#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это банковский троян для Android, который эволюционировал и нацелен на более чем 831 финансовое учреждение по всему миру, включая недавно добавленные банковские приложения и приложения для криптовалют. Последний вариант обеспечивает улучшенную доставку полезной нагрузки путем прямой установки вредоносного ПО и использует сложные методы шифрования для расшифровки во время выполнения, что усложняет статический анализ. Кроме того, он использует методы антианализа, чтобы избежать обнаружения, демонстрируя тенденцию к разработке все более изощренного вредоносного ПО.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который эволюционировал с момента своего создания в 2020 году, в первую очередь нацеленный на финансовые приложения для кражи учетных данных пользователей и облегчения мошеннических транзакций. Недавние события указывают на то, что последняя версия Anatsa расширила свою сферу применения, теперь она ориентирована на более чем 831 финансовое учреждение по всему миру, что включает в себя список из более чем 150 недавно добавленных банковских приложений и приложений для криптовалют в таких странах, как Германия и Южная Корея.

В этой последней версии Anatsa были реализованы значительные технические усовершенствования, особенно в области доставки полезной нагрузки и методов уклонения. В отличие от предыдущих версий, в которых использовалась динамическая загрузка кода через удаленные полезные нагрузки Dalvik Executable (DEX), обновленная версия Anatsa упрощает этот процесс путем прямой установки полезной нагрузки. Кроме того, он использует сложный стандарт шифрования данных (DES) для расшифровки во время выполнения, что усложняет статический анализ, поскольку каждая строка расшифровывается с помощью динамически генерируемого ключа во время выполнения.

Вредоносное ПО также повысило свою устойчивость к обнаружению за счет применения различных методов антианализа. Например, он выполняет проверку на наличие эмуляторов и проверяет модели устройств, чтобы обойти среды динамического анализа, что позволяет ему работать незамеченным в течение более длительного времени. Такая изощренность методов работы подчеркивает тенденцию в развитии вредоносного ПО, когда угрозы становятся все более искусными в обходе мер безопасности.

Совместно с мониторингом Anatsa команда Zscaler ThreatLabZ сообщила Google в общей сложности о 77 дополнительных вредоносных приложениях из различных семейств вредоносного ПО, что в совокупности связано с более чем 19 миллионами установок. Это указывает на тревожную тенденцию в использовании магазина Google Play в качестве канала распространения такого вредоносного программного обеспечения.

Поскольку Anatsa продолжает развиваться, потребность в бдительных мерах безопасности остается первостепенной, особенно для пользователей Android. Им рекомендуется внимательно изучить разрешения приложений и убедиться, что запрашиваемые разрешения соответствуют фактическим функциональным возможностям приложений, поскольку вредоносные акторы используют доверие пользователей для распространения своего вредоносного ПО через законные платформы.

#ParsedReport #CompletenessLow
27-08-2025

NightSpire ransomware alert issued as domestic damage cases emerge

https://asec.ahnlab.com/ko/89878/

Report completeness: Low

Threats:
Nightspire
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m4353

Industry:
Retail, Chemical, Maritime

Geo:
Japan, Taiwan, Hong kong, Chinese, Poland, Thailand

ChatGPT TTPs:
do not use without manual check
T1486, T1654

IOCs:
File: 1
Hash: 2

Soft:
ProtonMail, Telegram

Algorithms:
zip, md5, aes

Functions:
os_Stat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это группа программ-вымогателей, которая использует агрессивную тактику вымогательства, угрожая обнародовать украденную конфиденциальную информацию через специальные сайты утечки, если выкуп не будет выплачен. Программа-вымогатель шифрует файлы с помощью симметричного шифрования AES, изменяя их расширения на ".nspire", и включает в себя зашифрованный открытый ключ RSA, необходимый для расшифровки, добавляемый к файловой структуре. Такое многоуровневое шифрование усложняет усилия по восстановлению для жертв, пытающихся восстановить доступ к своим данным без уплаты выкупа.
-----

NightSpire - это группа программ-вымогателей, известная тем, что использует крайне агрессивную тактику кибервымогательства через свои специализированные сайты утечек (DLS). Эти сайты служат для публичной угрозы организациям-жертвам, размещая их конфиденциальную информацию рядом с таймером обратного отсчета, который указывает, когда данные будут обнародованы, если выкуп не будет выплачен. Такой подход направлен не только на то, чтобы заставить жертв подчиниться, но и служит предупреждением для других потенциальных целей.

Когда программа-вымогатель NightSpire заражает систему, она шифрует файлы и изменяет их расширения на ".nspire", о чем свидетельствуют отчеты, показывающие папки как с зашифрованными файлами, так и с запиской о выкупе под названием "readme.txt ." Программа-вымогатель использует симметричное шифрование AES для защиты файлов. Примечательно, что симметричный ключ, необходимый для расшифровки, сам шифруется с использованием открытого ключа RSA, который добавляется в конец файловой структуры. Этот метод двухуровневого шифрования усложняет процесс для жертв, стремящихся восстановить свои данные без уплаты выкупа, поскольку они должны не только расшифровать файлы, но и получить ключ RSA, надежно хранящийся у злоумышленников.

#ParsedReport #CompletenessMedium
27-08-2025

The Price of Trust: Analyzing the Malware Campaign Exploiting TASPEN's Legacy to Target Indonesian Senior Citizens

https://www.cloudsek.com/blog/taspen-malware-campaign-targeting-indonesian-senior-citizens

Report completeness: Medium

Actors/Campaigns:
Earth_kurma (motivation: cyber_espionage)

Threats:
Lockbit

Victims:
Pensioners, Civil servants, Financial sector, Banks, Government sector, Pension funds

Industry:
Financial, E-commerce, Critical_infrastructure, Government, Healthcare

Geo:
Australian, China, Singapore, Indonesia, Chinese, Indonesian, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1406, T1407, T1411, T1412, T1476, T1566.002, T1583.001

IOCs:
Url: 1
File: 2
Domain: 1
IP: 1
Hash: 4

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha256, base64, zip

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Говорящий по-китайски злоумышленник запустил кампанию вредоносного ПО для мобильных устройств, нацеленную на пожилых граждан Индонезии, выдавая себя за приложение государственного пенсионного фонда TASPEN. Вредоносное приложение для Android собирает конфиденциальную информацию, такую как банковские учетные данные и одноразовые пароли, с помощью тактики социальной инженерии. Он использует передовые методы уклонения, включая обфускацию и шифрование для скрытой эксфильтрации данных на сервер командования и контроля, выявляя уязвимости в финансовом цифровом ландшафте Индонезии.
-----

Говорящий по-китайски злоумышленник запустил кампанию вредоносного ПО для мобильных устройств, ориентированную на пожилых граждан Индонезии, используя поддельное приложение TASPEN. Вредоносное ПО собирает конфиденциальную информацию, такую как банковские учетные данные, одноразовые пароли из SMS и биометрические данные с помощью распознавания лиц. Домен для фишинга выдает себя за TASPEN, чтобы облегчить распространение вредоносного приложения через веб-сайт, имитирующий законную целевую страницу TASPEN. Приложение пытается установить банковский троянец для сбора конфиденциальных данных, которые отправляются на сервер командования и контроля (C2). Вредоносное ПО маскируется, чтобы обойти инструменты анализа безопасности, и использует упаковку, которая выглядит поврежденной во время оценки. После запуска он обеспечивает обширное наблюдение с помощью скрытых фоновых служб и шифрует связь с сервером C2 для повышения скрытности эксфильтрации данных. Вредоносное ПО завершает свои процессы, если обнаруживает средства антианализа и использует пользовательский JavaScript-хук для мониторинга незашифрованных потоков данных. Эта атака представляет значительный риск для финансовой экосистемы Индонезии, подчеркивая уязвимости, которые могут способствовать проведению аналогичных кампаний против других финансовых учреждений в Юго-Восточной Азии.

#ParsedReport #CompletenessHigh
27-08-2025

Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a

Report completeness: High

Actors/Campaigns:
Ghostemperor
Unc5807

Threats:
Sicherheit_rat
Findzip
Iox_tool
Stowaway_tool
Credential_dumping_technique

Victims:
Telecommunications, Government, Transportation, Lodging, Military infrastructure, Internet service providers

Industry:
Government, Telco, Critical_infrastructure, Military, Transport

Geo:
Chinese, Germany, Netherlands, China, Spain, Canada, Polish, United kingdom, New zealand, Australian, Japan, Canadian, Australia, Italian, Czech

CVEs:
CVE-2018-0171 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios_xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation allen-bradley_stratix_5200_firmware (<17.12.02)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 13
Technics: 42

IOCs:
File: 9
IP: 86
Hash: 7

Soft:
Linux, Microsoft Exchange, Ivanti, PAN-OS, sudo, systemd, openssl

Algorithms:
sha384, aes, aes-256, md5, sha1

Languages:
python, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы сложных целенаправленных атак, спонсируемые китайским государством, нацелены на глобальные сети, особенно в телекоммуникационной и военной инфраструктуре, используя уязвимости в периферийных устройствах провайдеров и клиентов. В первую очередь они получают первоначальный доступ через известные CVE, изменяют списки контроля доступа для постоянных подключений и используют Нестандартные порты, чтобы избежать обнаружения. Их тактика перемещения внутри компании включает в себя перечисление SNMP для понимания сетевых структур, что позволяет осуществлять скрытую эксфильтрацию данных через установленные одноранговые соединения.
-----

Акторы киберугрозы, спонсируемые китайским государством, нацелены на глобальные сети, включая телекоммуникации и военную инфраструктуру. Они используют уязвимости в периферийных устройствах провайдеров и клиентов, уделяя особое внимание основным магистральным маршрутизаторам. Деятельность связана с несколькими китайскими организациями, поставляющими киберрешения. Первоначальный доступ часто связан с использованием общеизвестных CVE; уязвимостей zero-day обнаружено не было. Скомпрометированные бренды включают Fortinet, Microsoft и Cisco.

Акторы изменяют списки контроля доступа (ACL), чтобы разрешить трафик со своих IP-адресов, и используют Нестандартные порты для таких служб, как SSH и SFTP, чтобы избежать обнаружения. Они подключают SSH-серверы к нетрадиционным портам и используют встроенные серверы управления для перенаправления трафика.

Перемещение внутри компании достигается за счет ориентации на протоколы системы аутентификации и использования SNMP-перечисления для обеспечения видимости сети. При эксфильтрации используются одноранговые соединения, часто обходящие мониторинг из-за слабых политических ограничений.

Группы безопасности должны отслеживать службы управления на предмет необычных подключений и структуры трафика, особенно на Нестандартных портах, и управлять списками ACL для изоляции сетей управления. Рекомендуются строгие криптографические требования к протоколам управления и проверка хэша для обеспечения целостности прошивки. Организациям рекомендуется проводить упреждающий поиск угроз и поддерживать надежные протоколы реагирования на инциденты. Бдительность в стратегиях защиты от кибербезопасности крайне важна в связи с меняющимися угрозами.

#ParsedReport #CompletenessLow
27-08-2025

MystRodX: The Covert Dual-Mode Backdoor Threat

https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/

Report completeness: Low

Threats:
Mystrodx
Mirai
Synful_knock

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1040, T1057, T1059, T1071, T1090, T1095, T1105, T1140, have more...

IOCs:
IP: 9
File: 3
Hash: 10
Coin: 2

Algorithms:
md5, xor, aes, cbc

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
6 июня 2025 года XLab обнаружил файл ELF dst86.bin с IP-адреса 139.84.156.79, ошибочно идентифицированный как Mirai с низкой частотой обнаружения. Вредоносное ПО MysticRodX работает в пассивном режиме через необработанные сокеты, может быть активировано с помощью созданных DNS или ICMP-пакетов и использует двухпроцессорный механизм для закрепления. Его коммуникации включают простой однобайтовый XOR для конфиденциальных строк и AES для параметров конфигурации, что вызывает опасения по поводу его скрытности и постоянных эксплуатационных возможностей.
-----

6 июня 2025 года система анализа киберугроз XLab обнаружила подозрительную активность, связанную с файлом ELF с именем dst86.bin, распространяемым с IP-адреса 139.84.156.79. Этот файл, хотя и помеченный обычными сканерами как Mirai, показал низкий уровень обнаружения - всего 4/65 в VirusTotal, и модуль искусственного интеллекта XLab не идентифицировал его как угрозу, что побудило к дальнейшему расследованию.

Вредоносное ПО MysticRodX работает в двух режимах, причем примечателен пассивный режим, который активируется, когда для типа бэкдора установлено значение 1. В этом режиме бэкдор использует необработанный сокет для мониторинга всего входящего трафика без привязки к каким-либо открытым портам. Активация происходит с помощью специально созданных DNS- или ICMP-пакетов, что вызывает опасения по поводу его скрытных возможностей. Анализ захваченных образцов показал, что настроенные серверы командования и контроля (C2) не имели активных портов, что привело к предположениям о текущем статусе угрозы — остается ли она активной или заброшена. Последние данные указывают на небольшое увеличение частоты его обнаружения до 6/65, но он по-прежнему ошибочно идентифицируется как Mirai.

Бэкдор MystRodX реализован на C++ и поддерживает такие функции, как управление файлами, обратные оболочки, SOCKS-прокси и переадресация портов. Его рабочий механизм включает в себя процесс запуска, который постоянно проверяет, запущен ли процесс бэкдора. Если процесс бэкдора (известный как chargen) завершается, программа запуска перезапускает его, формируя двухпроцессный механизм защиты для постоянной работы.

Активация бэкдора облегчается отправкой DNS- или ICMP-пакетов с определенными структурами, необходимыми для успешного запуска. Тестирование с помощью созданных пакетов не привело к получению корректных ответов от установок MystRodX, возможно, из-за устаревших конфигураций или того, что пассивный режим не был включен. Тем не менее, в ходе проверки были выявлены активные серверы C2, которые отвечали на пакеты и запрашивали у ботов включение шифрования трафика, подтверждая текущие операции, по крайней мере, с 2024 года.

MystRodX использует простой однобайтовый метод шифрования XOR для защиты конфиденциальных строк, что упрощает расшифровку. Кроме того, вредоносное ПО использует алгоритм шифрования AES для защиты параметров своей конфигурации. Что касается возможностей сетевого взаимодействия, MystRodX поддерживает как протоколы TCP, так и HTTP, при этом текущие образцы перехватывают сообщения без шифрования. Структура пакета включает поля для длины, основного кода, подкода, направления и данных, указывающих на его функциональную структуру.

Подводя итог, анализ MystRodX выделяет его сложные механизмы скрытности, закрепления и коммуникации, подчеркивая при этом эволюционирующий ландшафт угроз, который он представляет. Специалистам по кибербезопасности рекомендуется следить за деятельностью этого бэкдора и обеспечивать наличие механизмов обнаружения и реагирования для смягчения его потенциальных воздействий.

#ParsedReport #CompletenessLow
27-08-2025

Nx npm Packages Compromised in Supply Chain Attack Leveraging AI CLI Tools

https://socket.dev/blog/nx-packages-compromised

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development, Open source ecosystem, Developers using nx npm packages

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1083, T1195, T1552.001, T1555.004, T1565.001, T1567.002

IOCs:
File: 10

Soft:
sudo, macOS

Wallets:
electrum, metamask, trezor, exodus_wallet, solflare

Crypto:
ethereum

Algorithms:
base64

Functions:
forceAppendAgentLine

Languages:
javascript

Links:
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c
https://github.com/marketplace/socket-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака supply chain была нацелена на пакеты Nx npm с помощью скомпрометированных токенов npm, что позволило загружать вредоносные версии без изменений исходного кода. Вредоносное ПО выполняло команды для эксфильтрации учетных данных, включая запуск "gh auth token" и "npm whoami", одновременно нарушая работу систем, добавляя команду завершения работы в файлы конфигурации оболочки. Кроме того, атака способствовала эксфильтрации данных через поддельный репозиторий, созданный в учетных записях жертв на GitHub, что привело к значительной утечке учетных данных.
-----

Атака supply chain была выполнена с использованием вредоносных версий пакетов Nx npm, где злоумышленник, вероятно, скомпрометировал токен npm с правами публикации. Это позволило им загружать вредоносные версии непосредственно в реестр npm, не изменяя репозиторий исходного кода. Инцидент был обнаружен сканером Socket на базе искусственного интеллекта вскоре после публикации вредоносных пакетов, с последующими подтверждениями вредоносного поведения в результате независимых анализов StepSecurity и Wiz, что указывает на обширную утечку учетных данных.

Вредоносное ПО функционирует путем выполнения нескольких команд, направленных на эксфильтрацию учетных данных. Сначала он запускает `gh auth token`, чтобы найти токены GitHub, сохраняя их, если они идентифицированы. Он также выполняет `npm whoami` и может считывать пользовательский файл `.npmrc`, извлечения учетных данных. Кроме того, вредоносное ПО нарушает функциональность системы, добавляя команду для завершения работы системы (`sudo shutdown -h 0`) в определенные файлы конфигурации оболочки (`\~/.bashrc` и `\~/.zshrc`). Это приводит к эффекту отказа в обслуживании в системах, использующих sudo без пароля, вызывая немедленное завершение работы при запуске новой оболочки.

Атака продолжается путем перечисления путей из скомпрометированного каталога и кодирования содержимого файла в формат base64 для последующей эксфильтрации. При обнаружении токена GitHub в учетной записи жертвы создается общедоступный репозиторий с префиксом "s1ngularity-repository", облегчающий загрузку собранных данных, включая переменные среды и учетные данные, с использованием GitHub API. Для пользователей, у которых не установлен GitHub CLI, хотя эксфильтрация может не завершиться, система остается зараженной и сохраняет возможность сбора учетных данных.

Судя по хронологии атаки, первый вредоносный пакет был опубликован 26 августа, а вскоре после этого появилось несколько скомпрометированных версий. В конечном итоге npm удалил уязвимые версии, а доступ к скомпрометированной учетной записи был аннулирован на следующий день.

Чтобы исправить ситуацию, пострадавшим пользователям рекомендуется удалить зараженные версии, очистить кэш npm и переустановить зависимости. Также важно вручную просмотреть и очистить упомянутые файлы конфигурации оболочки и проверить наличие несанкционированных репозиториев в своих учетных записях на GitHub. Настоятельно рекомендуется немедленно изменить учетные данные, включая токены GitHub и другие конфиденциальные ключи, чтобы уменьшить потенциальное дальнейшее воздействие.

#ParsedReport #CompletenessHigh
27-08-2025

ShadowSilk: A Cross-Border Binary Union for Data Exfiltration

https://www.group-ib.com/blog/shadowsilk/

Report completeness: High

Actors/Campaigns:
Shadowsilk
Yorotrooper

Threats:
Morf_tool
Cobalt_strike_tool
Donut
Dumpert_tool
Filelessremotepe_tool
Mirrordump_tool
Neo-regeorg_tool
Portscan_tool
Powerview_tool
Resocks_tool
Reversesocks5_tool
Seatbelt_tool
Sharpchromium_tool
Sharpersist_tool
Bloodhound_tool
Sharpview_tool
Socat_tool
Uacme_tool
Printnightmare_vuln
Struts2vulstools_tool
Godzilla_webshell
Behinder
Fscan_tool
Sqlmap_tool
Wpscan_tool
Dirsearch_tool
Metasploit_tool
Chisel_tool
Antsword
Weblogictool
Finalshell
Snetcracker_tool
Drupalgeddon_vuln
Jrat_rat
Meterpreter_tool
Spear-phishing_technique
Credential_dumping_technique

Industry:
Government, Critical_infrastructure

Geo:
Pakistan, Kyrgyzstan, Russian, Turkmenistan, Chinese, Tajikistan, Myanmar, Uzbekistan, Asia-pacific, Apac, Asia

CVEs:
CVE-2018-7600 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- drupal (le7.57, <8.3.9, <8.4.6, <8.5.1)

CVE-2024-27956 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- valvepress automatic (le3.92.0)

CVE-2018-7602 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- drupal (<7.59, <8.4.8, <8.5.3)

CVE-2021-34527 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.18969)
- microsoft windows_10_1607 (<10.0.14393.4470)
- microsoft windows_10_1809 (<10.0.17763.2029)
- microsoft windows_10_20h2 (<10.0.19042.1083)
- microsoft windows_10_21h2 (<10.0.19044.1415)
have more...

TTPs:
Tactics: 11
Technics: 48

IOCs:
Url: 13
Command: 7
Registry: 2
Domain: 17
File: 8
Path: 45
Hash: 31
IP: 15

Soft:
Telegram, proxifier, rsocx, wordpress, Windows registry, Chrome, Drupal

Algorithms:
zip

Languages:
powershell, python

Platforms:
x64

Links:
have more...
https://github.com/BeichenDream/Godzilla
https://github.com/AntSwordProject/antSword
https://github.com/KimJun1010/WeblogicTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 2023 года ShadowSilk является хакерской группировкой, нацеленной на государственные структуры в Центральной Азии и регионе Азиатско-Тихоокеанского региона, уделяя особое внимание эксфильтрации данных и компрометации более 35 жертв. Они используют общедоступные эксплойты, инструменты тестирования на проникновение и пользовательские веб-панели для операций управления, получая первоначальный доступ главным образом с помощью фишинга. Их тактика включает использование Telegram для общения, сбор учетных записей, разведку с помощью таких инструментов, как Shodan, и использование команд с двумя языками для разработки вредоносного ПО и последующей эксплуатации.
-----

Группировка, известная как ShadowSilk, была идентифицирована как хакерская группировка, осуществляющая атаки на государственные структуры, главным образом, в Центральной Азии и Азиатско-Тихоокеанском регионе (APAC), по крайней мере, с 2023 года, с продолжающейся деятельностью, выявленной до июля 2025 года. ShadowSilk подключен к другой группе, YoroTrooper, которая совместно использует инфраструктуру и инструменты, работая как отдельный кластер угроз. Анализ показывает, что в операциях ShadowSilk приоритетной является эксфильтрация данных, в результате чего было скомпрометировано более 35 жертв, в основном в государственном секторе.

Технические оценки показывают, что ShadowSilk использует сложный арсенал, включая общедоступные эксплойты, инструменты тестирования на проникновение и веб-панели, приобретенные на форумах dark web. Эти панели позволяют злоумышленникам управлять зараженными устройствами, загружать файлы и выполнять вредоносный код. Ключевые элементы их инструментария включают веб—панель под названием Panel JLIB, проект Morf и поддерживающую серверную архитектуру — Morf_server, которая упрощает обмен данными между зараженными машинами и структурами управления (C2).

Первоначальный доступ обычно получают с помощью стратегий фишинга, развертывания защищенных паролем исполняемых файлов. Как только устройство скомпрометировано, операторы ShadowSilk используют Telegram-ботов для связи C2, выдачи команд и эксфильтрации данных. Также было отмечено, что злоумышленники модифицируют системные реестры для обеспечения закрепления, обеспечивая непрерывный доступ даже после перезагрузки. При сборе учетных записей используются пользовательские инструменты, предположительно приобретенные на подпольных форумах, для кражи сохраненных паролей Chrome и другой конфиденциальной информации из скомпрометированных систем.

Оперативная тактика распространяется и на разведку, где общедоступные инструменты, такие как Shodan и FOFA, помогают собирать разведданные о целях. Злоумышленники продемонстрировали способность проводить внутреннюю разведку, используя инструменты из фреймворков Cobalt Strike и Metasploit для таких действий, как захват скриншотов и аудиозапись с помощью веб-камер и микрофонов на зараженных хостах.

Более того, деятельность группы, по-видимому, предполагает отдельные, но скоординированные усилия: одна фракция является русскоязычной и, вероятно, сосредоточена на разработке вредоносного ПО, в то время как китайскоязычный сегмент, похоже, специализируется на деятельности после эксплуатации. Эта двуязычная оперативная структура согласуется с выводами, которые показывают совпадение целей и методов между обеими подгруппами.

Последние разведданные свидетельствуют о том, что ShadowSilk продолжает активно развиваться, и по состоянию на июль 2025 года сообщалось о новых жертвах. Также были случаи, когда данные, ранее принадлежавшие ShadowSilk, выставлялись на продажу на форумах темного интернета, что указывает на прибыльный коммерческий аспект их деятельности. Организациям рекомендуется осуществлять строгий мониторинг признаков активности ShadowSilk, таких как подозрительный доступ к домену или несанкционированная загрузка файлов, связанных с идентифицированным набором инструментов, для защиты от потенциальных вторжений.