#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Экспертный центр безопасности Positive Technologies выявил вредоносное ПО KrustyLoader в атаках, использующих уязвимости RCE zero-day в Ivanti Connect Secure, впервые обнаруженные в январе 2024 года. Группа QuietCrabs использовала это вредоносное ПО наряду с Веб-шеллом ASPX для выполнения команд и загрузчиком JSP, связанным с эксплойтами Java, нацеленным на несколько отраслей промышленности, преимущественно в России. Их тактика включала разведку, использование уязвимостей, таких как CVE-2025-53770, выполнение команд через PowerShell и получение учетных данных с помощью незащищенных значений SharePoint, что указывает на очень сложную стратегию атаки.
-----

Команда Positive Technologies Expert Security Center (PT ESC) в ходе своего расследования обнаружила вредоносное ПО KrustyLoader, которое впервые было обнаружено в январе 2024 года при атаках с использованием уязвимостей удаленного выполнения кода zero-day (RCE) в защищенном продукте Ivanti Connect. Первоначально созданный для Linux, позже были найдены версии KrustyLoader для Windows. Группа QuietCrabs была идентифицирована как основной пользователь этого вредоносного ПО, использующая его для нацеливания на различные отрасли промышленности в России и за ее пределами.

Чтобы укрепить свои позиции, QuietCrabs внедрили ASPX- Веб-шелл, который позволяет выполнять произвольные команды в скомпрометированных системах, возвращая результаты команд в виде обычного текста. Веб-шелл принимает два параметра: "cmd" для команды для выполнения и "timeout" для максимального времени выполнения. Группа также использовала в своих атаках загрузчик JSP, связанный с эксплойтами приложений Java, при этом основная роль KrustyLoader's заключалась в расшифровке URL-адресов, ведущих к загрузке полезной нагрузки, выполнении этих полезных нагрузок и внедрении их в целевые процессы.

Расследования выявили второстепенную группу, которая действовала одновременно с QuietCrabs, но использовала другие инструменты и добавляла больше шума к своим атакам, что облегчало обнаружение их деятельности. В их действиях наблюдалась заметная корреляция: QuietCrabs часто проявляли активность вскоре после группы Thor, что позволяет предположить, что QuietCrabs могли остаться незамеченными в скомпрометированной инфраструктуре, если бы не присутствие другой группы.

Анализ выявил примерно 110 российских компаний, потенциально подвергшихся воздействию группы Thor, которые использовали прямолинейные атаки, которые можно было бы смягчить или сдержать с помощью хорошо структурированных мер по кибербезопасности.

С точки зрения тактики, группа QuietCrabs продемонстрировала различное поведение, которое согласуется с концепцией MITRE ATT&CK. Их операции включали методы разведки, такие как Поиск уязвимостей и приобретение инфраструктуры с помощью таких сервисов, как Amazon S3 и DigitalOcean для серверов командования и контроля. Они использовали множество уязвимостей, включая CVE-2025-53770, для получения первоначального доступа и выполнения команд через PowerShell. Они установили закрепление с помощью Веб-шелла и обошли защиту, внедрив свои компоненты в такие процессы, как explorer.exe и запутывание файлов с использованием кодировки Base64.

Более того, получение учетных данных было достигнуто путем использования уязвимостей, которые позволяли получать незащищенные значения SharePoint. Методы обнаружения группы включали использование скриптов для сбора данных о конфигурации сети, и они установили командную и контрольную связь по Веб-протоколам наряду с использованием размещенных файлов в Amazon S3. Этот многогранный подход демонстрирует изощренность группы QuietCrabs и подчеркивает потенциальное воздействие их операций.

#ParsedReport #CompletenessMedium
01-12-2025

New Mac malware DigitStealer can steal your files, passwords, and browser data

https://moonlock.com/new-mac-malware-digitstealer

Report completeness: Medium

Threats:
Digitstealer
Clickfix_technique
Amos_stealer
Banshee
Macc_stealer
Typosquatting_technique

Victims:
Mac users, Cryptocurrency users

Industry:
Financial

Geo:
Asia, North korea, Hong kong

ChatGPT TTPs:
do not use without manual check
T1033, T1041, T1053.003, T1056.002, T1059.007, T1071.001, T1112, T1204.002, T1480, T1497.003, have more...

IOCs:
Url: 3
Domain: 1

Soft:
macOS, Ledger Live, Instagram

Languages:
javascript, applescript

Platforms:
apple, arm

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DigitStealer - это сложное вредоносное ПО для macOS, которое нацелено на файлы, пароли и данные браузера, в основном распространяемые через видеоролики YouTube. Он использует JavaScript для автоматизации (JXA) для закрепления и методов уклонения, включая региональные проверки, чтобы избежать обнаружения. Ключевые функциональные возможности включают в себя создание вводящих в заблуждение всплывающих окон для сбора учетных данных и изменение конфигураций Ledger Live для перенаправления транзакций, и все это при создании бэкдора для постоянного доступа и эксплуатации скомпрометированной системы.
-----

DigitStealer - это новое вредоносное ПО для macOS, идентифицированное Jamf Threat Labs, которое демонстрирует сложные методы кражи данных, нацеливаясь на файлы, пароли и данные браузера. Вредоносное ПО в основном распространяется через видеоролики на YouTube, используя приманки большого объема, потенциально с помощью спонсируемой рекламы. Его сложность указывает на то, что злоумышленник обладает глубоким пониманием безопасности macOS и ресурсов, необходимых для такого распространения.

Одним из примечательных технических аспектов работы DigitStealer's является использование JavaScript для автоматизации (JXA), который он использует для выполнения механизмов закрепления, гарантирующих, что вредоносное ПО остается скрытым в зараженной системе. После установки DigitStealer проводит несколько региональных проверок, чтобы избежать обнаружения или заражения в районах, где могут работать акторы, таким образом избегая проверки. Если эти проверки проходят успешно, вредоносное ПО инициирует свою атаку.

Первая полезная нагрузка вредоносного ПО направлена на захват системных паролей Mac путем генерации обманчивого всплывающего уведомления, выдающего себя за законный запрос учетных данных. Эти украденные имена пользователей и пароли впоследствии отправляются на сервер управления (C2). Другая полезная нагрузка специально изменяет конфигурации приложения Ledger Live, перенаправляя конечные точки транзакций на сервер, контролируемый злоумышленником, вместо установки поддельного приложения. Этот метод позволяет злоумышленнику манипулировать законным программным обеспечением, не привлекая внимания.

Для поддержания долгосрочного доступа четвертая полезная нагрузка DigitStealer's устанавливает механизмы закрепления, создавая бэкдор, который позволяет в дальнейшем использовать скомпрометированную систему. Этот бэкдор предоставляет злоумышленникам возможность вернуться, установить дополнительное вредоносное ПО, изменить настройки и собрать новые данные с зараженного Mac.

Учитывая растущую угрозу, исходящую от DigitStealer, пользователям Mac крайне важно внедрять лучшие практики в области цифровой безопасности. Рекомендации включают использование надежных антивирусных средств, адаптированных для macOS, блокирование сетевого трафика в подозрительных регионах и загрузку приложений исключительно из проверенных источников для снижения риска заражения. Появление DigitStealer подчеркивает меняющийся ландшафт распространения вредоносного ПО, нацеленного на macOS, подчеркивая необходимость принятия бдительных мер по кибербезопасности.

#ParsedReport #CompletenessMedium
01-12-2025

Chinese APT targets Uzbekistan

http://www.tgsoft.it/italy/news_archivio.asp?id=1693

Report completeness: Medium

Threats:
Plugx_rat
Dll_sideloading_technique
Cobalt_strike_tool

Victims:
Government agencies

Industry:
Government

Geo:
Chinese, Uzbekistan

IOCs:
File: 12
Hash: 3
Command: 1
Path: 1

Algorithms:
sha256, xor

Functions:
Set-Variable

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2023 года кампания кибершпионажа, приписываемая китайской APT-группировке, была направлена против правительственных учреждений Узбекистана посредством фишинг-атаки, имитировавшей официальные сообщения Министерства внутренних дел. В электронном письме использовались сложные методы социальной инженерии, чтобы склонить получателей к взаимодействию с ним, впоследствии подвергая их воздействию вредоносного ПО для эксфильтрации данных и слежки. Вредоносное ПО выполнялось скрытно, поддерживало закрепление в скомпрометированных системах и взаимодействовало с серверами командования и контроля, выявляя уязвимости в средствах защиты государственной кибербезопасности.
-----

В ноябре 2023 года Исследовательский центр по борьбе с вредоносным ПО (C.R.A.M.) TG Soft сообщил о кампании кибершпионажа, направленной на различные правительственные учреждения в Узбекистане, приписываемой китайской APT-группировке, занимающейся обработкой "продвинутых постоянных угроз" (advanced persistent threat). Эта кампания, в частности, включала в себя фишинг-атаку, в ходе которой использовалось вредоносное электронное письмо, замаскированное под официальное сообщение Министерства внутренних дел Узбекистана. Электронное письмо было составлено таким образом, чтобы выглядеть законным, и содержало информацию о правовой статистике и цифровых технологиях, которая, вероятно, побудила бы получателей взаимодействовать с ним.

Попытка фишинга характеризовалась изощренной тактикой социальной инженерии, использующей доверие, связанное с правительственными коммуникациями, для побуждения жертв к действию. Когда получатели взаимодействовали с электронной почтой, они подвергались воздействию вредоносного ПО, предназначенного для эксфильтрации данных и слежки, что указывало на намерение злоумышленников завладеть конфиденциальной правительственной информацией. Использование такой тактики подчеркивает эволюционирующий характер киберугроз, когда злоумышленники используют в своих операциях надежные источники, чтобы повысить свои шансы на успех.

Связанное с этим поведение вредоносного ПО иллюстрировало типичные методы APT: скрытное выполнение, поддержание закрепления в скомпрометированной среде и возможность обратной связи с серверами командования и контроля для передачи украденной информации. Этот инцидент служит суровым напоминанием об уязвимостях, затрагивающих правительственные системы, особенно в регионах, где киберзащита может быть менее надежной, что делает их главными мишенями для спонсируемых государством киберопераций.

В конечном счете, эта кампания отражает растущую тенденцию к тому, что APT-группировки все чаще определяют конкретные географические и политические цели, используя индивидуальные стратегии для сбора ценных данных, избегая при этом обнаружения. Поскольку ландшафт киберугроз продолжает развиваться, организации, особенно в уязвимых секторах, таких как правительство, должны повышать свою кибербезопасность путем внедрения комплексных мер безопасности и обучения пользователей, чтобы противостоять таким изощренным атакам.

#ParsedReport #CompletenessHigh
01-12-2025

Attacks of the Striking Panda: APT31 Today

https://ptsecurity.com/research/pt-esc-threat-intelligence/striking-panda-attacks-apt31-today/

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage)

Threats:
Localplugx
Cloudsorcerer
Coffproxy
Vtchatter
Cloudyloader
Onedrivedoor
Yaleak
Grewapacha
Cobalt_strike_tool
Dll_sideloading_technique
Tailscale_tool
Dev_tunnels_tool
Impacket_tool
Wmiexec_tool
Smbexec_tool
Mimikatz_tool
Passthehash_technique
Radmin_tool
Mstsc_tool
Owowa
Coffloader
Vmprotect_tool
Plugx_rat
Garble_tool

Victims:
It sector

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 9
Technics: 1

IOCs:
File: 34
Path: 9
Command: 4
Registry: 3
Email: 1
Hash: 7

Soft:
MACOSX, Chrome, Unix macOS, Windows Setup, Outlook, Linux, Wolfssl, winlogon, Microsoft OneDrive

Algorithms:
lznt1, base64, rc4, xor, aes, md5, sha256, sha1, ror13

Functions:
Get-WinEvent, Write-Output, GetUserNameW

Win API:
ImpersonateLoggedOnUser, MessageBoxW, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwResumeThread, ZwOpenThread, ZwSuspendThread, ZwClose, ZwSetContextThread, have more...

Languages:
golang

Links:
https://github.com/evilashz/SharpADUserIP
https://github.com/GhostPack/SharpDPAPI
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT31, группа кибершпионажа, нацеленная на российский ИТ-сектор, использует различные вредоносные ПО, такие как AufTime, COFFProxy и VtChatter, маскируя их под законное программное обеспечение для установления связи через Облачные сервисы. Они получают первоначальный доступ через файлы быстрого доступа и DLL sideloading, используя такие уязвимости, как BugSplatRc64.dll , и использовать инструменты, позволяющие избежать обнаружения, включая шифрование RC4 для связи. Их методы отражают сочетание передовой и эволюционирующей тактики, демонстрируя приверженность укреплению оперативных возможностей и поддержанию постоянной угрозы.
-----

APT31 - группа, известная промышленным шпионажем и кражей интеллектуальной собственности, активно атаковала российский ИТ-сектор с 2024 по 2025 год. Они используют различные типы инструментов для вредоносного ПО, включая AufTime, COFFProxy, VtChatter, YaLeak, CloudyLoader и OneDriveDoor, которые они маскируют под законное программное обеспечение, чтобы облегчить свою работу и установить двусторонние каналы связи через Облачные сервисы, в основном российские хостинги.

Чтобы получить первоначальный доступ, APT31 использует такие методы, как файлы быстрого доступа (LNK) и методы DLL sideloading, в частности, используя BugSplatRc64.dll , наряду с разнообразными стратегиями полезной нагрузки. Их защита от обнаружения включает использование туннелей разработки Microsoft с помощью таких инструментов, как devtunnel.exe и локальные инструменты, такие как LocalPlugx, которые могут выполняться с помощью таких процессов, как winlogon.exe и msiexec.exe .

Их инструмент VtChatter использует кодировку Base64 и шифрование RC4, демонстрируя техническую изощренность, которая помогает защитить их коммуникации. Компонент CloudyLoader работает по протоколу HTTPS на порту 443 с определенными параметрами, такими как время ожидания 77 665 миллисекунд и назначенный сервер C2 (Moeodincovo.com ) для командных и контрольных функций. Определенная строка UserAgent предполагает, что вредоносное ПО имитирует законный трафик, чтобы избежать обнаружения.

OneDriveDoor также использует DLL sideloading, интегрируясь со стандартными процессами и используя RC4 для шифрования. Вредоносное ПО оснащено сложными средствами эксфильтрации, что указывает на постоянное стремление APT31's к совершенствованию своего инструментария. Их недавняя деятельность отражает сочетание старого и нового, поскольку они постоянно расширяют свой арсенал дополнительными бэкдорными функциями, поддерживая свой статус постоянной угрозы сектору. Изощренность их атак, включая точное определение времени и использование командных сценариев, подчеркивает передовую тактику APT31's и постоянные оперативные возможности.

#ParsedReport #CompletenessLow
01-12-2025

DNS Uncovers Infrastructure Used in SSO Attacks

https://blogs.infoblox.com/threat-intelligence/dns-uncovers-infrastructure-used-in-sso-attacks/

Report completeness: Low

Threats:
Evilginx_tool
Aitm_technique
Mitm_technique

Victims:
Education

Industry:
Education

Geo:
California

ChatGPT TTPs:
do not use without manual check
T1550.004, T1566.002

IOCs:
Domain: 68
IP: 15

Languages:
javascript

Platforms:
intel

Links:
https://github.com/kgretzky/evilginx2
have more...
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы, нацеленные на студенческие порталы единого входа (SSO), были связаны с злоумышленником, использующим Evilginx 3.0, усовершенствованный инструмент фишинга для атак Злоумышленник посередине (MITM). Этот актор с апреля 2025 года нацелился по меньшей мере на 18 университетов США, используя тактику социальной инженерии с помощью персонализированных электронных писем и фишингов URL-адресов, которые точно имитируют законные домены единого входа. Изощренность Evilginx включает в себя такие функции, как TLS-сертификаты с подстановочными знаками, что делает обнаружение все более сложным для традиционных мер кибербезопасности.
-----

Недавние киберугрозы, нацеленные на студенческие порталы единого входа (SSO), были приписаны злоумышленнику, использующему Evilginx, передовую платформу фишинга, предназначенную для выполнения атак типа "Злоумышленник посередине" (MITM). Этот инструмент, в частности версия 3.0, популярен среди киберпреступников, стремящихся обойти Многофакторную аутентификацию (MFA), и был связан с атаками по меньшей мере на 18 университетов в США с апреля 2025 года. Злоумышленник осуществлял эти кампании в основном с помощью электронных писем, содержащих ссылки TinyURL, которые перенаправляли пользователей на фишингов -страницы, созданные с помощью фишлетов Evilginx's, описывающих взаимодействие между устройством жертвы и аутентичными сайтами. Каждый URL-адрес для фишинга был создан таким образом, чтобы точно имитировать законный домен единого входа, часто с поддоменами, которые отражали веб-адрес реального учреждения.

Кампании специально использовали тактику социальной инженерии, отправляя студентам персонализированные электронные письма, которые приводили их к вредоносным URL-адресам, срок действия которых мог быстро истечь. Однако остатки этих атак по-прежнему можно обнаружить с помощью анализа Passive DNS. Используемые поддомены были намеренно спроектированы таким образом, чтобы они выглядели законными и очень напоминали реальные страницы входа в систему. Например, один из URL-адресов для фишинга имитировал страницу единого входа в Рочестерский технологический институт, используя поддомен с аналогичным префиксом.

Обнаружение этих угроз усложняется из-за растущей сложности Evilginx. Его новейшие функции, включая использование TLS-сертификатов с подстановочными знаками и передовые методы снятия отпечатков пальцев для фильтрации ботов, значительно снизили частоту обнаружения с помощью инструментов кибербезопасности. Последствия заключаются в том, что традиционные методы обнаружения могут с трудом поспевать за этой эволюционирующей тактикой. Тем не менее, общепринятые методы, такие как мониторинг доменных имен на предмет наличия отпечатков пальцев операций, по-прежнему предоставляют возможные пути для смягчения последствий таких атак.

Организациям рекомендуется блокировать определенные домены, связанные с актором Evilginx, чтобы усилить защиту DNS и снизить риски, связанные с этими сложными кампаниями фишинга. Постоянная координация между злоумышленниками и постоянное совершенствование их инструментов подчеркивает необходимость бдительности и адаптивных стратегий защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
01-12-2025

Frankenstein in a smartphone: a new hybrid of NFCGate and RatOn Trojan is being prepared to attack Russian bank customers

https://www.f6.ru/blog/raton/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Nfcgate_tool
Raton
Craxsrat
Supercard
Smartapp

Victims:
Bank customers, Cryptocurrency wallet users, Czech bank customers, Russian speaking users

Industry:
Education, Financial

Geo:
Brazil, Russia, Italy, Germany, Ukrainian, Czech, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1407, T1411, T1412, T1444, T1452, T1464, T1476

IOCs:
File: 3
Hash: 9

Soft:
Android, TikTok, RuStore, WhatsApp, Telegram, Viber

Wallets:
metamask

Algorithms:
md5, sha256, sha1

Functions:
setMode

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилось гибридное вредоносное ПО, нацеленное на клиентов российских банков, интегрирующее функции NFCGate и RatOn RAT, при этом Маскировка под поддельное приложение TikTok на Android. Он использует платформы мобильного банкинга и поведение пользователей, используя вредоносный APK-файл и интерфейс WebView для атак, включая методы ретрансляции NFC и кражу криптографических данных. Вредоносное ПО разработано для локализованных операций, в частности, с акцентом на чешские банковские приложения, с использованием передовой тактики эксфильтрации данных и стойких заражений, которые маскируют его действия.
-----

Появилось новое гибридное вредоносное ПО, сочетающее в себе возможности троянца удаленного доступа NFCGate и RatOn (RAT RAT), специально предназначенное для клиентов российских банков. Это вредоносное ПО маскируется под поддельное приложение TikTok на устройствах Android и было разработано для использования уязвимостей как в поведении пользователей, так и в системах мобильного банкинга.

Это вредоносное ПО работает путем инициирования вредоносного APK-файла, который взаимодействует с вредоносным веб-ресурсом через элемент WebView. Он использует встроенный JavaScript для облегчения своих атак. Использование NFCGate особенно примечательно, поскольку оно позволяет проводить атаки с использованием NFC-ретрансляции. При такой настройке вредоносное ПО RatOn предвосхищает отправляемые сервером команды, такие как команда "nfs", и реагирует на них, выполняя вредоносные действия и инициируя установку без согласия пользователя.

Функциональные возможности RatOn's выходят за рамки NFC-атак; он может участвовать в краже криптовалют и специально нацелен на банковские приложения. Например, получив команду “перевод”, RatOn активирует соответствующее мобильное банковское приложение, потенциально используя его для манипулирования финансовыми транзакциями, о чем свидетельствует команда, связанная с приложением чешского банка. Это подчеркивает способность вредоносного ПО к сложной эксфильтрации данных и финансовым манипуляциям.

Вредоносное ПО обладает расширенными возможностями по сбору информации об устройстве, управлению Данными из буфера обмена и поддержанию постоянного присутствия на зараженных устройствах с помощью уведомлений, замаскированных под законные сервисы. Кроме того, RatOn может отображать наложенные окна, скрывая свои действия от жертв и выдавая интерфейс за законный.

Тщательный анализ показывает, что RatOn в первую очередь ориентирован на граждан Чехии, о чем свидетельствует его локализация для взаимодействия с чешскими банковскими приложениями. Включение локализованных элементов интерфейса и специальных PIN-кодов подтверждает предположение о том, что эта атака методично спланирована для целевой аудитории.

В свете этой угрозы пользователям рекомендуется проявлять крайнюю осторожность при общении с неизвестными контактами в службах обмена сообщениями и избегать перехода по подозрительным ссылкам или загрузки приложений из непроверенных источников. Официальные магазины приложений должны быть единственным источником загрузки приложений, и пользователи должны внимательно проверять отзывы, чтобы убедиться в легитимности приложений. Крайне важно соблюдать правила защиты банковских данных и оперативно устранять любые проблемы, связанные с потенциальным взломом учетных записей.

#ParsedReport #CompletenessHigh
01-12-2025

A Tsunami Sweeping the Cyber Battlefield Analysis of SectorA01s Hacking Activities

https://medium.com/@nshcthreatrecon/a-tsunami-sweeping-the-cyber-battlefield-analysis-of-sectora01s-hacking-activities-e4d006baae2f

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Anydesk_tool
Lolbin_technique
Pyobfuscate_tool
Beavertail
Invisibleferret

Victims:
Cryptocurrency industry, Individual users, Companies, Public institutions, Software developers

Industry:
Government, Financial

Geo:
Brazil, United kingdom, North korea, North korean, Russia

TTPs:
Tactics: 5
Technics: 22

IOCs:
File: 20
Url: 11
IP: 5
Path: 1
Domain: 1

Soft:
Electron, Node.js, curl, Linux, chrome, Google Chrome, Task Scheduler, Windows Defender, Opera, Microsoft Store, have more...

Algorithms:
xor, zip, base64, sha256

Functions:
startServer, eval, download_payload, hk_loop, ssh_run, bro_down, download_browse, ss_upd, ld, ss_upf, have more...

Win API:
decompress, ShellExecuteW

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SectorA01, северокорейская хакерская группа, также известная как Lazarus, усиливает атаки на криптовалютные активы с использованием универсального Tsunami Malware. Это вредоносное ПО использует многоэтапный процесс выполнения, начиная с вредоносного торгового приложения, и извлекает конфиденциальные данные, такие как учетные данные для входа в систему и информация о криптовалютном кошельке. Он создает бэкдор для дальнейшей эксплуатации, включая Регистрацию нажатий клавиш и удаленное управление, используя при этом передовые методы обхода, такие как disabling antivirus-меры и использование внешних ресурсов, чтобы оставаться незамеченным.
-----

SectorA01, аффилированный с Северной Кореей, нацелен на криптовалютные активы для получения финансовой выгоды и национальных проектов. Группа использует Tsunami malware для использования уязвимостей в криптовалютных транзакциях. Атака начинается с вредоносного торгового приложения, что приводит к многоэтапному процессу выполнения вредоносного ПО. Первоначальное Выполнение с участием пользователя позволяет вредоносному ПО на основе JavaScript динамически загружать дополнительные полезные данные. Вредоносное ПО собирает конфиденциальные данные, включая информацию для входа в браузер и криптовалютные кошельки, и отправляет их по указанному пути загрузки. Черный ход устанавливается с помощью main3_102.py скрипт, загружающий дополнительные полезные данные для кражи пользовательской информации и удаленного управления. Бэкдор взаимодействует с сервером злоумышленника для Регистрации нажатий клавиш и сбора файлов. Pastebin используется для запутывания командно-диспетчерской связи, чтобы избежать обнаружения. Вредоносное ПО использует методы living-off-the-land, используя официальные инструменты, такие как Python. Tsunami malware отключает защитник Windows, самоудаляется и удаляет следы после заражения. Его инфраструктура включает общедоступные веб-серверы для первоначальной полезной нагрузки и элементы Dark Web для управления. Основная цель состоит в том, чтобы отфильтровать учетные данные и данные кредитной карты, облегчая Кражу денежных средств и более глубокое проникновение в систему.

#ParsedReport #CompletenessLow
01-12-2025

ByteToBreach: A Deep Dive into a Persistent Data Leak Operator

https://www.kelacyber.com/blog/bytetobreach-a-deep-dive-into-a-persistent-data-leak-operator/

Report completeness: Low

Actors/Campaigns:
Bytetobreach (motivation: cyber_criminal, financially_motivated)

Threats:
Supply_chain_technique
Raccoon_stealer
Stealc

Victims:
Airlines, Banks, Governments, Healthcare

Industry:
Healthcare, Education, Aerospace, Government, Financial

Geo:
Cyprus, Singapore, Uzbekistan, Ukraine, Algeria, Kazakhstan, Chile, Poland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1110, T1190, T1583.001

Soft:
Telegram, WordPress, ProtonMail, Gmail, Instagram

Platforms:
cross-platform