#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания фишинга, распространяющая вредоносное ПО UpCrypter с использованием вводящих в заблуждение электронных писем, тематически связанных с голосовой почтой и заказами на покупку. В атаке используется HTML-файл, который скрывает адрес электронной почты цели и создает Вредоносную ссылку с помощью операций XOR, в то время как последующие загрузки включают запутанный JavaScript, который скрытно выполняет команды PowerShell с правами администратора. Работая в качестве загрузчика MSIL, UpCrypter устанавливает постоянное присутствие в определенном каталоге для облегчения текущего контроля скомпрометированных систем, воздействия на множество секторов по всему миру.
-----

Недавно появилась кампания по фишингу, которая распространяет вредоносное ПО UpCrypter с помощью различных тактик, в частности, используя поддельные голосовые сообщения и заказы на покупку в качестве обманчивой приманки. В одном из идентифицированных вариантов электронного письма используется тема голосовой почты, представленная строкой темы "Пропущенный телефонный звонок - дата", и включает вложение с надписью "VN0001210000200.html ." HTML-файл предназначен для выполнения скрипта, который запутывает адрес электронной почты цели с помощью кодировки Base64, затем создает Вредоносную ссылку с помощью серии операций XOR, в конечном счете перенаправляя браузер пользователя после временной задержки. В скрипте реализованы методы защиты от автоматизации, предотвращающие обнаружение путем простого завершения работы при обнаружении определенного размера окна.

После первоначального взаимодействия кампания загружает ZIP-архив, содержащий сильно запутанный JavaScript-файл, затемненный чрезмерным количеством junk code, чтобы скрыть свои истинные намерения. В этом JavaScript критические компоненты сегментируются на переменные, такие как "bfHJJ" и "lyoSU", которые позже объединяются для генерации команды Base64. Используя Windows Script Host (WScript) и Shell.Объекты приложения, скрипт вызывает PowerShell с правами администратора в соответствии с политикой выполнения "обхода", позволяя вредоносному ПО выполняться в скрытом режиме, не вызывая аварийных сигналов через видимые консольные выходы.

Вредоносное ПО UpCrypter работает как загрузчик MSIL, который инициирует свой процесс, проверяя существование определенного рабочего каталога в разделе "%AppData%..\LocalLow\Windows System (x86)\Program Rules\Program Rules NVIDEO". Если этот каталог отсутствует, загрузчик приступает к его созданию, обеспечивая постоянную загрузку. и управляемая среда, способствующая последующей вредоносной деятельности. Эта стратегия позволяет злоумышленникам внедрять свое вредоносное ПО в сеть пользователя, потенциально облегчая постоянный контроль над скомпрометированными системами.

Охват этой кампании по фишингу не ограничивается конкретным регионом; она демонстрирует глобальный оперативный потенциал и быстро становится все более заметной, а число случаев обнаружения, как сообщается, удваивается в течение нескольких недель. Вредоносное ПО оказало воздействие на множество секторов, включая производство, технологии, здравоохранение, строительство и розничную торговлю, что указывает на его широкое применение. Эта кампания отражает сложную методологию, выходящую за рамки простой кражи учетных данных, и представляет собой полностью организованную структуру атаки, направленную на скрытое проникновение в корпоративные сети. Организациям настоятельно рекомендуется внедрить надежные решения для фильтрации электронной почты и обеспечить, чтобы сотрудники были обучены распознавать попытки фишинга и избегать их, чтобы снизить риски, связанные с этой постоянной угрозой.

#ParsedReport #CompletenessMedium
26-08-2025

Breaking Down Mustang Pandas Windows Endpoint Campaign

https://www.picussecurity.com/resource/blog/breaking-down-mustang-panda-windows-endpoint-campaign

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: information_theft, cyber_espionage, cyber_criminal)
Unc3886
Apt31

Threats:
Spear-phishing_technique
Poison_ivy
Plugx_rat
Toneshell
Pubload
Ptsocket_tool
Lolbin_technique
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Dumplsass_tool
Credential_dumping_technique
Mimikatz_tool
Procdump_tool
Adfind_tool
Wevtutil_tool
Melofee

Victims:
Government entities, Nonprofits, Religious organizations, Nongovernmental organizations

Industry:
Ngo, Government

Geo:
Mongolia, Vietnam, Myanmar, French, China, Pakistan

TTPs:
Tactics: 6
Technics: 15

IOCs:
Command: 6
File: 24
Path: 6
Registry: 2

Soft:
ChatGPT, Windows Installer, Microsoft Defender, Windows Registry, Windows Task Scheduler, windows service, Windows Error Reporting, Local Security Authority, Active Directory, Windows Security, have more...

Algorithms:
aes-256

Functions:
Get-WmiObject

Win API:
GetAsyncKeyState

Languages:
powershell

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, базирующаяся в Китае группа кибершпионажа, действующая с 2017 года, использует сложные методы spearphishing для нацеливания на государственные структуры и НПО по всему миру. Проникнув внутрь, они используют Msiexec.exe для запуска вредоносного ПО и использования DLL side-loading и ключей запуска реестра Windows для закрепления, одновременно используя запланированные задачи и создавая Службы Windows для автоматизации. Их обширная разведка включает в себя извлечение учетных данных из LSASS, сбор данных с помощью захвата экрана и Регистрации нажатий клавиш, а также подготовку к эксфильтрации путем архивирования и шифрования конфиденциальных файлов.
-----

Mustang Panda - базирующаяся в Китае группа кибершпионажа, активно нацеленная на различные правительственные и неправительственные организации с момента своего появления в 2017 году, с возможными операциями, начиная с 2014 года. Группа имеет широкую географическую направленность, охватывая предприятия по всей территории США, Европы и некоторых частей Азии. Их методы в основном включают сложную тактику spearphishing, использующую законные вложения в документы для получения первоначального доступа.

Получив доступ, Mustang Panda использует несколько технических приемов для доставки вредоносной полезной нагрузки и поддержания закрепления в скомпрометированных системах. Они используют рычаги Msiexec.exe , подписанная утилита установки Windows, предназначенная для выполнения вредоносных полезных нагрузок, гарантируя при этом, что их операции остаются скрытыми. Группа также использует методы DLL side-loading, загружая вредоносные DLL-файлы в рамках законных процессов, таких как "MpDlpCmd.exe ," что помогает избежать обнаружения.

Чтобы установить закрепление, Mustang Panda регулярно манипулирует ключами запуска реестра Windows, внося записи в HKLM\Software\Microsoft\Windows\CurrentVersion\Run hive. Эта стратегия гарантирует, что их вредоносная полезная нагрузка будет выполняться автоматически во время запуска системы. Кроме того, они используют планировщик задач Windows для создания запланированных задач, имитирующих законные службы, тем самым запуская вредоносный код с заранее определенными интервалами. Создание новых Служб Windows, указывающих на их исполняемые файлы, дополнительно гарантирует выполнение их полезных нагрузок с привилегиями системного уровня.

Что касается сбора данных, Mustang Panda проводит обширную разведку в целевой среде, используя собственные средства командной строки Windows. Это включает в себя такие задачи, как выгрузка памяти из процесса LSASS для извлечения учетных данных, выполнение обнаружения конфигурации системы и сети и перечисление журналов с помощью таких инструментов, как Wevtutil, для сбора данных о пользователях. Их оперативный охват также включает в себя захват экрана для сбора конфиденциальной информации, отображаемой в взломанных системах, и развертывание кейлоггеров для перехвата нажатий клавиш, что облегчает сбор учетных данных и других конфиденциальных данных.

Кроме того, группа готовится к эксфильтрации данных путем архивирования и шифрования конфиденциальных файлов - тактика, которая не только скрывает содержимое, но и упрощает процесс перемещения извлеченной информации из целевой сети незамеченной. Сочетание этих методов демонстрирует передовые возможности Mustang Panda, что делает их постоянной и значительной угрозой в киберпространстве.

#ParsedReport #CompletenessLow
26-08-2025

Unmasking KorPlug: A Technical Breakdown - Part 2

https://blog.reveng.ai/unmasking-korplug-a-technical-breakdown-part-2/

Report completeness: Low

Threats:
Plugx_rat
Dll_sideloading_technique
Flashback
Bogus_control_technique

Victims:
Software sector

ChatGPT TTPs:
do not use without manual check
T1027, T1574.002

IOCs:
Hash: 1

Soft:
Windows DLL loading, o-llvm

Algorithms:
sha256, exhibit

Win API:
EnumSystemGeoID

Languages:
c_language, python

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО KorPlug использует DLL side-loading для выполнения, вызывая EnumSystemGeoID API для запуска шеллкода, эффективно обходя стандартные механизмы загрузки библиотеки DLL Windows, чтобы избежать обнаружения. Для его запутывания используется компилятор O-LLVM, что усложняет работу по обратному проектированию. Анализ графика потока управления (CFG) показывает, что тщательная деобфускация может быть достигнута с помощью автоматизированных инструментов, подчеркивая сложные методы вредоносного ПО и проблемы в противодействии передовым методам обфускации.
-----

Анализ сосредоточен на семействе вредоносных ПО KorPlug, в частности, с подробным описанием его реализации и методов запутывания. KorPlug использует DLL side-loading в качестве исходного вектора загрузки, используя законные утилиты для выполнения своего кода. Это вредоносное ПО использует сложный метод выполнения, использующий вызов функции EnumSystemGeoID API, которая напрямую выполняет шеллкод. Перенаправляя поток выполнения на функцию инициализации, KorPlug обходит стандартные механизмы загрузки библиотеки DLL Windows, тем самым избегая обнаружения с помощью обычных протоколов безопасности.

Вредоносное ПО обладает характеристиками, соответствующими O-LLVM, модифицированной версии компилятора LLVM, которая включает функции запутывания кода. O-LLVM разработан для усложнения попыток обратного проектирования и статического анализа, что делает его распространенным выбором для различных вредоносных действий, а также для законной защиты программного обеспечения. Его внедрение в KorPlug значительно повышает устойчивость к анализу.

Важнейшим аспектом понимания функциональности KorPlug's является изучение графика потока управления (CFG) вредоносного ПО. Деобфускация требует тщательной идентификации и категоризации отдельных компонентов в CFG, поскольку обфускация O-LLVM назначает конкретные роли различным базовым типам блоков. Такой системный подход позволяет аналитикам определять оперативные классификации блоков, закладывая основу для эффективной деобфускации.

Методология, предложенная для деобфускации, предполагает автоматизацию анализа с использованием инструментов, способных выполнять CFG-анализ и распознавание структурных образов. Цель состоит в том, чтобы отобразить потенциальные переменные состояния в соответствующих блоках и определить фактические цели перехода, продиктованные логикой основного блока. Этот подход иллюстрирует, что даже сильно запутанные структуры потоков управления могут быть эффективно проанализированы, расширяя возможности противодействия вредоносному ПО, такому как KorPlug. Полученные результаты подчеркивают сложность и изощренность методов обфускации вредоносного ПО и необходимость целенаправленных аналитических методологий для борьбы с такими продвинутыми угрозами.

#ParsedReport #CompletenessMedium
26-08-2025

Android Document Readers and Deception: Tracking the Latest Updates to Anatsa

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa#indicators-of-compromise--iocs-

Report completeness: Medium

Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot

Victims:
Financial institutions, Banking apps, Cryptocurrency platforms, Android users

Industry:
Financial

Geo:
Germany, Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1056, T1056.001, T1204.002, T1475, T1555, T1622

IOCs:
Url: 9
Hash: 4

Soft:
Android, Google Play

Algorithms:
des, zip, xor

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это банковский троян для Android, который эволюционировал и нацелен на более чем 831 финансовое учреждение по всему миру, включая недавно добавленные банковские приложения и приложения для криптовалют. Последний вариант обеспечивает улучшенную доставку полезной нагрузки путем прямой установки вредоносного ПО и использует сложные методы шифрования для расшифровки во время выполнения, что усложняет статический анализ. Кроме того, он использует методы антианализа, чтобы избежать обнаружения, демонстрируя тенденцию к разработке все более изощренного вредоносного ПО.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который эволюционировал с момента своего создания в 2020 году, в первую очередь нацеленный на финансовые приложения для кражи учетных данных пользователей и облегчения мошеннических транзакций. Недавние события указывают на то, что последняя версия Anatsa расширила свою сферу применения, теперь она ориентирована на более чем 831 финансовое учреждение по всему миру, что включает в себя список из более чем 150 недавно добавленных банковских приложений и приложений для криптовалют в таких странах, как Германия и Южная Корея.

В этой последней версии Anatsa были реализованы значительные технические усовершенствования, особенно в области доставки полезной нагрузки и методов уклонения. В отличие от предыдущих версий, в которых использовалась динамическая загрузка кода через удаленные полезные нагрузки Dalvik Executable (DEX), обновленная версия Anatsa упрощает этот процесс путем прямой установки полезной нагрузки. Кроме того, он использует сложный стандарт шифрования данных (DES) для расшифровки во время выполнения, что усложняет статический анализ, поскольку каждая строка расшифровывается с помощью динамически генерируемого ключа во время выполнения.

Вредоносное ПО также повысило свою устойчивость к обнаружению за счет применения различных методов антианализа. Например, он выполняет проверку на наличие эмуляторов и проверяет модели устройств, чтобы обойти среды динамического анализа, что позволяет ему работать незамеченным в течение более длительного времени. Такая изощренность методов работы подчеркивает тенденцию в развитии вредоносного ПО, когда угрозы становятся все более искусными в обходе мер безопасности.

Совместно с мониторингом Anatsa команда Zscaler ThreatLabZ сообщила Google в общей сложности о 77 дополнительных вредоносных приложениях из различных семейств вредоносного ПО, что в совокупности связано с более чем 19 миллионами установок. Это указывает на тревожную тенденцию в использовании магазина Google Play в качестве канала распространения такого вредоносного программного обеспечения.

Поскольку Anatsa продолжает развиваться, потребность в бдительных мерах безопасности остается первостепенной, особенно для пользователей Android. Им рекомендуется внимательно изучить разрешения приложений и убедиться, что запрашиваемые разрешения соответствуют фактическим функциональным возможностям приложений, поскольку вредоносные акторы используют доверие пользователей для распространения своего вредоносного ПО через законные платформы.

#ParsedReport #CompletenessLow
27-08-2025

NightSpire ransomware alert issued as domestic damage cases emerge

https://asec.ahnlab.com/ko/89878/

Report completeness: Low

Threats:
Nightspire
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m4353

Industry:
Retail, Chemical, Maritime

Geo:
Japan, Taiwan, Hong kong, Chinese, Poland, Thailand

ChatGPT TTPs:
do not use without manual check
T1486, T1654

IOCs:
File: 1
Hash: 2

Soft:
ProtonMail, Telegram

Algorithms:
zip, md5, aes

Functions:
os_Stat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это группа программ-вымогателей, которая использует агрессивную тактику вымогательства, угрожая обнародовать украденную конфиденциальную информацию через специальные сайты утечки, если выкуп не будет выплачен. Программа-вымогатель шифрует файлы с помощью симметричного шифрования AES, изменяя их расширения на ".nspire", и включает в себя зашифрованный открытый ключ RSA, необходимый для расшифровки, добавляемый к файловой структуре. Такое многоуровневое шифрование усложняет усилия по восстановлению для жертв, пытающихся восстановить доступ к своим данным без уплаты выкупа.
-----

NightSpire - это группа программ-вымогателей, известная тем, что использует крайне агрессивную тактику кибервымогательства через свои специализированные сайты утечек (DLS). Эти сайты служат для публичной угрозы организациям-жертвам, размещая их конфиденциальную информацию рядом с таймером обратного отсчета, который указывает, когда данные будут обнародованы, если выкуп не будет выплачен. Такой подход направлен не только на то, чтобы заставить жертв подчиниться, но и служит предупреждением для других потенциальных целей.

Когда программа-вымогатель NightSpire заражает систему, она шифрует файлы и изменяет их расширения на ".nspire", о чем свидетельствуют отчеты, показывающие папки как с зашифрованными файлами, так и с запиской о выкупе под названием "readme.txt ." Программа-вымогатель использует симметричное шифрование AES для защиты файлов. Примечательно, что симметричный ключ, необходимый для расшифровки, сам шифруется с использованием открытого ключа RSA, который добавляется в конец файловой структуры. Этот метод двухуровневого шифрования усложняет процесс для жертв, стремящихся восстановить свои данные без уплаты выкупа, поскольку они должны не только расшифровать файлы, но и получить ключ RSA, надежно хранящийся у злоумышленников.

#ParsedReport #CompletenessMedium
27-08-2025

The Price of Trust: Analyzing the Malware Campaign Exploiting TASPEN's Legacy to Target Indonesian Senior Citizens

https://www.cloudsek.com/blog/taspen-malware-campaign-targeting-indonesian-senior-citizens

Report completeness: Medium

Actors/Campaigns:
Earth_kurma (motivation: cyber_espionage)

Threats:
Lockbit

Victims:
Pensioners, Civil servants, Financial sector, Banks, Government sector, Pension funds

Industry:
Financial, E-commerce, Critical_infrastructure, Government, Healthcare

Geo:
Australian, China, Singapore, Indonesia, Chinese, Indonesian, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1406, T1407, T1411, T1412, T1476, T1566.002, T1583.001

IOCs:
Url: 1
File: 2
Domain: 1
IP: 1
Hash: 4

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha256, base64, zip

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Говорящий по-китайски злоумышленник запустил кампанию вредоносного ПО для мобильных устройств, нацеленную на пожилых граждан Индонезии, выдавая себя за приложение государственного пенсионного фонда TASPEN. Вредоносное приложение для Android собирает конфиденциальную информацию, такую как банковские учетные данные и одноразовые пароли, с помощью тактики социальной инженерии. Он использует передовые методы уклонения, включая обфускацию и шифрование для скрытой эксфильтрации данных на сервер командования и контроля, выявляя уязвимости в финансовом цифровом ландшафте Индонезии.
-----

Говорящий по-китайски злоумышленник запустил кампанию вредоносного ПО для мобильных устройств, ориентированную на пожилых граждан Индонезии, используя поддельное приложение TASPEN. Вредоносное ПО собирает конфиденциальную информацию, такую как банковские учетные данные, одноразовые пароли из SMS и биометрические данные с помощью распознавания лиц. Домен для фишинга выдает себя за TASPEN, чтобы облегчить распространение вредоносного приложения через веб-сайт, имитирующий законную целевую страницу TASPEN. Приложение пытается установить банковский троянец для сбора конфиденциальных данных, которые отправляются на сервер командования и контроля (C2). Вредоносное ПО маскируется, чтобы обойти инструменты анализа безопасности, и использует упаковку, которая выглядит поврежденной во время оценки. После запуска он обеспечивает обширное наблюдение с помощью скрытых фоновых служб и шифрует связь с сервером C2 для повышения скрытности эксфильтрации данных. Вредоносное ПО завершает свои процессы, если обнаруживает средства антианализа и использует пользовательский JavaScript-хук для мониторинга незашифрованных потоков данных. Эта атака представляет значительный риск для финансовой экосистемы Индонезии, подчеркивая уязвимости, которые могут способствовать проведению аналогичных кампаний против других финансовых учреждений в Юго-Восточной Азии.

#ParsedReport #CompletenessHigh
27-08-2025

Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a

Report completeness: High

Actors/Campaigns:
Ghostemperor
Unc5807

Threats:
Sicherheit_rat
Findzip
Iox_tool
Stowaway_tool
Credential_dumping_technique

Victims:
Telecommunications, Government, Transportation, Lodging, Military infrastructure, Internet service providers

Industry:
Government, Telco, Critical_infrastructure, Military, Transport

Geo:
Chinese, Germany, Netherlands, China, Spain, Canada, Polish, United kingdom, New zealand, Australian, Japan, Canadian, Australia, Italian, Czech

CVEs:
CVE-2018-0171 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios_xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation allen-bradley_stratix_5200_firmware (<17.12.02)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 13
Technics: 42

IOCs:
File: 9
IP: 86
Hash: 7

Soft:
Linux, Microsoft Exchange, Ivanti, PAN-OS, sudo, systemd, openssl

Algorithms:
sha384, aes, aes-256, md5, sha1

Languages:
python, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы сложных целенаправленных атак, спонсируемые китайским государством, нацелены на глобальные сети, особенно в телекоммуникационной и военной инфраструктуре, используя уязвимости в периферийных устройствах провайдеров и клиентов. В первую очередь они получают первоначальный доступ через известные CVE, изменяют списки контроля доступа для постоянных подключений и используют Нестандартные порты, чтобы избежать обнаружения. Их тактика перемещения внутри компании включает в себя перечисление SNMP для понимания сетевых структур, что позволяет осуществлять скрытую эксфильтрацию данных через установленные одноранговые соединения.
-----

Акторы киберугрозы, спонсируемые китайским государством, нацелены на глобальные сети, включая телекоммуникации и военную инфраструктуру. Они используют уязвимости в периферийных устройствах провайдеров и клиентов, уделяя особое внимание основным магистральным маршрутизаторам. Деятельность связана с несколькими китайскими организациями, поставляющими киберрешения. Первоначальный доступ часто связан с использованием общеизвестных CVE; уязвимостей zero-day обнаружено не было. Скомпрометированные бренды включают Fortinet, Microsoft и Cisco.

Акторы изменяют списки контроля доступа (ACL), чтобы разрешить трафик со своих IP-адресов, и используют Нестандартные порты для таких служб, как SSH и SFTP, чтобы избежать обнаружения. Они подключают SSH-серверы к нетрадиционным портам и используют встроенные серверы управления для перенаправления трафика.

Перемещение внутри компании достигается за счет ориентации на протоколы системы аутентификации и использования SNMP-перечисления для обеспечения видимости сети. При эксфильтрации используются одноранговые соединения, часто обходящие мониторинг из-за слабых политических ограничений.

Группы безопасности должны отслеживать службы управления на предмет необычных подключений и структуры трафика, особенно на Нестандартных портах, и управлять списками ACL для изоляции сетей управления. Рекомендуются строгие криптографические требования к протоколам управления и проверка хэша для обеспечения целостности прошивки. Организациям рекомендуется проводить упреждающий поиск угроз и поддерживать надежные протоколы реагирования на инциденты. Бдительность в стратегиях защиты от кибербезопасности крайне важна в связи с меняющимися угрозами.

#ParsedReport #CompletenessLow
27-08-2025

MystRodX: The Covert Dual-Mode Backdoor Threat

https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/

Report completeness: Low

Threats:
Mystrodx
Mirai
Synful_knock

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1040, T1057, T1059, T1071, T1090, T1095, T1105, T1140, have more...

IOCs:
IP: 9
File: 3
Hash: 10
Coin: 2

Algorithms:
md5, xor, aes, cbc

Languages:
python, javascript