#ParsedReport #CompletenessMedium
17-10-2025

Odyssey Stealer and AMOS Campaign Targets macOS Developers Through Fake Tools

https://hunt.io/blog/macos-odyssey-amos-malware-campaign

Report completeness: Medium

Threats:
Odyssey_stealer
Amos_stealer
Logmein_tool
Credential_harvesting_technique
Clickfix_technique
Clickflix_technique
Typosquatting_technique

Victims:
Macos users, Developers

Geo:
Finland, Polish

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1071.001, T1082, T1105, T1140, T1204.001, T1222.002, T1497.001, T1548.003, have more...

IOCs:
IP: 2
Domain: 9
File: 2

Soft:
macOS, TradingView, curl, Gatekeeper, sudo, QEMU, Microsoft OneDrive

Algorithms:
base64

Languages:
javascript, applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Odyssey Stealer и AMOS в первую очередь нацелена на разработчиков macOS с помощью поддельных сайтов загрузки программного обеспечения, имитирующих авторитетные платформы. Злоумышленники используют социальную инженерию, чтобы обманом заставить жертв выполнять команды в кодировке base64 в терминале, что приводит к появлению вредоносного ПО, которое крадет системные данные, информацию о браузере и учетные данные криптовалюты. Вредоносное ПО обладает способностью к повышению привилегий и использует механизмы антианализа, позволяющие избежать обнаружения в контролируемых средах, с более чем 85 доменами фишинга, связанными с кампанией.
-----

Кампания Odyssey Stealer и AMOS специально нацелена на разработчиков macOS с помощью обманчивых веб-сайтов для загрузки программного обеспечения, которые выдают себя за надежные платформы, такие как Homebrew, TradingView и LogMeIn. Злоумышленники используют методы социальной инженерии, чтобы обманом заставить пользователей выполнять команды в кодировке base64 в терминале, что приводит к загрузке вредоносных полезных файлов. Идентифицируемые как Odyssey Stealer или AMOS (атомарный стиллер macOS), эти варианты вредоносного ПО способны красть системные данные, информацию о браузере и учетные данные криптовалюты. К этой кампании было подключено более 85 доменов для фишинга, которые совместно использовали SSL-сертификаты и базовую инфраструктуру, что указывает на согласованную и продолжающуюся стратегию атаки.

Исследование началось, когда эксперт по кибербезопасности Рааз раскрыл подозрительные веб-сайты, распространяющие Odyssey Stealer. Примечательно, что IP-адрес 93.152.230.79, обнаруженный в записях Passive DNS, стал важнейшим элементом операционной сети кампании. Более глубокое исследование этого и другого IP-адреса (195.82.147.38) выявило устойчивую связь с доменами, которые выдают себя за законное программное обеспечение и торговые платформы, демонстрируя зависимость от социальной инженерии для облегчения распространения.

Методология атаки включает JavaScript, запрограммированный на копирование команды установки в кодировке base64 в буфер обмена, когда пользователи нажимают кнопку "Копировать". Эта тактика скрывает истинную природу команды, заставляя жертв неосознанно вставлять вредоносный скрипт в терминал. Впоследствии страница фишинга извлекает скрипт с именем `install.sh "с удаленного сервера, выполняя серию команд, которые загружают и исполняют вредоносную полезную нагрузку, хранящуюся в "/tmp/update".

Вредоносное ПО обладает расширенными возможностями, такими как снятие отпечатков пальцев в среде, попытки повышения привилегий и системный список. Он активно стремится повысить привилегии, выполняя команды с помощью "sudo", что указывает на намерение получить более глубокий доступ к системе. Кроме того, он включает в себя меры антианализа путем поиска индикаторов виртуализации, чтобы определить, запущен ли он в изолированной среде или в контролируемой среде, и завершает работу при обнаружении таковых.

Для устранения этих угроз необходимо внедрить средства управления сетью и доменом для блокировки известных вредоносных сайтов и IP-адресов, повысить безопасность конечных точек с помощью политик, ограничивающих несанкционированное выполнение сценариев, и принять принципы минимизации привилегий для учетных записей администраторов. Кроме того, крайне важно информировать пользователей о рисках, связанных с выполнением команд из ненадежных источников.

#ParsedReport #CompletenessMedium
17-10-2025

Scattered LAPSUS$ Hunters: 2025's Most Dangerous Cybercrime Supergroup

https://www.picussecurity.com/resource/blog/scattered-lapsus-hunters-2025s-most-dangerous-cybercrime-supergroup

Report completeness: Medium

Actors/Campaigns:
Scattered_lapsus_hunters (motivation: financially_motivated, cyber_criminal)
0ktapus
Shinyhunters (motivation: financially_motivated)
Shiny_spider
Unc6040
Unc6395
Lapsus

Threats:
Spear-phishing_technique
Credential_dumping_technique
Ntdsutil_tool
Redline_stealer
Rustscan_tool
Ad_explorer_tool
Adrecon_tool
Screenconnect_tool
Teamviewer_tool
Splashtop_tool

Victims:
Salesforce customers, Google, Cisco, Salesloft, Drift, Organizations using aws, Organizations using forgerock openam, Office 365 tenants

Industry:
Telco, Aerospace, Financial, Bp_outsourcing, Retail

CVEs:
CVE-2021-35464 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 9

IOCs:
Path: 2
File: 1
IP: 1

Soft:
ChatGPT, Salesforce, Telegram, Salesloft Drift, ForgeRock OpenAM, Active Directory, curl, ESXi, Office 365, Pulseway, have more...

Functions:
Get-ADUser

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Lapsus$ Hunters, коалиция ранее активных киберпреступных группировок, появилась в 2025 году, осуществляя сложные скоординированные кибератаки с помощью социальной инженерии и эксфильтрации данных. Они нацелились на такие системы, как Salesforce, используя вишинг-атаки для установки вредоносных интеграций и получения доступа на уровне API, что оказало воздействие на такие компании, как Google и Cisco. Их методы включали использование CVE-2021-35464, credential dumping, удаленный доступ с помощью законного программного обеспечения и создание порталов вымогательства для монетизации своих атак.
-----

В 2025 году появится новая киберпреступная группировка, известная как Scattered Lapsus$ Hunters, представляющие коалицию, состоящую из элементов из Scattered Spider, LAPSUS$ и ShinyHunters. Этот альянс указывает на переход к более скоординированным и изощренным атакам, которые используют социальную инженерию и эксфильтрацию данных наряду с тактикой публичного вымогательства.

В конце 2024 года группа получила известность за проведение вишинговых атак, в частности, на системы Salesforce. Они успешно обманули сотрудников, установив вредоносные интеграции, которые предоставили злоумышленникам доступ на уровне API к критически важным средам, что привело к существенным утечкам данных в крупных компаниях, включая Google и Cisco. В ходе своей деятельности в период с марта по июнь 2025 года они воспользовались доступом к репозиториям Salesloft на GitHub и проникли в среду AWS Drift, где злоупотребляли токенами OAuth для извлечения конфиденциальных данных.

К июню 2025 года Google задокументировала использование группой тактики Имперсонации для получения доступа к данным Salesforce, подчеркнув, что они полагаются на социальную инженерию, а не на использование технических уязвимостей. Недавно созданный Telegram-канал в августе 2025 года стал центром их скоординированных усилий, поддержки кампаний, сфабрикованных утечек и объявления о готовящейся платформе "Программа-вымогатель как услуга". Несмотря на заявления о прекращении операций в сентябре 2025 года, текущие мероприятия по-прежнему были нацелены на Salesforce и связанные с ней среды.

С технической точки зрения, Scattered Lapsus$ Hunters использовали различные приемы. Они активно добивались доступа к инсайдерской информации с помощью сообщений о вербовке, размещенных в кругах киберпреступников, что указывает на тенденцию к использованию инсайдерских угроз. Они использовали CVE-2021-35464 для компрометации серверов ForgeRock OpenAM, демонстрируя свою способность нацеливаться на общедоступные приложения. Их вектор атаки включал голосовой фишинг, когда злоумышленники выдавали себя за ИТ-персонал, чтобы манипулировать жертвами и заставить их предоставить доступ.

Группа продемонстрировала передовые оперативные тактики, такие как использование методов credential dumping с помощью ntdsutil и получение несанкционированного доступа к облачным ресурсам путем кражи учетных данных роли AWS IAM. Другие методы включали использование RedLine- стиллера паролей для сбора учетных данных, принудительную генерацию подсказок для Многофакторной аутентификации и обширную разведку организационных сетей и учетных записей.

Кроме того, Scattered Lapsus$ Hunters использовали ПО для удаленного доступа, устанавливая каналы управления с помощью законного программного обеспечения, что еще больше скрывало их от обнаружения. Наконец, они монетизировали свои операции с помощью вымогательства, создав портал программ-вымогателей, чтобы требовать оплаты от жертв, чьи данные были скомпрометированы.

Подводя итог, можно сказать, что Scattered Lapsus$ Hunters представляют собой высокоорганизованную коалицию киберпреступников, использующую разнообразные методы атак, которые используют как технологические эксплойты, так и тактику социальной инженерии, создавая значительную угрозу организациям по всему миру.

#ParsedReport #CompletenessMedium
19-10-2025

PureLogs Stealer: Complete Malware Analysis & CTF Walkthrough

https://medium.com/@0xzyadelzyat/purelogs-stealer-complete-malware-analysis-ctf-walkthrough-83e41e7c6efd?source=rss-b460882b1cf8------2

Report completeness: Medium

Threats:
Purelogs
Uac_bypass_technique
Credential_harvesting_technique
Dotnet_reactor_tool
Process_injection_technique
Process_hacker_tool

Victims:
Consumers, Enterprise users

Industry:
Entertainment

Geo:
Azerbaijan, Armenia, Uzbekistan, Kazakhstan, Kyrgyzstan, Moldova, Russia, Tajikistan, Belarus, Turkmenistan

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 1
File: 2
Registry: 1
Path: 1

Soft:
Discord, Telegram, Steam, NET Reactor, Windows Registry, VirtualBox, Hyper-V, QEMU, ESXi, Burp Suite, have more...

Algorithms:
zip, cbc, base64, sha256, aes, sha512, aes-256, pbkdf2

Functions:
smethod_1, smethod_0

Win API:
CoGetObject

Win Services:
TPVCGateway, TPAutoConnSvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureLogs - это продвинутый стиллер информации для Windows, который фокусируется на сборе учетных данных и конфиденциальных данных из таких приложений, как Discord, Telegram и Steam. Он использует методы запутывания и анти-отладки, чтобы избежать обнаружения, включая коммерческий .NET-упаковщик и многопоточные операции для одновременного сбора данных. Используя шифрование AES-256 и пользовательские протоколы для эксфильтрации данных, PureLogs также обладает возможностями самоудаления для устранения следов после выполнения, что представляет серьезную проблему для мер безопасности.
-----

PureLogs - это сложный стиллер информации Windows, обладающий расширенными возможностями в области эксфильтрации данных и методов уклонения, направленных на то, чтобы избежать обнаружения. Его основные функции включают сбор учетных данных, токенов сеанса и конфиденциальной информации из различных приложений, особенно ориентируясь на популярные платформы, такие как Discord, Telegram и Steam. Вредоносное ПО использует ряд технических мер, таких как надежные методы запутывания, встроенные механизмы антианализа и анти-отладки, а также шифрование военного уровня для защиты украденных данных.

Вредоносное ПО использует коммерческий .NET-упаковщик для усложнения обратного проектирования, гарантируя, что двоичный файл будет запутан и устойчив к статическому анализу. PureLogs создает мьютекс для предотвращения одновременных экземпляров в зараженных системах, снижая его шансы на обнаружение. Он включает в себя множество проверок на предмет защиты от анализа, распознавание конкретных процессов, связанных со средами изолированной среды, и активное завершение перед выполнением вредоносного кода. Вредоносное ПО также включает в себя передовые методы обхода обнаружения отладчиком и предотвращения анализа с использованием различных функций Windows API.

Одним из примечательных аспектов PureLogs является его способность выполнять сбор учетных записей в нескольких приложениях одновременно, повышая эффективность за счет многопоточных операций. Например, он нацелен на Discord, получая доступ к локальной базе данных, где хранятся токены. Вредоносное ПО умело проводит разведку системы, собирая подробную информацию об Аппаратном обеспечении и программном обеспечении, а также данные о геолокации для оценки местоположения жертвы и сетевых атрибутов.

PureLogs использует шифрование AES-256 с использованием режима цепочки блоков шифрования (CBC) для защиты отфильтрованных данных. Процесс шифрования усилен с помощью получения ключа PBKDF2, который использует фиксированное значение соли и хэши SHA-512 для большей безопасности. Эксфильтрация данных происходит по пользовательским протоколам, подключающимся к серверам управления (C2), с определенными портами, жестко запрограммированными для этой цели. К украденным данным добавляется уникальный идентификатор, чтобы различать различные сборки вредоносного ПО перед передачей.

Вредоносное ПО также разработано с возможностью самоудаления, гарантируя, что его следы будут уничтожены после выполнения, чтобы избежать обнаружения. В целом, PureLogs представляет собой серьезную киберугрозу, характеризующуюся модульной архитектурой, обширными тактиками уклонения и сложными стратегиями шифрования, что делает его сложной задачей для исследователей безопасности и автоматизированных инструментов анализа.

#ParsedReport #CompletenessLow
19-10-2025

Lessons from the BlackBasta Ransomware Attack on Capita

https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html

Report completeness: Low

Threats:
Blackbasta
Credential_harvesting_technique
Cobalt_strike_tool
Powerpick_tool
Qakbot
Rclone_tool
Systembc

Victims:
Capita, Business process outsourcing, Managed service provider, Public sector operations

Industry:
Media, Government, Bp_outsourcing, Financial, Education

Geo:
London, Great britain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1041, T1078, T1078.003, T1105, T1204.002, T1486

IOCs:
File: 3

Soft:
Active Directory

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2023 года BlackBasta group осуществила атаку с использованием программы-вымогателя на Capita, что привело к утечке данных, затрагивающих более шести миллионов индивидуальных записей, включая конфиденциальную личную и финансовую информацию. Нарушение усугублялось задержкой реагирования на инцидент из-за нехватки ресурсов для обеспечения безопасности: критическое предупреждение игнорировалось почти 58 часов, а отсутствие многоуровневого доступа к Active Directory позволяло злоумышленникам повышать привилегии. Несмотря на предыдущие тесты на проникновение, выявившие уязвимости в управлении рекламой, необходимые меры безопасности не были своевременно приняты.
-----

В марте 2023 года Capita столкнулась со значительной утечкой данных из-за атаки программ-вымогателей со стороны BlackBasta group, что привело к эксфильтрации более шести миллионов отдельных записей. Украденные данные включали конфиденциальную информацию, такую как домашние адреса, номера электронной почты и телефонов, номера национальной страховки, сканы драйверов прав и паспортов, реквизиты банковских счетов и номера кредитных карт. Инцидент привел к штрафу в размере 14 миллионов фунтов стерлингов, наложенному Управлением комиссара по информации Великобритании (ICO), и расходам на восстановление, оцениваемым в 20 миллионов фунтов стерлингов.

Отчет ICO представил хронологию событий, приведших к атаке, подчеркнув критические недостатки в операциях Capita по обеспечению безопасности. Примечательно, что первоначальное предупреждение, вызванное Вредоносным файлом (jdmb.js ) оставалось без внимания почти 58 часов, хотя это указывало на компромисс на высоком уровне. Оперативный центр безопасности Capita (SOC) испытывал нехватку ресурсов, в смену был доступен только один аналитик, что значительно задерживало мероприятия по реагированию на инциденты. Отсутствие автоматизации в изоляции скомпрометированных устройств еще больше усугубило ситуацию, позволив злоумышленникам получить доступ администратора домена и осуществлять перемещение внутри компании внутри сети.

Тактика, методы и процедуры (TTP), используемые BlackBasta, свидетельствовали о неадекватных мерах безопасности. Например, отсутствие многоуровневости Active Directory (AD) позволило злоумышленникам свободно повышать привилегии от систем с низкими привилегиями до критически важных контроллеров домена. Многочисленные тесты на проникновение, проведенные до инцидента, выявили уязвимости, связанные с управлением рекламой и проблемами с привилегиями, однако рекомендованные исправления не были внедрены своевременно.

Уроки, извлеченные из взлома, подчеркнули важность правильно настроенных средств безопасности, эффективного мониторинга и установления четкого времени реагирования на критические предупреждения. Были сочтены необходимыми строгие соглашения об уровне обслуживания (SLA) для реагирования на инциденты, а также разделение административных привилегий для ограничения воздействия нарушений. В отчете пропагандировалась автоматизация процессов реагирования на инциденты с помощью решений для организации безопасности, автоматизации и реагирования (SOAR), которые могли бы значительно сократить время реагирования и повысить эффективность сдерживания угроз в целом.

#ParsedReport #CompletenessMedium
18-10-2025

131 Spamware Extensions Targeting WhatsApp Flood Chrome Web Store

https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store

Report completeness: Medium

Victims:
Brazilian users, Small businesses

Industry:
Entertainment

Geo:
Brasil, Latam, Portuguese, Brazilian

TTPs:
Tactics: 2
Technics: 3

IOCs:
Coin: 20
Domain: 20
Url: 3

Soft:
WhatsApp, Chrome, Instagram, TikTok

Languages:
javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В интернет-магазине Chrome обнаружена скоординированная кампания по рассылке 131 клона веб-расширения WhatsApp для автоматизации рассылки спама бразильским пользователям. Эти расширения для рассылки спама злоупотребляют процессом проверки, вводя пользователей в заблуждение, заставляя их думать, что они в безопасности, и в то же время нарушая политики Google и WhatsApp, позволяя отправлять нежелательные сообщения. В кампании используются методы платформы MITRE ATT&CK, такие как расширения для браузера и выполнение JavaScript, что позволяет выявить уязвимости как в интернет-магазине Chrome, так и в осведомленности пользователей.
-----

Исследовательская группа Socket Threat обнаружила скоординированную кампанию по распространению в интернет-магазине Chrome 131 обновленного клона расширения для веб-автоматизации WhatsApp, предназначенного в первую очередь для рассылки спама бразильским пользователям. Кампания действует уже как минимум девять месяцев, и новые версии постоянно загружаются, в том числе совсем недавно, в середине октября 2025 года.

Эти расширения для рассылки спама работают аналогично франчайзинговой модели, когда основной оператор и аффилированные продавцы создают несколько копий одного и того же расширения под разными названиями и брендингом. Они продвигают эти клонированные расширения через похожие веб-сайты, которые утверждают, что предлагают преимущества и безопасные методы, связанные с их функциональностью. Эти рекламные акции предназначены специально для малых предприятий Бразилии, вводя их в заблуждение, заставляя думать, что включение в интернет-магазин Chrome означает тщательный аудит кода и гарантии безопасности. Однако процесс проверки включает в себя только проверку соответствия, а не тщательную сертификацию безопасности, что создает ложное ощущение безопасности у потенциальных пользователей.

Стратегия распространения использует множество практически идентичных рекламных сайтов, включая **lobovendedor.com.br**, часто сопровождаемый соответствующими Учетными записями соцсетей на нескольких платформах, таких как YouTube, LinkedIn и TikTok. Эти каналы облегчают продажу тарифных планов подписки, еще больше углубляя лживый маркетинговый подход.

Кампания нарушает несколько политик Google в отношении рассылки спама и злоупотреблений в интернет-магазине Chrome, которые прямо запрещают использование нескольких расширений, предоставляющих схожие функциональные возможности, и манипулирование показателями производительности. Автоматизированные функции этих расширений позволяют отправлять нежелательные сообщения через WhatsApp без согласия пользователя, что является явным нарушением правил работы как Google, так и WhatsApp. Например, политика обмена бизнес-сообщениями WhatsApp требует от пользователей явного согласия на переписку, которое эти расширения по своей сути обходят, продвигая тактику массового распространения информации.

С технической точки зрения кампания проиллюстрирована во фреймворке MITRE ATT&CK, указывающем на использование расширений браузера (T1176.001), требующем Выполнения с участием пользователя (T1204), использующем JavaScript для выполнения команд и сценариев (T1059.007), осуществляющем обнаружение информации из браузеров (T1217) и извлекающем данные из локальной системы (T1005). Таким образом, эта операция фишинга выявляет значительные уязвимости как в интернет-магазине Chrome, так и в осведомленности пользователей о функциях автоматического обмена сообщениями.

#ParsedReport #CompletenessHigh
19-10-2025

Lazarus Group (APT38) Explained: Timeline, TTPs, and Major Attacks

https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated, sabotage)
Bluenoroff (motivation: cyber_espionage, financially_motivated, sabotage)
Tradertraitor
Dream_job
Moonstone_sleet
Ta404
Dev-0139
Unc577
Unc2970
Unc4034
Andariel
Copernicium

Threats:
Supply_chain_technique
Wannacry
Mata
Fastcash
Spear-phishing_technique
Watering_hole_technique
Dtrack_rat
Typosquatting_technique
Volgmer
Dll_sideloading_technique
Kiloalfa
Themida_tool
Dratzarus
Sierracharlie
Sierrabravo-two
Tflower
Eternalblue_vuln
Shadow_brokers_tool
Shadow_copies_delete_technique
Whiskeyalfa
Whiskeybravo
Whiskeydelta
Kandykorn
Hoplight
Power_ratankba

Victims:
Sony pictures entertainment, Banking, Healthcare, Critical infrastructure, Cryptocurrency platforms, Enterprises, Government

Industry:
Financial, Entertainment, Healthcare, Aerospace, Government, Critical_infrastructure

Geo:
Korea, Americas, Asia, North korea, Bangladesh, Middle east

CVEs:
CVE-2024-21338 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 15

IOCs:
Url: 1
File: 8
Domain: 2

Soft:
ChatGPT, macOS, Windows kernel, Windows Terminal, Dropbox, Outlook, Microsoft Office

Crypto:
bitcoin

Algorithms:
caracachs, aes, rc4, xor, base64

Win API:
WTSEnumerateSessionsA, CreateProcessAsUserA

Languages:
swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, также известная как APT38, является изощренной хакерской группировкой, занимающейся шпионажем и Кражей денежных средств с 2009 года, использующей такие методы, как spearphishing, Теневые (drive-by) компрометации и продвинутое вредоносное ПО. Они поддерживают закрепление, используя обманчивые сочетания клавиш Windows и используя WMI для удаленного выполнения. Их операции включают в себя использование уязвимостей zero-day для повышения привилегий, использование таких инструментов, как KiloAlfa, для перемещения внутри компании и использование Зашифрованных каналов для управления коммуникациями, что показывает их адаптивность и изощренность в киберугрозах.
-----

Группа Lazarus, также идентифицируемая как APT38, является многогранной хакерской группировкой, известной сочетанием шпионажа, саботажа и Кражи денежных средств еще с 2009 года. Эта группа была причастна к многочисленным громким кибератакам, таким как атака на Sony Pictures в 2014 году, ограбление банка в Бангладеш в 2016 году и широкомасштабные сбои, вызванные программой-вымогателем WannaCry в 2017 году. Их операции демонстрируют весьма сложные методы, тактику и процедуры (TTP), которые со временем эволюционируют для поддержания эффективности в отношении различных целей.

Основные методы атак группы включают в себя spearphishing, Теневые (drive-by) компрометации и использование Вредоносных файлов для выполнения кода. В частности, Lazarus часто использует кампании spearphishing, в которых используются электронные письма и документы с использованием оружия, которые используют бэкдоры, включая Dtrack и компоненты кампании AppleJeus. Они также использовали атаки watering hole и typosquatting, чтобы проталкивать ничего не подозревающим пользователям вредоносные программы установки, замаскированные под законное программное обеспечение.

Оказавшись внутри целевой системы, группа Lazarus поддерживает закрепление с помощью различных механизмов. К ним относятся использование обманчивых ярлыков в папке автозагрузки Windows и стратегические манипуляции с настройками Инструментария управления Windows(WMI), позволяющие им удаленно выполнять сценарии. Они также используют передовые методы обфускации, такие как Динамическое разрешение API и встраивание полезных данных в безопасные форматы файлов, чтобы обойти средства обнаружения и усложнить анализ.

Что касается повышения привилегий, они воспользовались уязвимостями zero-day, такими как CVE-2024-38193, что позволило им получить доступ на системном уровне, еще больше укрепив свои позиции в скомпрометированных сетях. Их вредоносное ПО, включая кейлоггер KiloAlfa и два инструмента SierraCharlie и SierraBravo, демонстрирует перемещение внутри компании с помощью таких технологий, как Протокол удаленного рабочего стола (RDP) и электронная почта для эксфильтрации данных.

Группа компаний Lazarus продемонстрировала способность к шифрованию данных, продемонстрированную в их кампаниях по борьбе с программами-вымогателями, которые шифруют жизненно важные пользовательские данные, затрагивая различные секторы - от здравоохранения до правительственных операций. Их возможности по очистке дисков также указывают на готовность уничтожать значительные объемы данных в рамках своих операций.

Связь с серверами управления (C2) часто осуществляется по нестандартным каналам, таким как использование облачных сервисов хранения данных, таких как Dropbox, для эксфильтрации данных, что помогает избежать обнаружения в рамках законного трафика. Широкое использование ими Зашифрованных каналов и методов маскировки вредоносных действий еще больше повышает их оперативную безопасность.

Тактика группы Lazarus постоянно развивается, что свидетельствует о неизменном стремлении адаптироваться к новым технологиям и методам обнаружения, что делает их значимым фактором в современной среде кибербезопасности.

#ParsedReport #CompletenessLow
19-10-2025

Technical Analysis Report on the Cyber Attack on the National Time Service Center by the U.S. National Security Agency

https://mp.weixin.qq.com/s/XPjT0BVOJPJxSmASW0tXTA

Report completeness: Medium

Actors/Campaigns:
Triangulation
Equation

Threats:
Ehome_0cx
Back_eleven
Dsz_implant
Danderspritz
Nopen

Victims:
National time service center

Geo:
China

IOCs:
File: 25
Registry: 1

Algorithms:
aes

#ParsedReport #ExtractedSchema

Classified images:
table: 7, dump: 5, schema: 1, code: 26, windows: 1