом из SentinelOne для развертывания. Злоумышленники идентифицировали себя в записках о выкупе, которые включали ссылки на новостные статьи, чтобы повысить воспринимаемую легитимность их угрозы. Ограниченный анализ показывает, что Microsoft Defender успешно предотвратил одну попытку, но понимание тактики Cephalus имеет решающее значение для усиления защиты от такого Ransomware.
-----

Программа-вымогатель Cephalus появилась в качестве нового варианта в инцидентах, о которых сообщалось в середине августа 2023 года, в частности, 13 и 16 августа. Нападавшие назвали себя в записках о выкупе, которые начинались фразой "Мы - Цефал". Хотя в настоящее время существует ограниченный публичный анализ этого варианта, ссылки на различных веб-сайтах по кибербезопасности дают представление о возможном удалении.

Развертывание Cephalus включало использование вредоносной тактики, включая метод DLL Sideloading, в частности, использование исполняемого файла из SentinelOne. Эта тактика была частично смягчена, когда Microsoft Defender успешно обнаружил попытку вымогательства и поместил ее в карантин в одном из инцидентов, что иллюстрирует важность надежной защиты конечных точек для предотвращения развертывания программ-вымогателей.

Примечательно, что заметки о выкупе, сопровождающие инциденты с Cephalus, продемонстрировали уникальную стратегию, сославшись на новостные статьи о самой программе-вымогателе. Эта тактика была направлена на оказание давления на жертв путем повышения воспринимаемой легитимности угрозы, отличая ее от других семейств программ-вымогателей, которые использовали более общие средства коммуникации. Такое поведенческое понимание того, как Cephalus взаимодействует со своими целями, может иметь решающее значение для защитных мер, поскольку оно подчеркивает психологическую тактику, которую атакующие используют наряду с техническими аспектами атаки.

Понимание действий и методов предварительного шифрования, таких как использование DLL sideloading, имеет важное значение для улучшения защиты от Ransomware. Это понимание может помочь организациям в разработке более эффективных стратегий обнаружения и реагирования до шифрования файлов и выдачи требований о выкупе.

#ParsedReport #CompletenessLow
26-08-2025

Fast-Flux DNS: How Malware Uses DNS to Stay Invisible

https://medium.com/@cyberengage.org/fast-flux-dns-how-malware-uses-dns-to-stay-invisible-883b92c67813

Report completeness: Low

Threats:
Fastflux_technique

ChatGPT TTPs:
do not use without manual check
T1071.004, T1090, T1483, T1568.002, T1583.001

IOCs:
File: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Fast-flux DNS - это метод, используемый киберпреступниками для сокрытия местоположения серверов управления (C2) путем быстрого обновления записей DNS, что затрудняет защитникам эффективную блокировку вредоносных доменов. Метод double-flux увеличивает эту сложность за счет ротации записей сервера имен, полученных из скомпрометированных систем. Индикаторами активности fast-flux являются низкие значения времени ожидания (TTL) и несколько IP-адресов, возвращаемых доменом, что может сигнализировать о текущих киберугрозах.
-----

Fast-flux DNS - это технология, используемая киберпреступниками для сокрытия местоположения своих серверов управления (C2), что создает серьезную проблему для защитников, пытающихся заблокировать вредоносную инфраструктуру. Этот метод предполагает быструю ротацию записей DNS, при которой записи "A" часто обновляются, иногда каждые несколько минут, что затрудняет определение реального IP-адреса, связанного с доменом, используемым в атаке. В результате, когда службы безопасности идентифицируют IP-адрес идентифицированного домена C2 и пытаются заблокировать его, злоумышленники могут быстро изменить записи DNS, что делает такие усилия бесполезными.

Эволюцией fast-flux DNS является метод double-flux. Здесь не только чередуются записи A, но и записи сервера имен (NS) также являются динамическими и получены из скомпрометированных систем. Это добавляет еще один уровень сложности, поскольку защитникам приходится бороться с постоянно меняющейся инфраструктурой, которая включает в себя множество точек отказа.

Чтобы снизить риски, связанные с fast-flux DNS, организации могут реализовать несколько защитных стратегий. Один из подходов предполагает объединение известных вредоносных доменов, что позволяет администраторам DNS локально контролировать процесс разрешения и предотвращать подключения к распознанным угрозам. Кроме того, ведение журналов запросов DNS дает важную информацию и помогает идентифицировать скомпрометированные компьютеры, показывая, кто запрашивал, какие домены и когда. Обнаружение шаблонов в DNS-трафике может еще больше помочь охотникам за угрозами, поскольку fast-flux DNS демонстрирует специфическое поведение, которое, хотя и не является надежным, может сигнализировать о потенциальных угрозах.

Индикаторы активности fast-flux часто включают очень низкие значения времени ожидания (TTL), обычно устанавливаемые ниже пяти минут, чтобы гарантировать быстрое истечение срока действия записей DNS и необходимость частых обновлений. Вредоносные домены fast-flux также, как правило, возвращают в ответах большое количество IP-адресов, часто дюжину или более, что отражает участие многочисленных скомпрометированных систем, функционирующих в качестве прокси-серверов. Более того, аналитикам следует обращать внимание на отклонения от установленных базовых значений трафика DNS, поскольку внезапное увеличение числа разрешающих IP-адресов или необычное поведение могут указывать на наличие операции fast-flux.

#ParsedReport #CompletenessMedium
26-08-2025

Phishing Campaign Targeting Companies via UpCrypter

https://www.fortinet.com/blog/threat-research/phishing-campaign-targeting-companies-via-upcrypter

Report completeness: Medium

Threats:
Upcry
Babylon_rat
Purehvnc_tool
Dcrat
Junk_code_technique
Steganography_technique

Victims:
Manufacturing, Technology, Healthcare, Construction, Retail and hospitality, Companies

Industry:
Entertainment, Retail, Healthcare

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036, T1059.001, T1059.007, T1105, T1106, T1204.002, T1497.001, T1562.001, have more...

IOCs:
Url: 8
File: 8
Domain: 10
Registry: 2
Hash: 6

Soft:
Hyper-V, Internet Explorer

Algorithms:
base64, xor, zip

Functions:
downloadFile

Win API:
WinExec

Win Services:
InfoPath

Languages:
python, javascript, powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 15, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания фишинга, распространяющая вредоносное ПО UpCrypter с использованием вводящих в заблуждение электронных писем, тематически связанных с голосовой почтой и заказами на покупку. В атаке используется HTML-файл, который скрывает адрес электронной почты цели и создает Вредоносную ссылку с помощью операций XOR, в то время как последующие загрузки включают запутанный JavaScript, который скрытно выполняет команды PowerShell с правами администратора. Работая в качестве загрузчика MSIL, UpCrypter устанавливает постоянное присутствие в определенном каталоге для облегчения текущего контроля скомпрометированных систем, воздействия на множество секторов по всему миру.
-----

Недавно появилась кампания по фишингу, которая распространяет вредоносное ПО UpCrypter с помощью различных тактик, в частности, используя поддельные голосовые сообщения и заказы на покупку в качестве обманчивой приманки. В одном из идентифицированных вариантов электронного письма используется тема голосовой почты, представленная строкой темы "Пропущенный телефонный звонок - дата", и включает вложение с надписью "VN0001210000200.html ." HTML-файл предназначен для выполнения скрипта, который запутывает адрес электронной почты цели с помощью кодировки Base64, затем создает Вредоносную ссылку с помощью серии операций XOR, в конечном счете перенаправляя браузер пользователя после временной задержки. В скрипте реализованы методы защиты от автоматизации, предотвращающие обнаружение путем простого завершения работы при обнаружении определенного размера окна.

После первоначального взаимодействия кампания загружает ZIP-архив, содержащий сильно запутанный JavaScript-файл, затемненный чрезмерным количеством junk code, чтобы скрыть свои истинные намерения. В этом JavaScript критические компоненты сегментируются на переменные, такие как "bfHJJ" и "lyoSU", которые позже объединяются для генерации команды Base64. Используя Windows Script Host (WScript) и Shell.Объекты приложения, скрипт вызывает PowerShell с правами администратора в соответствии с политикой выполнения "обхода", позволяя вредоносному ПО выполняться в скрытом режиме, не вызывая аварийных сигналов через видимые консольные выходы.

Вредоносное ПО UpCrypter работает как загрузчик MSIL, который инициирует свой процесс, проверяя существование определенного рабочего каталога в разделе "%AppData%..\LocalLow\Windows System (x86)\Program Rules\Program Rules NVIDEO". Если этот каталог отсутствует, загрузчик приступает к его созданию, обеспечивая постоянную загрузку. и управляемая среда, способствующая последующей вредоносной деятельности. Эта стратегия позволяет злоумышленникам внедрять свое вредоносное ПО в сеть пользователя, потенциально облегчая постоянный контроль над скомпрометированными системами.

Охват этой кампании по фишингу не ограничивается конкретным регионом; она демонстрирует глобальный оперативный потенциал и быстро становится все более заметной, а число случаев обнаружения, как сообщается, удваивается в течение нескольких недель. Вредоносное ПО оказало воздействие на множество секторов, включая производство, технологии, здравоохранение, строительство и розничную торговлю, что указывает на его широкое применение. Эта кампания отражает сложную методологию, выходящую за рамки простой кражи учетных данных, и представляет собой полностью организованную структуру атаки, направленную на скрытое проникновение в корпоративные сети. Организациям настоятельно рекомендуется внедрить надежные решения для фильтрации электронной почты и обеспечить, чтобы сотрудники были обучены распознавать попытки фишинга и избегать их, чтобы снизить риски, связанные с этой постоянной угрозой.

#ParsedReport #CompletenessMedium
26-08-2025

Breaking Down Mustang Pandas Windows Endpoint Campaign

https://www.picussecurity.com/resource/blog/breaking-down-mustang-panda-windows-endpoint-campaign

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: information_theft, cyber_espionage, cyber_criminal)
Unc3886
Apt31

Threats:
Spear-phishing_technique
Poison_ivy
Plugx_rat
Toneshell
Pubload
Ptsocket_tool
Lolbin_technique
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Dumplsass_tool
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Adfind_tool
Wevtutil_tool
Melofee

Victims:
Government entities, Nonprofits, Religious organizations, Nongovernmental organizations

Industry:
Ngo, Government

Geo:
Mongolia, Vietnam, Myanmar, French, China, Pakistan

TTPs:
Tactics: 6
Technics: 15

IOCs:
Command: 6
File: 24
Path: 6
Registry: 2

Soft:
ChatGPT, Windows Installer, Microsoft Defender, Windows Registry, Windows Task Scheduler, windows service, Windows Error Reporting, Local Security Authority, Active Directory, Windows Security, have more...

Algorithms:
aes-256

Functions:
Get-WmiObject

Win API:
GetAsyncKeyState

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4