#ParsedReport #CompletenessHigh
06-09-2025

Unmasked: Salat Stealer A Deep Dive into Its Advanced Persistence Mechanisms and C2 Infrastructure

https://www.cyfirma.com/research/unmasked-salat-stealer-a-deep-dive-into-its-advanced-persistence-mechanisms-and-c2-infrastructure/

Report completeness: High

Actors/Campaigns:
Nyashteam
Kapchenka

Threats:
Webrat
Procmon_tool
Credential_dumping_technique

Victims:
Windows users, Cryptocurrency users

Geo:
Russian

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
Hash: 3
Path: 9
IP: 3
Domain: 7
Registry: 1
Url: 2

Soft:
Windows Defender, Telegram, Windows Error Reporting, Windows Registry, Task Scheduler, Windows Task Scheduler, Google Chrome, Chrome, Microsoft Edge, ChromePlus, have more...

Wallets:
coinomi, mymonero, atomicwallet, zcash, guarda_wallet, electrum, metamask, coinbase, rabby, nami_wallet, have more...

Crypto:
ethereum, binance

Algorithms:
md5, exhibit

Win API:
VirtualProtect, LoadLibraryA, GetProcAddress, ExitProcess

Win Services:
WebClient

Languages:
php, powershell, javascript

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat Stealer, основанный на Go infostealer, ориентированный на Windows, извлекает конфиденциальные данные, такие как учетные данные браузера и информация о криптовалюте. Управляемый русскоязычными акторами по модели "Вредоносное ПО как услуга", он использует методы уклонения, такие как модификации ключей реестра, упаковка UPX и Маскировка процессов, чтобы сохраняться и избегать обнаружения. Его инфраструктура предполагает сложную работу, создающую риски не только для частных лиц, но и для предприятий из-за потенциальной кражи учетных данных.
-----

Salat Stealer, также известный как WEB_RAT, - это продвинутый инфокрад на базе Go, ориентированный на системы Windows, предназначенный для извлечения конфиденциальной информации, включая учетные данные браузера и данные криптовалютного кошелька. Управляемая русскоязычными акторами в рамках модели "Вредоносное ПОкак услуга" (MaaS), эта вредоносная ПО использует сложные методы уклонения, чтобы обеспечить закрепление и избежать обнаружения.

Примечательно, что Salat Stealer использует несколько тактик для достижения закрепления в скомпрометированных системах. Он создает записи ключа запуска в реестре и изменяет запланированные задачи, чтобы гарантировать их повторное выполнение. Кроме того, вредоносное ПО использует упаковку UPX, чтобы избежать статических методов обнаружения, и маскируется под законные процессы в доверенных каталогах, что еще больше усложняет усилия по обнаружению. Это также позволяет избежать обнаружения, создавая Скрытые окна и изменяя исключения защитника Windows.

Вредоносное ПО способно к эксфильтрации данных, специально нацеливаясь на учетные данные, хранящиеся в веб-браузерах, таких как Google Chrome, путем доступа к базе данных браузера SQLite. Это подчеркивает потенциальные риски, связанные не только с частными лицами, но и с предприятиями, поскольку потеря конфиденциальных учетных данных может способствовать более масштабным атакам.

Статический и динамический анализ вредоносного ПО раскрывает его возможности в управлении файлами и операциями ввода-вывода, создании процессов и потоков и контроле над ними, а также в управлении исключениями. Во время динамического анализа Salat Stealer демонстрирует Маскировку процессов, запуская дочерние процессы, которые имитируют законные приложения, чтобы вписаться в среду операционной системы. Эта характеристика дополнительно сводит к минимуму вероятность обнаружения с помощью традиционных мер безопасности.

Salat Stealer имеет документированную инфраструктуру, которая включает централизованную административную панель для распространения и управления, что указывает на организованный характер его операций. Его присутствие в ландшафте угроз подчеркивает растущую сложность вредоносного ПО как части более широкой экосистемы MaaS, где даже недорогие модели подписки могут обеспечить доступ к расширенным возможностям атак.

#ParsedReport #CompletenessMedium
06-09-2025

SafePay Ransomware: How a Non-RaaS Group Executes Rapid Fire Attacks

https://www.bitdefender.com/en-us/blog/businessinsights/safepay-ransomware-attacks-ttps

Report completeness: Medium

Threats:
Safepay
Lockbit
Qilin_ransomware
Akira_ransomware
Sharefinder_tool
Blackbasta

Victims:
Mid size organizations, Enterprise organizations

Industry:
Education, E-commerce, Financial, Healthcare, Government

Geo:
Great britain, Germany, Russian, Canada, United kingdom

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1
Hash: 2

Soft:
PsExec

Crypto:
bitcoin

Algorithms:
chacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SafePay ransomware стал заметным злоумышленником с момента своего появления в сентябре 2024 года, проводя blitz-атаки и нацеливаясь на организации среднего размера и предприятия, главным образом в развитых странах. Его методы атак включают в себя раскрытие учетных данных, атаки методом грубой силы и социальную инженерию, а такие инструменты, как ShareFinder и PsExec, используются для картографирования сети и перемещения внутри компании. Оказавшись внутри, SafePay извлекает конфиденциальные данные и шифрует файлы с расширением .SafePay, используя методы, позволяющие избежать обнаружения и завершить процессы обеспечения безопасности, что усложняет меры реагирования.
-----

SafePay ransomware стал значительным злоумышленником в 2025 году, получив известность благодаря быстрой череде атак, жертвами которых стали 73 человека только в июне и еще 42 в июле. Примечательно, что SafePay работает независимо от любых моделей "Программа-вымогатель как услуга" (RaaS), включая членство в таких группах, как LockBit. Его методы, инструменты и оперативные методологии отличаются друг от друга, демонстрируя высокий уровень оперативной секретности при минимальном взаимодействии с внешними форумами или другими злоумышленниками.

Начиная с сентября 2024 года, первоначальные операции SafePay's начались после значительных действий правоохранительных органов, направленных против предыдущих групп вымогателей и их инфраструктуры. Виктимология SafePay's указывает на то, что предпочтение отдается организациям среднего размера и предприятиям малого бизнеса, особенно в развитых странах, таких как Соединенные Штаты, Германия, Великобритания и Канада. Эта стратегия, по-видимому, использует обширные сети организации для усиления давления на жертв, заставляя их выплачивать выкупы для защиты своих активов и репутации.

Поразительной особенностью SafePay является его способность проводить blitz-атаки, о чем свидетельствует его подавляющая тактика, заключающаяся в том, что за один день пострадало несколько человек. Например, 20 ноября 2024 года группа сообщила о 23 жертвах всего за 24 часа, продемонстрировав оперативную норму, которая повышает ставки для отдельных организаций.

SafePay реализует ряд тактик, методов и процедур (TTP), которые облегчают его атаки. Первоначальный доступ к сетям-жертвам осуществляется с помощью раскрытия учетных данных, атак с использованием паролей методом перебора или слабых мест в устройствах VPN. В некоторых случаях тактика социальной инженерии используется для того, чтобы выдать себя за ИТ-персонал и внедрить инструменты удаленного мониторинга и управления (RMM). После получения первоначального доступа SafePay использует такие скрипты, как ShareFinder, для отображения сети, выявления ценных ресурсов и организации перемещения внутри компании с помощью таких инструментов, как PsExec.

Процессы эксфильтрации нацелены на конфиденциальные данные, такие как финансовые отчеты, интеллектуальная собственность и списки клиентов, часто с использованием инструментов сжатия, таких как WinRAR и FileZilla, для безопасной передачи данных. При запуске программы-вымогателя файлы шифруются с расширением .safepay и запиской о выкупе с именем "readme_safepay.txt " хранится в соответствующих каталогах. Программа-вымогатель предназначена для уклонения от обнаружения программами защиты от вредоносного ПО и может прерывать процессы, связанные с мерами безопасности, что делает ее особенно сложной для устранения.

Для противодействия таким угрозам, как SafePay, организациям настоятельно рекомендуется применять многоуровневый подход к обеспечению безопасности, в котором особое внимание уделяется стратегиям предотвращения, обнаружения, реагирования и защиты. Эта целостная точка зрения имеет решающее значение для разработки надежной системы кибербезопасности, способной противостоять сложностям современных угроз, связанных с программами-вымогателями.

#ParsedReport #CompletenessHigh
06-09-2025

GPUGate Malware: Malicious GitHub Desktop Implants Use Hardware-Specific Decryption, Abuse Google Ads to Target Western Europe

https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/

Report completeness: High

Threats:
Gpugate
Gpugate_technique
Bloat_technique
Dll_sideloading_technique
Amos_stealer
Supply_chain_technique
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dead_drop_technique

Victims:
Information technology sector, Technical professionals

Industry:
Software_development, Education, Entertainment

Geo:
Russian

TTPs:
Tactics: 11
Technics: 31

IOCs:
Domain: 17
File: 4
Path: 4
Hash: 7
Url: 3
IP: 19
Command: 3

Soft:
Windows Installer, Windows Defender, Microsoft Defender, Windows service, macOS, Telegram, gatekeepers, chrome, Microsoft Visual C++, Mac OS, have more...

Algorithms:
aes-cbc, aes, sha256, zip, sha1, md5, xor

Languages:
php, powershell, visual_basic

Platforms:
cross-platform, arm, x64

YARA: Found

#ParsedReport #CompletenessHigh
06-09-2025

GhostRedirector poisons Windows servers: Backdoors with a side of Potatoes

https://www.welivesecurity.com/en/eset-research/ghostredirector-poisons-windows-servers-backdoors-side-potatoes/

Report completeness: High

Actors/Campaigns:
Ghostredirector
Dragonrank

Threats:
Zunput
Rungan
Gamshen
Iiserpent
Badpotato_tool
Lolbin_technique
Gotohttp_tool
Dotnet_reactor_tool
Comdai
Rid_hijacking_tool
Seo_poisoning_technique

Victims:
Windows servers, Web hosting environments

Industry:
Transport, Healthcare, Retail, Education

Geo:
China, Peru, Canada, Chinese, Usa, Vietnam, America, Ukraine, Philippines, Netherlands, Thailand, India, Brazil, Asia, Finland, Singapore, Portuguese

TTPs:
Tactics: 9
Technics: 25

IOCs:
Domain: 8
File: 16
Command: 5
Path: 7
Hash: 23
Url: 5
IP: 4

Soft:
EfsPotato, NET Reactor, Windows registry, NET Framework

Algorithms:
base64, sha1, aes, cbc

Functions:
CreatePorcessA

Win API:
NetUserAdd, HttpInitialize, HttpAddUrl

Languages:
php, powershell, javascript

Links:
https://github.com/minhangxiaohui/AvoidRandomKill/blob/main/AvoidRandomKill/AES.cpp
have more...
https://github.com/zcgonvh/EfsPotato/
https://github.com/BeichenDream/BadPotato/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET выявили нового злоумышленника GhostRedirector, нацеленного на серверы Windows, который использует бэкдор на C++ под названием Rungan и вредоносный модуль IIS под названием Gamshen для манипулирования результатами поиска Google. Злоумышленники, вероятно, используют уязвимость SQL-инъекции для получения доступа, развертывания инструментов через PowerShell и используют такие методы, как локальное повышение привилегий и сертификат инструмента LOLBin. Кроме того, они собирают данные о конфигурации IIS с помощью инструмента под названием Zunput, подчеркивая свою цель проведения SEO-мошенничества и использования скомпрометированных инфраструктур.
-----

Исследователи ESET обнаружили нового злоумышленника, получившего название GhostRedirector, который в первую очередь нацелен на серверы Windows. Этот актор использует пассивный бэкдор на C++, известный как Rungan, и вредоносный модуль IIS с именем Gamshen для манипулирования результатами поиска Google. Обнаружение деятельности GhostRedirector началось в декабре 2024 года, хотя считается, что он был активен по крайней мере с августа 2024 года, основываясь на ранее выявленных образцах.

Первоначальной точкой входа для GhostRedirector, скорее всего, является использование уязвимости, предположительно являющейся SQL-инъекцией. Как только доступ получен, акторы используют PowerShell для загрузки вредоносных программ с назначенного промежуточного сервера, указанного как 868id.com . Они также используют тактику, использующую другой инструмент LOLBin, CertUtil, для облегчения этого процесса. После успешной компрометации системы GhostRedirector развертывает различные вредоносные инструменты, включая инструмент повышения привилегий, который создает привилегированного пользователя в группе администраторов, позволяя злоумышленнику выполнять привилегированные операции.

GhostRedirector использует локальные методы повышения привилегий, вероятно, полученные из общедоступных эксплойтов, таких как EfsPotato и BadPotato. Изученные образцы, как правило, были обфускированы с помощью .NET Reactor, причем некоторые даже обладали действительными подписями от TrustAsia RSA, Подписью исполняемого кода CA G3. Один конкретный пример, связанный с этой операцией, продемонстрировал поведение при попытке отправить его содержимое по жестко закодированному URL-адресу, но не использовался в активной кампании.

Другим инструментом в наборе инструментов GhostRedirector является Zunput, который можно найти в примере под названием SitePuts.exe. Этот компонент запрашивает конфигурацию IIS для размещенных веб-сайтов, эффективно собирая информацию, которая может быть использована для дальнейших вредоносных действий.

Бэкдор Rungan, указанный в системном пути C:\ProgramData\Microsoft\DRM\log\miniscreen.dll , обеспечивает злоумышленникам обратный пассивный доступ, в то время как Gamshen действует как вредоносный собственный модуль IIS, который перехватывает и изменяет ответы на запросы Googlebot. Эта манипуляция предназначена для того, чтобы повлиять на рейтинг стороннего веб-сайта в поиске, используя сомнительную тактику, такую как создание искусственных обратных ссылок со взломанного сервера на целевой сайт. Это наводит на мысль, что GhostRedirector может участвовать в схеме SEO-мошенничества как услуги, подчеркивая свою способность использовать скомпрометированную инфраструктуру для получения финансовой или конкурентной выгоды. В целом, GhostRedirector демонстрирует заметную связь с китайской кибератакой и демонстрирует передовые методы как для компрометации серверов, так и для манипулирования поисковыми системами.

#ParsedReport #CompletenessMedium
06-09-2025

Threat Actors Impersonate Microsoft Teams To Deliver Odyssey macOS Stealer Via Clickfix

https://www.cloudsek.com/blog/threat-actors-impersonate-microsoft-teams-to-deliver-odyssey-macos-stealer-via-clickfix

Report completeness: Medium

Threats:
Odyssey_stealer
Clickfix_technique

Victims:
Macos users

TTPs:
Tactics: 6
Technics: 21

IOCs:
Domain: 1
File: 7
Url: 1
IP: 1

Soft:
Microsoft Teams, macOS, Ledger Live, Tradingview, Chrome, Chromium, Vivaldi, Opera, OperaGX, Firefox, have more...

Wallets:
metamask, electrum, coinomi, exodus_wallet, wassabi, bitcoincore, litecoincore, electron_cash, guarda_wallet, trezor, have more...

Crypto:
monero, dogecoin

Algorithms:
sha256, base64, zip

Languages:
applescript

Platforms:
apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют поддельный сайт загрузки Microsoft Teams для распространения программы Odyssey macOS stealer с помощью Clickfix, способной собирать конфиденциальные данные, такие как учетные данные пользователя и файлы cookie браузера. Вредоносное ПО взаимодействует с сервером управления для эксфильтрации данных и устанавливает закрепление с помощью LaunchDaemons, наряду с методами получения учетных данных и повышения привилегий. Ключевые действия включают в себя таргетинг на Связку ключей Chrome, рекурсивное копирование данных криптовалютного кошелька и замену законных приложений вредоносными версиями.
-----

Злоумышленники в настоящее время используют обманчивый веб-сайт загрузки Microsoft Teams для распространения Odyssey macOS stealer с помощью Clickfix. Это вредоносное ПО после запуска способно собирать различные конфиденциальные данные, включая учетные данные пользователя, файлы cookie браузера, заметки Apple и информацию из криптовалютных кошельков. Ключом к его работе является эксфильтрация собранных данных на сервер командования и контроля (C2), а также закрепление в зараженной системе с помощью LaunchDaemons. Кроме того, вредоносное ПО может заменить Ledger Live троянской версией, что создает дополнительные риски для безопасности.

Кампания была впервые замечена в августе 2025 года во время анализа инфраструктуры, проведенного компанией Cloudsek's TRIAD, который показал, что злоумышленники перешли от подражания другим сервисам, таким как Tradingview, к целенаправленной атаке на Microsoft Teams. Метод выполнения включает AppleScript в кодировке base64, который запускается с помощью простой команды, классифицируя его по методам выполнения сценариев (T1059.002).

Вредоносное ПО использует различные методы получения учетных данных и повышения привилегий, такие как попытка аутентификации локального пользователя с помощью средства командной строки службы каталогов, запрашивающее пароль устройства в случае сбоя аутентификации. Такое поведение согласуется с методами, описанными в MITRE ATT&CK framework (T1056.002, T1110). Вредоносное ПО также нацелено на Связку ключей Chrome для получения конфиденциальных данных и хранит захваченные учетные данные локально.

Возможности сбора данных обширны, поскольку он рекурсивно копирует данные из многочисленных криптовалютных кошельков и соответствующих приложений, что создает значительный риск Кражи денежных средств в дополнение к компрометации учетных данных (T1555). Эксфильтрация этих данных выполняется с помощью HTTP POST-запросов на определенные IP-адреса с возможностью повторной попытки в случае сбоя (T1041). Более того, у злоумышленников есть дополнительные полезные данные, размещенные на том же сервере, что может еще больше скомпрометировать систему жертвы (T1105).

Для поддержания закрепления вредоносное ПО загружает командную строку оболочки и устанавливает ее как список LaunchDaemon с произвольным именем, требуя повышенных привилегий, таким образом, подключаясь обратно к предыдущему запросу пароля. Получив необходимые разрешения, он может удалить и заменить законное приложение Ledger Live вредоносной версией, используя различные методы уклонения, чтобы скрыть свою деятельность (T1036, T1112).

Воздействие этого вредоносного ПО включает в себя существенные риски, такие как кража учетных данных для просмотра веб-страниц, личных файлов и прямой доступ к криптовалютам, наряду с возможностью постоянного повторного заражения системы из-за его постоянных мер. Чтобы помочь в защите, было разработано правило Yara для обнаружения выполнения AppleScript Odyssey stealer's.

#ParsedReport #CompletenessMedium
06-09-2025

An MDR Analysis of the AMOS Stealer Campaign Targeting macOS via Cracked Apps

https://www.trendmicro.com/en_us/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

Report completeness: Medium

Threats:
Amos_stealer
Fakecaptcha_technique
Seo_poisoning_technique
Lolbin_technique
Clickfix_technique

Victims:
Macos users, Enterprise users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1204.003, T1553.001, T1555, T1555.001, T1568.003

IOCs:
File: 5
Url: 11
Coin: 1
Domain: 16
Hash: 6
IP: 1

Soft:
macOS, Gatekeeper, Telegram, Chrome, Chrome, Firefox, Opera, Chromium, Vivaldi, curl, Windows Explorer, have more...

Wallets:
tonkeeper

Crypto:
binance

Algorithms:
sha1, zip

Languages:
applescript, javascript, swift

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 16, schema: 5, code: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AMOS Stealer нацелена на пользователей macOS посредством распространения вредоносного ПО AMOS, использующего взломанные приложения для инициирования заражения. Два основных способа доставки предполагают, что пользователи загружают скомпрометированное программное обеспечение или выполняют команды терминала, оба из которых обходят гейткипер macOS. Вредоносное ПО способствует масштабной краже данных, включая учетные данные и конфиденциальные файлы, используя сменяющиеся домены для уклонения, что свидетельствует об изменении стратегий атак по мере того, как macOS набирает популярность в корпоративных средах.
-----

Кампания AMOS Stealer представляет собой серьезную киберугрозу, направленную против пользователей macOS посредством распространения вредоносного ПО Atomic macOS Stealer (AMOS). Злоумышленники используют вредоносные “взломанные” версии легальных приложений, чтобы побудить пользователей к установке вредоносного ПО. Наблюдаются два основных способа доставки: один предполагает загрузку пользователями скомпрометированного программного обеспечения, которое перенаправляет их на целевые страницы, облегчающие установку AMOS, а другой требует, чтобы пользователи копировали и вставляли определенные команды в терминал macOS. Этот последний метод эффективно обходит Gatekeeper в macOS, функцию, предназначенную для блокирования выполнения непроверенных приложений.

Возможности AMOS's распространяются на кражу широкого спектра данных, включая извлечение учетных данных, данных браузера, информации о криптовалютном кошельке, чатах Telegram, профилях VPN, заметках Apple и файлах из папок с общим доступом. Вредоносное ПО использует сменяющиеся домены, чтобы избежать обнаружения и помешать усилиям по удалению, создавая существенные риски как для индивидуальных, так и для корпоративных пользователей. В связи с тем, что macOS все чаще используется в профессиональной среде, она стала главной мишенью для киберпреступников, что ознаменовало изменение ландшафта уязвимостей операционной системы.

Цепочка заражения начинается с того, что пользователь получает доступ к скомпрометированному программному обеспечению, что приводит его к загрузке AMOS. Наблюдаемое поведение затронутых пользователей часто включает повторные посещения определенных веб-сайтов, предлагающих взломанное программное обеспечение, такое как haxmac.cc , который напрямую связан с распространением AMOS. Кроме того, использование команд через терминал, таких как выборка сценариев установки из различных доменов, оказалось эффективным для злоумышленников. Например, скрипты могут быть извлечены из letrucvert.com или goatramz.com , иллюстрирующий различные методы, используемые при распространении вредоносного ПО.

Тактическая адаптивность кампании AMOS примечательна, особенно в свете продолжающихся улучшений безопасности Apple. Поскольку средства защиты, такие как усовершенствованные протоколы Gatekeeper в macOS Sequoia, становятся более устойчивыми к традиционным методам заражения, злоумышленники быстро скорректировали свои стратегии, чтобы использовать установки на базе терминалов, тем самым обходя эти средства защиты. Эта эволюция требует многоуровневого подхода к обеспечению безопасности, сочетающего информирование пользователей об опасностях взломанного программного обеспечения, поддельных установщиков и команд терминала с техническими средствами защиты, которые обеспечивают видимость конечных точек и мониторинг сети для эффективного обнаружения таких угроз и реагирования на них.

#ParsedReport #CompletenessLow
07-09-2025

From Compromised Keys to Phishing Campaigns: Inside a Cloud Email Service Takeover

https://www.wiz.io/blog/wiz-discovers-cloud-email-abuse-campaign

Report completeness: Low

Threats:
Supply_chain_technique
Spear-phishing_technique

Victims:
Cloud email service users, Aws customers

TTPs:

IOCs:
Domain: 5

Functions:
GetCallerIdentity, GetSendQuota, GetAccount, CreateCase, CreateEmailIdentity, SES

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4