#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания spear phishing, приписываемая группе CN по борьбе с сложнейшими целенаправленными угрозами, была нацелена на департамент гражданской авиации Сербии, что отражает постоянный интерес актора к аналогичным атакам по всей Европе. Компания CN известна сложной целенаправленной угрозой использования набора инструментов sogu/plugx/korplug во время реальных вторжений, что было постоянным элементом их деятельности на протяжении последнего десятилетия. Эти атаки в первую очередь мотивированы шпионажем, что подчеркивает значительную направленность на сбор разведывательных данных, а не на финансовую выгоду.
-----

Недавно целенаправленная кампания по spear phishing, приписываемая злоумышленнику, идентифицированному как CN сложная целенаправленная угроза, была направлена против правительственного департамента Сербии, занимающегося авиацией. Эта деятельность является частью более широкой модели, наблюдаемой в других европейских странах, что указывает на устойчивый интерес одного и того же актора к проведению аналогичных атак по всему региону. Группа CN, занимающаяся наисложнейшими целенаправленными угрозами, придерживается отличительного метода работы, преимущественно используя набор инструментов sogu/plugx/korplug для своих оперативных вторжений. Этот конкретный набор инструментов стал отличительной чертой их деятельности, демонстрируя последовательность в их подходе на протяжении последнего десятилетия.

Мотивы, стоящие за этими атаками, в первую очередь связаны со шпионажем, за редким исключением - финансовая выгода. Эта модель усиливает представление о том, что злоумышленники CN в основном сосредоточены на сборе разведывательных данных, а не на киберпреступлениях, ориентированных на получение прибыли. В целом, деятельность CN, сложная целенаправленная угроза, является примером постоянной угрозы в рамках европейского правительственного ландшафта, особенно нацеленной на чувствительные секторы. Последствия таких вторжений подчеркивают необходимость повышения бдительности и принятия стратегических защитных мер против сложных целенаправленных угроз (APT) в сфере государственной кибербезопасности.

#ParsedReport #CompletenessMedium
30-09-2025

GhostSocks: From Initial Access to Residential Proxy

https://synthient.com/blog/ghostsocks-from-initial-access-to-residential-proxy

Report completeness: Medium

Threats:
Ghostsock
Residential_proxy_technique
Blackbasta
Lumma_stealer
Garble_tool
Go-socks5_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1090.001

IOCs:
Url: 1

Soft:
Outlook

Languages:
golang

YARA: Found

Links:
have more...
https://github.com/things-go/go-socks5
https://github.com/burrowers/garble

#ParsedReport #ExtractedSchema

Classified images:
code: 9, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostSocks, злоумышленник, запустил новое вредоносное ПО "как услуга" (MaaS), которое преобразует скомпрометированные устройства в residential proxies, обходя механизмы защиты от мошенничества. Вредоносное ПО, разработанное в Golang, использует методы обфускации для скрытности и устойчивости к обнаружению, расшифровывая элементы во время выполнения. Несмотря на недавнее сокращение своего присутствия в Интернете, GhostSocks продолжает развиваться и подчеркивает тенденцию использования скомпрометированных устройств для дополнительных атак, доступ к которым предлагается на подпольных рынках.
-----

15 октября 2023 года злоумышленник, идентифицированный как GhostSocks, объявил о новом вредоносном ПО как сервисе (MaaS) на российском форуме по киберпреступности. Эта услуга позволяет злоумышленникам-акторам преобразовывать скомпрометированные устройства в residential proxies, облегчая обход механизмов защиты от мошенничества и позволяя использовать компьютер жертвы. GhostSocks позиционируется благодаря своей способности предоставлять анонимный доступ к сети, извлекая выгоду из скомпрометированных ресурсов невольных жертв.

Техническая архитектура GhostSocks включает в себя возможность создания 32-разрядной библиотеки динамической компоновки (DLL) или исполняемого файла, оба из которых разработаны с использованием языка программирования Golang. Вредоносное ПО использует такие методы, как запутывание с помощью проекта garble с открытым исходным кодом, чтобы скрыть строки и символы в коде. Важно отметить, что эти запутанные элементы расшифровываются во время выполнения с использованием определенной процедуры перед их использованием, что повышает скрытность вредоносного ПО и устойчивость к обнаружению.

Несмотря на более широкое подавление инфраструктуры киберпреступников, включая недавние действия правоохранительных органов против таких платформ, как XSS и LummaStealer, GhostSocks продемонстрировала непрерывную разработку и обслуживание своей платформы и связанного с ней вредоносного ПО. Однако, похоже, его онлайн-профиль сократился, поскольку он стал неактивен на новом форуме XSS, хотя причины такого изменения в поведении остаются неясными.

Устранение угрозы, исходящей от GhostSocks, в первую очередь предполагает отказ от установки ненадежных исполняемых файлов, поскольку служба полагается на другое вредоносное ПО для получения первоначального доступа и поддержания закрепления на компьютерах-жертвах. Появление GhostSocks свидетельствует о тревожной тенденции, когда злоумышленники становятся двойными жертвами, используя скомпрометированные устройства для создания дополнительных возможностей эксплуатации. Эти зараженные системы можно найти для продажи на подпольных рынках, стоимость доступа к которым начинается всего с 0,50 доллара в день, что подчеркивает коммерциализацию скомпрометированной технологии.

#ParsedReport #CompletenessMedium
06-10-2025

Detecting DLL hijacking with machine learning: real-world cases

https://securelist.com/detecting-dll-hijacking-with-machine-learning-in-kaspersky-siem/117567/

Report completeness: Medium

Actors/Campaigns:
Toddycat

Threats:
Dll_hijacking_technique
Dll_sideloading_technique
Cobalt_strike_tool
Netstat_tool
Nltest_tool

Victims:
Sharepoint service, Corporate systems

CVEs:
CVE-2021-27076 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1055, T1574.002

IOCs:
File: 9
IP: 1
Registry: 3
Hash: 6
Path: 7

Soft:
Microsoft Edge, Chrome

Languages:
dotnet, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, table: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модель машинного обучения Kaspersky, интегрированная в их SIEM-систему, эффективно обнаруживает атаки с использованием DLL hijacking, особенно с помощью DLL Sideloading. Он проверяет все загруженные библиотеки DLL на соответствие локальным и глобальным данным, успешно выявляя такие инциденты, как использование группой ToddyCat CVE-2021-27076 для выполнения Cobalt Strike и другие случаи, связанные с вводящим в заблуждение вредоносным ПО, выдающим себя за законные системные библиотеки. Этот упреждающий подход направлен на повышение точности обнаружения при необнаруженных попытках DLL hijacking.
-----

В ходе недавнего тестирования модель машинного обучения, разработанная Kaspersky, была успешно интегрирована в их SIEM-систему для обнаружения атак с использованием DLL hijacking, в частности, с использованием метода DLL sideloading. Эта модель работает путем проведения тщательной проверки всех библиотек DLL, загруженных в систему, путем сопоставления локальных атрибутов - таких как пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных с более широкими поведенческими индикаторами повышает точность обнаружения и сводит к минимуму ложные срабатывания.

На пилотном этапе внедрения модели в их службе управляемого обнаружения и реагирования (MDR) было выявлено несколько отдельных инцидентов, в которых DLL hijacking использовался в злонамеренных целях. Один примечательный инцидент был связан с группой атак, идентифицированной как ToddyCat, которая нацелилась на уязвимую службу SharePoint с помощью CVE-2021-27076. Злоумышленники использовали эту уязвимость для выполнения команд, которые позволили им запустить инструмент Cobalt Strike, замаскированный под законную системную библиотеку.

Другой случай касался infostealer, который представился менеджером политик, о чем свидетельствует событие загрузки библиотеки DLL, отмеченное системой SIEM. Этот инцидент свидетельствует об использовании обманчивых методов для сокрытия злонамеренных намерений в библиотечных функциях системы. Наконец, произошел инцидент, когда вредоносный загрузчик маскировался под решение для обеспечения безопасности, а именно wsc.dll библиотека загружена с USB-накопителя, что также было обнаружено как событие DLL hijacking с помощью Kaspersky SIEM.

Интеграция этой модели машинного обучения обеспечила проактивную защиту от атак DLL hijacking, эффективно выявляя попытки, которые в противном случае остались бы незамеченными. Ожидается, что продолжающийся сбор данных и обновления алгоритмов в рамках KSN еще больше повысят точность модели, укрепляя ее роль в качестве важнейшего компонента мер корпоративной кибербезопасности.

#ParsedReport #CompletenessLow
06-10-2025

Attacks aimed at Italian targets, new data breach notified, vulnerabilities exploited ITW

https://www.telsy.com/attacchi-rivolti-a-target-italiani-notificati-nuovi-data-breach-vulnerabilita-sfruttate-itw/

Report completeness: Low

Actors/Campaigns:
Shinyhunters
Crimson_collective
Unc2903
Unc5174

Threats:
Purelogs
Rhadamanthys
Klopatra
Virbox_tool
Datacarry
Citrix_bleed_vuln

Victims:
Public sector, Universities, Financial services, Retail, Airline, Insurance, Technology

Industry:
Aerospace, E-commerce, Education

Geo:
Swedish, China, Canadian, Italian, Italy, Spain

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-59689 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32463 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-21311 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1068, T1190, T1210, T1548.003, T1555, T1566, T1568.002, T1584, T1650, have more...

Soft:
Android, Salesforce, Telegram, GoAnywhere, Sudo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Италия столкнулась с ростом числа киберугроз, включая схемы фишинга, нацеленные на правительственных пользователей и пользователей университетов, а также внедрение вредоносного ПО, такого как PureLogs infostealer и Klopatra Android RAT, что позволяет осуществлять широкий контроль над устройствами. Примечательно, что киберпреступная группа DATACARRY осуществила утечку данных примерно с 870 000 учетных записей. Кроме того, активно используются многочисленные уязвимости zero-day, в том числе CVE-2025-10035, влияющие на Fortra GoAnywhere, и серьезные риски, связанные с CVE-2025-5777, позволяющие получить несанкционированный доступ к конфиденциальным данным в сети FEMA.
-----

В Италии участились кампании фишинга, нацеленные на пользователей Sistema Tessera Sanitaria и университеты, использующие логотипы законных учреждений для обмана пользователей. Идентифицированы два варианта вредоносного ПО: infostealer PureLogs, связанный с заказами на покупку, и Rhadamanthys, связанный с Booking.com счета-фактуры. Новая Android-крыса под названием Klopatra, приписываемая тюркоязычным злоумышленникам, позволяет осуществлять полный контроль над устройством, кражу данных и мошеннические транзакции, усложняя обнаружение благодаря интеграции в Virbox. Киберпреступная группа DATACARRY несет ответственность за взлом Miljdata, в результате которого была раскрыта информация примерно с 870 000 учетных записей. Harrods сообщила о нарушении, затронувшем 430 000 клиентов электронной коммерции, связанных со сторонним поставщиком, в то время как WestJet подтвердила компромисс, связанный с конфиденциальной информацией клиентов. Allianz Life выявил нарушение, затронувшее почти 1,5 миллиона человек, приписываемое ShinyHunters, а Crimson Collective заявила о взломе частных репозиториев Red Hat на GitHub. Активное использование уязвимостей включает CVE-2025-10035 в Fortra GoAnywhere, влияющих на десериализацию ненадежных данных, CVE-2021-21311 в программном обеспечении администратора для подделки запросов на стороне сервера, CVE-2025-20352 в Cisco IOS для потенциального удаленного выполнения кода, CVE-2025-59689 в Libraesva ESG для ввода команд, и CVE-2025-32463 в Sudo для несанкционированного выполнения команды. CVE-2025-41244 в продуктах VMware связан с UNC5174 для локального повышения привилегий, в то время как CVE-2025-5777, известный как CitrixBleed 2.0, позволяет обойти Многофакторную аутентификацию, что приводит к несанкционированному доступу к конфиденциальным персональным данным и побуждает к действиям Министерство внутренней безопасности.

#ParsedReport #CompletenessMedium
06-10-2025

NGC4141: East Asian group attacks custom web applications

https://rt-solar.ru/solar-4rays/blog/6097/

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Netstat_tool
Proxychains_tool
Hping3_tool
Netcat_tool
Nmap_tool
Wso_webshell
Godzilla_webshell

Victims:
Custom web applications

Industry:
Telco

Geo:
Russian, Asia, Moscow, Asian, Korea

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 8
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, curl, docker, vim-cmd, sudo

Algorithms:
aes-256, aes-256-cbc, base64, md5, xor, aes, cbc, sha1, sha256

Functions:
getBasicsInfo, eval

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
have more...
https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NGC4141, злоумышленник, базирующийся в Восточной Азии, нацеливается на пользовательские веб-приложения, используя сложные методы атак, которые используют уязвимости, характерные для этих специализированных решений, которым часто не хватает надежных мер безопасности более распространенного программного обеспечения. Хотя в статье не указаны точные уязвимости или используемые методы атак, в ней подчеркивается растущая тенденция, когда индивидуальные приложения создают уникальные проблемы безопасности, что делает их более восприимчивыми к продвинутым угрозам. Сосредоточение внимания на таких приложениях подчеркивает эволюционирующий характер киберугроз и важность устранения недостатков в области безопасности в процессе разработки.
-----

Группа, идентифицированная как NGC4141, предположительно базирующаяся в Восточной Азии, нацеливалась на пользовательские веб-приложения с помощью сложных методов атаки. Группа использует различные уязвимости, характерные для этих специализированных решений, в которых могут отсутствовать стандартные меры безопасности, применяемые в более распространенных программных платформах. Хотя в статье не указаны точные уязвимости, используемые NGC4141, подразумевается, что пользовательские веб-приложения, возможно, не были тщательно протестированы против того же спектра векторов атак, с которыми сталкивались более широко используемые платформы, что потенциально делает их более восприимчивыми к продвинутым угрозам.

Деятельность группы подчеркивает важную тенденцию в области киберугроз, когда злоумышленники сосредотачиваются на специализированных веб-приложениях. Пользовательские приложения часто включают в себя уникальное кодирование и функциональность, что приводит к потенциальным упущениям при реализации безопасности. Эти упущения могут стать критическими точками входа для киберугроз, позволяя злоумышленникам обходить средства контроля безопасности, которые могут быть стандартными в более коммерчески доступном программном обеспечении.

Дальнейшие подробности о конкретных методах или инструментах, используемых NGC4141 в своих атаках, не были раскрыты, что оставляет пробел в понимании их оперативной методологии. Однако их сосредоточенность на веб-приложениях вызывает обеспокоенность у организаций, которые полагаются на такие индивидуальные системы, подчеркивая необходимость строгих методов обеспечения безопасности, таких как регулярные оценки уязвимостей и внедрение стандартов безопасного кодирования, для снижения рисков, создаваемых такими злоумышленниками.

Текущая деятельность NGC4141 служит напоминанием о меняющейся природе киберугроз, особенно тех, которые конкретно нацелены на уникальный ландшафт пользовательских программных приложений. Организациям настоятельно рекомендуется сохранять бдительность и обеспечивать наличие надежной защиты от целенаправленных атак, использующих специфические уязвимости, присущие пользовательской разработке.

Мы всегда топили за то, что "в лоб" использовать ИИ для работы с TI - плохая идея.
На разных конфах я рассказывал какие части анализа можно отдавать на откуп ИИ достаточно безопасно, а какие требуют доп. валидации, вплоть до ручной проверки.

Вот интересная новость в эту тему https://www.rbc.ru/technology_and_media/07/10/2025/68e4c63c9a79476d758073d8

#ParsedReport #CompletenessMedium
07-10-2025

Mustang Panda Employ Publoader Through ClaimLoader: Yes.. another DLL Side-Loading Technique Delivery via Phishing

https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Publoader_tool
Claimloader
Veletrix
Icedid

Victims:
Multiple sectors

Geo:
Tibetan, China, Chinese

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 7
Path: 3

Soft:
Windows Explorer

Algorithms:
ror13, xor, zip

Win API:
LoadLibraryW, LdrLoadDll, GetCommandLineW, CreateDirectoryW, MoveFileW, GetProcAddress, CreateProcessA, VirtualAlloc, EnumFontsW, LoadLibraryA, have more...

Win Services:
bits

Languages:
python

Links:
https://github.com/0xx0d4y/YaraRules/tree/main/MustangPanda
have more...
https://github.com/0xx0d4y/RE\_AutomationPythonScripts/tree/main/RE\_Automation/Mustang%20Panda%20-%20Voice%20if%20Voiceless%20Campaign

#ParsedReport #ExtractedSchema

Classified images:
table: 1, dump: 8, windows: 4, code: 13, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, хакерская группировка, связанная с Китаем, использует метод DLL side-loading с помощью фишинга, предоставляя полезную нагрузку, содержащуюся в .ZIP-файл для загрузки вредоносной библиотеки DLL, libjyy.dll , функционирующий как Claimloader. Это вредоносное ПО выполняет расшифровку строки с помощью XOR для загрузки API и обрабатывает аргументы командной строки для управления путями выполнения. Вредоносное ПО также допускает извлечение шеллкода и отражает операционные схемы, наблюдаемые в других группах, занимающихся сложными целенаправленными угрозами, что указывает на общий набор инструментов и эволюционирующую тактику в ландшафте угроз.
-----

Mustang Panda, хакерская группировка, связанная с Китаем, использовала в своих операциях метод DLL side-loading, используя метод фишинга для доставки полезных данных. Механизм доставки включает в себя файл-приманку, содержащийся в .ZIP-архив, который был замечен в предыдущих кампаниях с участием других злоумышленников, связанных с Китаем. Основная функция этой приманки заключается в загрузке вредоносной библиотеки DLL с именем libjyy.dll , который действует как основной компонент вредоносного ПО.

После изучения libjyy.dll , он раскрывает свою роль в качестве Claimloader, в первую очередь ответственного за выполнение различных функций. Ключевым аспектом его работы является расшифровка строк, выполняемая с помощью простой операции XOR с однобайтовым ключом. Эта процедура расшифровки имеет решающее значение, поскольку она динамически загружает API, необходимые для выделения, внедрения и выполнения последующих этапов, включая Publoader.

Claimloader предназначен для обработки аргументов командной строки. Он определяет свое поведение в зависимости от того, присутствует или отсутствует допустимый аргумент, что приводит к различным путям выполнения внутри кода. В сценариях, где правильный аргумент не обнаружен, Claimloader запустит альтернативные пути выполнения кода, чтобы обеспечить непрерывную работу в зараженной системе.

Кроме того, возможности вредоносного ПО распространяются на извлечение шеллкода, что возможно с помощью инструментов динамического анализа, таких как x32dbg. Этот процесс включает в себя правильную идентификацию и извлечение шелл-кода из памяти, который впоследствии может быть проанализирован на предмет его функциональности. Первоначальные попытки проанализировать извлеченный шеллкод с помощью таких инструментов, как Malcat или IDA Pro, могут столкнуться с трудностями, что указывает на необходимость специальных методологий, адаптированных для обработки таких образцов.

Оперативные методологии, рассмотренные в этом расследовании, отражают более широкие закономерности, обнаруженные в других кампаниях по борьбе с наисложнейшими целенаправленными угрозами, связанных с Китаем, что позволяет предположить наличие общего набора методов и тактики у этих злоумышленников. В целом, этот случай иллюстрирует ландшафт постоянных угроз, характеризуемый эволюционирующей тактикой таких групп, как Mustang Panda, что подтверждает важность постоянного мониторинга и анализа в сфере разведки киберугроз.