#ParsedReport #CompletenessMedium
09-12-2025

Makop ransomware: GuLoader and privilege escalation in attacks against Indian businesses

https://www.acronis.com/en/tru/posts/makop-ransomware-guloader-and-privilege-escalation-in-attacks-against-indian-businesses/

Report completeness: Medium

Threats:
Makop
Cloudeye
Phobos
Mimikatz_tool
Agent_tesla
Formbook
Loki_bot
Credential_dumping_technique
Vmprotect_tool
Nlbrute_tool
Password_spray_technique
Netscan_tool
Advanced-port-scanner_tool
Masscan_tool
Defendercontrol_tool
Byovd_technique
Medusalocker
Akira_ransomware
Qilin_ransomware
Process_hacker_tool
Lazagne_tool
Netpass_tool
Ransomhub
Blackbasta
Rhysida
Av-killer

Victims:
Businesses

Geo:
Indian, Brazil, Germany, India

CVEs:
CVE-2022-24521 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19265)
- microsoft windows_10_1607 (<10.0.14393.5066)
- microsoft windows_10_1809 (le10.0.17763.2803)
- microsoft windows_10_1909 (<10.0.18363.2212)
- microsoft windows_10_20h2 (<10.0.19042.1645)
have more...
CVE-2019-1388 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2025-7771 [Vulners]
CVSS V3.1: 8.7,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-0796 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1903 (-)
- microsoft windows_10_1909 (-)
- microsoft windows_server_1903 (-)
- microsoft windows_server_1909 (-)

CVE-2020-0787 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
- microsoft windows_10_1809 (-)
have more...
CVE-2016-0099 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_7 (-)
- microsoft windows_8.1 (-)
- microsoft windows_server_2008 (-, r2)
have more...
CVE-2017-0213 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1511 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_7 (-)
have more...
CVE-2018-8639 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (-)
- microsoft windows_10_1607 (-)
- microsoft windows_10_1703 (-)
- microsoft windows_10_1709 (-)
- microsoft windows_10_1803 (-)
have more...
CVE-2020-1066 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft .net_framework (3.0)

CVE-2021-41379 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.19119)
- microsoft windows_10_1607 (<10.0.14393.4770)
- microsoft windows_10_1809 (<10.0.17763.2300)
- microsoft windows_10_1909 (<10.0.18363.1916)
- microsoft windows_10_2004 (<10.0.19041.1348)
have more...

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 4
File: 13
Hash: 68

Soft:
Windows Defender, Microsoft Defender, ThrottleStop, Local Security Authority, twitter

Win Services:
BITS

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 8, dump: 1, code: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Makop, вариант Phobos, нацелена на незащищенные системы Протокола удаленного рабочего стола (RDP), в первую очередь затрагивая индийские предприятия, используя слабые учетные данные с помощью атак методом перебора или по словарю. Злоумышленники используют локальные эксплойты с повышением привилегий, включая такие уязвимости, как CVE-2017-0213 и CVE-2021-41379, и применяют методы обхода защиты с помощью AV killers, чтобы отключить меры безопасности. Они также используют средства сброса учетных данных, такие как Mimikatz, для расширения своего доступа и внедрили GuLoader для эффективной доставки полезной нагрузки, что указывает на изменение стратегии, аналогичное другим группам программ-вымогателей.
-----

Makop вымогателей, вариант Phobos Фобос, наблюдается эксплуатации подвергаются протокол удаленного рабочего стола (RDP) на системы, в частности, индийского бизнеса. Последние исследования показали, что злоумышленники используют локальное повышение привилегий подвиги наряду с традиционными методами вымогателей, демонстрируя тщательного подхода к увеличению их оперативной эффективности. Приступы обычно начинаются с несанкционированным доступом полученные с помощью грубой силы или атака по словарю на слабом РДП учетные данные, часто из-за отсутствия многофакторная проверка подлинности (MFA) среди целевых организаций.

Оказавшись в среде жертвы, операторы Makop используют различные тактические приемы для облегчения своей вредоносной деятельности. Они используют инструменты сетевого сканирования, такие как NetScan и Advanced IP Scanner, для обнаружения систем и выполнения перемещения внутри компании в сети. Кроме того, они применяют методы обхода защиты, используя облегченные AV Killers, включая Defender Control и Disable Defender, для временного отключения мер безопасности, тем самым прокладывая путь для последующего использования известных уязвимостей.

Фаза повышения привилегий имеет решающее значение в этих атаках, связанных с использованием нескольких уязвимостей в компонентах Windows. Примечательно, что CVE-2017-0213, CVE-2018-8639, CVE-2021-41379 и CVE-2016-0099 были использованы для получения системных привилегий. Эти уязвимости особенно эффективны и содержат общедоступный код подтверждения концепции (PoC), что делает их доступными для эксплуатации. Группа Makop поддерживает разнообразный набор инструментов локального повышения привилегий (LPE) для обеспечения постоянной эффективности, даже если один подход терпит неудачу.

Получение учетных данных является еще одним жизненно важным элементом операций Makop, который включает в себя использование хранилищ учетных данных, таких как Mimikatz, LaZagne и NetPass, для извлечения конфиденциальных данных. Вместе с брутфорс инструменты, такие как CrackAccount и AccountRestore, эти методы позволяют злоумышленникам получить несанкционированный доступ к дополнительным счетам, тем самым усиливая их воздействие на инфраструктуру жертвы.

Заметным дополнением к арсеналу Makop's является использование GuLoader, который был идентифицирован как метод доставки последующих полезных нагрузок. Эта тактика отражает тенденции, наблюдаемые среди других групп программ-вымогателей, указывая на сдвиг в сторону использования загрузчиков для улучшения стратегий развертывания полезной нагрузки. 55% атак Makop, зафиксированных в Индии, предполагают сосредоточение внимания на средах с более слабыми мерами безопасности, хотя инциденты также происходили в Бразилии, Германии и спорадически в других местах.

#ParsedReport #CompletenessLow
09-12-2025

Deceptive Layoff-Themed HR Email Distributes Remcos RAT Malware

https://www.seqrite.com/blog/deceptive-layoff-themed-hr-email-distributes-remcos-rat-malware/

Report completeness: Low

Threats:
Remcos_rat

Victims:
Corporate employees

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 2
Path: 2
Registry: 1
Hash: 3
IP: 1

Soft:
UNIX

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на сотрудников во время увольнений, использует обманчивые электронные письма для распространения троянца удаленного доступа Remcos (RAT) через RAR-архив, замаскированный под двойное расширение, Маскировку под PDF-документ. После запуска Remcos RAT выполняет Регистрацию нажатий клавиш, Захват экрана, мониторинг буфера обмена и устанавливает соединение для управления, обеспечивая при этом закрепление с помощью изменений реестра Windows. Атака использует социальную инженерию для получения первоначального доступа и методы уклонения, чтобы скрыть свои злонамеренные намерения.
-----

Недавно была выявлена кампания по фишингу, которая использует электронные письма на тему увольнений для распространения троянца удаленного доступа Remcos (RAT). Эти вводящие в заблуждение электронные письма часто выдаются за уведомления об увольнении или другие сообщения, связанные с персоналом, и наживаются на тревогах сотрудников во время сокращений рабочей силы. Эта тактика использует в своих интересах повышенный уровень стресса, повышая вероятность того, что люди непреднамеренно перейдут по Вредоносным ссылкам или вложениям.

Первоначальный вектор атаки включает в себя архив RAR, замаскированный соглашением об именовании с двойным расширением, таким как "pdf.rar ." Хотя оно напоминает PDF-документ, вложение содержит вредоносный исполняемый файл, скомпилированный NSIS (Nullsoft Scriptable Install System), предназначенный для имитации законного документа. При запуске Remcos RAT выполняет различные задачи инициализации и впоследствии участвует в нескольких вредоносных операциях.

Как только полезная нагрузка Remcos установлена, она порождает множество потоков, каждый из которых посвящен определенным функциям. К ним относятся Регистрация нажатий клавиш, Захват экрана, мониторинг буфера обмена и создание цикла обработки команд для поддержания постоянной связи со злоумышленником. RAT обходит меры безопасности, Маскировка под доброкачественный PDF-файл, используя формат упаковки NSIS, чтобы скрыть его истинное назначение.

Что касается закрепления, вредоносное ПО Remcos регистрируется в реестре Windows в расположении, позволяющем ему автоматически запускаться при запуске системы. Он также поддерживает сведения о конфигурации таким образом, что позволяет ему продолжать свою работу в разных сеансах. Кроме того, вредоносное ПО собирает информацию о хосте при запуске, включая идентификаторы пользователей и системные данные.

Тактика, используемая в этой кампании, согласуется с несколькими конкретными техниками, описанными в рамках MITRE ATT&CK. Первоначальный доступ получен с помощью вредоносной рассылки по электронной почте, использующей методы социальной инженерии. Выполнение полезной нагрузки зависит от взаимодействия с пользователем, в то время как методы обхода защиты включают маскировку исполняемых файлов и использование известных средств установки системы. Вредоносное ПО предназначено для закрепления на зараженных компьютерах и беспрепятственного выполнения операций по сбору данных, в конечном счете подключаясь к управляемому злоумышленником серверу управления.

#ParsedReport #CompletenessMedium
09-12-2025

EtherRAT: DPRK uses novel Ethereum implant in React2Shell attacks

https://www.sysdig.com/blog/etherrat-dprk-uses-novel-ethereum-implant-in-react2shell-attacks

Report completeness: Medium

Actors/Campaigns:
Contagious_interview
Earth_lamia
Jackpot_panda
Unc5174
Lazarus
Colortoolsv2
Unc5342

Threats:
Etherrat
React2shell_vuln
Cobalt_strike_tool
Sliver_c2_tool
Vshell
Xmrig_miner
Etherhiding_technique
Beavertail
Credential_harvesting_technique
Invisibleferret
Supply_chain_technique
Log4shell_vuln

Victims:
Technology sector, Open source focused companies, Web application developers

Industry:
Financial

Geo:
China, North korean, Korea, Dprk, North korea

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.003, T1059.004, T1071.001, T1102, T1105, T1140, T1190, T1546.004, have more...

IOCs:
File: 23
Coin: 2
IP: 1

Soft:
Linux, Node.js, curl, Systemd, crontab

Crypto:
ethereum

Algorithms:
base64, aes-256-cbc, aes, md5

Functions:
eval

Languages:
python, powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Имплантат EtherRAT, связанный с Северной Кореей, использует недавно раскрытую уязвимость CVE-2025-55182 в серверных компонентах React, позволяющую выполнять удаленный код без проверки подлинности. Он использует многоэтапную цепочку атак, которая начинается с команды оболочки в кодировке base64 для установления первоначального доступа и включает различные методы закрепления, такие как задания cron и измененные профили пользователей для поддержания доступа. EtherRAT также использует смарт-контракты Ethereum для своей инфраструктуры командования и контроля (C2), повышая уклончивость и адаптивность по сравнению с типичным вредоносным ПО.
-----

EtherRAT - это киберугроза, связанная с Северной Кореей, использующая уязвимость серверных компонентов React CVE-2025-55182, позволяющую выполнять удаленный код без проверки подлинности. Эта уязвимость затрагивает React версий 19.x и Next.js фреймворки 15.x и 16.x. EtherRAT - это имплантат постоянного доступа, в отличие от типичных майнеров криптовалют или вредоносного ПО для кражи учетных данных. Цепочка атак состоит из четырех этапов, начиная с команды оболочки в кодировке base64, которая выполняет эксплойт React2Shell. Он устанавливает закрепление с помощью сценария оболочки и использует запутанный JavaScript-дроппер для расшифровки своей полезной нагрузки с помощью шифрования AES-256-CBC. EtherRAT поддерживает свое присутствие с помощью пяти методов закрепления, включая Записи автозапуска XDG и модификации заданий cron. Его инфраструктура командования и контроля использует смарт-контракты Ethereum для разрешения URL-адресов вместо жестко закодированных адресов и выполняет команды на основе ответов сервера C2. Дизайн EtherRAT's позволяет загружать законные Node.js распределения за уклонение. Он демонстрирует сходство с действиями северокорейских и китайских злоумышленников, но выделяется благодаря своему вектору доставки и методам C2, основанным на блокчейне.

#ParsedReport #CompletenessMedium
08-12-2025

Chinese Malware Delivery Domains Part IV

https://dti.domaintools.com/chinese-malware-delivery-domains-part-iv/

Report completeness: Medium

Threats:
Vmprotect_tool
Aspack_tool
Asprotect_tool
Mpress_tool

Victims:
Chinese speaking users

Industry:
Entertainment, Telco

Geo:
Hong kong, China, Chinese, Asia-pacific, Moscow, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071, T1568, T1583, T1583.001, T1583.003, T1585, T1587, T1588, have more...

IOCs:
Domain: 60
Hash: 15
Url: 13

Soft:
Chrome, Telegram, WhatsApp, Youdao, Sogou, Google Chrome

Wallets:
imtoken

Algorithms:
sha256

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, table: 1, chart: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июня 2023 года было выявлено большое скопление доменов доставки вредоносного ПО, связанных с китайскими злоумышленниками, в общей сложности более 4700 доменов. Их методы работы эволюционировали от централизованной модели к децентрализованной, уменьшая зависимость от отдельных интернет-провайдеров и повышая изощренность их тактики, включая использование больших загрузок файлов, которые препятствуют обнаружению. Кроме того, значительная часть инфраструктуры базируется в Китае, что отражает адаптацию стратегий операционной безопасности и локализации при одновременном использовании анализа, основанного на искусственном интеллекте, для расширения возможностей обнаружения.
-----

С июня 2023 года китайские злоумышленники управляют инфраструктурой доставки вредоносного ПО, в которой идентифицировано более 4700 доменов. К августу 2025 года инфраструктура перешла от централизованного хостинга к децентрализованному, что повысило операционную безопасность. Зависимость от одного интернет-провайдера снизилась с 90% до 40%, а инфраструктура теперь распределена по пяти странам. Количество используемых регистраторов увеличилось с трех до восьми. Проанализированные образцы вредоносного ПО показали загрузку больших файлов размером от 100 до 250 МБ, что затрудняло обнаружение. Регистрация доменов осуществляется нерегулярно, в соответствии с рабочими часами в Восточной Азии, со значительной активностью в праздничные дни в США. Массовая регистрация 16 октября привела к тому, что 69% доменов были созданы за один раз. 78,9% доменов связаны с .cn или .com.cn Используются исключительно TLD, более 38% из которых зарегистрированы через регистраторов на китайском языке, и местные DNS-провайдеры. Для анализа характеристик вредоносного ПО был внедрен рабочий процесс на базе искусственного интеллекта, который обработал 2000 доменов примерно за 10 часов. Злоумышленники усовершенствовали свою тактику, выдавая себя за популярные китайские приложения, что усложняет усилия по обнаружению.

#ParsedReport #CompletenessHigh
09-12-2025

MetaRAT-based Attack Campaign Targeting Japanese Organizations

https://www.lac.co.jp/lacwatch/report/20251208_004569.html

Report completeness: High

Actors/Campaigns:
Red_delta
Calypso
Stone_panda
Winnti
Luoyu
Redfoxtrot
Webworm
Naikon
Cloudcomputating

Threats:
Metarat
Talisman
Plugx_rat
Shadowpad
Ratels
Antidebugging_technique
Keylogdump_tool
Dll_sideloading_technique
Rainyday
Turian
Timestomp_technique
Eagerbee
Littlelamb_wooltea
Pitsock
Pitfuel

Victims:
Shipping, Transportation, Subsidiaries, Japanese organizations

Industry:
Transport, Ics, Telco, Government

Geo:
Asia, China, Kazakhstan, Japanese, Chinese, Russian

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1055, T1056.001, T1071.001, T1095, T1106, T1140, T1190, T1218, have more...

IOCs:
File: 11
Hash: 18
Domain: 6
IP: 9

Soft:
Windows service, Ivanti, Active Directory

Algorithms:
aes-256-ecb, gzip, xor, lznt1, sha256, aes, rc4

Functions:
Code

Win API:
RtlDecompressBuffer, decompress

Languages:
c_language

YARA: Found
SIGMA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, code: 12, windows: 3, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В апреле 2025 года злоумышленники из Китая воспользовались уязвимостями в Ivanti Connect Secure (CVE-2024-21893 и CVE-2024-21887), чтобы атаковать японские судоходные компании, использующие различные варианты PlugX RAT, в частности MetaRAT и Talisman. MetaRAT, известный своим загрузчиком mytilus3.dll , использует шифрование AES и методы защиты от отладки для развертывания в памяти без обнаружения. Характеристики операции предполагают скоординированные усилия злоумышленников, что создает значительные риски для критически важной инфраструктуры.
-----

В ходе кампании атак, подтвержденной Центром по чрезвычайным ситуациям в киберпространстве Lack в апреле 2025 года, группа злоумышленников из Китая использовала уязвимости в Ivanti Connect Secure (ICS), в частности CVE-2024-21893 и CVE-2024-21887, для атаки на японские судоходные и транспортные компании. Злоумышленники использовали несколько вариантов троянца удаленного доступа PlugX (RAT), включая новые варианты, известные как MetaRAT и Talisman.

Первоначальное вторжение кампании было отмечено журналами критических ошибок, идентифицированными как "ERR31093", которые были сгенерированы, когда ICS обрабатывала вредоносные полезные нагрузки SAML. Кроме того, средство проверки целостности Ivanti обнаружило подозрительные файлы, имена которых совпадают с именами других известных вредоносных ПО, включая LITTLELAMB и WOOLTEA.

MetaRAT, идентифицирован как новый вариант PlugX, существует с по крайней мере 2022. Этот вариант характеризуется его использование загрузчика (mytilus3.dll), который является 32-разрядным DLL, которые расшифровывает и развертывает MetaRAT в памяти. Загрузчик использует передовые методы, такие как AES ключ развертывания и анти-отладки меры. В частности, если режим отладки обнаружил, ключ, используемый в процессе расшифровки уничтожены, чтобы предотвратить анализа.

Поток выполнения MetaRAT включает в себя командный код, который выполняет хэширование API для получения необходимых адресов функций Windows API. Зашифрованная полезная нагрузка, защищенная шифрованием AES-256-ECB, расшифровывается и распаковывается до того, как командный код выполнит вызовы функций экспорта MetaRAT. Примечательно, что полезная нагрузка вызывает связь с серверами командования и контроля (C2), используя несколько протоколов, таких как TCP, UDP, HTTP, HTTPS и ICMP.

Talisman, другой plugx PlugX, применяемых в этой акции, действует аналогично при загрузке оболочки-код с зашифрованной полезной нагрузки из каталога. Исследования показывают, что злоумышленник групп за MetaRAT и Talisman могут пересекаться, разделяя некоторые характеристики, в том числе аналогичные дорожки в файлы с указанием ПДБ скоординированной операции.

Меры по обнаружению и смягчению последствий для MetaRAT включают мониторинг определенных разделов реестра, создание служб и генерацию файла журнала ключей, типичных для действий RAT. Например, ключи реестра для механизмов автозапуска и наличие файлов, созданных плагином KeylogDump, могут помочь подтвердить активность вредоносного ПО. Коммуникационные и операционные схемы кампании также могут быть проанализированы с использованием существующих правил обнаружения, включая правила Sigma, разработанные специально для выявления подозрительных действий DLL, связанных с MetaRAT.

Подводя итог, кампания attack подчеркивает эволюционирующую природу вариантов PlugX и их продолжающееся использование организованными злоумышленниками, такими как Calypso и SpacePirates. MetaRAT, с его сложными функциями и механизмами уклонения от обнаружения, подчеркивает постоянную угрозу, которую представляют эти продвинутые киберпреступники для критически важной инфраструктуры Японии.

#ParsedReport #CompletenessMedium
09-12-2025

Threat Spotlight: Storm-0249 Moves from Mass Phishing to Precision EDR Exploitation

https://reliaquest.com/threat-spotlight-storm-0249-precision-endpoint-exploitation/

Report completeness: Medium

Actors/Campaigns:
Storm-0249 (motivation: cyber_criminal, financially_motivated)

Threats:
Dll_sideloading_technique
Lolbin_technique
Clickfix_technique
Lockbit
Blackcat
Spear-phishing_technique

Victims:
Enterprises, Edr platforms, Ransomware victims

TTPs:
Tactics: 8
Technics: 15

IOCs:
File: 6
Domain: 3
Url: 1
Hash: 2
IP: 2

Soft:
curl, Windows Installer, Microsoft Defender, Windows Registry

Win Services:
SentinelAgent

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Storm-0249 прошел путь от обычного фишинга до сложных методов постэксплуатации, нацеленных на уязвимости программного обеспечения для обнаружения конечных точек и реагирования на них (EDR). Они используют надежные процессы, в частности, превращая в оружие SentinelOne SentinelAgentWorker.exe , чтобы запутывать вредоносные действия и встраивать команды в законные операции по обеспечению безопасности, облегчая скрытую связь. Используя такие тактики, как DLL sideloading и выполнение без файлов, группа поддерживает закрепление и усложняет усилия по обнаружению, что делает их серьезной проблемой на нескольких платформах EDR.
-----

Storm-0249-это эволюционирующее злоумышленник, который был переведен из общей фишинг тактики на более сложный пост-эксплуатации методов, специально ориентированных на недостатки в конечную точку обнаружения и реагирования (EDR и) программного обеспечения. Эта группа, в частности, начали использовать надежные процессы, в том числе с использованием sentinelagentworker.exe SentinelOne, чтобы скрыть вредоносную активность, как и нормальной работы. Путем встраивания их команды и управление (С2) движения внутри легитимных процессов безопасности, злоумышленники могут избежать обнаружения и поддержания закрепление в скомпрометированной среде.

Группа внедрила новые стратегии, которые используют преимущества доверия, связанного с программным обеспечением безопасности. Например, манипулируя законным исполняемым файлом SentinelOne для скрытой загрузки своего вредоносного кода, Storm-0249 может маскировать свои действия под обычные операции безопасности, эффективно обходя традиционные средства защиты. Такой подход позволяет не только методов скрытного общения, но и позволяет выполнять разведка деятельности маскируются под законные задачи, используя надежные утилиты Windows, такие как reg.exe и findstr.exe.

Переход Storm-0249's к высокоточному таргетингу означает переход от методов фишинга, основанных на объемах, к усовершенствованным методам атаки, которые используют доверенные процессы с помощью таких механизмов, как дополнительная загрузка библиотеки динамических ссылок (DLL) и выполнение без файлов. Эти методы особенно опасны, поскольку они легко интегрируют вредоносные действия в ожидаемые процессы, что усложняет усилия по обнаружению. Закрепление группы за счет использования пакетов MSI с системными привилегиями гарантирует, что их позиции сохранятся даже при стандартных мерах по исправлению, таких как обычная переустановка программного обеспечения или исправления.

Кроме того, методы, используемые Storm-0249, включая те, которые включают DLL sideloading, не ограничиваются продуктами SentinelOne, что делает их актуальными для различных платформ EDR. Такая адаптивность позволяет Storm-0249 продавать предварительный доступ аффилированным лицам программ-вымогателей, упрощая развертывание программ-вымогателей и усугубляя распространение атак в различных секторах.

Учитывая изощренность этих тактик, организациям настоятельно рекомендуется усовершенствовать свои защитные стратегии, переключив внимание с традиционного обнаружения на основе сигнатур на поведенческую аналитику. Выявляя аномалии, такие как неправильное использование законных исполняемых файлов или необычное выполнение команд, организации могут превентивно устранять такие угрозы. Службы безопасности должны уделять приоритетное внимание механизмам видимости и быстрого реагирования, чтобы противостоять передовым методам, используемым злоумышленниками, такими как Storm-0249.