#ParsedReport #CompletenessHigh
09-09-2025

APT \| Patchwork organizes DarkSamural false flag attack campaign

https://www.ctfiot.com/269659.html

Report completeness: High

Actors/Campaigns:
Donot (motivation: information_theft)
Dark_samurai (motivation: information_theft)
Oceanlotus

Threats:
Grimresource_technique
Spear-phishing_technique
Remcos_rat
Badnews_rat
Quasar_rat
Asyncrat
Mythic_c2
Northstar_tool

Victims:
Government sector, Defense sector

Industry:
Military

Geo:
Pakistan, Bangladesh, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002

IOCs:
File: 8
Hash: 5
Domain: 9
Url: 13

Soft:
Mac OS, WeChat

Algorithms:
md5, base64

Win API:
DllRegisterServer

Languages:
jscript, javascript

Platforms:
cross-platform, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Dark Samurai, связанная с OceanLotus, осуществляющей сложную целенаправленную атаку, проводила операции в Пакистане, используя файлы MSC и технологию GrimResource для доставки полезной нагрузки вредоносного ПО. Это нападение, по-видимому, является операцией под ложным флагом группы Patchwork, направленной на то, чтобы ввести следствие в заблуждение относительно истинного преступника. Использование MSC-файлов указывает на использование функций Windows, предполагая возможное перемещение внутри компании или эксфильтрацию данных, и подчеркивает сложную тактику, применяемую современными злоумышленниками.
-----

Dark Samurai, подгруппа OceanLotus, сложная целенаправленная атака, была идентифицирована как недавний злоумышленник, проводящий операции в Пакистане. В этой кампании используются файлы MSC в сочетании с технологией GrimResource для доставки вредоносных полезных данных, что указывает на сложный подход к выполнению атаки и доставке полезной нагрузки. Более глубокий анализ задействованных образцов привел к классификации "DarkSamurai" как операции под ложным флагом, организованной хакерской группировкой "Patchwork".

Использование файлов MSC предполагает, что атака может использовать определенные возможности Windows или компоненты, связанные с SharePoint. Технология GrimResource, как правило, связанная с сложными целенаправленными атаками, может позволить вредоносному ПО облегчать перемещение внутри компании или эксфильтрацию данных. Обозначение этой кампании как "ложный флаг" подразумевает, что ее целью может быть введение в заблуждение следователей или усилия по установлению личности, потенциально подставляя другого актора или группу, скрывая при этом фактического исполнителя, стоящего за нападением.

Эта разработка высвечивает текущие тенденции среди злоумышленников к внедрению тонких методов, сочетающих различные полезные нагрузки и технологии для достижения своих оперативных целей. Инцидент подчеркивает необходимость повышенной бдительности при мониторинге такой тактики в сообществе по кибербезопасности, особенно учитывая потенциальные последствия для национальной и организационной безопасности в целевом регионе.

#ParsedReport #CompletenessLow
09-09-2025

DuckDB npm Account Compromised in Continuing Supply Chain Attack

https://socket.dev/blog/duckdb-npm-account-compromised-in-continuing-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source maintainers, Npm ecosystem

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195, T1199, T1566

Wallets:
tron

Crypto:
ethereum, bitcoin, solana, litecoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака npm supply chain оказала воздействие на проект DuckDB, скомпрометировав учетную запись duckdb_admin и выпустив вредоносные версии пакетов, предназначенные для извлечения криптовалютных кошельков. Этот инцидент является частью более широкой скоординированной атаки, связанной с предыдущим компрометированием с участием автора Qix и использующей вредоносное ПО, истощающее кошелек. Разработчикам настоятельно рекомендуется избегать скомпрометированных пакетов и проверять последние установки на наличие признаков компрометации, поскольку эта кампания по-прежнему нацелена на известных разработчиков в экосистеме npm.
-----

Атака npm на supply chain распространилась на проект DuckDB, скомпрометировав учетную запись npm duckdb_admin и приведя к выпуску нескольких версий вредоносных пакетов. Этот инцидент связан с предыдущим компрометированием с участием плодовитого автора Qix, что указывает на скоординированную атаку с использованием того же вредоносного ПО, истощающего кошелек. Вредоносное ПО специально нацелено на пользователей, которые хотят установить уязвимые пакеты, и в данном случае оно предназначено для извлечения криптовалютных кошельков.

Вредоносные версии пакетов DuckDB были опубликованы 9 сентября 2025 года, и разработчикам не рекомендуется устанавливать эти взломанные версии. Вместо этого рекомендуется использовать известные чистые версии, такие как duckdb@1.3.4, хотя перед любыми обновлениями рекомендуется провести тщательную проверку. Разработчикам также следует провести тщательный аудит своих последних установок, чтобы обнаружить любые признаки компрометации.

Продолжающийся характер этой кампании вызывает серьезные опасения, особенно учитывая, что она нацелена на высокопоставленных разработчиков в экосистеме npm. Бдительность имеет решающее значение для снижения риска заражения в результате этой кампании, тем более что тот же вектор атаки теперь затронул еще одного ключевого игрока в сообществе разработчиков с открытым исходным кодом. Мониторинг индикаторов компрометации (IOCs), связанных с выявленными версиями вредоносных пакетов, должен быть приоритетом для разработчиков, использующих пакеты npm.

#ParsedReport #CompletenessLow
09-09-2025

CyberVolk Ransomware: Analysis of its Dual Encryption Structure and Disguised Decryption Logic

https://asec.ahnlab.com/ko/90033/

Report completeness: Low

Actors/Campaigns:
Cybervolk

Threats:
Cybervolk_ransomware
Eldorado_ransomware
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171

Victims:
Government agencies, Critical infrastructure, Scientific institutions, Public institutions

Industry:
Government, Critical_infrastructure

Geo:
Russian, Japan, France

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1
Hash: 1

Soft:
Telegram

Algorithms:
aes, chacha20-poly1305, aes-256, md5, sha256, aes-gcm

Functions:
crypto_rand_Read

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberVolk ransomware, выявленный в мае 2024 года, нацелен на правительственные учреждения и критически важную инфраструктуру в странах, противостоящих интересам России, используя двухуровневый подход к шифрованию с использованием алгоритмов AES и ChaCha20-Poly1305. Он повышает привилегии во время выполнения, чтобы реализовать выборочное шифрование, избегая критических системных файлов и генерируя уведомление о выкупе с именем "READMENOW.txt - после шифрования. Симметричный ключ программы-вымогателя зашифрован с помощью SHA-256, что усложняет расшифровку и отражает переплетение технологий и геополитической напряженности в киберугрозах.
-----

CyberVolk ransomware, появившаяся в мае 2024 года, характеризуется двойной структурой шифрования и стратегическим нацеливанием на правительственные учреждения и критически важную инфраструктуру в странах, которые считаются враждебными российским интересам. Эта пророссийская группа вымогателей взяла на себя ответственность за нанесение ущерба критически важной инфраструктуре и научным учреждениям в таких странах, как Япония, Франция и Великобритания. Работая в основном через Telegram для связи, CyberVolk использует геополитическую напряженность для усиления своего профиля угроз.

После запуска CyberVolk ransomware первоначально запускается со стандартными привилегиями пользователя, но быстро получает права администратора для облегчения своей работы. Программа-вымогатель реализует выборочный процесс шифрования, исключая файлы и каталоги, которые могут нарушить функциональность системы. В частности, он позволяет избежать шифрования путей или имен файлов, распознанных по определенным строкам, которые предопределены в логике его выполнения. Выполняя это выборочное шифрование, программа-вымогатель гарантирует, что будут скомпрометированы только целевые файлы, предотвращая при этом повторное шифрование файлов, которые уже были зашифрованы. Шифрованию подлежат все типы файлов, за исключением определенных динамических файлов, которые изменяются в процессе шифрования.

Для каждой операции шифрования отправлялась записка о выкупе с именем "READMENOW.txt " генерируется после завершения, указывая на то, что файлы жертвы были зашифрованы. Эта заметка создается в каталоге, где была запущена программа-вымогатель, и служит основным средством связи злоумышленников с жертвами.

Особого внимания заслуживают технические тонкости методов шифрования CyberVolk's. Программа-вымогатель использует симметричный ключ, который зашифрован с помощью алгоритма SHA-256, и использует двойное шифрование содержимого файла, применяя алгоритмы AES и ChaCha20-Poly1305. Это двухуровневое шифрование значительно усложняет расшифровку, представляя серьезную проблему как для потенциальных жертв, так и для специалистов по кибербезопасности. В целом, появление CyberVolk ransomware подчеркивает меняющийся ландшафт киберугроз и подчеркивает пересечение технологических и геополитических конфликтов в кибервойне.

#ParsedReport #CompletenessHigh
09-09-2025

MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access

https://www.fortinet.com/blog/threat-research/mostererat-deployed-anydesk-tightvnc-for-covert-full-access

Report completeness: High

Threats:
Mostererat
Anydesk_tool
Tightvnc_tool
Nsudo_tool
Edrsilencer_tool
Tigervnc_tool

Victims:
Japanese users

Industry:
Financial

Geo:
Japanese, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1056.001, T1071.001, T1090, T1113, T1219, T1543.003, have more...

IOCs:
File: 11
Path: 1
Registry: 1
Domain: 7
Hash: 5

Soft:
TightVNC, Windows Service, Task Scheduler, Windows Defender, Windows Security, wuauserv

Algorithms:
sha256, zip

Functions:
CreateSvcRpc, CreateService

Win API:
getVersion, SeDebugPrivilege, GetTickCount64

Languages:
ruby

Platforms:
x86

Links:
have more...
https://github.com/wxWidgets/wxWidgets/tree/master/samples/menu
https://github.com/netero1010/EDRSilencer
https://github.com/M2TeamArchived/NSudo

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 9, windows: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MostereRAT - это изощренная кампания, нацеленная на японских пользователей с помощью фишинг-писем, облегчающая первоначальный доступ по Вредоносной ссылке. Вредоносное ПО, разработанное на простом языке программирования, использует простой метод расшифровки и получает контроль, выполняя процессы от имени учетной записи TrustedInstaller, минуя стандартную систему безопасности. Его расширенные возможности удаленного доступа включают многопоточность для команд и мониторинга, ведение журнала нажатий клавиш и возможность манипулировать файлами в каталоге "/database", препятствуя работе антивируса.
-----

Кампания MostereRAT демонстрирует изощренный подход к кибератакам, нацеленный, в частности, на японских пользователей с помощью фишинга электронных писем, замаскированных под законные деловые сообщения. Как только пользователь нажимает на Вредоносную ссылку, он получает первоначальный доступ, позволяющий злоумышленникам выполнить свою полезную нагрузку.

Вредоносный компонент, называемый "document.exe " использует базовый метод дешифрования с использованием простой операции вычитания со значением ключа A. Компоненты вредоносного ПО, включая средства удаленного мониторинга и управления, хранятся в каталоге C:\ProgramData\Windows . MostereRAT разработан с использованием Easy Programming Language (EPL), языка программирования, ориентированного на начинающих, особенно на носителей китайского языка.

Примечательной особенностью этого вредоносного ПО является его способность повышать привилегии, выполняя процессы от имени учетной записи TrustedInstaller, которая имеет значительный контроль над операционной системой Windows. Эта возможность позволяет вредоносному ПО обходить типичные меры безопасности. Для повышения скрытности и эффективности MostereRAT включает списки, которые идентифицируют различные антивирусные решения и решения для обнаружения конечных точек и реагирования на них (EDR) и создают помехи для них, препятствуя их функциональности.

Модуль 2, обозначаемый как "elsedll.db", включает в себя расширенные функции удаленного доступа, использующие многопоточность для облегчения операций командования и контроля, мониторинга действий, связанных с платформой Qianniu (часть Alibaba), и регистрации нажатий клавиш. Этот модуль также способен загружать и выполнять различные форматы полезной нагрузки — включая шелл—код, библиотеки DLL и EXE-файлы - с помощью различных методов, включая извлечение полезной нагрузки из командных соединений или указанных URL-адресов через libcurl.

Вредоносное ПО специально нацелено на файлы в каталоге "/database", позволяя выполнять операции чтения, записи и удаления. Кроме того, он может запускать инструменты удаленного доступа и прокси-сервера; он использует такие инструменты, как AnyDesk, Xray и TigerVNC, предоставляя злоумышленникам эксклюзивный доступ к скомпрометированным системам.

#ParsedReport #CompletenessMedium
09-09-2025

The Rise of RatOn: From NFC heists to remote control and ATS

https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats

Report completeness: Medium

Threats:
Raton
Nfskate

Victims:
Banking, Cryptocurrency wallets, Mobile users

Industry:
Financial

Geo:
Czech, Russian, Slovakia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1219, T1410, T1411, T1417, T1419, T1583.001, T1626

IOCs:
File: 2
Domain: 4
Hash: 19

Soft:
Android, WhatsApp

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
sha256

Functions:
exported

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RatOn - это недавно разработанный троян удаленного доступа, который использует передовые методы, такие как атаки наложением, возможности ретрансляции NFC и функции автоматизированной системы передачи данных, и не имеет никакого сходства с существующим вредоносным ПО. В первую очередь он нацелен на пользователей, говорящих на чешском и словацком языках, через сайты для взрослых, на которых размещено вредоносное приложение dropper. RatOn может осуществлять изощренное финансовое мошенничество, включая захват учетных записей на криптовалютных кошельках, и работает с помощью подробных наборов команд для сложных взаимодействий.
-----

Появление троянца удаленного доступа RatOn (RAT) знаменует собой значительную эволюцию в методологиях борьбы с киберугрозами, объединяющую традиционные оверлейные атаки, возможности ретрансляции NFC и функции автоматизированной системы передачи данных (ATS) в единую и сложную структуру вредоносного ПО. Проанализированный аналитиками ThreatFabric MTI, RatOn был разработан с нуля, не обнаруживая сходства кода с существующими семействами вредоносных ПО, что свидетельствует о значительном уровне знаний его разработчиков.

Вектор первоначального доступа для RatOn предполагает заманивание жертв через домены с контентом для взрослых, специально ориентированным на аудиторию, говорящую на чешском и словацком языках. Эти домены, часто содержащие фразы типа "TikTok18+", непосредственно размещают вредоносное приложение-дроппер, хотя точные механизмы взаимодействия с жертвами остаются неясными.

Технически RatOn предлагает функциональность для оверлейных атак, позволяя оператору командовать вредоносным ПО для отображения оверлейных страниц, которые могут эффективно имитировать законные приложения. Эта возможность подкрепляется поддержкой автоматических денежных переводов, чему способствует API служб специальных возможностей. Примечательно, что вредоносное ПО продемонстрировало глубокое понимание дизайна приложения одного конкретного чешского банка, что позволило злоумышленникам манипулировать визуальной структурой в своих интересах.

Кроме того, RatOn включает в себя функциональность для выполнения атак на захват учетных записей, нацеленных на криптовалютные кошельки, расширяя возможности для финансового мошенничества. Набор команд, поддерживаемый RatOn, обширен и работает с помощью объектов JSON, которые детализируют идентификаторы команд и свойства, обеспечивая сложные взаимодействия между вредоносным ПО и скомпрометированными устройствами.

#ParsedReport #CompletenessHigh
09-09-2025

Unmasking The Gentlemen Ransomware: Tactics, Techniques, and Procedures Revealed

https://www.trendmicro.com/en_us/research/25/i/unmasking-the-gentlemen-ransomware.html

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Anydesk_tool
Nmap_tool
Putty_tool
Lolbin_technique
Wevtutil_tool
Shadow_copies_delete_technique
Credential_dumping_technique
Ransom.win64.gentleman.thhaibe
Burntcigar

Victims:
Manufacturing, Construction, Healthcare, Insurance, Organizations in asia pacific

Industry:
Critical_infrastructure, Healthcare

Geo:
Thailand, Asia-pacific

TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 44
Path: 8
Registry: 3
Command: 12
Hash: 4

Soft:
WinSCP, PSExec, Active Directory, Windows Defender, MySQL, MSSQL, postgresql, MariaDB, msexchange, docker, have more...

Algorithms:
base64

Functions:
Get-ADDomain, Set-MpPreference

Win Services:
AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, have more...

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Gentlemen представляет собой сложную угрозу, нацеленную на критически важные отрасли промышленности по всему миру с помощью передовой тактики, использующей такие уязвимости, как компрометация привилегированной учетной записи и использование драйверов. Они настраивают свои атаки, адаптируясь к защите с помощью таких методов, как перемещение внутри компании с помощью PsExec и используя законные инструменты, такие как WinSCP, для эксфильтрации данных. Их программа-вымогатель рассылается по общим ресурсам домена NETLOGON, оставляя конкретное расширение файла и записку о выкупе, отражающую их финансовые мотивы и всестороннее планирование.
-----

Группа вымогателей Gentlemen превратилась в изощренную киберугрозу, использующую передовые тактики и адаптивные методы для взлома корпоративной среды во многих критически важных отраслях, в частности в производстве, здравоохранении, строительстве и страховании, и затрагивающую по меньшей мере 17 стран. Их кампания характеризуется использованием специализированных инструментов, предназначенных для обхода существующих средств защиты конечных точек предприятия и манипулирования механизмами безопасности.

Анализ показывает, что злоумышленники систематически компрометируют среду, используя такие методы, как компрометация привилегированной учетной записи, использование законных драйверов и пользовательских антивирусных утилит. Они обладают уникальной способностью изменять свои методы атак в середине кампании, демонстрируя высокую степень гибкости и глубокое понимание программного обеспечения безопасности. Это позволяет им адаптировать свою тактику в зависимости от средств защиты, с которыми они сталкиваются, отмечая переход от оппортунистических атак вымогателей к целенаправленным методам проникновения, основанным на тщательной разведке.

Ключевые компоненты их операций включают изучение структур Active Directory и целенаправленное манипулирование параметрами групповой политики, которые используются для развертывания вредоносных конфигураций в затронутых сетях. Группа продемонстрировала мастерство в перемещении внутри компании, используя PsExec и другие методы living-off-the-land, при этом систематически ухудшая протоколы безопасности путем внесения изменений в реестр.

Эксфильтрация данных обычно проводится с использованием законных инструментов, таких как WinSCP, которые обеспечивают надежность и шифрование при передаче конфиденциальной внутренней документации. Механизм развертывания самой программы-вымогателя предполагает распределение полезной нагрузки по общему ресурсу NETLOGON домена, обеспечивая широкое воздействие. Отмечается, что программа-вымогатель добавляет определенное расширение файла и оставляет после себя записку с требованием выкупа, подчеркивающую финансовую мотивацию атак.

Чтобы противостоять этим угрозам, организациям рекомендуется усилить свою систему кибербезопасности с использованием принципов нулевого доверия, которые включают устранение неограниченного доступа к RDP, обеспечение Многофакторной аутентификации и внедрение надежной сегментации сети. Кроме того, следует усилить меры защиты конечных точек для защиты от специальной тактики завершения процесса группы. Используя такие функции, как защита от несанкционированного доступа и самозащита агентов в решениях endpoint security, организации могут усилить свою защиту от методов, используемых группой вымогателей Gentlemen, обеспечивая устойчивость к аналогичным продвинутым угрозам.