#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WARMCOOKIE, или BadSpace, превратился в сложный бэкдор с такими функциями, как гибкие методы выполнения (EXE, DLL, PowerShell), рандомизированное закрепление имен из законного банка строк и мьютексы в стиле двойного GUID для синхронизации. Его система управления теперь включает новые обработчики для поддержки различных типов файлов и использует динамический банк строк для запутывания, что затрудняет обнаружение. Усовершенствованные идентификатором кампании для отслеживания заражений и общим SSL-сертификатом для серверов C2, обновления WARMCOOKIE's подчеркивают важность поведенческого анализа по сравнению со статическими методами обнаружения.
-----

WARMCOOKIE, также известный как BadSpace, остается активным бэкдором, который продемонстрировал значительную эволюцию с момента своего первоначального обнаружения более года назад. Текущие варианты этого вредоносного ПО обладают несколькими расширенными функциями, включая гибкие обработчики выполнения (EXE, DLL, PowerShell), рандомизированное закрепление имен, взятых из "банка строк" законных названий компаний, мьютексы в стиле двойного GUID для лучшей синхронизации и встраивание маркеров кампаний в ключи RC4. В результате обнаружение WARMCOOKIE теперь больше полагается на поведенческий анализ, а не на статические сигнатуры; аналитикам следует отслеживать необычные выполнения, включающие rundll32 или PowerShell, временное извлечение полезной нагрузки и повторное использование мьютексов, обычно связанных с запланированными задачами.

Заметный сдвиг в возможностях WARMCOOKIE command and control (C2) включает в себя введение четырех новых обработчиков команд, расширяющих возможности операторов по выполнению различных типов файлов. Что касается методов обхода, то вредоносное ПО внедрило "банк строк" — динамический механизм, который выдает пути к папкам и имена запланированных задач, что усложняет обнаружение за счет приоритизации менее подозрительных местоположений, а не ранее жестко заданных путей, таких как C:\ProgramData\RtlUpd \.

Появилось несколько незначительных, но впечатляющих изменений. Например, параметр командной строки для создания запланированных задач был изменен с /p на /u, намеренно нарушая существующие механизмы обнаружения безопасности. Кроме того, вредоносное ПО использует двойной мьютексный подход, чтобы улучшить свой контроль над процессами инициализации. Последние сборки WARMCOOKIE также демонстрируют значительную оптимизацию кода, повышающую как читаемость, так и производительность.

С июля 2024 года включение идентификатора кампании в образцы вредоносного ПО помогает идентифицировать способ распространения инфекций, предоставляя операторам стратегический маркер. Группируя образцы WARMCOOKIE на основе их ключей RC4, исследователи могут проводить параллели между конкретными сборками и темами кампаний, тем самым проливая свет на структуру сети операторов WARMCOOKIE's.

Что касается инфраструктуры, идентифицируемый SSL-сертификат, связанный с серверной частью WARMCOOKIE's, предполагает использование сертификата по умолчанию на различных серверах C2. Такое последовательное использование представляет собой еще один способ отслеживания работы вредоносного ПО.

#ParsedReport #CompletenessMedium
22-10-2025

Inside the attack chain: Threat activity targeting Azure Blob Storage

https://www.microsoft.com/en-us/security/blog/2025/10/20/inside-the-attack-chain-threat-activity-targeting-azure-blob-storage/

Report completeness: Medium

Actors/Campaigns:
Fin11

Threats:
Goblob_tool
Quickaz_tool
Blob_url_obfuscation_technique
Aadinternals_tool
Azurehound_tool
Azcopy_tool
Clop
Spear-phishing_technique
Credential_dumping_technique

Victims:
Organizations using azure blob storage

Industry:
Iot

TTPs:
Tactics: 12
Technics: 11

Soft:
Azure Blob, Microsoft Defender, Microsoft Entra, Azure Functions, MOVEit, Twitter

Algorithms:
aes, exhibit

Functions:
DeleteBlob, DeleteContainer

Languages:
powershell

Links:
https://github.com/appsecco/breaking-and-pwning-apps-and-servers-aws-azure-training/blob/master/documentation/bapazure/cloud-storage/attacking-azure-storage-blobs.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерские группировки, участвующие в распространении киберугроз, все чаще нацеливаются на хранилище больших двоичных объектов Azure из-за его важнейшей роли в управлении неструктурированными данными. Они используют неправильные настройки в элементах управления идентификацией и используют сканирование домена для выявления уязвимостей, что позволяет им создавать вредоносные ресурсы или размещать страницы фишинга. Злоумышленники могут получить первоначальный доступ через незащищенные конечные точки и использовать инструменты Azure для эксфильтрации данных, в то время как нарушенное хранилище больших двоичных объектов может служить скрытым каналом управления, что вызывает серьезные проблемы с безопасностью.
-----

Хранилище Azure Blob-это высоко-поставленной цели из-за его роли в управлении неструктурированными данными. Опасный актеры рычаги ошибок и уязвимостей в элементах управления идентичность использовать хранилище BLOB-объектов. Методы сканирования домен используются для идентификации открытые данные в хранилище BLOB-объектов. Сложный язык модели помогают создавать правдоподобные имя учетной записи хранения, чтобы повысить брутфорс тактика. Первоначальный доступ может быть получен через уязвимых точек как Blob-объект-срабатывает функций Azure и приложения логики. Злоумышленники манипулируют личность и настройки доступа для создания стойких плацдармы. Повышенные полномочия могут быть возложены на скомпрометированной личности, или политик доступа модифицированная для несанкционированного доступа. Актеры опасный перечислять облачных сред, чтобы найти общедоступными контейнеры BLOB-объектов, содействию эвакуации эксфильтрация. Перемещение внутри компании может происходить с помощью исходных контейнеров, генерирующих события, что позволяет созданным файлам запускать рабочие процессы с повышенными разрешениями. Эксфильтрация данных выполняется с помощью инструментов Azure, используя надежные пропускной способности для скрытого передвижения. Хранилище BLOB-объектов можно использовать как скрытое управление канал, где вредоносное ПО обеспечением новых метаданных BLOB-объектов для оперативных командований. Удаленном хранилище больших двоичных объектов находится под угрозой нападения вымогателей, подчеркнув необходимость активного управления идентификационными данными и мерах безопасности. Мониторинг и обновление оборону имеет важное значение для защиты от меняющейся тактики эксплуатации.

#ParsedReport #CompletenessHigh
22-10-2025

Brazilian Caminho Loader Employs LSB Steganography and Fileless Execution to Deliver Multiple Malware Families Across South America, Africa, and Eastern Europe

https://arcticwolf.com/resources/blog/brazilian-caminho-loader-employs-lsb-steganography-to-deliver-multiple-malware-families/

Report completeness: High

Threats:
Caminho
Steganography_technique
Remcos_rat
Katz_stealer
Xworm_rat
Spear-phishing_technique
Process_injection_technique
Process_hacker_tool
Process_hollowing_technique
Credential_harvesting_technique
Dead_drop_technique

Victims:
Multiple industries

Industry:
Critical_infrastructure

Geo:
Brazilian, Ukraine, Africa, America, American, Portuguese, Brazil, Poland, South africa, Russian

TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 10
Url: 13
Domain: 2
IP: 2
Path: 4
Hash: 23

Soft:
NET Framework, VirtualBox, Hyper-V, Process Explorer, Windows Task Scheduler

Algorithms:
sha256, md5, base64, zip

Languages:
powershell, javascript, visual_basic

Platforms:
x64, x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик Caminho, отслеживаемый в Бразилии, представляет собой загрузчик как сервис, использующий Стеганографию по младшему разряду (LSB) для скрытия .NET вредоносного ПО в изображениях с законных платформ. Первоначальное заражение инициируется с помощью электронных писем с Целевым фишингом с запутанными файлами JavaScript или VBScript, которые запускают полезную нагрузку PowerShell для извлечения и запуска скрытого вредоносного ПО в памяти. Загрузчик связан с различным вредоносным ПО, таким как REMCOS RAT, и демонстрирует эволюционирующую тактику с акцентом на меры по борьбе с анализом, особенно в Бразилии, и расширяется на международном уровне.
-----

Загрузчик Caminho, идентифицированный Arctic Wolf, представляет собой сложную операцию "Загрузчик как услуга" бразильского происхождения, которая использует Стеганографию по младшему разряду (LSB) для сокрытия вредоносных программ.ЧИСТАЯ полезная нагрузка в файлах изображений, размещенных на законных платформах. Первоначальное заражение начинается с Целевого фишинга электронных писем, содержащих архивированные файлы JavaScript или VBScript, часто с использованием тактики социальной инженерии на бизнес-тематику. При выполнении эти скрипты извлекают запутанную полезную нагрузку PowerShell, которая загружает стеганографические изображения из таких служб, как archive.org , цифровой архив, известный своей репутацией и высокой доступностью.

Атака использует многоступенчатую цепочку заражения, сначала опуская JavaScript, который сильно затемненный, чтобы избежать статического анализа. После выполнения этот JavaScript отправляет HTTP-запросы для получения следующего этапа, который использует PowerShell для извлечения скрытой полезной нагрузки из стеганографического изображения. В caminho пути, предназначенные для выполнения полученных данных в памяти без записи файлов на диск, включает в себя большой анти-анализ мер, в том числе проверяет виртуальные машины и средства отладки, повышению ее скрытности против традиционных механизмов обнаружения.

Caminho был связан с распространением нескольких типов вредоносного ПО, таких как REMCOS RAT, XWorm и Katz Stealer, демонстрируя свою универсальность в качестве сервисной модели. Архитектура загрузчика включает в себя механизмы закрепления путем создания запланированных задач, которые выполняют JavaScript-реплику исходного сценария заражения. Инфраструктура, используемая Caminho, объединяет как легальные сервисы для размещения Вредоносных файлов, так и выделенные серверы для операций командования и контроля, что указывает на высокоорганизованную хакерскую группировку.

Примечательно, что оперативный график показывает концентрацию атак главным образом в Бразилии, со временем распространяясь на более широкие регионы Африки и Восточной Европы. Этот рост совпадает с появлением передовых стеганографических методов доставки, что свидетельствует об эволюции предложения "Погрузчик как услуга", ориентированного на различные клиентские базы. В результате загрузчик Caminho является примером модернизированного механизма распространения вредоносного ПО, адаптирующегося для уклонения от обнаружения при одновременной доставке целого ряда полезных вредоносных программ для различных отраслевых целей.

#ParsedReport #CompletenessLow
22-10-2025

Rhadamanthys malware disguised as a game built with RenPy

https://asec.ahnlab.com/ko/90628/

Report completeness: Low

Threats:
Rhadamanthys
Lumma_stealer
Trojan/win.generic.r729425
Trojan/win.injector.r729869
Trojan/win.injector.r729189
Trojan/win.injector.r731064
Trojan/win.injector.r730188
Trojan/win.injector.r730185

Victims:
Gaming

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1566.002

IOCs:
File: 8
Hash: 5
Url: 5

Soft:
RenPy, Steam

Algorithms:
base64, md5, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Rhadamanthys - это стиллер информации, замаскированный под игру, созданную на платформе RenPy, распространяющийся с помощью вредоносных скриптов, встроенных в основные игровые файлы, такие как "script.rpy". После выполнения файла запуска "lnstaIer.exe , "вредоносное ПО активируется, похищая конфиденциальную информацию. Он распространяется в виде ZIP-файлов с названием "Скачать бесплатно Files.zip " через MediaFire, используя привлекательность бесплатных загрузок игр, чтобы способствовать их распространению и атакам.
-----

Вредоносное ПО Rhadamanthys, идентифицированное как стиллер информации, в настоящее время распространяется под видом игры, разработанной с использованием игровой платформы RenPy. RenPy - широко используемый инструмент с открытым исходным кодом для создания визуальных романов и интерактивных историй, пользующийся популярностью у инди-разработчиков благодаря своей простоте и совместимости с различными операционными системами, включая основные игровые платформы.

Вредоносное ПО действует с помощью определенного вектора атаки, при котором вредоносные скрипты внедряются в основные игровые файлы. В данном случае злоумышленник вставил вредоносный код в файл "script.rpy", имеющий решающее значение для функциональности игры. Когда пользователи запускают файл запуска с именем "lnstaIer.exe ," запускается вредоносный код, позволяющий похитить конфиденциальную информацию из зараженной системы.

Дальнейший анализ показывает, что вредоносное ПО распространяется через ZIP-файлы, предоставляемые через MediaFire, все они имеют одинаковое название "Бесплатная загрузка Files.zip ." Такая последовательная стратегия присвоения имен указывает на преднамеренную попытку злоумышленников повысить эффективность распространения путем Маскировки вредоносного контента под соблазнительные бесплатные загрузки игр премиум-класса. Таким образом, пользователей предупреждают быть бдительными в отношении подлинности загружаемых игр, особенно тех, которые предлагают бесплатный доступ к потенциально пиратскому контенту, поскольку они могут привести к серьезным нарушениям безопасности и краже данных.

#ParsedReport #CompletenessLow
22-10-2025

Analysis of Gunra ransomware using a vulnerable random number generator (targeting Linux environments, ELF format)

https://asec.ahnlab.com/ko/90671/

Report completeness: Low

Threats:
Gunra
Malware/mdp.ransom.m1355
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Magniber
Ransom/mdp.event.m4428
Ransom/mdp.event.m4353
Malware/mdp.ransom.m1876

Victims:
Companies

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1059, T1486, T1600

IOCs:
File: 1

Soft:
Linux

Algorithms:
md5, chacha20

Functions:
time, rand

Win API:
CryptGenRandom

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Gunra, действующая с апреля 2025 года, нацелена на различные отрасли промышленности, особенно в Корее, используя как форматы EXE, так и ELF, причем вариант Linux обладает специфическими эксплуатационными характеристиками. В нем используется метод шифрования ChaCha20, основанный на слабом генераторе случайных чисел, который компрометирует ключ шифрования и генерацию одноразовых сообщений, делая программу-вымогателя восприимчивой к атакам брутфорсом. Программа-вымогатель поддерживает многопоточность для эффективного шифрования, но предсказуемый процесс шифрования значительно снижает ее общую безопасность.
-----

Хакерская группировка Gunra-вымогатель, которая действует с апреля 2025 года, нацелена на различные отрасли промышленности и страны, причем о заметных инцидентах сообщалось в Корее. Программа-вымогатель доступна как в форматах файлов EXE, так и ELF, причем вариант ELF специально разработан для сред Linux. Этот анализ сосредоточен на эксплуатационных характеристиках и методологии шифрования версии Gunra, ориентированной на Linux Ransomware.

После выполнения программа-вымогатель проверяет входные аргументы, гарантируя, что все требуемые параметры переданы точно. Основной целевой объект для шифрования указывается с помощью аргумента -path. Gunra использует два типа шифрования: шифрование файлов и шифрование диска, в зависимости от типа предоставленного пути. Для повышения эффективности он поддерживает многопоточность, позволяя создавать до 100 потоков для параллельного шифрования файлов, управляемых аргументом -threads.

Используемый алгоритм шифрования - ChaCha20. При вызове аргумента -store 32-байтовый ключ шифрования и 12-байтовый одноразовый номер генерируются заново для каждого процесса шифрования. Затем этот ключ шифруется с использованием открытого ключа RSA и сохраняется с расширением .keystore в указанном месте. Если аргумент -store не указан, ключ добавляется в конец зашифрованных данных, что потенциально усложняет процесс восстановления.

Критической уязвимостью в конструкции программы-вымогателя Gunra является ее зависимость от слабого генератора случайных чисел для генерации ключей шифрования и одноразовых значений. Этот недостаток повышает вероятность атак брутфорсом на зашифрованные файлы. Шифрование программы-вымогателя можно взломать, используя предсказуемость значений в диапазоне 256 байт, в частности, от 0x00 до 0xFF. Анализ показывает, что это слабое место повышает вероятность успешного дешифрования с помощью методов брутфорса, что значительно снижает эффективность шифрования программы-вымогателя.

Таким образом, ELF-вариант программы-вымогателя Gunra использует генератор случайных чисел низкого качества и алгоритм шифрования ChaCha20 в сочетании с простыми параметрами выполнения, которые в совокупности создают уязвимые точки для расшифровки. Последствия этих уязвимостей подчеркивают необходимость усовершенствованных стратегий обнаружения и реагирования для эффективного противодействия этой угрозе.

#ParsedReport #CompletenessMedium
22-10-2025

Analysis of the Lumma infostealer

https://www.genians.co.kr/en/blog/threat_intelligence/lumma-infostealer

Report completeness: Medium

Threats:
Lumma_stealer
Process_hollowing_technique

Victims:
Windows users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.003, T1078, T1082, T1105, T1204.002, T1552.001, T1555, have more...

IOCs:
File: 7
Domain: 3
IP: 4
Hash: 7

Soft:
Telegram, Chrome, Outlook

Algorithms:
md5, zip

Win Services:
Ekrn

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 9, windows: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Lumma - стиллер - это универсальная программа, предназначенная преимущественно для систем Windows, специализирующаяся на эксфильтрации ценных учетных данных, таких как файлы cookie браузера и криптовалютные кошельки. Он действует как независимо, так и в рамках более широких атак, включая программы-вымогатели и захват учетных записей, при этом применяя сложные методы распространения, которые используют запутывание, чтобы избежать обнаружения. Его рост в сфере киберпреступности подчеркивает проблемы, создаваемые коммерциализированными сервисами вредоносного ПО, позволяющими даже менее технически квалифицированным лицам проводить изощренные атаки.
-----

Стиллер Lumma представляет собой значительную киберугрозу, функционируя как самостоятельное вредоносное ПО, так и как компонент многовекторных атак, которые включают программы-вымогатели, захват учетных записей и взломы внутренней сети. Его основное внимание сосредоточено на сборе ценных учетных данных, в частности, на файлах cookie веб-браузера, криптовалютных кошельках и учетных записях VPN / RDP. Украденная информация облегчает дальнейшую преступную деятельность, такую как кража личных данных, финансовое мошенничество и вторжения в корпоративные сети. Для противодействия этой угрозе организациям рекомендуется усовершенствовать свои системы обнаружения конечных точек и реагирования (EDR), включив в них обнаружение на основе поведения наряду с интеграцией анализа угроз.

Природа вредоносного ПО типа Lumma - стиллера, представляющего значительный риск, поскольку он осуществляет несанкционированный сбор данных в системах-жертвах без ведома пользователя. Такая скрытая эксфильтрация данных приводит к нарушениям конфиденциальности, финансовым потерям и ущербу репутации организации. В сфере киберпреступности также используется модель, известная как "Вредоносное ПО как услуга" (MaaS), при которой ресурсы, включая средства разработки вредоносного ПО и серверы управления (C2), предлагаются в аренду. Такая коммерциализация вредоносного ПО снижает барьер для проникновения в киберпреступность, позволяя лицам, не обладающим продвинутыми техническими навыками, осуществлять атаки.

Стиллер Lumma, известный своей деятельностью с августа 2022 года, в первую очередь нацелен на операционные системы Windows и приобрел дурную славу в сообществе кибербезопасности, заняв место в рейтинге самых опасных вредоносных ПО в сентябре 2025 года в соответствии с показателями ANY.RUN. Тактика распространения включает маскировку вредоносного ПО под пиратское программное обеспечение с помощью веб-сайтов фишинга. Процесс установки особенно коварен; злоумышленники используют методы, которые позволяют вредоносному ПО маскироваться под законное программное обеспечение и сбрасывать дополнительную полезную нагрузку на этапе установки.

Углубленный анализ конкретных компонентов Lumma выявляет сложную конструкцию. Например, при его развертывании часто используются такие файлы, как 'Contribute.docx ," которые содержат запутанные командные строки, предназначенные для сборки и активации вредоносных сценариев автоматического запуска. Эти сценарии, сильно запутанные нефункциональным кодом, усложняют усилия по обнаружению, затрудняя решениям по обеспечению безопасности идентификацию векторов атак. Способность систем EDR, таких как система, предоставляемая Genian, визуализировать поток выполнения вредоносного ПО имеет решающее значение, поскольку помогает сотрудникам службы безопасности быстро выявлять угрозы, связанные с Lumma и подобными стиллерами, и реагировать на них.