#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-53, или Gamaredon, использует CVE-2025-8088 в WinRAR для атак с обходом пути в рамках кампании spear phishing, нацеленной на украинские государственные структуры. Деятельность группы подчеркивает значительный риск кражи разведывательных данных, подчеркивая необходимость повышения бдительности в отношении таких развивающихся киберугроз. Закрепление Gamaredon's иллюстрирует текущие проблемы в области кибербезопасности, с которыми сталкиваются правительственные организации.
-----

В apt-c-53 группа, также известная как Gamaredon, активно эксплуатируя уязвимость CVE-2025-8088, уязвимость в WinRAR, которая позволяет для обхода пути атаки. Этот эксплуатации является частью более широкой Spear phishing копье для украинских правительственных учреждений в 2025 году, отметив постоянную угрозу, группа представляет в плане краж разведки. В докладе подчеркивается необходимость организации в целях повышения их информированности по вопросам безопасности и защитных мер. Это включает укрепление протоколы шифрования секретной информации, осуществляет строгий контроль доступа, и принимает активные меры для снижения рисков утечки информации, связанные с подобной злонамеренной кибернетической деятельности. Gamaredon Gamaredon подчеркивают исключительную важность кибербезопасность кибербезопасность в условиях новых угроз.

#ParsedReport #CompletenessMedium
03-12-2025

Malicious VSCode Extension Launches Multi-Stage Attack Chain with Anivia Loader and OctoRAT

https://hunt.io/blog/malicious-vscode-extension-anivia-octorat-attack-chain

Report completeness: Medium

Threats:
Anivia
Octorat
Process_hollowing_technique
Uac_bypass_technique
Fodhelper_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Software developers, Vscode users

Industry:
Entertainment, E-commerce

Geo:
Netherlands, Germany

TTPs:
Tactics: 10
Technics: 18

IOCs:
IP: 7
File: 5
Path: 4
Registry: 3
Command: 2
Hash: 4

Soft:
VSCode, Visual Studio Code, Windows COM, NET Framework, Windows security, Chrome, Firefox, Windows Task Scheduler, Windows service, Windows Firewall, have more...

Wallets:
bitcoincore, electrum, exodus_wallet, atomicwallet, coinomi

Crypto:
bitcoin, ethereum

Algorithms:
base64, zip, aes-256, cbc, aes, sha256

Languages:
visual_basic, powershell, python

Links:
https://github.com/biwwwwwwwwwww/vscode
have more...
https://github.com/biwwwwwwwwwww/vscode/commits/main/

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение кода Visual Studio "prettiervscodeplus" представляло угрозу для Цепочки поставок, имитируя легальный инструмент и способствуя многоэтапной атаке с помощью загрузчика Anivia и вредоносного ПО OctoRAT. Загрузчик Anivia использует VBScript для создания файла PowerShell и использует шифрование AES-256 наряду с Внедрением в пустой процесс для ввода своей полезной нагрузки. OctoRAT, после активации, выполняет такие функции, как кража данных, удаленный доступ и UAC bypass с помощью уязвимости FodHelper, что подчеркивает риск взлома инструментов разработчика.
-----

Вредоносное расширение кода Visual Studio "prettiervscodeplus" было обнаружено на VSCode Marketplace. Он имитировал легитимный форматировщик Prettier и служил каналом для многоэтапной атаки с использованием загрузчика Anivia и вредоносного ПО OctoRAT. Расширение было доступно в течение короткого периода времени, что привело всего к шести загрузкам, прежде чем оно было удалено. Эта атака является примером Компрометации цепочки поставок, которая использовала доверие разработчиков к популярным инструментам.

Атака была инициирована с помощью загрузчика VBScript, который выполнял операции через COM-объекты Windows и создавал временный файл PowerShell. Загрузчик Anivia, проанализированный с помощью его кода на C#, использует жестко закодированный массив зашифрованных байтов для хранения полезной нагрузки, которую он расшифровывает в памяти с использованием шифрования AES-256 в режиме CBC. Этот загрузчик также использует Внедрение в пустой процесс, чтобы внедрить свою полезную нагрузку в процесс компилятора Visual Basic. Впоследствии полезная нагрузка третьей ступени, OctoRAT, активирует механизмы управления после ввода и использует различные методы для кражи данных и удаленного доступа.

OctoRAT является сложной системой, предоставляющей широкие возможности, включая удаленный доступ к рабочему столу, сбор учетных записей браузера и закрепление за запланированными задачами. Вредоносное ПО пытается UAC bypass, используя уязвимость FodHelper, которая позволяет ему работать с повышенными привилегиями. Его команды позволяют ему выполнять произвольные скрипты, извлекать конфиденциальные данные, такие как учетные данные Wi-Fi и информация о кошельке криптовалюты, а также устанавливать функции обратного прокси, эффективно превращая зараженные машины в инфраструктуру атаки.

Обнаружение этого вредоносного ПО включает мониторинг подозрительных установок вредоносного расширения, отслеживание необычной сетевой активности с помощью процесса компиляции Visual Basic и выявление попыток доступа к известным серверам управления. Экземпляр характеризуется веб-Панелью управления, используемой злоумышленником для управления операциями этого ботнет. Учитывая вредоносный характер функциональных возможностей OctoRAT's, его развертывание иллюстрирует тревожную тенденцию в ориентации на разработчиков с помощью надежных платформ, подчеркивая необходимость повышенных мер безопасности в средах разработки. Этот инцидент служит важным напоминанием о развивающихся угрозах в Цепочках поставок программного обеспечения, особенно в том, что касается инструментов разработчика.

#ParsedReport #CompletenessMedium
03-12-2025

From KPOT to Koi: The privatisation of a stealer family

https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/from-kpot-to-koi.html

Report completeness: Medium

Actors/Campaigns:
White_dev_192
Pinchy_spider

Threats:
Kpot_stealer
Koiloader
Koibackdoor
Koi_stealer
Koifusion
Cuckoo_stealer
Revil
Junk_code_technique
Cryptowallet-draining_technique
Amadey
Rustdoor

Victims:
Users of messaging apps, Online gaming users, Crypto wallet users, Crypto trading users, Browser users, Email client users, Vpn client users, Ftp client users

Industry:
Entertainment

Geo:
Dprk, Ukrainian, Belarusian, Russian, North korea

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1053.005, T1105, T1106, T1204.002, T1497, T1543.001, T1547, have more...

IOCs:
Hash: 271
File: 6
Url: 2

Soft:
macOS, Windows Task Scheduler, Firefox, Mozilla Firefox, Google Chrome, Microsoft Edge, Opera, Discord, WinSCP, Steam, Chromium, have more...

Wallets:
electron_cash, jaxx, guarda_wallet, bitpay, mymonero, coinomi, daedalus, wassabi, exodus_wallet, trezor, have more...

Crypto:
ethereum, monero

Algorithms:
xor, sha256

Win API:
FindResourceW, LoadResource, SizeOfResource, GetUserDefaultLangID, ShellExecuteW, InitiateSystemShutdownExW, SeShutdownPrivilege, CreateStreamOnHGlobal

Languages:
javascript

Platforms:
cross-platform

Links:
https://github.com/PwCUK-CTO/TI-blog-2025-From-KPOT-to-Koi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Koi, стиллер информации, являющийся эволюцией KPOT, знаменует собой переход от общедоступного к более эксклюзивному ландшафту угроз. Он работает в Windows с тремя компонентами: KoiLoader, KoiBackdoor и KoiStealer. KoiLoader скрывает свою деятельность, в то время как KoiStealer фокусируется на краже данных из целевых приложений, таких как платформы обмена сообщениями и криптовалютные клиенты; также появился вариант macOS под названием KoiFusion, поддерживающий схожую архитектуру и тактику скрытности в обеих операционных системах.
-----

Стиллер Koi представляет собой значительную эволюцию по сравнению с более ранним вредоносным ПО KPOT, переходя от общедоступной модели к более эксклюзивному, контролируемому ландшафту угроз. Появившись на форумах BlackHat в 2018 году, KPOT перешел в приватизированный вариант после того, как его исходный код был продан с аукциона UNKN, физическому лицу, связанному с REvil ransomware group. Результатом этого преобразования стала разработка Koi, которая является не просто ребрендированной версией KPOT, а скорее обновленной и модульной структурой вредоносного ПО.

Koi работает в Windows с тремя основными компонентами: KoiLoader, KoiBackdoor и KoiStealer. Первый этап, KoiLoader, разработан в виде двоичного файла C++, который использует методы шифрования для сокрытия своей деятельности. Он динамически разрешает вызовы Windows API, используя пользовательский алгоритм хэширования, эффективно запутывая свои операции, чтобы избежать обнаружения. Этот загрузчик расшифровывает и загружает KoiBackdoor, который проводит предварительную проверку, чтобы определить, находится ли зараженная система внутри Содружества Независимых Государств, и оценивает, запущена ли она в виртуальной среде. KoiBackdoor служит двойным целям, предоставляя KoiStealer, а также позволяя злоумышленникам выдавать дополнительные команды.

KoiStealer - это полезная нагрузка на базе .NET, отвечающая за основную функциональность кражи данных. Он осуществляет сбор данных, может загружать и запускать дополнительные модули, а также поддерживает целевую эксфильтрацию файлов. Примечательно, что как Koi, так и его предшественники имеют определенные операционные сходства, такие как ориентация на конкретные приложения, имеющие отношение к краже учетных данных, включая платформы обмена сообщениями, клиенты онлайн-игр и криптовалютные приложения.

Семейство Koi также распространилось на macOS, причем вариант, известный как KoiFusion, впервые появился примерно в марте 2025 года. Эта разработка подчеркивает адаптивность вредоносного ПО Koi, поддерживая согласованную архитектуру и способ работы как на платформах Windows, так и на macOS. Оба варианта включают проверку языка операционной системы хоста, хотя и с различным поведением по умолчанию, и они используют схожую структуру управления для связи со своими серверами. Кроме того, тактика обработки отфильтрованных данных в памяти сводит к минимуму количество журналов на физических дисках, что еще больше расширяет возможности скрытности.

По мере того как Koi и связанная с ним инфраструктура становятся все более укоренившимися, ландшафт кибербезопасности может столкнуться с проблемами, связанными с различием между основными поставщиками услуг вредоносного ПО и более сложными и менее заметными частными экосистемами, что усложняет обнаружение и атрибуцию.

#ParsedReport #CompletenessHigh
05-12-2025

Weyhro C2: Because Ransomware Wasnt Paying the Bills Anymore

https://lumma-labs.com/weyhro-c2-because-ransomware-wasnt-paying-the-bills-anymore-b136fd7ef100

Report completeness: High

Threats:
Weyhro-c2_tool
Proxychains_tool
Hvnc_tool
Process_injection_technique
Process_hollowing_technique

Industry:
Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055.001, T1055.012, T1059.003, T1070.004, T1090.003, T1105, T1106, T1562.001, have more...

IOCs:
File: 4
Path: 3
Hash: 3
IP: 1

Soft:
Event Tracing for Windows, Local Security Authority

Algorithms:
xor, aes, aes-128, aes-128-ctr, chacha20

Functions:
FindFirstFile, FindNextFile, CreateRemoteThread-based, send

Win API:
CreateFileW, GetFileSize, VirtualAlloc, ReadFile, CloseHandle, EtwEventWrite, AmsiScanBuffer, SHGetFolderPathW, GetFileAttributesW, RegOpenKeyExA, have more...

Win Services:
bits

Platforms:
x86, x64

YARA: Found

Links:
https://github.com/RussianPanda95/Yara-Rules/blob/main/WeyhroC2/win\_mal\_weyhroc2.yar?source=post\_page-----b136fd7ef100---------------------------------------

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Weyhro C2 демонстрирует передовые методы, такие как Внедрение в пустой процесс и командно-контрольные коммуникации (C2), избегая обнаружения с помощью шифрования ChaCha20 для расшифровки пути и disabling Event Tracing для Windows (ETW). Он устанавливается в папку AppData пользователя для закрепления и использует скрытые виртуальные сетевые вычисления (HVNC) для скрытых операций. Уязвимость существует из-за незашифрованных текстовых сообщений с сервером C2, представляющих возможность для перехвата.
-----

Вредоносное ПО Weyhro C2 представляет собой переход от традиционных программ-вымогателей к более универсальным возможностям, демонстрируя передовые методы закрепления, Внедрения кода в процесс и коммуникации командования и контроля (C2).

Ключевой особенностью вредоносного ПО Weyhro C2 является его эффективный метод обхода систем обнаружения конечных точек и реагирования (EDR). Вредоносное ПО начинается с использования шифрования ChaCha20 для расшифровки пути к Windows ntdll.dll файл, тем самым позволяя маскировать вредоносные операции. Кроме того, в нем используется простой метод исправления для отключения трассировки событий для Windows (ETW), который помогает предотвратить обнаружение путем перезаписи первого байта функции EtwEventWrite в ntdll.dll .

Для закрепление на вредоносное ПО устанавливается в папку AppData пользователя, проверяя существующие файлы перед копированием себя для обеспечения чистой установки. Этот метод гарантий против избыточность и увеличивает его шансы на повторное исполнение после перезагрузки системы.

Weyhro C2 способен к Внедрению в пустой процесс, вводя вредоносный код специально в законные процессы, такие как cmd.exe . Это достигается путем шифрования пути целевого процесса и манипулирования несколькими API, необходимыми для управления процессом, чтобы выполнить внедрение без срабатывания аварийных сигналов.

Кроме того, он использует скрытые виртуальные сетевые вычисления (HVNC), обеспечивая удаленный доступ к системе с помощью полностью невидимого сеанса работы на рабочем столе. Это дает злоумышленникам возможность действовать незаметно, поскольку любые действия, выполняемые в этом скрытом состоянии, не будут видны пользователю.

Значительные возможности включают в себя функцию сброса заявок Kerberos, позволяющую извлекать конфиденциальные токены аутентификации из местного органа безопасности, что может облегчить дальнейшее перемещение внутри компании в целевой среде.

Вредоносное ПО содержит загрузчик, который разрешает API Windows, используя поиск по хэшу вместо стандартного импорта, что повышает скрытность операции. Что касается файловых операций, то он эффективно обрабатывает команды, передаваемые с сервера C2, интерпретируя и выполняя эти действия в соответствии с указанными путями к файлам.

Weyhro C2 поддерживает несколько команд, таких как создание прокси-сервера SOCKS5 на компьютере жертвы, предоставляя злоумышленнику средства для маршрутизации трафика в частном порядке. Он также реализует механизм обратной оболочки, который захватывает и перенаправляет стандартные потоки ввода-вывода, позволяя злоумышленнику закрепиться в системе. Команда heartbeat облегчает постоянную связь с сервером C2, гарантируя, что имплантат остается работоспособным.

Однако заметной уязвимостью в этом вредоносном ПО является использование незашифрованного открытого текста для связи C2. Несмотря на использование методов шифрования для сокрытия определенных аспектов полезной нагрузки, отсутствие шифрования фактических данных, отправляемых на C2 и с него, выявляет существенный недостаток, который может быть использован для обнаружения или перехвата сообщений вредоносного ПО.

#ParsedReport #CompletenessMedium
06-12-2025

Inside Shanya, a packer-as-a-service fueling modern attacks

https://news.sophos.com/en-us/2025/12/06/inside-shanya-a-packer-as-a-service-fueling-modern-attacks/

Report completeness: Medium

Threats:
Shanya_tool
Edr-killer
Heartcrypt_tool
Armillaria
Bumblebee
Chuchuka
Lumma_stealer
Stealc
Nightshade
Junk_code_technique
Dll_sideloading_technique
Akira_ransomware
Medusa_ransomware
Qilin_ransomware
Crytox
Clickfix_technique

Geo:
Russia, Russian, China, Austria, Switzerland, Tunisia, Czech, Czechia

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1497.001, T1562.001, T1622

IOCs:
Hash: 4
File: 15
Url: 2

Soft:
Telegram, ThrottleStop

Algorithms:
sha256

Functions:
getPEB

Win API:
RtlDeleteFunctionTable, LdrLoadDll

Languages:
powershell

Links:
https://github.com/hasherezade/pe-sieve
have more...
https://github.com/sophoslabs/IoCs

#ParsedReport #ExtractedSchema

Classified images:
table: 1, code: 9, dump: 7, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Криптер Shanya, появившийся в конце 2024 года, является важным пакетным сервисом, используемым группами вымогателей для маскировки вредоносного ПО, сменив HeartCrypt. Он использует блок среды процесса (PEB) для хранения данных и использует методы динамического разрешения Windows API, расширяя возможности уклонения. Связанная с кампанией CastleRAT, нацеленной на гостиничный сектор, Shanya действует как EDR killer, подрывая меры безопасности и создавая серьезную угрозу.
-----

Появление шифровальщика Shanya представляет собой значительное развитие в предложениях "упаковщик как услуга" в экосистеме киберпреступников, особенно пользующихся популярностью у групп вымогателей. Первоначально упоминавшийся на подпольных форумах ближе к концу 2024 года, Shanya получил признание за свою способность маскировать вредоносное ПО, сменив более ранний сервис HeartCrypt. Ранние образцы шифровальщика Shanya содержали идентифицируемые артефакты, такие как исполняемый файл с именем shanya_crypter.exe , подчеркивая его специфическую функцию в среде вредоносного ПО.

Географически к концу 2025 года в Shanya было зафиксировано широкое распространение инфекций во всех четырех полушариях, хотя некоторые страны сообщили о более высоких показателях заболеваемости на душу населения. Глубоко техническая разработка Shanya включает в себя использование блока среды процесса (PEB) для безопасного хранения важных данных, таких как адреса API, что помогает выполнять полезную нагрузку без обнаружения. Вредоносное ПО динамически разрешает функции Windows API путем анализа структуры PEB_LDR_DATA, используя пользовательский алгоритм хэширования, который меняется в зависимости от каждого образца, тем самым улучшая методы обхода.

Shanya включает в себя различные анти-анализ меры, такие как вызов RtlDeleteFunctionTable с недопустимые аргументы для создания необработанных исключений, если программа запускается в отладчике. Эта тактика направлена на то, чтобы помешать как автоматическому, так и ручному анализу, тем самым сохраняя его функциональность до тех пор, пока не будет выполнена вредоносная полезная нагрузка.

Само вредоносное ПО связано с кампанией распространения, известной как CastleRAT, которая, как сообщается, нацелена на гостиничный сектор. В этих атаках Shanya служит защитным слоем для вредоносного ПО, специально классифицируемого как средство уничтожения EDR (Endpoint Detection and Response), целью которого является подрыв мер безопасности, что делает вредоносное ПО особенно опасным.

Для борьбы с этими угрозами Sophos определила несколько сигнатур обнаружения для Shanya, включая варианты с маркировкой ATK/Shanya-B, ATK/Shanya-C и ATK/Shanya-D для борьбы с этими угрозами. Продолжающаяся эволюция предложений packer-as-a-service в сочетании с EDR killers предполагает наличие постоянной угрозы, обусловленной финансовыми стимулами для киберпреступников. Эти события указывают на то, что такие сложные типы вредоносного ПО, вероятно, будут продолжать развиваться и создавать проблемы для кибербезопасности в будущем.

#ParsedReport #CompletenessMedium
05-12-2025

CVE-2025-55182 (React2Shell) Opportunistic Exploitation In The Wild: What The GreyNoise Observation Grid Is Seeing So Far

https://www.greynoise.io/blog/cve-2025-55182-react2shell-opportunistic-exploitation-in-the-wild-what-the-greynoise-observation-grid-is-seeing-so-far

Report completeness: Medium

Threats:
React2shell_vuln
Mirai
Amsi_bypass_technique

Victims:
Web applications, Software development platforms

Geo:
Netherlands, Hong kong, China

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.001, T1082, T1105, T1190

IOCs:
File: 9
Command: 6
Url: 5
Domain: 3
IP: 1
Coin: 1

Soft:
Slack, Chrome, curl

Functions:
GetField, SetValue

Win Services:
Webclient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, или React2Shell, используется злоумышленниками, которые нацеливаются на логику приложения с производственными разрешениями, что позволяет легко обнаруживать и использовать его с помощью таких инструментов, как BuiltWith и Wappalyzer. Эксплойты обычно начинаются с сканирования на наличие уязвимостей с использованием автоматизированных методов, включая низкоуровневые команды PowerShell для проверки выполнения. Эта кампания отражает современную тактику, направленную на кражу учетных данных, криптомайнинг, внедрение программ-вымогателей и продажу доступа к скомпрометированным средам, с акцентом на высокопроизводительные эксплойты.
-----

CVE-2025-55182, также известный как React2Shell, был идентифицирован как объект оппортунистической эксплуатации. Эта уязвимость важна, поскольку React2Shell позволяет злоумышленникам напрямую взаимодействовать с логикой приложения, которая часто работает с производственными разрешениями. Злоумышленники могут легко обнаруживать и эксплуатировать незащищенные сервисы, используя такие инструменты, как BuiltWith и Wappalyzer, что приводит к широкомасштабным и системным компрометациям.

Начальные этапы эксплуатации обычно включают в себя оппортунистические процессы сканирования и проверки, характеризующиеся выполнением "дешевых математических" команд PowerShell, предназначенных для проверки proof-of-execution (PoE). Наблюдаемый трафик указывает на то, что в кампаниях доминирует автоматизация, при этом заметные строки пользовательского агента, такие как "Assetnote/1.0.0 в Chrome 60", сигнализируют о системном подходе к поиску уязвимостей.

Кампания демонстрирует характеристики, типичные для современной оперативной тактики, хотя она была описана как "не новая" и "несерьезная". Эти операции часто приводят к целому ряду вредоносных последствий, включая кражу учетных данных, попытки криптомайнинга, внедрение программ-вымогателей или перепродажу доступных сред другим злоумышленникам. Акцент на высокопроизводительные эксплойты соответствует современным стратегиям атак, где целью часто является максимальное воздействие за счет автоматизации и широкого использования.

Чтобы улучшить обнаружение и реагирование, группам безопасности следует сосредоточиться на мониторинге действий конечных точек, особенно на создании процессов и помеченных операциях, использующих закодированные команды PowerShell в сочетании с другими подозрительными примитивами. Такое проактивное наблюдение может помочь выявить и смягчить воздействие такого рода кампаний до того, как они перерастут в более серьезные угрозы.

#ParsedReport #CompletenessMedium
03-12-2025

Investigating Indonesias Gambling Ecosystem: Indicators of National-Level Cyber Operations

https://www.malanta.ai/blog-posts/investigating-indonesias-gambling-ecosystem-indicators-of-national-level-cyber-operations

Report completeness: Medium

Threats:
Typosquatting_technique
Credential_harvesting_technique
Gsocket_tool
Domain_fronting_technique

Victims:
Government, Education, Healthcare, Manufacturing, Transport

Industry:
Healthcare, Government, E-commerce, Education, Financial

Geo:
Chinese, Mexican, Ecuador, Apac, Indonesia, Asia, Indonesian

TTPs:
Tactics: 7
Technics: 11

IOCs:
Url: 1
File: 4
Domain: 2

Soft:
Android, WordPress, Slack, Instagram, TikTok, WhatsApp, Docker, ORB network, NGINX

Languages:
php

Links:
https://github.com/malanta-ai/iopas/tree/main/Indonesian-Gambling-Infrastructure

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 2, code: 1, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая государством операция по борьбе с киберпреступностью в Индонезии, связанная с сложной целенаправленной угрозой (APT), действует уже более 14 лет и в основном сосредоточена на незаконных азартных играх. Операция включает в себя масштабный захват домена, использование уязвимостей в приложениях WordPress и PHP для перенаправления пользователей на сайты азартных игр с использованием бэкдоров, таких как GSocket, для постоянного доступа. Кроме того, тысячи вредоносных APK-файлов распространяются через скомпрометированную экосистему Android, при этом значительное количество украденных учетных данных собирается и продается на подпольных рынках.
-----

Исследование выявило масштабную операцию по борьбе с киберпреступностью, спонсируемую государством в Индонезии, которая действует уже более 14 лет и в значительной степени связана с незаконными азартными играми. Эта инфраструктура, относящаяся к сложной системе защиты от сложных целенаправленных угроз (APT), работает с замечательными ресурсами, типичными для акторов государственного уровня, и состоит из более чем 328 000 доменов, включая 90 125 взломанных доменов и 236 433 купленных домена. Кампания использует обширные методы захвата доменов, в первую очередь нацеленные на организации и государственные учреждения из различных секторов. Показатели его деятельности включают использование обратных прокси-серверов, завершающих работу по протоколу TLS, для сокрытия трафика command and control (C2) и облегчения кражи файлов cookie на скомпрометированных сайтах.

Методы эксплуатации APT в основном связаны с использованием уязвимостей в приложениях на базе WordPress и PHP. Злоумышленники получают доступ к законным веб-сайтам с помощью этих уязвимостей, перехватывая существующий контент, чтобы перенаправить пользователей на азартные игры. Это включает в себя создание новых каталогов на затронутых сайтах для размещения спам-контента и установку бэкдоров, в частности, использование бэкдора, известного как GSocket, для постоянного доступа. Кроме того, злоумышленники также манипулируют просроченными записями DNS и зависшими доменами, чтобы укрепить свои позиции.

Значительная часть этой операции связана с вредоносной экосистемой Android, размещенной на AWS S3, где распространяются тысячи файлов APK, предназначенных как для кражи данных, так и для направления пользователей на сайты азартных игр. Исследование выявило более 51 000 украденных учетных данных, связанных с этой инфраструктурой, часто собранных со взломанных игровых платформ и зараженных устройств, которые затем продаются на подпольных рынках.

Рекламные аспекты сайтов азартных игр также были в значительной степени интегрированы в различные платформы Социальных сетей, со значительной заметностью в таких сетях, как Facebook, Instagram, TikTok и других, что указывает на сложную рекламную стратегию привлечения пользователей.

Архитектура операции предполагает намерения замаскировать возможности C2 за фасадом азартных игр, что потенциально служит двойным целям для акторов — способствовать незаконному азартному играм, а также участвовать в более широкой киберпреступной деятельности. Важнейшие показатели деятельности этого актора указывают на его глубокие связи в регионе Азиатско-Тихоокеанского региона, что позволяет предположить наличие в нем сотрудников, говорящих на индонезийском и, возможно, на китайском языках.

Контрмеры включают в себя надежный аудит DNS на наличие уязвимостей, усовершенствование протоколов безопасности для конфиденциальных веб-приложений и обнаружение вредоносной инфраструктуры с помощью сетевой аналитики для выявления необычных моделей исходящего трафика. Комплексный характер инфраструктуры требует повышенной бдительности и упреждающих мер по снижению воздействия и устранению рисков поглощения, связанных с захваченными доменами и скомпрометированными учетными данными.