#ParsedReport #CompletenessMedium
01-12-2025

Chinese APT targets Uzbekistan

http://www.tgsoft.it/italy/news_archivio.asp?id=1693

Report completeness: Medium

Threats:
Plugx_rat
Dll_sideloading_technique
Cobalt_strike_tool

Victims:
Government agencies

Industry:
Government

Geo:
Chinese, Uzbekistan

IOCs:
File: 12
Hash: 3
Command: 1
Path: 1

Algorithms:
sha256, xor

Functions:
Set-Variable

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2023 года кампания кибершпионажа, приписываемая китайской APT-группировке, была направлена против правительственных учреждений Узбекистана посредством фишинг-атаки, имитировавшей официальные сообщения Министерства внутренних дел. В электронном письме использовались сложные методы социальной инженерии, чтобы склонить получателей к взаимодействию с ним, впоследствии подвергая их воздействию вредоносного ПО для эксфильтрации данных и слежки. Вредоносное ПО выполнялось скрытно, поддерживало закрепление в скомпрометированных системах и взаимодействовало с серверами командования и контроля, выявляя уязвимости в средствах защиты государственной кибербезопасности.
-----

В ноябре 2023 года Исследовательский центр по борьбе с вредоносным ПО (C.R.A.M.) TG Soft сообщил о кампании кибершпионажа, направленной на различные правительственные учреждения в Узбекистане, приписываемой китайской APT-группировке, занимающейся обработкой "продвинутых постоянных угроз" (advanced persistent threat). Эта кампания, в частности, включала в себя фишинг-атаку, в ходе которой использовалось вредоносное электронное письмо, замаскированное под официальное сообщение Министерства внутренних дел Узбекистана. Электронное письмо было составлено таким образом, чтобы выглядеть законным, и содержало информацию о правовой статистике и цифровых технологиях, которая, вероятно, побудила бы получателей взаимодействовать с ним.

Попытка фишинга характеризовалась изощренной тактикой социальной инженерии, использующей доверие, связанное с правительственными коммуникациями, для побуждения жертв к действию. Когда получатели взаимодействовали с электронной почтой, они подвергались воздействию вредоносного ПО, предназначенного для эксфильтрации данных и слежки, что указывало на намерение злоумышленников завладеть конфиденциальной правительственной информацией. Использование такой тактики подчеркивает эволюционирующий характер киберугроз, когда злоумышленники используют в своих операциях надежные источники, чтобы повысить свои шансы на успех.

Связанное с этим поведение вредоносного ПО иллюстрировало типичные методы APT: скрытное выполнение, поддержание закрепления в скомпрометированной среде и возможность обратной связи с серверами командования и контроля для передачи украденной информации. Этот инцидент служит суровым напоминанием об уязвимостях, затрагивающих правительственные системы, особенно в регионах, где киберзащита может быть менее надежной, что делает их главными мишенями для спонсируемых государством киберопераций.

В конечном счете, эта кампания отражает растущую тенденцию к тому, что APT-группировки все чаще определяют конкретные географические и политические цели, используя индивидуальные стратегии для сбора ценных данных, избегая при этом обнаружения. Поскольку ландшафт киберугроз продолжает развиваться, организации, особенно в уязвимых секторах, таких как правительство, должны повышать свою кибербезопасность путем внедрения комплексных мер безопасности и обучения пользователей, чтобы противостоять таким изощренным атакам.

#ParsedReport #CompletenessHigh
01-12-2025

Attacks of the Striking Panda: APT31 Today

https://ptsecurity.com/research/pt-esc-threat-intelligence/striking-panda-attacks-apt31-today/

Report completeness: High

Actors/Campaigns:
Apt31 (motivation: cyber_espionage)

Threats:
Localplugx
Cloudsorcerer
Coffproxy
Vtchatter
Cloudyloader
Onedrivedoor
Yaleak
Grewapacha
Cobalt_strike_tool
Dll_sideloading_technique
Tailscale_tool
Dev_tunnels_tool
Impacket_tool
Wmiexec_tool
Smbexec_tool
Mimikatz_tool
Passthehash_technique
Radmin_tool
Mstsc_tool
Owowa
Coffloader
Vmprotect_tool
Plugx_rat
Garble_tool

Victims:
It sector

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 9
Technics: 1

IOCs:
File: 34
Path: 9
Command: 4
Registry: 3
Email: 1
Hash: 7

Soft:
MACOSX, Chrome, Unix macOS, Windows Setup, Outlook, Linux, Wolfssl, winlogon, Microsoft OneDrive

Algorithms:
lznt1, base64, rc4, xor, aes, md5, sha256, sha1, ror13

Functions:
Get-WinEvent, Write-Output, GetUserNameW

Win API:
ImpersonateLoggedOnUser, MessageBoxW, ZwAllocateVirtualMemory, ZwWriteVirtualMemory, ZwProtectVirtualMemory, ZwResumeThread, ZwOpenThread, ZwSuspendThread, ZwClose, ZwSetContextThread, have more...

Languages:
golang

Links:
https://github.com/evilashz/SharpADUserIP
https://github.com/GhostPack/SharpDPAPI
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT31, группа кибершпионажа, нацеленная на российский ИТ-сектор, использует различные вредоносные ПО, такие как AufTime, COFFProxy и VtChatter, маскируя их под законное программное обеспечение для установления связи через Облачные сервисы. Они получают первоначальный доступ через файлы быстрого доступа и DLL sideloading, используя такие уязвимости, как BugSplatRc64.dll , и использовать инструменты, позволяющие избежать обнаружения, включая шифрование RC4 для связи. Их методы отражают сочетание передовой и эволюционирующей тактики, демонстрируя приверженность укреплению оперативных возможностей и поддержанию постоянной угрозы.
-----

APT31 - группа, известная промышленным шпионажем и кражей интеллектуальной собственности, активно атаковала российский ИТ-сектор с 2024 по 2025 год. Они используют различные типы инструментов для вредоносного ПО, включая AufTime, COFFProxy, VtChatter, YaLeak, CloudyLoader и OneDriveDoor, которые они маскируют под законное программное обеспечение, чтобы облегчить свою работу и установить двусторонние каналы связи через Облачные сервисы, в основном российские хостинги.

Чтобы получить первоначальный доступ, APT31 использует такие методы, как файлы быстрого доступа (LNK) и методы DLL sideloading, в частности, используя BugSplatRc64.dll , наряду с разнообразными стратегиями полезной нагрузки. Их защита от обнаружения включает использование туннелей разработки Microsoft с помощью таких инструментов, как devtunnel.exe и локальные инструменты, такие как LocalPlugx, которые могут выполняться с помощью таких процессов, как winlogon.exe и msiexec.exe .

Их инструмент VtChatter использует кодировку Base64 и шифрование RC4, демонстрируя техническую изощренность, которая помогает защитить их коммуникации. Компонент CloudyLoader работает по протоколу HTTPS на порту 443 с определенными параметрами, такими как время ожидания 77 665 миллисекунд и назначенный сервер C2 (Moeodincovo.com ) для командных и контрольных функций. Определенная строка UserAgent предполагает, что вредоносное ПО имитирует законный трафик, чтобы избежать обнаружения.

OneDriveDoor также использует DLL sideloading, интегрируясь со стандартными процессами и используя RC4 для шифрования. Вредоносное ПО оснащено сложными средствами эксфильтрации, что указывает на постоянное стремление APT31's к совершенствованию своего инструментария. Их недавняя деятельность отражает сочетание старого и нового, поскольку они постоянно расширяют свой арсенал дополнительными бэкдорными функциями, поддерживая свой статус постоянной угрозы сектору. Изощренность их атак, включая точное определение времени и использование командных сценариев, подчеркивает передовую тактику APT31's и постоянные оперативные возможности.

#ParsedReport #CompletenessLow
01-12-2025

DNS Uncovers Infrastructure Used in SSO Attacks

https://blogs.infoblox.com/threat-intelligence/dns-uncovers-infrastructure-used-in-sso-attacks/

Report completeness: Low

Threats:
Evilginx_tool
Aitm_technique
Mitm_technique

Victims:
Education

Industry:
Education

Geo:
California

ChatGPT TTPs:
do not use without manual check
T1550.004, T1566.002

IOCs:
Domain: 68
IP: 15

Languages:
javascript

Platforms:
intel

Links:
https://github.com/kgretzky/evilginx2
have more...
https://github.com/infobloxopen/threat-intelligence/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы, нацеленные на студенческие порталы единого входа (SSO), были связаны с злоумышленником, использующим Evilginx 3.0, усовершенствованный инструмент фишинга для атак Злоумышленник посередине (MITM). Этот актор с апреля 2025 года нацелился по меньшей мере на 18 университетов США, используя тактику социальной инженерии с помощью персонализированных электронных писем и фишингов URL-адресов, которые точно имитируют законные домены единого входа. Изощренность Evilginx включает в себя такие функции, как TLS-сертификаты с подстановочными знаками, что делает обнаружение все более сложным для традиционных мер кибербезопасности.
-----

Недавние киберугрозы, нацеленные на студенческие порталы единого входа (SSO), были приписаны злоумышленнику, использующему Evilginx, передовую платформу фишинга, предназначенную для выполнения атак типа "Злоумышленник посередине" (MITM). Этот инструмент, в частности версия 3.0, популярен среди киберпреступников, стремящихся обойти Многофакторную аутентификацию (MFA), и был связан с атаками по меньшей мере на 18 университетов в США с апреля 2025 года. Злоумышленник осуществлял эти кампании в основном с помощью электронных писем, содержащих ссылки TinyURL, которые перенаправляли пользователей на фишингов -страницы, созданные с помощью фишлетов Evilginx's, описывающих взаимодействие между устройством жертвы и аутентичными сайтами. Каждый URL-адрес для фишинга был создан таким образом, чтобы точно имитировать законный домен единого входа, часто с поддоменами, которые отражали веб-адрес реального учреждения.

Кампании специально использовали тактику социальной инженерии, отправляя студентам персонализированные электронные письма, которые приводили их к вредоносным URL-адресам, срок действия которых мог быстро истечь. Однако остатки этих атак по-прежнему можно обнаружить с помощью анализа Passive DNS. Используемые поддомены были намеренно спроектированы таким образом, чтобы они выглядели законными и очень напоминали реальные страницы входа в систему. Например, один из URL-адресов для фишинга имитировал страницу единого входа в Рочестерский технологический институт, используя поддомен с аналогичным префиксом.

Обнаружение этих угроз усложняется из-за растущей сложности Evilginx. Его новейшие функции, включая использование TLS-сертификатов с подстановочными знаками и передовые методы снятия отпечатков пальцев для фильтрации ботов, значительно снизили частоту обнаружения с помощью инструментов кибербезопасности. Последствия заключаются в том, что традиционные методы обнаружения могут с трудом поспевать за этой эволюционирующей тактикой. Тем не менее, общепринятые методы, такие как мониторинг доменных имен на предмет наличия отпечатков пальцев операций, по-прежнему предоставляют возможные пути для смягчения последствий таких атак.

Организациям рекомендуется блокировать определенные домены, связанные с актором Evilginx, чтобы усилить защиту DNS и снизить риски, связанные с этими сложными кампаниями фишинга. Постоянная координация между злоумышленниками и постоянное совершенствование их инструментов подчеркивает необходимость бдительности и адаптивных стратегий защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
01-12-2025

Frankenstein in a smartphone: a new hybrid of NFCGate and RatOn Trojan is being prepared to attack Russian bank customers

https://www.f6.ru/blog/raton/

Report completeness: Medium

Actors/Campaigns:
Overload

Threats:
Nfcgate_tool
Raton
Craxsrat
Supercard
Smartapp

Victims:
Bank customers, Cryptocurrency wallet users, Czech bank customers, Russian speaking users

Industry:
Education, Financial

Geo:
Brazil, Russia, Italy, Germany, Ukrainian, Czech, Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1407, T1411, T1412, T1444, T1452, T1464, T1476

IOCs:
File: 3
Hash: 9

Soft:
Android, TikTok, RuStore, WhatsApp, Telegram, Viber

Wallets:
metamask

Algorithms:
md5, sha256, sha1

Functions:
setMode

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появилось гибридное вредоносное ПО, нацеленное на клиентов российских банков, интегрирующее функции NFCGate и RatOn RAT, при этом Маскировка под поддельное приложение TikTok на Android. Он использует платформы мобильного банкинга и поведение пользователей, используя вредоносный APK-файл и интерфейс WebView для атак, включая методы ретрансляции NFC и кражу криптографических данных. Вредоносное ПО разработано для локализованных операций, в частности, с акцентом на чешские банковские приложения, с использованием передовой тактики эксфильтрации данных и стойких заражений, которые маскируют его действия.
-----

Появилось новое гибридное вредоносное ПО, сочетающее в себе возможности троянца удаленного доступа NFCGate и RatOn (RAT RAT), специально предназначенное для клиентов российских банков. Это вредоносное ПО маскируется под поддельное приложение TikTok на устройствах Android и было разработано для использования уязвимостей как в поведении пользователей, так и в системах мобильного банкинга.

Это вредоносное ПО работает путем инициирования вредоносного APK-файла, который взаимодействует с вредоносным веб-ресурсом через элемент WebView. Он использует встроенный JavaScript для облегчения своих атак. Использование NFCGate особенно примечательно, поскольку оно позволяет проводить атаки с использованием NFC-ретрансляции. При такой настройке вредоносное ПО RatOn предвосхищает отправляемые сервером команды, такие как команда "nfs", и реагирует на них, выполняя вредоносные действия и инициируя установку без согласия пользователя.

Функциональные возможности RatOn's выходят за рамки NFC-атак; он может участвовать в краже криптовалют и специально нацелен на банковские приложения. Например, получив команду “перевод”, RatOn активирует соответствующее мобильное банковское приложение, потенциально используя его для манипулирования финансовыми транзакциями, о чем свидетельствует команда, связанная с приложением чешского банка. Это подчеркивает способность вредоносного ПО к сложной эксфильтрации данных и финансовым манипуляциям.

Вредоносное ПО обладает расширенными возможностями по сбору информации об устройстве, управлению Данными из буфера обмена и поддержанию постоянного присутствия на зараженных устройствах с помощью уведомлений, замаскированных под законные сервисы. Кроме того, RatOn может отображать наложенные окна, скрывая свои действия от жертв и выдавая интерфейс за законный.

Тщательный анализ показывает, что RatOn в первую очередь ориентирован на граждан Чехии, о чем свидетельствует его локализация для взаимодействия с чешскими банковскими приложениями. Включение локализованных элементов интерфейса и специальных PIN-кодов подтверждает предположение о том, что эта атака методично спланирована для целевой аудитории.

В свете этой угрозы пользователям рекомендуется проявлять крайнюю осторожность при общении с неизвестными контактами в службах обмена сообщениями и избегать перехода по подозрительным ссылкам или загрузки приложений из непроверенных источников. Официальные магазины приложений должны быть единственным источником загрузки приложений, и пользователи должны внимательно проверять отзывы, чтобы убедиться в легитимности приложений. Крайне важно соблюдать правила защиты банковских данных и оперативно устранять любые проблемы, связанные с потенциальным взломом учетных записей.

#ParsedReport #CompletenessHigh
01-12-2025

A Tsunami Sweeping the Cyber Battlefield Analysis of SectorA01s Hacking Activities

https://medium.com/@nshcthreatrecon/a-tsunami-sweeping-the-cyber-battlefield-analysis-of-sectora01s-hacking-activities-e4d006baae2f

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Anydesk_tool
Lolbin_technique
Pyobfuscate_tool
Beavertail
Invisibleferret

Victims:
Cryptocurrency industry, Individual users, Companies, Public institutions, Software developers

Industry:
Government, Financial

Geo:
Brazil, United kingdom, North korea, North korean, Russia

TTPs:
Tactics: 5
Technics: 22

IOCs:
File: 20
Url: 11
IP: 5
Path: 1
Domain: 1

Soft:
Electron, Node.js, curl, Linux, chrome, Google Chrome, Task Scheduler, Windows Defender, Opera, Microsoft Store, have more...

Algorithms:
xor, zip, base64, sha256

Functions:
startServer, eval, download_payload, hk_loop, ssh_run, bro_down, download_browse, ss_upd, ld, ss_upf, have more...

Win API:
decompress, ShellExecuteW

Languages:
javascript, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SectorA01, северокорейская хакерская группа, также известная как Lazarus, усиливает атаки на криптовалютные активы с использованием универсального Tsunami Malware. Это вредоносное ПО использует многоэтапный процесс выполнения, начиная с вредоносного торгового приложения, и извлекает конфиденциальные данные, такие как учетные данные для входа в систему и информация о криптовалютном кошельке. Он создает бэкдор для дальнейшей эксплуатации, включая Регистрацию нажатий клавиш и удаленное управление, используя при этом передовые методы обхода, такие как disabling antivirus-меры и использование внешних ресурсов, чтобы оставаться незамеченным.
-----

SectorA01, аффилированный с Северной Кореей, нацелен на криптовалютные активы для получения финансовой выгоды и национальных проектов. Группа использует Tsunami malware для использования уязвимостей в криптовалютных транзакциях. Атака начинается с вредоносного торгового приложения, что приводит к многоэтапному процессу выполнения вредоносного ПО. Первоначальное Выполнение с участием пользователя позволяет вредоносному ПО на основе JavaScript динамически загружать дополнительные полезные данные. Вредоносное ПО собирает конфиденциальные данные, включая информацию для входа в браузер и криптовалютные кошельки, и отправляет их по указанному пути загрузки. Черный ход устанавливается с помощью main3_102.py скрипт, загружающий дополнительные полезные данные для кражи пользовательской информации и удаленного управления. Бэкдор взаимодействует с сервером злоумышленника для Регистрации нажатий клавиш и сбора файлов. Pastebin используется для запутывания командно-диспетчерской связи, чтобы избежать обнаружения. Вредоносное ПО использует методы living-off-the-land, используя официальные инструменты, такие как Python. Tsunami malware отключает защитник Windows, самоудаляется и удаляет следы после заражения. Его инфраструктура включает общедоступные веб-серверы для первоначальной полезной нагрузки и элементы Dark Web для управления. Основная цель состоит в том, чтобы отфильтровать учетные данные и данные кредитной карты, облегчая Кражу денежных средств и более глубокое проникновение в систему.

#ParsedReport #CompletenessLow
01-12-2025

ByteToBreach: A Deep Dive into a Persistent Data Leak Operator

https://www.kelacyber.com/blog/bytetobreach-a-deep-dive-into-a-persistent-data-leak-operator/

Report completeness: Low

Actors/Campaigns:
Bytetobreach (motivation: cyber_criminal, financially_motivated)

Threats:
Supply_chain_technique
Raccoon_stealer
Stealc

Victims:
Airlines, Banks, Governments, Healthcare

Industry:
Healthcare, Education, Aerospace, Government, Financial

Geo:
Cyprus, Singapore, Uzbekistan, Ukraine, Algeria, Kazakhstan, Chile, Poland

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1110, T1190, T1583.001

Soft:
Telegram, WordPress, ProtonMail, Gmail, Instagram

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ByteToBreach - это киберпреступная группировка, продающая конфиденциальные данные из таких секторов, как авиакомпании, банковское дело, здравоохранение и правительство, нацеленная на множество стран, включая США и Украину. Они используют известные уязвимости в облачных и корпоративных инфраструктурах, используя такие методы, как повторное использование учетных данных, фишинг, атаки брутфорсом и использование неправильных конфигураций. Основная цель - эксфильтрация данных, которую они продвигают через поддельный сайт, имитирующий законного поставщика услуг, демонстрируя заявления об успешных нарушениях.
-----

ByteToBreach идентифицирован как опытный киберпреступник, занимающийся продажей конфиденциальных данных, украденных из различных крупных секторов, включая авиакомпании, банковское дело, здравоохранение и государственные учреждения. Актор продемонстрировал широкий географический охват, затронув организации в таких странах, как Украина, Казахстан, Кипр, Польша и Соединенные Штаты. Используемые данные включают в себя списки пассажиров авиакомпаний, записи банковских служащих и базы данных здравоохранения. Многие из претензий, выдвинутых ByteToBreach, были подтверждены подтверждениями от затронутых компаний или наличием технических артефактов, подтверждающих нарушения.

Методы, используемые ByteToBreach, предполагают использование известных уязвимостей в облачной и корпоративной инфраструктуре. Актор использует комбинацию методов, включая повторное использование украденных учетных данных, полученных от стиллеров информации и кампаний фишинга. Кроме того, для получения первоначального доступа используются атаки с использованием брутфорса или использование неправильно сконфигурированных систем. Основной целью при проникновении является эксфильтрация данных, нацеленная на конфиденциальные записи сотрудников, базы данных, резервные копии и критически важные документы. Эти украденные материалы затем продаются или публикуются в сети, чтобы подтвердить заявления актора и привлечь потенциальных покупателей.

В рамках интересной маркетинговой стратегии ByteToBreach в августе 2025 года создала веб-сайт под названием "Pentesting Ltd", призванный имитировать внешний вид законного поставщика услуг. На сайте отображаются логотипы компаний, которые он якобы взломал, наряду с такими фразами, как "Позвольте мне нанести вред вашим данным" и "Скомпрометировать ваши серверы самым мощным вторжением". Веб-сайт также содержит сфабрикованную статистику, свидетельствующую об удовлетворенности клиентов, и включает в себя заявления об отказе от ответственности, предостерегающие от контактов с лицами, связанными с терроризмом или педофилией.

#ParsedReport #CompletenessLow
01-12-2025

Coin miner malware continuously distributed via USB

https://asec.ahnlab.com/ko/91280/

Report completeness: Low

Threats:
Dirtybulk
Cutfail
Xmrig_miner
Process_hacker_tool
Selfdel
Trojan/win.evo-gen.r731187
Coinminer
Trojan/win.miner3.r512976
Trojan/bat.runner.s3110
Trojan/vbs.runner.s3111

Victims:
Cryptocurrency mining, Users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1059.005, T1082, T1091, T1105, T1112, T1140, T1204.002, T1562.001, T1564.001

IOCs:
File: 11

Soft:
Windows Defender, Process Explorer

Crypto:
monero

Algorithms:
md5

Functions:
TaskMgr

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4