#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Подразделение 42 выявило сложную программу-шпиона для Android под названием LANDFALL, использующую уязвимость zero-day (CVE-2025-21042) в библиотеке обработки изображений Samsung, специально предназначенную для устройств Galaxy. Шпионское ПО использует модульную архитектуру для шпионажа и эксфильтрации данных, используя такие тактики, как управление настройками SELinux и манипулирование данными WhatsApp. LANDFALL обменивается данными по протоколу HTTPS с использованием нестандартных TCP-портов и иллюстрирует текущие тенденции в использовании уязвимостей обработки изображений DNG на мобильных платформах, причем потенциальные жертвы, вероятно, находятся в Ираке, Иране, Турции и Марокко.
-----

Исследование, проведенное подразделением 42, выявило новый тип шпионского ПО для Android, обозначенный как LANDFALL, который использует уязвимость zero-day (CVE-2025-21042) в библиотеке обработки изображений Android от Samsung. Это шпионское ПО специально разработано для устройств Samsung Galaxy и, похоже, является частью продолжающейся тенденции, связанной с аналогичными уязвимостями, которые затрагивают несколько мобильных платформ.

Обнаружение LANDFALL произошло во время расследования цепочки эксплойтов iOS, которая была раскрыта ранее в 2025 году. К такому выводу привел анализ искаженных файлов изображений DNG, обычно используемых в фотографии и содержащих встроенный ZIP—архив. Злоумышленники обычно используют цепочки эксплойтов, требующие наличия множества уязвимостей для успешного распространения шпионского ПО, и архитектура LANDFALL's соответствует этой методологии.

Возможности LANDFALL кажутся сложными и модульными, направленными на шпионаж и эксфильтрацию данных. Вредоносное ПО включает в себя компонент, известный как b.so , в котором отсутствует определенная логика, но который указывает на потенциал для расширения функциональности за счет загрузки дополнительных модулей. Его оперативная тактика включает загрузку собственных общих объектных файлов, выполнение DEX-файлов из различных источников, управление настройками SELinux и манипулирование данными WhatsApp. Такое поведение подчеркивает способность LANDFALL поддерживать постоянное присутствие на уязвимых устройствах во время сбора информации.

Важным аспектом LANDFALL являются его методы уклонения, разработанные для того, чтобы избежать обнаружения с помощью таких методологий, как идентификация отладчика и динамическое инструментирование. Кроме того, сетевое взаимодействие происходит по протоколу HTTPS, при этом b.so компонент, использующий нестандартные TCP-порты для подключения к серверам командования и контроля (C2). Конфигурация для этого компонента включает в себя важные значения, такие как сведения C2 и криптографические ключи, хранящиеся в зашифрованном объекте JSON.

Анализ шпионского ПО также выявил сходство с аналогичной уязвимостью (CVE-2025-21043) в той же библиотеке Samsung, демонстрируя тревожную закономерность в уязвимостях обработки изображений DNG на мобильных платформах. Анализ потенциальных жертв с помощью VirusTotal показывает, что цели могут быть расположены в таких странах, как Ирак, Иран, Турция и Марокко. Существование LANDFALL подчеркивает более широкий спектр коммерческих шпионских программ, которые потенциально используют несколько эксплойтов zero-day.

#ParsedReport #CompletenessMedium
06-11-2025

Fantasy Hub: Another Russian Based RAT as M-a-a-S

https://zimperium.com/blog/fantasy-hub-another-russian-based-rat-as-m-a-a-s

Report completeness: Medium

Threats:
Fantasyhub
Hyperrat
Clayrat

Victims:
Banking, Mobile users, Enterprise byod users

Industry:
Financial

Geo:
Russian, Russia

TTPs:
Tactics: 9
Technics: 12

IOCs:
File: 1
Url: 12
Hash: 145

Soft:
Android, Google Play, WebRTC, Telegram, Burp suite

Algorithms:
xor, zip, gzip

Functions:
getContacts, createImagesZip, deleteNotification, deleteZipArchive, getCallLogs, getDeviceInfo, getMediaFiles, getZipArchivesList, setInvisibleIntercept

Win API:
getSystemInfo

Languages:
javascript

Links:
https://github.com/Zimperium/IOC/tree/master/2025-11-FantasyHUB

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"Fantasy Hub" - это Android RAT, распространяемое как вредоносное ПО-как-услуга, в первую очередь, на русскоязычных платформах. Это позволяет субъектам угрозу переносить SMS, контакты, и медиа, а перехват уведомлений и перехвата SMS возможности без разрешения. Ключевые функции включают мониторинг в режиме реального времени через WebRTC и расширенный фишинг, нацеленный на финансовые учреждения, наряду с тактикой уклонения, такой как встроенный дроппер для усложнения обнаружения, аналогично шпионским программам для Android, таким как ClayRat.
-----

"Fantasy Hub" - это недавно идентифицированный троян для удаленного доступа к Android (RAT), работающий по модели "Вредоносное ПО как услуга" (MaaS), доступный в основном на русскоязычных платформах. Это вредоносное ПО обладает широкими возможностями контроля устройств, позволяя злоумышленникам извлекать SMS-сообщения, контакты, журналы вызовов, а также массово красть изображения и видео. Он также может перехватывать входящие уведомления, отвечать на них и удалять, что делает его мощным инструментом для шпионажа и кражи данных.

Разработанный для того, чтобы снизить барьер для проникновения менее опытных злоумышленников, Fantasy Hub предоставляет надежную документацию, видеоуроки и Telegram-бота, который облегчает управление подпиской и добавляет функциональность дроппера к пользовательским APK. Эта модель, управляемая ботами, позволяет злоумышленникам использовать передовые методы фишинга, включая создание поддельных банковских интерфейсов для эффективной компрометации финансовых рабочих процессов. Особую тревогу вызывает способность вредоносного ПО перехватывать роль обработчика SMS, что позволяет ему получать доступ к содержимому SMS и возможностям обмена сообщениями без необходимости предоставления индивидуальных разрешений.

Примечательной технической особенностью Fantasy Hub является использование WebRTC, протокола, который позволяет осуществлять потоковую передачу аудио и видео в режиме реального времени. Это позволяет злоумышленникам скрытно постоянно следить за жертвами с помощью камер и микрофонов своих устройств. Возможности фишинга вредоносного ПО направлены на различные финансовые учреждения, позволяя злоумышленникам развертывать как готовые, так и пользовательские окна фишинга, нацеленные на конкретные банки, что повышает риски для пользователей, использующих мобильные банковские приложения.

Самое вредоносное ПО принимает несколько тактик уклонения, и прежде всего интеграция уроженец капельницы в библиотеке, затрудняя обнаружение. Он использует разрешения SMS по умолчанию для получения широкого доступа к конфиденциальным пользовательским данным, что делает его похожим на другие варианты программ-шпионов для Android, такие как ClayRat. Кроме того, она может выполнять команды, которые позволяют ему читать текстовые сообщения, журналы вызовов доступа и отслеживания установленных приложений при передаче этих данных обратно в управляющий сервер (С2).

#ParsedReport #CompletenessLow
08-11-2025

Finding Related Fake "DMCA Takedown" Domains with Validin

https://www.validin.com/blog/fake_dmca_notice_scam_hunting/

Report completeness: Low

Actors/Campaigns:
Dmca_takedown (motivation: financially_motivated)

Victims:
Youtube content creators

Industry:
Financial, Iot

Geo:
Quebec, Georgia, New york, Moscow, San francisco, Berlin, London, Tokyo, Sydney, Ontario, Vancouver

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1204.002, T1566.002, T1583.001, T1584.001, T1593.001, T1659

IOCs:
Domain: 81
IP: 43
Url: 3

Platforms:
apple

Links:
https://github.com/stamparm/maltrail/blob/094293b3c04198dee377f6c0630c6e83fa309732/trails/static/malware/fakeapp.txt#L25018-L25195

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
5 ноября 2025 года в ходе фишинг-атаки на создателей контента YouTube использовались поддельные уведомления об DMCA takedown для облегчения загрузки вредоносных программ. Домен для фишинга, dmca-security.com , был связан с более широкой сетью скомпрометированных доменов и IP-адресов, в частности 101.99.92.246 и 217.119.129.87, которые подключались к хостингу вредоносного ПО. Вредоносные исполняемые файлы, передаваемые с подозрительных доменов, включая ms-team-ping4.com , предполагающий потенциально обманчивую структуру управления в рамках более широких организованных усилий злоумышленников.
-----

5 ноября 2025 года несколько известных создателей контента YouTube подверглись атаке с использованием поддельных уведомлений о DMCA takedown, которые привели к вредоносным загрузкам. Домен, явно связанный с этой аферой, был dmca-security.com , который выступал в качестве первоначального сайта для фишинга. Аналитики по кибербезопасности, включая Таннера и Джона Хаммонда, исследовали этот домен, чтобы выявить связанную с ним вредоносную инфраструктуру и собрать соответствующие показатели компрометации (IOCs).

Анализ домена, подвергшегося фишингу, выявил подключения к дополнительным доменам и IP-адресам, сосредоточив внимание на методах поворота истории DNS для отслеживания угрозы. В частности, IP-адрес 101.99.92.246 был идентифицирован как используемый вскоре после регистрации домена для фишинга. Это указывает на потенциально организованные усилия злоумышленников по быстрому созданию сети вредоносных доменов.

Дальнейшее расследование связало IP 217.119.129.87 с cavradocuments.top, зловещим доменом, ранее связанным с размещением вредоносного ПО в открытом каталоге. Это указывает на более широкую стратегию злоумышленников по внедрению своих операций во взаимосвязанные мошеннические домены.

Во время анализа в реальном времени было замечено, что вредоносный исполняемый файл взаимодействовал с ms-team-ping4.com и несколько других подобных доменов. Интересно, ms-team-ping4.com при прямом запросе не было предоставлено никакого контента, что наводит на мысль о потенциально бездействующей или фальсифицированной структуре управления (C2). Домен также был привязан к инфраструктуре Cloudflare, что ограничивало традиционные возможности анализа на основе DNS для дальнейшего изучения.

Инцидент иллюстрирует тревожную тенденцию, когда простота использования инструментов Искусственного интеллекта значительно снижает барьер для проникновения злоумышленников, позволяя им осуществлять сложные мошеннические действия с минимальными ресурсами. Развивающаяся тактика требует от защитников наличия надежных инструментов и стратегий для эффективного обнаружения, анализа и смягчения таких угроз. Проводимые исследования и анализ подчеркивают важность бдительности при выявлении постоянно меняющихся киберугроз и реагировании на них.

#ParsedReport #CompletenessHigh
06-11-2025

GootLoader New Evasion Methods Target Search Driven Workflows

https://cybersecsentinel.com/gootloader-new-evasion-methods-target-search-driven-workflows/

Report completeness: High

Actors/Campaigns:
Unc2565
Storm-0494
Vice_society

Threats:
Gootkit
Seo_poisoning_technique
Cobalt_strike_tool
Kronos
Snowcone
Rhysida
Blackcat
Zeppelin
Fonelaunch
Kerberoasting_technique

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
Command: 3
Path: 3
Hash: 10
Url: 66
Domain: 54
IP: 7

Soft:
WordPress, Windows Explorer, Active Directory

Algorithms:
sha256, zip

Languages:
jscript, php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GootLoader, связанный с хакерской группировкой UNC2565, вновь появился, используя передовые методы Отравления поисковой оптимизации (SEO) для таргетирования пользователей, которые ищут шаблоны бизнес-документов. Вредоносное ПО использует обманчивый ZIP-архив для доставки вредоносного файла JScript через Windows Script Host, используя PowerShell для получения дополнительной полезной нагрузки. Индикаторами компрометации являются файл закрепления в папке автозагрузки пользователя, использующий краткое соглашение об именовании, и сетевая активность, направленная на скомпрометированные сайты WordPress с действительными SSL-сертификатами.
-----

GootLoader, управляемый хакерской группировкой UNC2565 (также известной как Storm-0494), вновь появился с передовыми технологиями для использования рабочих процессов, управляемых поиском. Этот загрузчик вредоносного ПО занимает центральное место в сложной платформе Access-as-a-Service, которая облегчает первоначальный доступ для филиалов программ-вымогателей, включая Vanilla Tempest, и использует поисковую систему SEO poisoning (agesoages) для привлечения пользователей, ищущих шаблоны бизнес-документов.

Примечательный метод атаки включает в себя использование ZIP-архива с раздвоением личности. Этот архив разработан таким образом, чтобы обмануть "песочницы" безопасности, выглядя безвредным при извлечении вредоносного js-файла для обычных пользователей. После выполнения, обычно запускаемого двойным щелчком пользователя по файлу JScript, полезная нагрузка запускается через Windows Script Host, а именно WScript.exe или CScript.exe , который, в свою очередь, вызывает PowerShell для извлечения последующих вредоносных полезных нагрузок.

Кампания GootLoader не использует никаких конкретных уязвимостей CVE, вместо этого полагаясь на различные тактики, такие как несоответствия формату архива, скомпрометированные законные сайты WordPress и устаревшее поведение с именами файлов. Эволюция инфраструктуры GootLoader включает усовершенствования в ее механизмах закрепления, теперь предпочтение отдается пользовательской папке автозагрузки по сравнению со старыми методами, включающими запланированные задачи, что сводит к минимуму риски обнаружения.

Индикаторы компрометации, связанные с GootLoader, включают файл закрепления, расположенный по адресу %APPDATA%\Microsoft\Windows\Меню Пуск\Программы\Автозагрузка\, который использует соглашение о сокращенных именах 8.3, чтобы избежать стандартного обнаружения, и сетевую активность, направленную на скомпрометированные сайты WordPress, использующие законные SSL-сертификаты. Вредоносное ПО использует схему оповещения, которая обычно возникает каждые 300-900 секунд, обмениваясь небольшими зашифрованными полезными данными со своей инфраструктурой управления.

Стратегии смягчения последствий сосредоточены на отключении узла сценариев Windows, применении строгих мер по уменьшению поверхности атаки (ASR) и использовании методов защиты от PowerShell. Организациям настоятельно рекомендуется избегать загрузки документов из результатов поиска и обеспечить наличие внутренних политик для безопасного поиска шаблонов. Общая оценка угрозы для GootLoader остается повышенной, что подчеркивает эффективность его методик уклонения и непрерывность работы UNC2565.

#ParsedReport #CompletenessMedium
08-11-2025

MUT-4831: Trojanized npm packages deliver Vidar infostealer malware

https://securitylabs.datadoghq.com/articles/mut-4831-trojanized-npm-packages-vidar/

Report completeness: Medium

Actors/Campaigns:
Mut-4831

Threats:
Vidar_stealer
Arkei_stealer
Supply_chain_technique

Victims:
Software development, Open source developers

Geo:
Emea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.007, T1071.001, T1102, T1105, T1195, T1204.002

IOCs:
File: 7
Url: 11
Domain: 14
Command: 1
Email: 2
Hash: 1

Soft:
telegram, Node.js, TikTok, Steam, Microsoft Office, twitter

Algorithms:
zip, sha256

Functions:
Write-Host, Get-Item, executeExe

Languages:
powershell

Links:
https://github.com/Datadog/malicious-software-packages-dataset

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была идентифицирована кампания злоумышленника cluster MUT-4831, включающая 17 вредоносных пакетов npm, которые развертывают вредоносное ПО Vidar -стиллер информации. Эти пакеты маскируются под законные SDK и выполняют сценарий постустановки для установки вредоносного ПО, которое нацелено на конфиденциальную информацию из систем Windows. Этот инцидент примечателен тем, что он представляет собой первое известное распространение Vidar через пакеты npm, подчеркивающее риски безопасности, связанные с реестрами с открытым исходным кодом.
-----

Недавнее исследование Datadog Security выявило кампанию, приписываемую кластеру злоумышленников с именем MUT-4831, включающую 17 пакетов npm (всего 23 выпуска), которые содержат вредоносное ПО-загрузчик. Эти пакеты маскируются под законные SDK, которые обеспечивают реальную функциональность при одновременном выполнении постинсталляционного сценария, который развертывает вредоносное ПО Vidar стиллер информации в системах Windows. Это первый известный инцидент с вредоносным ПО Vidar, распространяемым через пакеты npm.

Реестр npm все чаще становится мишенью для крупных захватов пакетов, что позволяет злоумышленникам использовать его в качестве эффективного средства распространения вредоносного ПО. Несмотря на то, что принимаются меры по противодействию этим злоупотреблениям, ожидается, что такое использование экосистемы нпм будет продолжаться. Печально известный метод, встречающийся в этих вредоносных пакетах, включает в себя выполнение скрипта во время установки. В этом случае Node.js сценарий найден по адресу src/dependencies.js подтверждается, что он вредоносный, следуя типичной цепочке атак, когда изначально установленный облегченный загрузчик загружает более вредоносную полезную нагрузку второго этапа.

Полезная нагрузка второго этапа, выявленная в ходе этой кампании, является вариантом стиллера Vidar, который впервые появился в 2018 году как эволюция более старого Arkei Trojan. Этот исполняемый файл предназначен для кражи конфиденциальной информации из скомпрометированных систем, которая затем может быть продана на подпольных форумах или использована для дальнейших действий по эксплуатации.

Выводы Datadog также включают ссылки на различные контролируемые домены, связанные с кампанией, которые используются для загрузки полезных данных второго этапа или функционируют как инфраструктура командования и контроля (C2). Исследование показывает, что информация, собранная в результате этих атак, является ценным ресурсом, особенно предназначенным для разработчиков, которые имеют доступ к значительным активам.

Таким образом, распространение Vidar с помощью троянских пакетов npm иллюстрирует эволюционирующую тактику, применяемую злоумышленниками, такими как MUT-4831, и подчеркивает присущие уязвимости, присутствующие в реестрах пакетов с открытым исходным кодом, таких как npm. Такая ситуация вызывает серьезные опасения в отношении безопасности Цепочки поставок и постоянной угрозы, которую злонамеренные акторы представляют для ничего не подозревающих пользователей и организаций.

#ParsedReport #CompletenessLow
08-11-2025

PDFChampions YAPA Browser Hijacker/Loader Analysis

https://malasada.tech/pdfchampions-yapa-browser-hijacker-loader-analysis/

Report completeness: Low

Threats:
Pdfchampions
Convert_master
Convertyfile

Victims:
Consumers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1112, T1489, T1608, T1620

IOCs:
Url: 8
File: 4
Hash: 1
Domain: 5

Soft:
Firefox

Algorithms:
sha256

Functions:
SetFF, GetFF

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PDFChampions - это угонщик браузера YAPA, который функционирует как загрузчик кода, в основном распространяясь через рекламу и изменяя настройки поиска в браузере по умолчанию. Он обладает расширенными возможностями, такими как загрузка и выполнение динамического кода непосредственно из памяти, аналогично таким угрозам, как ConvertMaster и ConvertyFile. Примечательно, что он манипулирует процессами Firefox, используя команды fetch для извлечения и компиляции сегментов в ассемблерный код, что повышает его скрытность и эффективность при доставке дополнительной вредоносной полезной нагрузки.
-----

PDFChampions идентифицируется как угонщик браузера YAPA, который представляет значительные риски из-за его возможностей в качестве загрузчика кода. Обычно он распространяется через рекламу, изменяя поисковую систему браузеров по умолчанию. Основной проблемой для этого конкретного угонщика является его способность загружать, компилировать и выполнять динамический код непосредственно из памяти, что повышает уровень его угрозы по сравнению с аналогичными угонщиками, такими как ConvertMaster и ConvertyFile.

Технология выполнения, используемая PDFChampions, имеет сходство с теми, которые используются ConvertMaster и ConvertyFile, манипулирующими процессом установки, чтобы скрыть действия браузера. Такая тактика помогает предотвратить обнаружение пользователями, еще больше закрепляя присутствие угонщика в системе. Функциональность загрузчика вызывает особое беспокойство — доказательства ее работы видны в потоке выполнения кода, где определенные сегменты предназначены для управления процессами Firefox. В этом случае загрузчик использует команду fetch для извлечения сегмента “seof”, впоследствии компилируя его в ассемблерный код перед закрытием всех активных экземпляров Firefox и выполнением дальнейших команд.

Сложность PDFChampions подчеркивает эволюционирующую природу угроз перехвата браузера и использования возможностей загрузчика, которые могут способствовать развертыванию дополнительных вредоносных программ. В нем подчеркивается необходимость проявлять бдительность при распознавании таких угроз, которые умело маскируют свои действия за безобидными фасадами, в то же время осуществляя вредную деятельность в фоновом режиме.

#ParsedReport #CompletenessMedium
08-11-2025

Analysis of Remcos RAT spread in Italy with GLS-themed ClickFix campaign

https://cert-agid.gov.it/news/analisi-di-remcos-rat-diffuso-in-italia-con-campagna-clickfix-a-tema-gls/

Report completeness: Medium

Threats:
Remcos_rat
Clickfix_technique
Formbook
Lumma_stealer

Geo:
Italian, Italy

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1204.002, T1566.001, T1566.002

IOCs:
Domain: 1
Url: 6
IP: 1
Hash: 3

Algorithms:
xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания malspam, нацеленная на частных лиц в Италии, использует бренд GLS для распространения троянца удаленного доступа Remcos (RAT) через поддельную форму повторной доставки с использованием технологии ClickFix, которая основана на социальной инженерии для поощрения взаимодействия пользователей с вредоносным контентом. После запуска Remcos обеспечивает несанкционированный удаленный доступ, позволяя злоумышленникам отслеживать зараженные системы и управлять ими. Кампания подчеркивает тенденцию в тактике киберпреступников, которая увеличивает вероятность успешного заражения в обход традиционных мер безопасности.
-----

В Италии развернулась масштабная кампания malspam, использующая бренд GLS для привлечения частных лиц к заполнению поддельной формы повторной доставки. В этой операции используется метод ClickFix, который за последний год становится все более распространенным для распространения вредоносного ПО. Кампания заманивает пользователей, предлагая им заполнить форму, тем самым обманом заставляя их выполнять вредоносные команды.

Троян удаленного доступа Remcos (RAT) является основным вредоносным ПО, связанным с этой кампанией. Он работает, используя тактику социальной инженерии, чтобы гарантировать, что пользователи с большей вероятностью будут вручную взаимодействовать с вредоносным контентом. После активации Remcos облегчает несанкционированный удаленный доступ к системе жертвы, потенциально позволяя злоумышленникам отслеживать зараженное устройство и управлять им.

Подход ClickFix вызывает особую озабоченность, поскольку он основан на вмешательстве пользователя, которое может обойти некоторые меры безопасности, автоматически отфильтровывающие традиционные угрозы. Этот метод увеличивает вероятность успешного заражения, поскольку пользователи могут не распознать обман вовремя, чтобы принять превентивные меры. Рост числа таких кампаний указывает на изменение тактики киберпреступников, подчеркивая необходимость постоянной бдительности и расширенного информирования пользователей об угрозах фишинга и вредоносного ПО. В целом, этот сценарий подчеркивает продолжающуюся эволюцию киберугроз и изощренность современных методов атаки.

#ParsedReport #CompletenessHigh
09-11-2025

State-Sponsored Remote Wipe Tactics Targeting Android Devices

https://www.genians.co.kr/en/blog/threat_intelligence/android

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Lilith_rat
Endrat
Remcos_rat
Quasar_rat
Rftrat
Xrat_rat

Victims:
Psychological counseling, Human rights advocacy, Government impersonation victims, Individual users via kakaotalk

Geo:
Korean, North korean, Netherlands, Russia, North korea, China, Japan, Korea, Germany

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.003, T1059.007, T1204.002, T1218.007, T1566.001

IOCs:
File: 15
Command: 1
Path: 8
IP: 12
Domain: 8
Hash: 14

Soft:
Android, KakaoTalk, Gmail, Task Scheduler, WordPress

Algorithms:
aes, hmac, md5

Win API:
IoKlTr, CreateProcess

Languages:
autoit