#ParsedReport #CompletenessLow
24-10-2025

From Dream Job to Malware: DreamLoaders in Lazarus Recent Campaign

https://lab52.io/blog/dreamloaders/

Report completeness: Low

Actors/Campaigns:
Dream_job
Lazarus

Threats:
Dreamloaders
Dll_sideloading_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1543.003, T1574.002

IOCs:
File: 7
Path: 2
Hash: 7
Domain: 3

Soft:
TightVNC, Graph API, SharePoint server, wordpad

Algorithms:
base64, sha256, rc4, zip

Win API:
decompress

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года Lab52 сообщила о кампании северокорейской группы Lazarus, которая использовала схемы "DreamJob" для развертывания загрузчиков, которые позволяли красть учетные данные и контролировать систему. Ключевые компоненты включали троянский клиент TightVNC, tnsviewer.exe , и вредоносные библиотеки DLL, выполняемые с помощью методов DLL sideloading с использованием законных двоичных файлов Windows. Кампания продемонстрировала сложную и модульную стратегию атаки, использующую методы скрытности, чтобы скрыть обнаружение, и нацеленную на широкое использование в различных целях.
-----

В августе 2025 года исследовательская фирма по кибербезопасности Lab52 расследовала кампанию, связанную с северокорейской группой Lazarus, известной своими сложными кибероперациями. Эта кампания включала использование схем "DreamJob", нацеленных на администраторов организаций, для запуска вредоносного программного обеспечения, позволяющего злоумышленникам получать учетные данные и конфиденциальную информацию, которые в дальнейшем используются для получения контроля над скомпрометированными системами.

Злоумышленники использовали несколько типов загрузчиков, которые представляют собой модульные компоненты, предназначенные для развертывания различных полезных нагрузок в зависимости от конкретных требований акторов. Одним из важных загрузчиков, обнаруженных в их арсенале, является троянская версия клиента TightVNC, названная tnsviewer.exe , распространяемый в защищенном паролем ZIP-файле, который включал в себя README.txt предоставление жертвам инструкций по подключению к определенному IP-адресу.

Дальнейшее расследование выявило дополнительные вредоносные компоненты, такие как веб-сервисы.библиотека dll и radcui.dll , которые были выполнены с помощью метода, называемого DLL sideloading. Этот метод включал использование законных двоичных файлов, в частности wkspbroker.exe и wksprt.exe , ранее скопированный из каталога Windows System32, тем самым маскируя инъекции. Процесс выполнения включал в себя пароль, который имитировал шаблон в стиле SID для повышения конфиденциальности.

TSVIPSrv.dll был обнаружен еще один загрузчик на скомпрометированных серверах. Он работает от имени вредоносной службы под названием "sessionenv", созданной злоумышленниками. Эта библиотека DLL зависит от двух дополнительных файлов, размещенных злоумышленниками, которые называются wordpad.dll.mui и msinfo32.dll.mui, предназначенных для размещения фактической полезной нагрузки. В ходе анализа был найден доступным только файл wordpad.dll.mui, что указывает на то, что другой файл и его функциональные возможности остаются скрытыми.

Скоординированное использование этих методов является примером сложной стратегии развертывания, в которой особое внимание уделяется использованию законных системных двоичных файлов и зашифрованной полезной нагрузки для сокрытия усилий по обнаружению. Более того, высокая степень повторного использования кода и применение методов скрытой дополнительной загрузки свидетельствуют о методологическом подходе, применяемом Lazarus в своих кибероперациях, направленном на широкое использование в различных системах. Такая модульность и тиражирование идентичных полезных нагрузок в различных средах предполагают организованные усилия злоумышленников по повышению эффективности своих атак и минимизации воздействия.

#ParsedReport #CompletenessLow
23-10-2025

Mass Exploit Campaign Targeting Arbitrary Plugin Installation Vulnerabilities

https://www.wordfence.com/blog/2025/10/mass-exploit-campaign-targeting-arbitrary-plugin-installation-vulnerabilities/

Report completeness: Low

Victims:
Wordpress websites, Website administrators

CVEs:
CVE-2024-9234 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-11972 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-9707 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1190

IOCs:
File: 5
IP: 15
Domain: 8

Soft:
WordPress

Algorithms:
zip

Functions:
install_and_activate_plugin_from_external, tp_install

Languages:
php

Links:
https://github.com/xwopen/xwopen/raw/refs/heads/main/up.zip
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампании по эксплуатации активно нацелены на уязвимости в плагинах GutenKit и Hunk Companion для WordPress, позволяя не прошедшим проверку подлинности акторам использовать эти недостатки для удаленного выполнения кода. В плагине GutenKit отсутствует проверка возможностей в его API, позволяющая загружать произвольные файлы, в то время как в плагине Hunk Companion отсутствует проверка авторизации, что приводит к несанкционированной установке плагина. Обе уязвимости были использованы злоумышленниками для установки вредоносных плагинов, что создает значительные риски для затронутых сайтов.
-----

Появилась масштабная кампания по эксплойтам, нацеленная на уязвимости в плагинах GutenKit и Hunk Companion для WordPress, с сообщениями об активной эксплуатации, датируемыми 8 октября 2025 года. Оба плагина — GutenKit с более чем 40 000 активных установок и Hunk Companion с 8000 — уязвимы для несанкционированной установки плагинов, которые могут быть использованы не прошедшими проверку подлинности злоумышленниками для получения доступа к удаленному выполнению кода.

Плагин GutenKit, в частности версии до 2.1.0 включительно, страдает от критического отсутствия проверок возможностей в функции install_and_activate_plugin_from_external(). Это упущение позволяет злоумышленникам, не прошедшим проверку подлинности, загружать произвольные файлы или устанавливать плагины из внешних источников через общедоступную конечную точку REST API. Такие уязвимости обычно используются для внедрения вредоносных пакетов, замаскированных под законные плагины, что в конечном счете обеспечивает бэкдор для удаленного выполнения кода.

Аналогичным образом, плагин-компаньон Hunk, версии до 1.8.5, имеет критический недостаток из-за отсутствия проверки авторизации в конечной точке /wp-json/hc/v1/themehunk-import REST API. Эта уязвимость делает возможной несанкционированную установку и активацию произвольных плагинов, что потенциально может привести к удаленному выполнению кода с помощью других взломанных плагинов. Примечательно, что это позволяет обойти предыдущую уязвимость, которая была зарегистрирована как CVE-2024-9707.

Брандмауэр Wordfence активно противодействовал угрозам, связанным с этими уязвимостями, заблокировав более 8,7 миллионов попыток использования уязвимостей, что свидетельствует о серьезности угрозы и огромном объеме атак. Отсутствие надлежащей аутентификации для конечных точек REST API в обоих плагинах представляет значительный риск, поскольку злоумышленники могут легко использовать эти API для установки плагинов с известными уязвимостями или вредоносного контента из общедоступных хранилищ.

Недавние тематические исследования иллюстрируют тактику, используемую злоумышленниками, которые пытались использовать поддельные плагины, размещенные на таких платформах, как GitHub, для осуществления своих атак. Эти действия были легко организованы из-за отсутствия соответствующих проверок разрешений, что открывает возможности для широкомасштабной эксплуатации.

#ParsedReport #CompletenessHigh
25-10-2025

GHOSTGRAB ANDROID MALWARE

https://www.cyfirma.com/research/ghostgrab-android-malware/

Report completeness: High

Threats:
Ghostgrab
Credential_harvesting_technique

Victims:
Mobile users, Banking sector

Industry:
Financial

TTPs:
Tactics: 8
Technics: 15

IOCs:
Domain: 6
File: 8
Url: 1
Hash: 2
Coin: 1

Soft:
ANDROID, Google Play, Telegram

Crypto:
monero

Algorithms:
sha256

Functions:
sendTextMessage, startForegroundService

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostGrab - это сложное вредоносное ПО для Android, которое сочетает эксплуатацию ресурсов с финансовым мошенничеством, нацеливаясь на конфиденциальную банковскую и личную информацию. Он распространяется через вредоносный домен "kychelp.live", используя перенаправление JavaScript для доставки dropper APK, имитирующего Google Play Store, чтобы получить разрешения пользователя на установку скрытых полезных приложений. Вредоносное ПО сохраняется через звуковой цикл в службе переднего плана и использует обманчивый банковский интерфейс для кражи данных, используя обширные разрешения, которые обеспечивают длительную работу и уклонение от обнаружения.
-----

GhostGrab - это усовершенствованное семейство вредоносных ПО для Android, которое объединяет эксплуатацию ресурсов со схемами финансового мошенничества. Он крадет конфиденциальную банковскую информацию, личные данные и способствует мошенничеству с транзакциями. Вредоносное ПО собирает банковские учетные данные, номера Aadhaar и историю SMS-сообщений, включая одноразовые пароли (OTP).

Заражение начинается через вредоносный домен "kychelp.live", использующий перенаправление JavaScript для загрузки вредоносного APK-файла с именем "BOM FIXED DEPOSIT.apk", который действует как Dropper. Дроппер имитирует запрос на обновление в Google Play Store, чтобы обманом заставить пользователей предоставлять разрешения.

GhostGrab использует метод MediaPlayer для закрепления, создавая бесшумный звуковой цикл, чтобы поддерживать рабочее присутствие и предотвращать отключение в режиме ожидания. Вредоносное ПО открывает интерфейс банковской тематики, чтобы обманом заставить жертв предоставить конфиденциальную информацию в целях "Знай своего клиента" (KYC).

Домен "kychelp.live" зарегистрирован недавно, что является обычной чертой вредоносных кампаний. GhostGrab использует двойную стратегию монетизации, ориентированную на финансы и ресурсы устройств, используя модульную конструкцию и широкое злоупотребление разрешениями, чтобы избежать обнаружения.

Меры уменьшения риска включают только загрузка приложений из официальных источников и блокирует известные вредоносные домены на сетевом уровне. Обнаружению могут способствовать правила YARA, основанные на показателях компрометации, связанных с инфраструктурой GhostGrab's.

#ParsedReport #CompletenessMedium
24-10-2025

Analyzing the latest attacks from Trigona attackers

https://asec.ahnlab.com/ko/90717/

Report completeness: Medium

Threats:
Trigona
Mimic_ransomware
Bitsadmin_tool
Anydesk_tool
Defendercontrol_tool

Victims:
Ms sql servers

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1036, T1041, T1070.004, T1105, T1110, T1190, T1219

IOCs:
Command: 2
File: 3
Path: 2
Url: 7
Hash: 5
IP: 2

Soft:
MS-SQL, Curl, Bat2Exe

Algorithms:
md5

Languages:
rust, powershell

Links:
https://github.com/decoder-it/NetworkServiceExploit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники из Trigona сосредоточили свое внимание на серверах MS-SQL, используя методы, которые включают программу массового копирования (BCP) для Манипуляций с данными и AnyDesk для удаленного управления. Их арсенал расширился за счет пользовательского сканера на базе Rust, который собирает системные данные и выполняет поиск уязвимостей RDP и MS-SQL. Кроме того, были использованы различные средства повышения привилегий, способные удалять важные файлы и изменять исполняемые файлы, чтобы затруднить восстановление.
-----

Злоумышленники из Trigona недавно активизировали свои кампании, нацеленные на серверы MS-SQL, используя комбинацию методов атаки и инструментов вредоносного ПО. Ранее сообщалось, что в атаках использовались как Trigona, так и Mimic ransomware с подтвержденной ссылкой на Trigona через согласованные Адреса эл. почты, используемые в уведомлениях о выкупе с начала 2023 года.

Примечательным аспектом методологии атаки Trigona является использование программы массового копирования (BCP), утилиты командной строки, используемой для манипулирования большими наборами данных, хранящихся на SQL-серверах. Этот инструмент используется для создания или экспорта файлов данных, облегчая злоумышленникам операции с скомпрометированной инфраструктурой MS-SQL.

В своей последней тактике злоумышленники использовали AnyDesk для удаленного управления системой. Установка AnyDesk обычно включает в себя размещение его по пути %ALLUSERSPROFILE%, что позволяет злоумышленникам сохранять доступ к зараженным системам. Кроме того, злоумышленники расширили свой инструментарий, включив в него пользовательский сканер вредоносного ПО, разработанный в Rust. После запуска этот сканер не только извлекает системную информацию, такую как IP-адрес и местоположение, из "ip-api.com " но также инициирует сканирование на наличие Протокола удаленного рабочего стола (RDP) и служб MS-SQL в поисках других уязвимостей.

В атаки также были интегрированы различные инструменты повышения привилегий, многие из которых можно найти на таких платформах, как GitHub, или через Defender Control. Эти инструменты варьируются от вредоносных ПО, предназначенных для удаления определенных файлов и каталогов, до тех, которые заменяют исполняемые файлы вредоносными версиями. Сообщалось, что вредоносное ПО для Удаления файлов удаляет важные каталоги и исполняемые файлы, что затрудняет процессы восстановления.

#ParsedReport #CompletenessHigh
25-10-2025

Android.Backdoor.Baohuo.1.origin

https://vms.drweb.ru/virus/?i=30931099

Report completeness: High

Threats:
Baohuo
Lspatch_tool
Cloaking_technique
Mobidash

Victims:
Mobile users

TTPs:
Tactics: 5
Technics: 27

IOCs:
File: 1
Hash: 1
Domain: 2
IP: 2
Url: 1

Soft:
Android, Telegram, Redis, Unix, Google Play

Algorithms:
sha1

Functions:
getName, setBlackList

Links:
have more...
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.Baohuo.1.origin/README.adoc
https://github.com/ehang-io/nps

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Baohuo - это сложное вредоносное ПО, нацеленное на устройства Android через модифицированное приложение Telegram X, позволяющее злоумышленникам выполнять команды и получать доступ к конфиденциальным пользовательским данным. Он распространяется через вредоносные веб-сайты и каталоги сторонних приложений, используя различные методы внедрения, чтобы незаметно скомпрометировать законное приложение. После установки он облегчает кражу личной информации и перехватывает действия учетной записи Telegram, отражая тенденцию перепрофилирования законных приложений для вредоносных целей.
-----

Baohuo - это сложное вредоносное ПО, нацеленное на устройства Android, специально встроенное в модифицированную версию приложения Telegram X messenger. Этот бэкдор позволяет кибератакам выполнять произвольные команды, тем самым получая несанкционированный доступ к конфиденциальным пользовательским данным и полный контроль над аккаунтами жертв в Telegram. Вредоносное ПО в основном распространяется через вредоносные веб-сайты, а также находится в различных каталогах сторонних приложений для Android, что делает его доступным для ничего не подозревающих пользователей.

Работа Android.Backdoor.Baohuo.1.origin использует множество вариантов, которые используют различные методы для внедрения в законное приложение Telegram X. Эти модификации повышают способность вредоносного ПО компрометировать целевое устройство. Специфика того, как происходят эти инъекции, может варьироваться, что подчеркивает разнообразие методов, которые используют злоумышленники, чтобы обойти меры безопасности и установить бэкдор незамеченным.

После установки бэкдор функционирует, способствуя краже личной информации и перехвату действий в аккаунтах Telegram жертв. Это включает в себя доступ к сообщениям, контактам и потенциальное использование учетной записи в дальнейших вредоносных целях. Дизайн вредоносного ПО отражает растущую тенденцию в области угроз кибербезопасности, когда законные приложения перепрофилируются для доставки вредоносной полезной нагрузки, что значительно увеличивает риск для пользователей, которые могут не знать об уязвимостях, которым они подвергаются, загружая непроверенные приложения.

#ParsedReport #CompletenessMedium
25-10-2025

Cloud Discovery With AzureHound

https://unit42.paloaltonetworks.com/threat-actor-misuse-of-azurehound/

Report completeness: Medium

Actors/Campaigns:
Apt33
Void_blizzard
Storm-0501

Threats:
Azurehound_tool
Bloodhound_tool
Mfa_bombing_technique
Raccoon_stealer
Redline_stealer

Victims:
Cloud environments, Azure tenants

Industry:
Government

Geo:
China

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1
Coin: 1

Soft:
Linux, macOS, Active Directory, Graph API, Microsoft Entra

Functions:
Graph, AzureHound, count

Languages:
powershell

Platforms:
arm

Links:
https://github.com/SpecterOps/BloodHound
have more...
https://github.com/SpecterOps/AzureHound

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AzureHound, входящий в пакет BloodHound, все чаще используется злоумышленниками для проверки ресурсов Azure на наличие уязвимостей после первоначального компрометации. Злоумышленники используют методы из платформы MITRE ATT&CK, такие как Изучение учетных записей и Изучение групп разрешений, для выявления целей кражи учетных данных и оценки уровней доступа, необходимых для эксфильтрации данных. Они также используют Изучение объектов облачного хранилища для поиска конфиденциальных данных; в то же время Изучение облачной инфраструктуры помогает сопоставлять облачные архитектуры и находить учетные записи для повышения привилегий.
-----

AzureHound - это инструмент сбора данных с открытым исходным кодом, предназначенный в первую очередь для тестирования на проникновение и являющийся частью пакета BloodHound. Хотя он предназначен для использования специалистами по безопасности для повышения безопасности в облаке, злоумышленники все чаще используют его для подсчета ресурсов Azure и выявления потенциальных уязвимостей после первоначального взлома целевой среды Azure.

Злоумышленники используют AzureHound для выполнения различных методов обнаружения, описанных в MITRE ATT&CK framework, специально адаптированных для облачных сред. Одним из ключевых методов является Изучение учетных записей (T1087.004), которое позволяет злоумышленникам идентифицировать все идентификационные данные, такие как пользователи и участники служб, в среде Azure. Этот процесс помогает им составить список потенциальных целей для кражи учетных данных или Имперсонации.

Другим важным методом является Изучение групп разрешений (T1069.003). Эффективность сбора данных AzureHound's зависит от разрешений учетной записи, под которой он работает. Чтобы получить доступ к определениям и назначениям политик, учетная запись должна иметь роли типа Reader или выше на уровне группы ресурсов. Это подчеркивает необходимость надлежащего контроля доступа в средах Azure.

Эксфильтрация данных является основной целью многих злоумышленников. Они используют метод Изучения объектов облачного хранилища (T1619) для идентификации учетных записей Azure Storage и контейнеров больших двоичных объектов, тем самым показывая, где хранятся конфиденциальные данные. Кроме того, технология Изучения облачных служб (T1526) позволяет идентифицировать мощные идентификаторы в забытых ресурсах, таких как конвейеры автоматизации. Это может позволить злоумышленникам вставлять вредоносный код в эти конвейеры, используя повышенные разрешения после запуска автоматизации.

Чтобы понять общую архитектуру скомпрометированной облачной среды, злоумышленники применяют методы Изучения облачной инфраструктуры (T1580) для перечисления базовых ресурсов и связанных с ними структур управления. Используя такие инструменты, как AzureHound, злоумышленники, такие как Curious Serpens и Void Blizzard, могут систематически отображать облачные архитектуры, находить учетные записи для повышения привилегий и идентифицировать критически важные данные.

С точки зрения защиты, AzureHound в своей работе полагается на Microsoft Graph и Azure REST API. Таким образом, реализация надежной стратегии защиты предполагает многоуровневый подход, который включает в себя контроль доступа, безопасность конечных точек и мониторинг действий API. Учитывая, что журналы активности Microsoft Graph по умолчанию не включены, защитникам крайне важно настроить Microsoft Entra ID для экспорта этих журналов для интеграции с решениями SIEM. Такая видимость позволяет обнаруживать использование AzureHound и другие подозрительные действия.

Кроме того, службы безопасности могут использовать расширенные запросы для расследования конкретных событий, связанных с работой AzureHound's, тем самым расширяя возможности поиска угроз. Растущее злоупотребление AzureHound злоумышленниками подчеркивает важность понимания его функциональных возможностей и необходимость строгого контроля доступа и ведения журнала для защиты сред Azure от компрометации.

#ParsedReport #CompletenessHigh
23-10-2025

Agenda Ransomware Deploys Linux Variant on Windows Systems Through Remote Management Tools and BYOVD Techniques

https://www.trendmicro.com/en_us/research/25/j/agenda-ransomware-deploys-linux-variant-on-windows-systems.html

Report completeness: High

Actors/Campaigns:
Qilin

Threats:
Qilin_ransomware
Byovd_technique
Meshagent_tool
Meshcentral_tool
Splashtop_tool
Anydesk_tool
Atera_tool
Screenconnect_tool
Nltest_tool
Netscan_tool
Akira_ransomware
Dll_sideloading_technique
Putty_tool
Coroxy

Victims:
Manufacturing, Technology, Financial services, Healthcare

Industry:
Healthcare, Critical_infrastructure

Geo:
France, United kingdom, Japan, Canada

TTPs:
Tactics: 9
Technics: 0

IOCs:
Url: 6
File: 24
Path: 24
Command: 1
IP: 1
Hash: 14

Soft:
Linux, WinSCP, Cloudflare R2, ThrottleStop, ESXi

Algorithms:
sha1, base64, sha256

Languages:
powershell, javascript

Platforms:
x86, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4