#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года атака программы-вымогателя, приписываемая Sinobi Group, связанная с программой-вымогателем Lynx, включала использование скомпрометированных учетных данных SonicWall SSL VPN от стороннего MSP. Злоумышленник использовал учетную запись администратора домена с повышенными привилегиями для доступа к внутренней сети и файловому серверу через RDP. Исполняемый файл Синоби, "bin.exe ," имеет значительное сходство в коде с Lynx, подтверждая их связь.
-----

В августе 2025 года была выявлена атака программ-вымогателей, связанная с филиалом Sinobi Group. Эта группа, по-видимому, связана с ранее созданной программой-вымогателем Lynx, при этом наблюдается значительное совпадение кода между двоичными файлами этих двух программ и их соответствующими сайтами утечки данных, что указывает на то, что Sinobi, по сути, может быть ребрендингом Lynx, который впервые появился в 2024 году.

Точка первоначального доступа для этой атаки включала использование скомпрометированных учетных данных SonicWall SSL VPN от стороннего поставщика управляемых услуг (MSP). Злоумышленник получил доступ через учетную запись Active Directory с повышенными привилегиями, в частности учетную запись администратора домена, что позволило ему проникнуть во внутреннюю сеть и напрямую получить доступ к файловому серверу по Протоколу удаленного рабочего стола (RDP). Это подчеркивает потенциальные риски, связанные с неадекватным управлением учетными данными и чрезмерно разрешительными конфигурациями учетных записей в организациях.

Программа-вымогатель Sinobi, идентифицируемая по имени исполняемого файла "bin.exe ," демонстрирует заметное сходство с Lynx с точки зрения структуры кода и функциональности, подкрепляя теорию их взаимосвязанности. Программа-вымогатель была загружена в VirusTotal компанией eSentire, что позволяет исследователям безопасности анализировать и понимать ее поведение.

#ParsedReport #CompletenessMedium
28-08-2025

Traps under fault repair: Lazarus (APT-Q-1) recent attack analysis using ClickFix techniques

https://www.ctfiot.com/267223.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
Clickfix_technique
Beavertail
Invisibleferret

Victims:
Government agencies, Financial institutions, Virtual currency trading venues, People in specific industries

Industry:
Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1585.001, T1589, T1656

IOCs:
Url: 10
File: 3
Hash: 16
IP: 1

Soft:
Node.js, macOS, Android, WeChat

Algorithms:
zip, md5

Languages:
python

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lazarus, группа сложных целенаправленных атак из Северо-Восточной Азии, с 2014 года перешла от нацеливания на правительственные учреждения в целях разведки к сосредоточению внимания на финансовых институтах и криптовалютных платформах. Они используют такие тактики, как создание поддельных профилей в Социальных сетях, чтобы заманить людей предложениями о работе, способствуя фишингов -атакам и компрометируя личную информацию. Эта эволюция подчеркивает их универсальность и изощренность в использовании как технологических уязвимостей, так и человеческой психологии.
-----

Lazarus, группировка, занимающаяся сложными целенаправленными атаками (сложные целенаправленные атаки), связанная с Северо-Восточной Азией и обозначенная Qi'anxin как APT-Q-1, действует, по крайней мере, с 2007 года. Первоначально компания была сосредоточена на проникновении в правительственные учреждения для сбора конфиденциальных разведданных, но ее деятельность значительно эволюционировала после громкой атаки Sony Pictures в 2014 году. После 2014 года Lazarus расширил свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой, используя сложную тактику для кражи денежных активов.

Одна из известных стратегий, используемых Lazarus, включает в себя создание поддельных профилей в Социальных сетях, чтобы заманивать людей предложениями о работе. Такой подход не только ставит под угрозу личную информацию жертв, но и служит вектором для атак фишинга, ориентированных на людей из конкретных отраслей. Организация использует методы социальной инженерии, чтобы использовать доверие потенциальных целей, повышая вероятность успешных взломов.

Смещение акцента на финансовые преступления указывает на стратегическую адаптацию от традиционного шпионажа к финансово мотивированной киберпреступности, демонстрируя универсальность Lazarus's в области взаимодействия с ландшафтом угроз. Их возможности и исторические закономерности предполагают глубокое понимание как технологий, так и человеческой психологии, что делает их постоянной и значительной угрозой в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
28-08-2025

Analysis of APT-C-53 (Gamaridon) attacks on Ukrainian government functional departments

https://www.ctfiot.com/267368.html

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: information_theft, cyber_espionage)

Threats:
Dev_tunnels_tool

Victims:
Ukrainian government, Military

Industry:
Military, Critical_infrastructure, Government

Geo:
Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.001, T1071.001, T1102, T1105, T1112, T1204.002, T1547.001, have more...

IOCs:
Url: 1
Registry: 2
File: 4
Domain: 12
Hash: 7

Soft:
Telegram, dropbox, WeChat

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, или Gamaridon, с 2013 года нацелен на правительственный и военный секторы Украины с целью кражи разведывательных данных и шпионажа, демонстрируя способность динамично адаптировать свою тактику и инфраструктуру. Их методология атаки включает в себя создание автоматизированных каналов утечки данных и закрепление реестра с помощью вредоносных скриптов в HKCU:System, используя PowerShell для методов уклонения. Высокая уверенность в атрибуции обусловлена их последовательными операционными схемами и использованием географически привязанных доменов, что указывает на постоянное внимание к критически важной инфраструктуре в Украине.
-----

APT-C-53, также известный как Gamaridon, активно нацелен на украинский правительственный и военный секторы с 2013 года, главным образом для кражи разведывательных данных и шпионажа. Несмотря на продолжающееся разоблачение своей тактики специалистами по кибербезопасности, Gamaridon не проявляет никаких признаков ослабления, вместо этого наращивая свою деятельность. Организация динамично адаптирует свою инфраструктуру, о чем свидетельствует манипулирование Вредоносными ссылками на таких платформах, как Telegram, с целью использования туннелей разработчиков Microsoft для своих цепочек атак.

Методы кражи данных, используемые Gamaridon, включают создание автоматизированных каналов утечки данных с использованием нескольких уровней вредоносных скриптов. Отличной отправной точкой для этих атак является создание механизмов закрепления за реестром. В частности, злоумышленники создают вредоносные скрипты хранилища значений ключей в системном пути HKCU:. Они используют PowerShell для облегчения динамической компиляции этих сценариев, тем самым избегая статических методов обнаружения, обычно используемых при анализе угроз.

Приписывание этих действий Gamaridon подтверждается наблюдаемой тактической преемственностью, повторным использованием инфраструктуры управления и адаптацией географически привязанных доменных имен, особенно тех, которые повторяют расширения .ru. Высокая степень доверия к этим суждениям обусловлена закономерностями, наблюдаемыми в их деятельности, которая сосредоточена на критически важных областях в Украине. Эволюция кибернетических возможностей Gamaridon's указывает на переход к методологиям, которые делают упор на "облачность, легализацию и автоматизацию"..

Ожидается, что будущая деятельность Gamaridon будет продолжена с постоянным акцентом на получение конфиденциальной информации и атаки на критически важную инфраструктуру в Украине. Усилия по мониторингу указывают на то, что организация продолжит адаптировать свои стратегии, подчеркивая необходимость принятия решительных контрмер.

Чтобы снизить риски, связанные с Gamaridon, предлагается несколько рекомендаций по профилактике и расследованию. Организациям следует повысить безопасность электронной почты, установив усовершенствованные шлюзовые решения, предназначенные для фильтрации вредоносных вложений и попыток фишинга, особенно тех, которые связаны с файлами LNK и сжатыми вредоносными файлами полезной нагрузки. Следует внедрить всесторонний мониторинг системы и сети, внимательно изучая системные Элементы автозагрузки, изменения в реестре и выполнение сценариев PowerShell. Кроме того, следует усилить меры защиты конечных точек путем развертывания обновленных решений безопасности на всех устройствах, проведения регулярных проверок на наличие вредоносного ПО для защиты от таких постоянных угроз.

#ParsedReport #CompletenessHigh
28-08-2025

Chasing the Silver Fox: Cat & Mouse in Kernel Shadows

https://research.checkpoint.com/2025/silver-fox-apt-vulnerable-drivers/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Av-killer
Valleyrat
Zemana_tool
Winos
Terminator_tool
Byovd_technique

Victims:
Security solutions, Endpoint protection products

Industry:
Telco

Geo:
Asian, China, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1071.001, T1105, T1106, T1543.003, T1553.002, T1562.001, T1587.003, T1588.002, have more...

IOCs:
File: 197
Path: 1
IP: 7
Hash: 13

Soft:
Windows kernel

Wallets:
harmony_wallet

Algorithms:
xor, base64, sha256

Win API:
RegCreateKeyW, RegSetValueExW, NtLoadDriver, DeviceIoControl, IoCreateDeviceSecure, IoCreateDevice, GetCurrentProcessId, CreateFileA, EnumWindows

Win Services:
MsMpEng

YARA: Found

Links:
https://github.com/ZeroMemoryEx/Terminator
https://github.com/upx/upx
have more...
https://github.com/magicsword-io/LOLDrivers

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Check Point Research связала текущую кампанию с группой Silver Fox, занимающейся сложными целенаправленными атаками, которая использует недавно обнаруженную уязвимость в драйвере, подписанном Microsoft amsdk.sys связан с защитой от вредоносных программ WatchDog. Эта уязвимость позволяет злоумышленникам завершать защищенные процессы в решениях endpoint protection в Windows 10 и 11. Атака использует метод двойного драйвера, используя как распознанные устаревшие драйверы, так и необнаруженный сторожевой драйвер, с конечной целью развертывания модульного троянца удаленного доступа ValleyRAT, избегая механизмов обнаружения с помощью сложных методов уклонения.
-----

Компания Check Point Research выявила продолжающуюся киберкампанию, приписываемую группе Silver Fox, занимающейся сложными целенаправленными атаками (Сложные целенаправленные атаки), которая использует недавно обнаруженный уязвимый драйвер, amsdk.sys , связанный с WatchDog Antimalware (версия 1.0.600). Этот драйвер подписан корпорацией Майкрософт, не включен в список заблокированных уязвимых драйверов Microsoft и не обнаруживается инициативами сообщества, такими как LOLDrivers. Злоумышленники используют эту уязвимость для выполнения произвольного завершения процесса в отношении защищенных процессов, связанных с современными решениями для защиты конечных точек, что облегчает обход механизмов обнаружения конечных точек и реагирования (EDR) и антивирусных средств (AV) в полностью обновленных системах Windows 10 и 11.

Стратегия атаки использует метод двойного драйвера: один распознанный уязвимый драйвер для устаревших систем и необнаруженный сторожевой драйвер для современных сред. Оба драйвера встроены в один загрузчик, который включает функции антианализа и загрузчик ValleyRAT. Несмотря на то, что после публикации Check Point был выпущен патч для уязвимого драйвера, который изменил его на wamsdk.sys (версия 1.1.100), злоумышленники быстро адаптировались, изменив поле временной метки исправленного драйвера, чтобы сохранить его действительную подпись Microsoft. Эта настройка позволяет им сохранять скрытность и обходить блокировки на основе хэша, демонстрируя сложную технику уклонения, которая согласуется с тактикой, наблюдавшейся в предыдущих кампаниях.

Заключительным этапом этой атаки является развертывание ValleyRAT, модульного троянца удаленного доступа, связанного с сложными целенаправленными атаками Silver Fox. Инфраструктура управления, используемая для доставки этого вредоносного ПО, размещена в Китае и часто использует общедоступные облачные или Веб-сервисы для своей работы.

Технический анализ показывает, что загрузчик не только реализует функции антианализа, но также включает встроенные процедуры для нацеливания и отключения процессов безопасности. Уязвимости, присутствующие в сторожевом драйвере, в частности его способность произвольно завершать защищенные процессы, подчеркивают его использование в методе "Принесите свой собственный уязвимый драйвер" (BYOVD) для отключения защиты конечных точек, что представляет значительные риски для организаций, использующих эти технологии.

Подводя итог, можно сказать, что кампания Silver Fox, проведенная с помощью сложных целенаправленных атак, отражает расширенное использование уязвимостей на уровне ядра, позволяющих завершать работу приложений безопасности, тем самым устанавливая и поддерживая работу вредоносного ПО, оставаясь незамеченным в различных версиях операционной системы Windows. Эта ситуация подчеркивает непрерывную эволюцию методологий атак, направленных на обход средств контроля безопасности, и необходимость принятия постоянных мер безопасности и стратегий устранения неполадок.

#ParsedReport #CompletenessHigh
28-08-2025

Belarus-Linked DSLRoot Proxy Network Deploys Hardware in U.S. Residences, Including Military Homes

https://infrawatch.app/blog/dslroot-us-proxy-investigation

Report completeness: High

Threats:
Dslroot
Residential_proxy_technique
Dslpylon

Victims:
Residential internet users, Military households, Residential proxy hosts

Industry:
Foodtech, Military, Transport, Telco, E-commerce

Geo:
American, Moscow, Minsk, Belarus, Russian, Russia, Belarusian

ChatGPT TTPs:
do not use without manual check
T1090, T1133, T1204, T1583.001, T1583.003, T1584.002

IOCs:
Domain: 15
IP: 176
Hash: 1
Url: 1

Soft:
Android, Telegram, Chrome, Firefox, Raspberry Pi

Algorithms:
sha256

Functions:
SetBinaryState

Languages:
delphi

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DSLRoot - это сеть residential proxy, связанная с физическим лицом из Беларуси, работающая на территории США и потенциально связанная с Аппаратным обеспечением, связанным с военными. Сеть использует ADSL-прокси, предоставляемые через клиентское программное обеспечение под названием DSLPylon, что облегчает подключение к SOCKS5 в основном через порт 3129 без аутентификации. Эволюция его инфраструктуры включает переход на Hivelocity в 2019 году, при этом текущая IP-маршрутизация указывает на значительные международные связи, включая связи с Беларусью и потенциальные проблемы национальной безопасности.
-----

DSLRoot идентифицируется как сеть residential proxy, подключенная к гражданину Беларуси, с Аппаратным обеспечением, установленным в резиденциях США, в том числе военнослужащих. Она работает по меньшей мере в 20 штатах и имеет связь как с Минском, так и с Москвой, что дает контекст ее деятельности в рамках расследования Infrawatch в США. Расследование показало, что эта сеть публично рекламировалась на BlackHatWorld, где она предлагала физические ADSL-прокси через пользователя по имени GlobalSolutions. Инициатива, возможно, действует с 2012 года и использует домен dslroot.com , с каналами поддержки, поддерживаемыми такими платформами, как Telegram.

Первоначальный технический анализ выявил, что статический IP-адрес (93.125.1.209) был указан в Беларуси, что еще больше поддержало международную инфраструктуру сети. Ключевая фигура в его деятельности, Андрей Холас, был связан с ним через электронную почту и различные онлайн-платформы, что свидетельствует о постоянном цифровом влиянии, связанном с прокси-сервисами, обслуживанием кредитных карт и созданием компаний.

Примечательна эволюция инфраструктуры DSLRoot; ранее она размещалась на IP-адресе Volume, исторически связанном с Ecatel, известным пуленепробиваемым хостинг-провайдером, который прекратил свою деятельность из-за проверки со стороны закона. Впоследствии, начиная с 2019 года, DSLRoot перевел свои сервисы на нового провайдера (Hivelocity), используя IP-адреса, назначенные выделенным серверам. Этот переход на сервер включал в себя основную панель мониторинга, которая была перенесена в новую инфраструктуру в 2023 году.

Сеть DSLRoot в первую очередь предоставляет клиентам прокси-соединения SOCKS5, используя прямой доступ к локальным IP-адресам. Большинство конечных точек прокси-сервера работают через порт 3129 без аутентификации. Клиентское программное обеспечение, разработанное на Delphi и обозначенное как DSLPylon, облегчает управление браузером для пользователей, встраивая уникальные идентификаторы пользователей в свою архитектуру. Исследователям удалось проанализировать программное обеспечение, получить хэш SHA-256 и определить, что программное обеспечение предназначено для работы в системах Windows и, вероятно, скомпилировано на компьютерах, настроенных на русском языке.

Изначально техническая сборка предполагает чрезмерную подготовку Аппаратного обеспечения, поскольку установка предполагает конфигурации с двумя ноутбуками, которые потенциально могут быть воспроизведены с одноплатными компьютерами. Это поднимает вопросы о намерениях оператора, стоящих за избыточными возможностями, в контексте его операций в "серой зоне" цифрового маркетинга. Таким образом, DSLRoot представляет собой сложную прокси-сеть со стратегическим присутствием на территории США, что подчеркивает потенциальные последствия для национальной безопасности, связанные с инфраструктурой, контролируемой иностранцами.

#ParsedReport #CompletenessHigh
28-08-2025

TINKYWINKEY KEYLOGGER

https://www.cyfirma.com/research/tinkywinkey-keylogger/

Report completeness: High

Threats:
Tinkywinkey
Dll_injection_technique
Process_injection_technique

Victims:
Endpoint users, Organizations

Industry:
Financial

Geo:
France, Russian

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 3
Hash: 3

Soft:
Windows Service

Algorithms:
sha256

Functions:
write_to_file, get_windows_info, get_cpu_info, get_ip_address, get_ram_info, GetVersionEx, Windows, CPUID, FindTargetPID, CreateProcessAsUser, have more...

Win API:
GetTempPathW, CreateFileW, SetFilePointer, WriteFile, RtlGetVersion, GetProcAddress, GetSystemInfo, gethostname, getaddrinfo, GlobalMemoryStatusEx, have more...

Platforms:
x64, x86, arm

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кейлоггер TinkyWinkey, обнаруженный в июне 2025 года, представляет собой сложное вредоносное ПО для Windows, которое поддерживает закрепление, работая как Служба Windows, и регистрирует нажатия клавиш с помощью низкоуровневых перехватчиков клавиатуры. Он использует недокументированные API-интерфейсы для взаимодействия с системой, включая прямой поиск версии операционной системы и DLL INJECTION в доверенные процессы, такие как explorer.exe для скрытного выполнения, гарантируя, что оно остается незамеченным при сборе огромных объемов данных. Кроме того, он выполняет обнаружение сетевых идентификаторов и собирает информацию о системных ресурсах, повышая свой потенциал угрозы.
-----

Кейлоггер TinkyWinkey - это продвинутая часть вредоносного ПО, нацеленная на системы Windows, выявленная в конце июня 2025 года. Он действует скрытно, используя методы управления службами, поддерживая закрепление в качестве Службы Windows, одновременно собирая обширные данные о системе и действиях жертвы. Кейлоггер предназначен для точной регистрации нажатий клавиш, используя низкоуровневые перехватчики клавиатуры для всестороннего мониторинга независимо от раскладки клавиатуры или языка, гарантируя, что все нажатия клавиш, включая специальные и многоязычные символы, точно записываются.

Вредоносное ПО начинается с вызова функций Windows API для обработки системных взаимодействий. Он извлекает временный каталог с помощью `GetTempPathW()` для создания файла журнала с именем "logs_tw.txt ," добавляется с данными о нажатии клавиши через `WriteFile()`. Важно отметить, что вместо того, чтобы полагаться на обычные API, такие как `GetVersionEx()`, TinkyWinkey собирает сведения о версии ОС напрямую через недокументированный API (`RtlGetVersion`). Такой подход помогает обойти потенциальные проблемы совместимости, связанные с определенными настройками приложения, позволяя вредоносному ПО эффективно профилировать операционную среду.

Для обнаружения сетевых идентификаторов TinkyWinkey инициализирует Winsock, чтобы преобразовать имя хоста жертвы в IP-адрес, дополнительно привязывая компьютер к его сетевому идентификатору. Вредоносное ПО также собирает информацию об оперативной памяти, взаимодействуя с функцией GlobalMemoryStatusEx() для регистрации объема физической памяти. Примечательно, что в нем реализован WinEventHook для отслеживания изменений в приложениях переднего плана, позволяющий злоумышленникам сопоставлять данные о нажатиях клавиш с конкретными приложениями, повышая вредоносную полезность захваченных учетных данных.

Загрузчик вредоносного ПО является сложным, он выполняет DLL injection в доверенные процессы, такие как explorer.exe . Такое скрытное выполнение гарантирует, что вредоносные действия остаются незамеченными пользователем. Загрузчик проверяет существование своей основной полезной нагрузки (библиотеки DLL кейлоггера) перед запуском удаленного потока в целевом процессе, устанавливая надежный канал для непрерывного сбора данных. Кроме того, TinkyWinkey регистрируется как вредоносная Служба Windows с автоматической настройкой запуска, обеспечивая возобновление своей деятельности после перезагрузки, не требуя вмешательства пользователя.

Благодаря ряду передовых методов программирования кейлоггер TinkyWinkey иллюстрирует эволюцию современного вредоносного ПО, отражая высокий уровень сложности, направленный на сбор данных и закрепление. Его способность работать без заметных сбоев в работе пользователей создает значительные угрозы для безопасности организации, требуя тщательного мониторинга на предмет аномальных действий служб и неожиданных внедрений библиотек DLL. Организациям рекомендуется применять упреждающие меры по выявлению угроз и непрерывное наблюдение за конечными точками для снижения рисков, связанных с такими изощренными атаками.

#ParsedReport #CompletenessHigh
28-08-2025

From Campus to C2: Tracking a Persistent Chinese Operation Against Vietnamese Universities

https://ctrlaltint3l.github.io/threat%20research/china-vietnam-campaign/

Report completeness: High

Actors/Campaigns:
Earth_lamia

Threats:
Godzilla_webshell
Metasploit_tool
Cobalt_strike_tool
Vshell
Juicypotato_tool
Sqlmap_tool
Godpotato_tool
Fscan_tool
Snowlight
Process_hollowing_technique
Netstat_tool
Credential_dumping_technique
Teamviewer_tool
Frpc_tool
Domain_fronting_technique
Lolbin_technique
Meterpreter_tool

Victims:
Universities, Education sector, Tech and engineering education

Industry:
Education, Telco

Geo:
China, Vietnam, Vietnamese, Asia, Chinese

CVEs:
CVE-2021-1732 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_10_2004 (-)
- microsoft windows_10_20h2 (-)
have more...
CVE-2024-30088 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20680)
- microsoft windows_10_1607 (<10.0.14393.7070)
- microsoft windows_10_1809 (<10.0.17763.5936)
- microsoft windows_10_21h2 (<10.0.19044.4529)
- microsoft windows_10_22h2 (<10.0.19045.4529)
have more...
CVE-2019-18935 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- telerik ui_for_asp.net_ajax (le2020.1.114)
have more...

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 51
IP: 20
Domain: 3
Path: 30
Command: 5
Registry: 2
Url: 5
Hash: 65

Soft:
WeChat, openssl, Chrome, Linux, curl, Remote Desktop Services, Windows Defender, Windows registry, psexec, ASP.NET, have more...

Algorithms:
base64, aes, md5, gzip

Functions:
CreateService, GetCLSID, Get-WinEvent, CreateEncryptor, GetString, CreateDecryptor, GetMethod, CreateInstance, GetBytes, eval, have more...

Languages:
php, jscript, python, powershell

Platforms:
x64

Links:
https://github.com/ctrlaltint3l/intelligence/blob/main/VietnameseCampaign/CobaltStrike/CDN.profile
https://github.com/ctrlaltint3l/intelligence/blob/main/VietnameseCampaign/CobaltStrike/CatServer.properties
have more...
https://github.com/ctrlaltint3l/intelligence/blob/main/VietnameseCampaign/CobaltStrike/cfcert.store

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская кибероперация в значительной степени скомпрометировала более 25 вьетнамских университетов, используя сложные методы атак и пользовательские инструменты. Первоначальный доступ был получен с помощью уязвимостей веб-приложений, развертывания Веб-шеллов на серверах IIS и использования известных CVE, при сохранении закрепления с помощью туннелей RDP и фреймворков управления, таких как Cobalt Strike. Операция, приписываемая группе Earth Lamia, сосредоточена на сборе информации, а не на финансовой выгоде, с использованием передовых методов перемещения внутри компании, получения учетных данных и уклонения.
-----

Тщательное расследование продолжающейся китайской кибероперации, нацеленной на вьетнамские университеты, выявило обширную деятельность по компрометации, которой в первую очередь способствовали сложные методы атак и пользовательские инструменты. Исследование, основанное на разведданных с открытым исходным кодом и уникальном техническом анализе, выявило злоумышленника, который успешно внедрился в более чем 25 учебных заведений Вьетнама, особенно тех, которые специализируются на технологиях и инженерном деле.

Первоначальный доступ к этим средам часто был получен в результате использования уязвимых веб-приложений, в частности, путем развертывания Веб-шеллов на серверах IIS. Злоумышленники использовали известные CVE и недавно обнаруженные уязвимости SQL-инъекций, создав учетную запись пользователя с именем "IIS_USER" в рамках своей стратегии эксплуатации. Собранные данные демонстрируют устойчивое закрепление, при этом злоумышленник сохраняет доступ с помощью таких методов, как туннели Протокола удаленного рабочего стола (RDP), Веб-шеллы и две активные платформы управления (C2), а именно VShell и Cobalt Strike.

Cobalt Strike, хотя изначально и был законным инструментом тестирования на проникновение, широко использовался как киберпреступниками, так и акторами, спонсируемыми государством. В этом случае злоумышленники использовали ит после получения первоначального доступа для выполнения перемещения внутри компании в сетях-жертвах и повышения привилегий. Исследование показывает, как скомпрометированные компьютеры позволяют развертывать различные инструменты для получения учетных данных и повышения привилегий. Данные свидетельствуют о том, что злоумышленники использовали red team tooling для расшифровки учетных данных TeamViewer из реестра Windows и пытались использовать уязвимости, включая CVE-2019-18935 в пользовательском интерфейсе Telerik, что позволило им устанавливать обратные оболочки для нескольких целей.

Сложность операции подчеркивается надежной структурой, которая включает в себя несколько уровней доступа, механизмы закрепления, такие как запланированные задачи, и интеграцию плагинов для VShell, которые предоставляют различные возможности, от генерации полезной нагрузки до уведомлений сторонних служб. Одним из особенно волнующих аспектов является минималистичная Веб-шелл, которая позволяет напрямую выполнять JavaScript, что указывает на универсальный подход к поддержанию позиций в скомпрометированных системах.

Кроме того, злоумышленники продемонстрировали методы уклонения, изменив дескрипторы безопасности, чтобы затруднить административный контроль над защитником Windows, и было замечено, что они выполняли команды через файлы истории Linux (например, .bash_history) для сбора дополнительной информации во время своих проникновений.

Эта кампания, по-видимому, не имеет финансовой мотивации, а скорее сосредоточена на обширном сборе информации в секторе образования Вьетнама, в соответствии с методами и методологиями, приписываемыми известным китайским злоумышленникам, в частности группе, известной как Earth Lamia. Всесторонний анализ проливает свет на значительную угрозу, исходящую от образовательных учреждений, и высвечивает текущие проблемы защиты от хорошо обеспеченных ресурсами государственных кибер-структур.