#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 2, chart: 1, dump: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TAOTH нацелена на китайских пользователей и диссидентов, используя устаревшее программное обеспечение, в частности Sogou Zhuyin IME, с помощью изощренных методов Целевого фишинга. Злоумышленники внедряют различные семейства вредоносных ПО, включая C6DOOR, GTELAM, TOSHIS и DESFY, с помощью скомпрометированных обновлений программного обеспечения и обманчивых Облачных сервисов, ориентируясь на высокопоставленных лиц в Восточной Азии. Их действия свидетельствуют о закреплении и сплоченности, типичных для организованных хакерских группировок, использующих инфраструктуру управления для ведения шпионажа и разведки.
-----

Кампания TAOTH представляет собой сложную киберугрозу, направленную против традиционных китайских пользователей и диссидентов посредством использования заброшенного программного обеспечения и методов Целевого фишинга. Ключевым компонентом этой кампании является использование устаревшего Sogou Zhuyin IME, редактора методов ввода, который последний раз поддерживался в 2019 году и который служил средством для развертывания вредоносного ПО. Злоумышленники использовали это программное обеспечение для внедрения нескольких семейств вредоносных ПО, включая C6DOOR, GTELAM, TOSHIS и DESFY, в системы преимущественно в Восточной Азии, ориентируясь на таких ценных людей, как диссиденты, журналисты, исследователи и технологические лидеры.

Для доставки вредоносного ПО использовались различные цепочки заражения, при этом процесс распространения облегчался похищенными обновлениями программного обеспечения и обманными облачными хранилищами или страницами входа в систему. Сложность операций указывает на хорошо структурированный подход злоумышленников, которые направляли свою деятельность через инфраструктуру управления (C&C), которая дублирует ранее задокументированные атаки. Эта связь указывает на закрепление злоумышленника, сосредоточенного на разведке, шпионаже и злоупотреблении системами электронной почты.

В ходе расследования было установлено, что один экземпляр TOSHIS был размещен через веб-сайт для фишинга, что подтверждает предположение о продолжающейся кампании Целевого фишинга, направленной на те же географические цели. Примечательно, что стратегия и методология таргетинга кампании TAOTH перекликаются с другими задокументированными действиями по угрозам, предполагая сплоченное выполнение одной группой.

Подводя итог, кампания TAOTH является примером целенаправленной системы угроз, использующей устаревшую программную инфраструктуру при одновременном применении передовых методов для компрометации систем и извлечения конфиденциальной информации у диссидентов и других критически важных лиц по всей Восточной Азии. Кампания демонстрирует потенциальные опасности, исходящие от запущенного программного обеспечения, и непрерывную эволюцию кибертактики среди хакерских группировок.

#ParsedReport #CompletenessMedium
28-08-2025

Malicious Screen Connect Campaign Abuses AI-Themed Lures for Xworm Delivery

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/malicious-screen-connect-campaign-abuses-ai-themed-lures-for-xworm-delivery/

Report completeness: Medium

Threats:
Xworm_rat
Screenconnect_tool
Process_injection_technique
Process_hollowing_technique

Victims:
General users

TTPs:
Tactics: 3
Technics: 6

IOCs:
Domain: 2
File: 14
Url: 10
Registry: 1
IP: 1

Soft:
DeepSeek, OpenAI, chrome, Windows Security

Algorithms:
zip, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Trustwave SpiderLabs по поиску угроз раскрыла обманную кампанию с использованием приманки на тему искусственного интеллекта для распространения вредоносного ПО Xworm с помощью взломанного инструмента ScreenConnect. Злоумышленники использовали тактику социальной инженерии, такую как фишинг и Вредоносная реклама, чтобы обманом заставить пользователей загрузить вредоносный установщик с поддельного веб-сайта, который затем запускал интерфейс CMD для загрузки ZIP-файла, содержащего вредоносные скрипты, которые реализовывали закрепление с помощью изменений реестра Windows, нацеленных на процессы запуска пользователя. Код был размещен в недавно созданном репозитории GitHub, связанном с атакой.
-----

Недавнее расследование, проведенное командой Trustwave SpiderLabs по поиску угроз, выявило мошенническую кампанию, в основном направленную на использование приманки на тему искусственного интеллекта для распространения варианта вредоносного ПО, известного как Xworm, через скомпрометированную версию инструмента удаленного управления ScreenConnect. В кампании использовались различные тактики социальной инженерии, включая фишинг, Вредоносную рекламу и манипулирование Социальными сетями, чтобы обманом заставить пользователей загрузить вредоносный установщик. Один примечательный инцидент был связан с тем, что пользователь был перенаправлен с поддельного веб-сайта на тему искусственного интеллекта, "gtpgrok.ai , "на подозрительный домен",anhemvn6.com ," на котором размещался вредоносный установщик.

После запуска вредоносное ПО инициировало интерфейс командной строки (cmd.exe ) для выполнения серии команд, которые привели к загрузке и извлечению ZIP-архива с именем "5btc.zip ." Этот архив был размещен в домене, который соответствовал соглашению об именовании, связанному с доставкой установщика ScreenConnect, в частности "anhemvn4.com ." Выполнение скрипта под названием "X-META Firebase_crypted.bat" имело решающее значение на этом этапе, поскольку он выполнял запутанные команды Python, а также реализовал механизмы закрепления на скомпрометированном хосте.

Метод закрепления ключа, использованный в этой кампании, включал модификацию раздела реестра Windows (T1547.001), специально предназначенного для пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. А reg.exe команда была использована для вставки вводящей в заблуждение записи с именем "Безопасность Windows", предназначенной для имитации законного системного процесса, чтобы избежать обнаружения. Это изменение реестра гарантировало, что пакетный файл "backup.bat", расположенный в "C:\xmetavip ,\" выполнялся каждый раз, когда пользователь входил в систему на своем компьютере.

Дальнейший анализ показал, что вредоносный код был размещен в репозитории на GitHub, который содержал в общей сложности 11 файлов, два из которых были напрямую связаны с наблюдаемым вектором атаки. Примечательно, что этот репозиторий был создан всего за неделю до начала вредоносных действий.

#ParsedReport #CompletenessMedium
27-08-2025

Threat Actors Deploy Sinobi Ransomware via Compromised SonicWall SSL VPN Credentials

https://www.esentire.com/blog/threat-actors-deploy-sinobi-ransomware-via-compromised-sonicwall-ssl-vpn-credentials

Report completeness: Medium

Actors/Campaigns:
Sinobi

Threats:
Sinobi
More_eggs
Lynx
Inc_ransomware
Rclone_tool
Babuk
Shadow_copies_delete_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1078, T1078.002, T1133

IOCs:
File: 2
Command: 3
Path: 1
Registry: 1
Hash: 1

Soft:
Active Directory

Algorithms:
aes, sha512, aes-128-ctr, base64, curve25519

Win API:
CryptGenRandom, SHEmptyRecycleBinA, DeviceIOControl, SeTakeOwnershipPrivilege, CryptStringToBinaryA

Languages:
python, java

Links:
https://github.com/eSentire/iocs/blob/main/Sinobi/curve-25519%2Baes-128-ctr.py
https://github.com/eSentire/iocs/blob/main/Sinobi/Sinobi-Ransomware-IoCs-08-14-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года атака программы-вымогателя, приписываемая Sinobi Group, связанная с программой-вымогателем Lynx, включала использование скомпрометированных учетных данных SonicWall SSL VPN от стороннего MSP. Злоумышленник использовал учетную запись администратора домена с повышенными привилегиями для доступа к внутренней сети и файловому серверу через RDP. Исполняемый файл Синоби, "bin.exe ," имеет значительное сходство в коде с Lynx, подтверждая их связь.
-----

В августе 2025 года была выявлена атака программ-вымогателей, связанная с филиалом Sinobi Group. Эта группа, по-видимому, связана с ранее созданной программой-вымогателем Lynx, при этом наблюдается значительное совпадение кода между двоичными файлами этих двух программ и их соответствующими сайтами утечки данных, что указывает на то, что Sinobi, по сути, может быть ребрендингом Lynx, который впервые появился в 2024 году.

Точка первоначального доступа для этой атаки включала использование скомпрометированных учетных данных SonicWall SSL VPN от стороннего поставщика управляемых услуг (MSP). Злоумышленник получил доступ через учетную запись Active Directory с повышенными привилегиями, в частности учетную запись администратора домена, что позволило ему проникнуть во внутреннюю сеть и напрямую получить доступ к файловому серверу по Протоколу удаленного рабочего стола (RDP). Это подчеркивает потенциальные риски, связанные с неадекватным управлением учетными данными и чрезмерно разрешительными конфигурациями учетных записей в организациях.

Программа-вымогатель Sinobi, идентифицируемая по имени исполняемого файла "bin.exe ," демонстрирует заметное сходство с Lynx с точки зрения структуры кода и функциональности, подкрепляя теорию их взаимосвязанности. Программа-вымогатель была загружена в VirusTotal компанией eSentire, что позволяет исследователям безопасности анализировать и понимать ее поведение.

#ParsedReport #CompletenessMedium
28-08-2025

Traps under fault repair: Lazarus (APT-Q-1) recent attack analysis using ClickFix techniques

https://www.ctfiot.com/267223.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
Clickfix_technique
Beavertail
Invisibleferret

Victims:
Government agencies, Financial institutions, Virtual currency trading venues, People in specific industries

Industry:
Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1585.001, T1589, T1656

IOCs:
Url: 10
File: 3
Hash: 16
IP: 1

Soft:
Node.js, macOS, Android, WeChat

Algorithms:
zip, md5

Languages:
python

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lazarus, группа сложных целенаправленных атак из Северо-Восточной Азии, с 2014 года перешла от нацеливания на правительственные учреждения в целях разведки к сосредоточению внимания на финансовых институтах и криптовалютных платформах. Они используют такие тактики, как создание поддельных профилей в Социальных сетях, чтобы заманить людей предложениями о работе, способствуя фишингов -атакам и компрометируя личную информацию. Эта эволюция подчеркивает их универсальность и изощренность в использовании как технологических уязвимостей, так и человеческой психологии.
-----

Lazarus, группировка, занимающаяся сложными целенаправленными атаками (сложные целенаправленные атаки), связанная с Северо-Восточной Азией и обозначенная Qi'anxin как APT-Q-1, действует, по крайней мере, с 2007 года. Первоначально компания была сосредоточена на проникновении в правительственные учреждения для сбора конфиденциальных разведданных, но ее деятельность значительно эволюционировала после громкой атаки Sony Pictures в 2014 году. После 2014 года Lazarus расширил свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой, используя сложную тактику для кражи денежных активов.

Одна из известных стратегий, используемых Lazarus, включает в себя создание поддельных профилей в Социальных сетях, чтобы заманивать людей предложениями о работе. Такой подход не только ставит под угрозу личную информацию жертв, но и служит вектором для атак фишинга, ориентированных на людей из конкретных отраслей. Организация использует методы социальной инженерии, чтобы использовать доверие потенциальных целей, повышая вероятность успешных взломов.

Смещение акцента на финансовые преступления указывает на стратегическую адаптацию от традиционного шпионажа к финансово мотивированной киберпреступности, демонстрируя универсальность Lazarus's в области взаимодействия с ландшафтом угроз. Их возможности и исторические закономерности предполагают глубокое понимание как технологий, так и человеческой психологии, что делает их постоянной и значительной угрозой в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
28-08-2025

Analysis of APT-C-53 (Gamaridon) attacks on Ukrainian government functional departments

https://www.ctfiot.com/267368.html

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: information_theft, cyber_espionage)

Threats:
Dev_tunnels_tool

Victims:
Ukrainian government, Military

Industry:
Military, Critical_infrastructure, Government

Geo:
Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.001, T1071.001, T1102, T1105, T1112, T1204.002, T1547.001, have more...

IOCs:
Url: 1
Registry: 2
File: 4
Domain: 12
Hash: 7

Soft:
Telegram, dropbox, WeChat

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, или Gamaridon, с 2013 года нацелен на правительственный и военный секторы Украины с целью кражи разведывательных данных и шпионажа, демонстрируя способность динамично адаптировать свою тактику и инфраструктуру. Их методология атаки включает в себя создание автоматизированных каналов утечки данных и закрепление реестра с помощью вредоносных скриптов в HKCU:System, используя PowerShell для методов уклонения. Высокая уверенность в атрибуции обусловлена их последовательными операционными схемами и использованием географически привязанных доменов, что указывает на постоянное внимание к критически важной инфраструктуре в Украине.
-----

APT-C-53, также известный как Gamaridon, активно нацелен на украинский правительственный и военный секторы с 2013 года, главным образом для кражи разведывательных данных и шпионажа. Несмотря на продолжающееся разоблачение своей тактики специалистами по кибербезопасности, Gamaridon не проявляет никаких признаков ослабления, вместо этого наращивая свою деятельность. Организация динамично адаптирует свою инфраструктуру, о чем свидетельствует манипулирование Вредоносными ссылками на таких платформах, как Telegram, с целью использования туннелей разработчиков Microsoft для своих цепочек атак.

Методы кражи данных, используемые Gamaridon, включают создание автоматизированных каналов утечки данных с использованием нескольких уровней вредоносных скриптов. Отличной отправной точкой для этих атак является создание механизмов закрепления за реестром. В частности, злоумышленники создают вредоносные скрипты хранилища значений ключей в системном пути HKCU:. Они используют PowerShell для облегчения динамической компиляции этих сценариев, тем самым избегая статических методов обнаружения, обычно используемых при анализе угроз.

Приписывание этих действий Gamaridon подтверждается наблюдаемой тактической преемственностью, повторным использованием инфраструктуры управления и адаптацией географически привязанных доменных имен, особенно тех, которые повторяют расширения .ru. Высокая степень доверия к этим суждениям обусловлена закономерностями, наблюдаемыми в их деятельности, которая сосредоточена на критически важных областях в Украине. Эволюция кибернетических возможностей Gamaridon's указывает на переход к методологиям, которые делают упор на "облачность, легализацию и автоматизацию"..

Ожидается, что будущая деятельность Gamaridon будет продолжена с постоянным акцентом на получение конфиденциальной информации и атаки на критически важную инфраструктуру в Украине. Усилия по мониторингу указывают на то, что организация продолжит адаптировать свои стратегии, подчеркивая необходимость принятия решительных контрмер.

Чтобы снизить риски, связанные с Gamaridon, предлагается несколько рекомендаций по профилактике и расследованию. Организациям следует повысить безопасность электронной почты, установив усовершенствованные шлюзовые решения, предназначенные для фильтрации вредоносных вложений и попыток фишинга, особенно тех, которые связаны с файлами LNK и сжатыми вредоносными файлами полезной нагрузки. Следует внедрить всесторонний мониторинг системы и сети, внимательно изучая системные Элементы автозагрузки, изменения в реестре и выполнение сценариев PowerShell. Кроме того, следует усилить меры защиты конечных точек путем развертывания обновленных решений безопасности на всех устройствах, проведения регулярных проверок на наличие вредоносного ПО для защиты от таких постоянных угроз.

#ParsedReport #CompletenessHigh
28-08-2025

Chasing the Silver Fox: Cat & Mouse in Kernel Shadows

https://research.checkpoint.com/2025/silver-fox-apt-vulnerable-drivers/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Av-killer
Valleyrat
Zemana_tool
Winos
Terminator_tool
Byovd_technique

Victims:
Security solutions, Endpoint protection products

Industry:
Telco

Geo:
Asian, China, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1071.001, T1105, T1106, T1543.003, T1553.002, T1562.001, T1587.003, T1588.002, have more...

IOCs:
File: 197
Path: 1
IP: 7
Hash: 13

Soft:
Windows kernel

Wallets:
harmony_wallet

Algorithms:
xor, base64, sha256

Win API:
RegCreateKeyW, RegSetValueExW, NtLoadDriver, DeviceIoControl, IoCreateDeviceSecure, IoCreateDevice, GetCurrentProcessId, CreateFileA, EnumWindows

Win Services:
MsMpEng

YARA: Found

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/upx/upx
have more...
https://github.com/magicsword-io/LOLDrivers

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Check Point Research связала текущую кампанию с группой Silver Fox, занимающейся сложными целенаправленными атаками, которая использует недавно обнаруженную уязвимость в драйвере, подписанном Microsoft amsdk.sys связан с защитой от вредоносных программ WatchDog. Эта уязвимость позволяет злоумышленникам завершать защищенные процессы в решениях endpoint protection в Windows 10 и 11. Атака использует метод двойного драйвера, используя как распознанные устаревшие драйверы, так и необнаруженный сторожевой драйвер, с конечной целью развертывания модульного троянца удаленного доступа ValleyRAT, избегая механизмов обнаружения с помощью сложных методов уклонения.
-----

Компания Check Point Research выявила продолжающуюся киберкампанию, приписываемую группе Silver Fox, занимающейся сложными целенаправленными атаками (Сложные целенаправленные атаки), которая использует недавно обнаруженный уязвимый драйвер, amsdk.sys , связанный с WatchDog Antimalware (версия 1.0.600). Этот драйвер подписан корпорацией Майкрософт, не включен в список заблокированных уязвимых драйверов Microsoft и не обнаруживается инициативами сообщества, такими как LOLDrivers. Злоумышленники используют эту уязвимость для выполнения произвольного завершения процесса в отношении защищенных процессов, связанных с современными решениями для защиты конечных точек, что облегчает обход механизмов обнаружения конечных точек и реагирования (EDR) и антивирусных средств (AV) в полностью обновленных системах Windows 10 и 11.

Стратегия атаки использует метод двойного драйвера: один распознанный уязвимый драйвер для устаревших систем и необнаруженный сторожевой драйвер для современных сред. Оба драйвера встроены в один загрузчик, который включает функции антианализа и загрузчик ValleyRAT. Несмотря на то, что после публикации Check Point был выпущен патч для уязвимого драйвера, который изменил его на wamsdk.sys (версия 1.1.100), злоумышленники быстро адаптировались, изменив поле временной метки исправленного драйвера, чтобы сохранить его действительную подпись Microsoft. Эта настройка позволяет им сохранять скрытность и обходить блокировки на основе хэша, демонстрируя сложную технику уклонения, которая согласуется с тактикой, наблюдавшейся в предыдущих кампаниях.

Заключительным этапом этой атаки является развертывание ValleyRAT, модульного троянца удаленного доступа, связанного с сложными целенаправленными атаками Silver Fox. Инфраструктура управления, используемая для доставки этого вредоносного ПО, размещена в Китае и часто использует общедоступные облачные или Веб-сервисы для своей работы.

Технический анализ показывает, что загрузчик не только реализует функции антианализа, но также включает встроенные процедуры для нацеливания и отключения процессов безопасности. Уязвимости, присутствующие в сторожевом драйвере, в частности его способность произвольно завершать защищенные процессы, подчеркивают его использование в методе "Принесите свой собственный уязвимый драйвер" (BYOVD) для отключения защиты конечных точек, что представляет значительные риски для организаций, использующих эти технологии.

Подводя итог, можно сказать, что кампания Silver Fox, проведенная с помощью сложных целенаправленных атак, отражает расширенное использование уязвимостей на уровне ядра, позволяющих завершать работу приложений безопасности, тем самым устанавливая и поддерживая работу вредоносного ПО, оставаясь незамеченным в различных версиях операционной системы Windows. Эта ситуация подчеркивает непрерывную эволюцию методологий атак, направленных на обход средств контроля безопасности, и необходимость принятия постоянных мер безопасности и стратегий устранения неполадок.

#ParsedReport #CompletenessHigh
28-08-2025

Belarus-Linked DSLRoot Proxy Network Deploys Hardware in U.S. Residences, Including Military Homes

https://infrawatch.app/blog/dslroot-us-proxy-investigation

Report completeness: High

Threats:
Dslroot
Residential_proxy_technique
Dslpylon

Victims:
Residential internet users, Military households, Residential proxy hosts

Industry:
Foodtech, Military, Transport, Telco, E-commerce

Geo:
American, Moscow, Minsk, Belarus, Russian, Russia, Belarusian

ChatGPT TTPs:
do not use without manual check
T1090, T1133, T1204, T1583.001, T1583.003, T1584.002

IOCs:
Domain: 15
IP: 176
Hash: 1
Url: 1

Soft:
Android, Telegram, Chrome, Firefox, Raspberry Pi

Algorithms:
sha256

Functions:
SetBinaryState

Languages:
delphi

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4