#ParsedReport #CompletenessMedium
08-12-2025

Operation Tornado: Cyber Espionage Against Domestic Xinchuang Platforms

https://mp.weixin.qq.com/s/qcsO7RYvM1gTGnjeianfPw

Report completeness: Medium

Actors/Campaigns:
Operation_tornado (motivation: cyber_espionage)
Oceanlotus (motivation: cyber_espionage)
Operation_typhoon (motivation: cyber_espionage)
Nighteagle (motivation: cyber_espionage)
Utg-q-008 (motivation: cyber_espionage)
Hurricane (motivation: cyber_espionage)
Transparenttribe (motivation: cyber_espionage)
Operation_oceanstorm (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
Government networks, Cctf platforms, Domestic xinchuang platforms, Homegrown systems

Industry:
Government, Iot, Energy

Geo:
China, Asia-pacific, India

ChatGPT TTPs:
do not use without manual check
T1041, T1566

IOCs:
File: 3
Hash: 9

Soft:
Linux, Openssl, pyinstaller

Algorithms:
zip, md5

Win API:
CreateThread

Win Services:
bits

Languages:
python, rust, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation Tornado - это заметная кампания кибершпионажа, нацеленная на внутренние платформы Sintron в Китае, в частности на терминалы CCTF, которые содержат конфиденциальные правительственные данные. Первоначально связанная с группой Sea Lotus, она привлекла внимание нескольких APT-группировок, таких как APT-Q-95 и UTG-Q-008, целью которых является получение несанкционированного доступа к критически важной информации для потенциального влияния на национальную политику. Это подчеркивает уязвимости в государственных инфраструктурах обработки данных, эксплуатируемые спонсируемыми государством кибер-акторами.
-----

Operation Tornado представляет собой масштабную кампанию кибершпионажа, направленную в первую очередь на внутренние платформы Sintron в Китае. Первоначально сообщалось в 2022 году, эта операция была первой, связанных с Sea Lotus группы во время их нападения на внутренних систем, особенно консультативным комитетом времени и частоты терминалов. Эти терминалы имеют решающее значение, так как они хранят конфиденциальные данные, относящиеся к деятельности правительства.

Последующий мониторинг выявил, что различные APT-группировка с расширенными возможностями защиты от постоянных угроз (advanced persistent threat), включая APT-Q-95 и UTG-Q-008, а также неустановленная группа, продолжали атаковать эти платформы CCTF и связанные с ними правительственные сети. Цель, стоящая за этими атаками, заключается в получении несанкционированного доступа к ценным правительственным данным, которые могут быть использованы для понимания национальной политики и стратегических разработок или вмешательства в них. Акцент на внутренних платформах подчеркивает сохраняющиеся уязвимости в инфраструктурах государственных данных и подчеркивает постоянную угрозу, исходящую от спонсируемых государством кибер-акторов, стремящихся использовать эти слабые места в целях шпионажа.

#ParsedReport #CompletenessMedium
08-12-2025

APT44 - Sandworm Team

https://blog.synapticsystems.de/apt44-sandworm-team/

Report completeness: Medium

Actors/Campaigns:
Sandworm (motivation: information_theft, sabotage, cyber_espionage)

Threats:
Spear-phishing_technique
Credential_dumping_technique
Adminer
Prestige_ransomware
Killdisk
Olympic_destroyer
Eternal_petya
Industoyer2
Credential_harvesting_technique
Chisel_tool
Swiftslicer
Vpnfilter
Kalambur
Brushpass
Sharpivory
Arguepatch_loader
Lolbin_technique

Victims:
Government organizations, Military, Critical infrastructure, High value private sector, Western corporations, Defense contractors

Industry:
Ics, Military, Critical_infrastructure, Energy, Government, Aerospace

Geo:
Ukrainian, Russia, Russian

TTPs:
Tactics: 13
Technics: 34

Soft:
Windows Service, Systemd, Android, Active Directory

Algorithms:
base64, gzip

Languages:
powershell, visual_basic

Links:
https://github.com/Mr128Bit/apt-malware-samples/tree/main/APT44/VPNFilter
have more...
https://github.com/Mr128Bit/apt-malware-samples/tree/main/APT44/Industroyer
https://github.com/Mr128Bit/apt-malware-samples/tree/main/APT44/Kalambur

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT44, связанная с российским ГРУ, нацелена на западные корпорации и правительственные учреждения для киберсаботажа и кражи данных с использованием специальных инструментов и вредоносного ПО. Их операции основаны на тактике living-off-the-land, вредоносном ПО для модульных маршрутизаторов и деструктивных очистителях, нацеленных на промышленные системы управления, что приводит к значительным сбоям в работе критически важной инфраструктуры. APT44 уделяет большое внимание оперативной безопасности, используя методы защиты от обнаружения и приурочивая свои атаки к геополитическим событиям для достижения своих целей.
-----

APT44, также известная как команда Sandworm, - это APT-группировка, связанная с российской военной разведкой, ГРУ (MUN 74455). С 2004 года эту группу целей, в первую очередь западных корпораций, государственных учреждений и оборонных подрядчиков с мотивацией вокруг диверсий и кражи данных кибер. Операции APT44's характеризуются сочетанием настраиваемых инструментов и распространенного вредоносного ПО с методами, которые используют существующие системы, позволяя им поддерживать долгосрочный доступ к своим целям.

Команда Sandworm использует множество сложных методов, включая тактику living-off-the-land, которая использует существующие инструменты в системах, в которые они проникают, чтобы избежать обнаружения. Их подход к кибероперациям включает в себя как сбор разведывательных данных, так и подрывные действия. Известно, что, когда их цели требуют саботажа, они используют модульное вредоносное ПО для маршрутизаторов, деструктивные очистители и специализированные наборы инструментов, нацеленные на промышленные системы управления (ICS). Эта способность позволяет им проводить операции, которые могут значительно подорвать критически важную инфраструктуру.

Их кампании отличаются сильным акцентом на оперативную безопасность, включая тактику защиты от "песочницы" и антианализа, чтобы предотвратить обнаружение с помощью мер безопасности. Сроки их кибератак стратегически согласованы с геополитическими событиями, что позволяет предположить, что их действия не только технически мотивированы, но и обусловлены более широкими национальными целями. В целом, APT44 представляет собой изощренного злоумышленника, способного выполнять сложные кибероперации с высоким уровнем осмотрительности и целеустремленности.

#ParsedReport #CompletenessLow
07-12-2025

LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak

https://cybersecuritynews.com/lockbit-5-0-infrastructure-exposed/

Report completeness: Low

Threats:
Lockbit
Winrm_tool

Geo:
Russian, Iceland

IOCs:
IP: 1
Domain: 1
File: 1

Soft:
Twitter

Algorithms:
xchacha20

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Раскрытие инфраструктуры LockBit 5.0, включая IP-адрес 205.185.116.233 и домен karma0.xyz, раскрывает подробности о его операционной среде и подчеркивает усилия по разведке против этой группы программ-вымогателей. LockBit 5.0 известен своими возможностями самораспространения и обширной эксфильтрацией данных, ориентированной на различные отрасли промышленности. Идентификация ее инфраструктуры может облегчить действия аналитиков по кибербезопасности и правоохранительных органов по пресечению деятельности группы.
-----

Недавнее разоблачение ключевой инфраструктуры LockBit 5.0 раскрыло важные подробности о ее операционной среде, включая конкретный IP-адрес 205.185.116.233 и домен karma0.xyz, который служит хостингом для последних утечек данных группы вымогателей. Этот инцидент подчеркивает разведка и усилий, сопоставления против LockBit вымогателей-а-а-сервис, который существенно вектор угрозы в кибер пейзаж.

LockBit 5.0, последняя версия LockBit ransomware, известна своими возможностями самораспространения и ориентирована на различные отрасли промышленности для обширной эксфильтрации данных перед шифрованием. Идентификация его инфраструктуры может дать представление аналитикам по кибербезопасности и правоохранительным органам, стремящимся устранить оперативные возможности злоумышленника, стоящего за LockBit. Раскрытие информации может привести к потенциальным операциям по удалению данных с указанного IP-адреса и домена, что нарушит деятельность группы вымогателей и снизит их эффективность.

Нацеливаясь на эти ресурсы и отключая их, защитники могут ослабить работу LockBit, потенциально сводя к минимуму риск, создаваемый для различных организаций, которые часто становятся мишенями атак программ-вымогателей. Постоянный мониторинг и расследование инфраструктуры таких групп вымогателей по-прежнему имеют решающее значение для эффективной борьбы с киберугрозами.

#ParsedReport #CompletenessHigh
08-12-2025

Bellerophonte never dreamed of such a thing. The ChimeraWire Trojan scams the popularity of websites by skillfully pretending to be human Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15090&lng=ru&c=5

Report completeness: High

Threats:
Chimerawire
Dllsearchorder_hijacking_technique
Buster_tool
Nopecha_tool

TTPs:
Tactics: 2
Technics: 18

IOCs:
File: 18
Path: 5
Domain: 12
Hash: 24
Url: 12
IP: 2

Soft:
Google Chrome, Windows shell, Linux, macOS, Windows Registry

Algorithms:
aes-gcm, base64, zip

Languages:
python, visual_basic, powershell

Links:
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Trojan.ChimeraWire/README.adoc
https://github.com/sohaha/zlsgo
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец ChimeraWire - это сложное вредоносное ПО, нацеленное на системы Windows, использующее многоэтапный процесс заражения, который начинается с Trojan.DownLoader48.54600, который проверяет наличие виртуальных сред, чтобы избежать обнаружения. Это маскируется под законное explorer.exe обрабатывать при загрузке дополнительных полезных данных, таких как вредоносный скрипт на Python и ISCSIEXE.dll , позволяя ему имитировать взаимодействие с пользователем для автоматического мошенничества с кликами. ChimeraWire использует передовые методы уклонения и методы закрепления, согласующиеся с различными тактиками MITRE ATT&CK, что указывает на значительную эволюцию в изощренности вредоносного ПО.
-----

Троянец ChimeraWire представляет собой сложную угрозу, использующую различные методы заражения и уклонения. Обнаруженное специалистами "Доктор Веб", это вредоносное ПО работает в системах Windows и обладает функцией кликера. Он инициирует свое заражение с помощью многоэтапного процесса, начинающегося с Trojan.DownLoader48.54600, который проверяет, выполняется ли он в виртуальной среде, и завершает работу, если это так. Если среда легальна, она загружает ZIP-файл, содержащий вредоносный скрипт на Python и сопутствующие файлы, в частности ISCSIEXE.dll , что необходимо для дальнейшего выполнения.

Заражение прогрессирует с помощью Trojan.DownLoader48.61444, для которого требуются права администратора. В этом варианте используется техника маскарадного PEB для маскировки под законного explorer.exe процесс, который помогает ему избежать обнаружения с помощью мер безопасности. Конечная полезная нагрузка, троянец ChimeraWire, затем загружает ZIP-архив из стороннего источника, который включает версию браузера Google Chrome вместе с потенциальными конфигурациями для других операционных систем.

Операционное поведение ChimeraWire's особенно вредоносно, поскольку оно имитирует взаимодействие пользователей для эффективного управления веб-сайтами. Он выполняет поиск по указанным доменам и ключевым словам, открывает результирующие ссылки и идентифицирует гиперссылки на этих страницах. Чтобы обойти защиту от ботов, он перетасовывает порядок кликов, пытаясь имитировать поведение человека. Эта возможность вызывает серьезные опасения, учитывая ее последствия для автоматического мошенничества с кликами и потенциального использования веб-ресурсов.

Самое вредоносное ПО выравниваются с помощью различных методик, описанных в рамках Митре АТТ&КФК, такие как выполнение с участием пользователей, повышение привилегий эскалации, и тактику уклонения. Он демонстрирует передовые закрепление посредством нескольких механизмов, в том числе манипулируя клавишами запуска и запланированные задачи, чтобы обеспечить продолжение работы после начальной компромисс. Злоумышленники, стоящие за ChimeraWire, эффективно используют запутывание и кодирование для предотвращения обнаружения, демонстрируя высокий уровень сложности своих операций. В целом, ChimeraWire пример эволюции в вредоносное ПО обеспечением, что делает его критическим для кибербезопасность кибербезопасность сохранять бдительность в отношении таких обманных стратегий.

#ParsedReport #CompletenessHigh
05-12-2025

Sharpening the knife: GOLD BLADEs strategic evolution

https://news.sophos.com/en-us/2025/12/05/sharpening-the-knife-gold-blades-strategic-evolution/

Report completeness: High

Actors/Campaigns:
Red_wolf (motivation: financially_motivated, cyber_criminal, politically_motivated, cyber_espionage, information_theft)
Stac6565

Threats:
Qwcrypt
Redloader
Edr-killer
Byovd_technique
Zemana_tool
Terminator_tool
Hack-for-hire_technique
Spear-phishing_technique
Lolbin_technique
Ad_explorer_tool
Rpivot_tool
Chisel_tool
Nssm_tool
Impacket_tool
Shadow_copies_delete_technique
Hardbit
Lockbit

Victims:
Canadian organizations, Human resources personnel

Industry:
Retail

Geo:
Canadian, America, Canada

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 17
Domain: 7
Path: 3
IP: 4
Registry: 2
Url: 4
Hash: 25

Soft:
Sysinternals, Windows service, Windows security, curl, bcdedit

Algorithms:
aes, base64, bcrypt, sha256, zip, xor, md5, sha1

Languages:
powershell, python

Links:
https://github.com/ZeroMemoryEx/Terminator/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GOLD BLADE, также известный как RedCurl или RedWolf, эволюционирует от кибершпионажа к гибридной модели, сочетающей кражу данных с внедрением пользовательского варианта программы-вымогателя QWCrypt. С начала 2024 года группа была причастна почти к 40 атакам, в основном нацеленным на канадские организации, с использованием методологии атаки, которая использует сторонние платформы для подбора персонала для фишинга и многоэтапной доставки вредоносного ПО. Использование ими таких инструментов, как RPivot для C2 communications и Terminator для отключения решений безопасности, подчеркивает их сложные методы уклонения и адаптацию к улучшениям обнаружения угроз.
-----

GOLD BLADE, также известная как RedCurl и RedWolf, перешла от кибершпионажа к гибридной модели кражи данных и выборочного внедрения программ-вымогателей с использованием QWCrypt. В период с февраля 2024 по август 2025 года аналитики отследили почти 40 вторжений, причем более 80% были нацелены на канадские организации. Группа исторически действовала по модели "hack-for-hire" без сайта утечки данных, но теперь, похоже, монетизируется с помощью Ransomware. Текущая методология атак включает в себя злоупотребление платформами подбора персонала для проведения кампаний фишинга, нацеленных на персонал отдела кадров, использование "оружейных" резюме, в которых размещается zip-файл, что приводит к развертыванию вредоносного ПО RedLoader. Цепи инфекции начинается с оружием резюме, в конечном счете соединяясь с командования и управления (C2) сервер после загрузки динамически подключаемые библиотеки (DLL). В Python Python с именем 'sra.py" или " osr.py используется для создания соединений С2, способствует RPivot для туннелирования трафика. Чтобы избежать обнаружения, они используют инструмент под названием Terminator, использующий уязвимый драйвер от Zemana AntiMalware для отключения решений обнаружения конечных точек. Успешные случаи вымогателей были отмечены в апреле и июле 2025 году, что свидетельствует об адаптации в тактику, основанную на результаты операционной деятельности.

#ParsedReport #CompletenessLow
08-12-2025

Advent of Configuration Extraction - Part 2: Unwrapping QuasarRAT s Configuration

https://blog.sekoia.io/advent-of-configuration-extraction-part-2-unwrapping-quasarrats-configuration/

Report completeness: Low

Threats:
Quasar_rat
Xrat_rat

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1112, T1140

IOCs:
File: 38
Hash: 1

Soft:
Jupyter Notebook, NET Framework, Docker

Algorithms:
cbc, aes-256, pbkdf2, hmac, aes, sha256

Languages:
powershell, python

Links:
https://github.com/pythonnet/pythonnet
https://github.com/dnSpy/dnSpy
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
QuasarRAT - это троян для удаленного доступа .NET, который был перепрофилирован киберпреступниками с момента его выпуска в 2014 году под названием xRAT из-за его природы с открытым исходным кодом. Анализ сосредоточен на извлечении зашифрованных конфигураций из двоичных файлов QuasarRAT с использованием Python и таких инструментов, как dnSpy и ILSpy. Процесс извлечения идентифицирует метод шифрования AES256 и извлекает необходимые ключи и параметры, эффективно расшифровывая настройки, которые управляют поведением RAT, хотя некоторые варианты могут обходить этот метод.
-----

QuasarRAT - это троянец удаленного доступа .NET (RAT), который первоначально появился в 2014 году под названием xRAT и изначально предназначался как инструмент удаленного администрирования. Его природа с открытым исходным кодом привела к значительному злоупотреблению со стороны киберпреступников из-за его упрощенной модификации и небольшого размера. Основное внимание в текущем анализе уделяется извлечению зашифрованной конфигурации из двоичных файлов QuasarRAT с использованием различных инструментов и методов.

В статье обсуждается создание экстрактора на основе Python, подчеркивается расположение конфигурации в двоичном коде и необходимая среда разработки, которая включает библиотеки для работы с файлами PE/ELF и фреймворки декомпиляции. Используя такие инструменты, как dnSpy и ILSpy, а также Jupyter Notebook и Docker для портативной установки, автор создает всеобъемлющую структуру для анализа образцов QuasarRAT.

Конфигурационные ключи, извлеченные из незафиксированного двоичного файла, включают важные настройки, которые определяют поведение RAT, такие как настройки подключения (задержка повторного подключения, хосты), параметры установки (имя установки, путь, запуск), функции безопасности (ключ шифрования, сертификаты сервера) и режим работы (автоматический режим). В статье описывается системный подход к извлечению этих настроек, в частности, с акцентом на проблемы, связанные с запутанными сборками.

Процесс извлечения включает в себя несколько ключевых этапов, начиная с определения криптографического метода, используемого для шифрования, в частности класса AES256. Далее следует значение salt для получения ключа, за которым следуют ссылки на криптографические функции в модуле. Процедура извлечения продолжается поиском криптографического материала в настройках класса, что позволяет получить ключ AES, необходимый для расшифровки.

Наконец, обнаружив статический конструктор целевого класса и последовательно считывая инициализаторы полей, экстрактор может расшифровать строки, используя идентифицированный ключ AES, соль и вектор инициализации (IV). Кульминацией процесса является тщательное перечисление аргументов для расшифровки и использование криптографической библиотеки Python для расшифровки зашифрованных значений. Хотя представленный метод, возможно, не учитывает все варианты QuasarRAT, особенно те, в которых используются различные шифры шифрования или упакованные образцы, он считается эффективным для большинства типичных сценариев, демонстрируя надежный подход к анализу вредоносного ПО и извлечению конфигурации.

#ParsedReport #CompletenessMedium
03-12-2025

Cydome Research Team Identified "Broadside", A New Mirai Botnet Variant, Active In The Wild

https://cydome.io/cydome-identifies-broadside-a-new-mirai-botnet-variant-targeting-maritime-iot/

Report completeness: Medium

Threats:
Broadside
Mirai
Polymorphism_technique
Udpflood_technique
Credential_dumping_technique

Victims:
Maritime logistics, Shipping companies, Tbk dvr devices

Industry:
Transport, Logistic, Maritime

CVEs:
CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 8
Technics: 7

IOCs:
IP: 10
Url: 1
Hash: 15

Soft:
curl, Linux

Algorithms:
sha256

Win Services:
bits

Platforms:
mpsl, m68k, mips, arm, x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 2