#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Lazarus Лазарь был развернут новый вредоносное ПО, в Blank Grabber хапуга, используя уязвимости в WinRAR уязвимость CVE-2025-8088. Жертвы вводятся в заблуждение и загружают вредоносный RAR-файл, который при извлечении запускает скрипт для извлечения Trojan. Это вредоносное ПО цели конфиденциальные данные, воруют пароли, куки браузера, и шифрует взаимодействий в приложении, например, раздор и Telegram, а также извлечение закрытые ключи от более чем 20 криптовалютные кошельки.
-----

Было замечено, что группа Lazarus, идентифицированная как APT-C-26, внедряет новое вредоносное ПО под названием троян Blank Grabber, используя уязвимость в WinRAR, в частности CVE-2025-8088. Методология этой атаки заключается в представлении вредоносного файла RAR, замаскированного под безобидный набор инструментов, чтобы побудить жертв загрузить его. Когда жертва извлекает содержимое этого файла, она запускает скрипт, который инициирует загрузку Blank Grabber Trojan.

Этот троянец предназначен для получения конфиденциальной информации от пользователей. Он способен красть пароли, файлы cookie и данные автоматического заполнения из браузеров на базе Chromium. Кроме того, это ставит под угрозу взаимодействие пользователей на коммуникационных платформах, таких как Discord и Telegram, путем перехвата данных сеанса. Примечательно, что вредоносное ПО также извлекает исходные Закрытые ключи из более чем 20 известных криптовалютных кошельков, включая MetaMask, Exodus и Electrum. Последствия этого метода атаки значительны, поскольку он может привести к значительным финансовым потерям и несанкционированному доступу к личным и корпоративным активам.

Анализ этой кампании подчеркивает важность повышенных мер безопасности как для отдельных лиц, так и для организаций. Осведомленность о таких уязвимостях и связанных с ними угрозах имеет важное значение для предотвращения утечек данных и защиты конфиденциальной информации от использования злоумышленниками, такими как группа Lazarus...........". Акторы.

#ParsedReport #CompletenessHigh
12-12-2025

NexusRoute: Attempting to Disrupt an Indian Government Ministry

https://www.cyfirma.com/research/nexusroute-attempting-to-disrupt-an-indian-government-ministry/

Report completeness: High

Actors/Campaigns:
Nexusroute (motivation: financially_motivated, cyber_criminal)

Threats:
Credential_harvesting_technique

Victims:
Indian government services, Mobile users

Industry:
Telco, Government, Financial, E-commerce

Geo:
Indian, India

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 4
IP: 2
Domain: 25
Hash: 2
Url: 3

Soft:
Android, Google Play

Algorithms:
base64, sha256, zip

Functions:
SwapMe, setComponentEnabledSetting

Languages:
java

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская кАмпания NexusRoute нацелена на системы индийского правительства mParivahan и e-Challan, используя вредоносное ПО для Android и тактику фишинга, чтобы скомпрометировать пользователей, выдавая себя за законные сервисы. В нем используется сложная среда разработки вредоносного ПО, которая включает динамическую загрузку кода, полное запутывание и различные методы закрепления, обеспечивая при этом такие функции, как перехват SMS, сбор конфиденциальных данных и GPS-отслеживание. Злоумышленники используют социальную инженерию, чтобы обманом заставить пользователей установить вредоносное ПО, которое затем использует наложения пользовательского интерфейса для кражи учетных данных и поддерживает контроль с помощью постоянных сообщений WebSocket.
-----

Хакерская кАмпания NexusRoute, выявленная CYFIRMA, представляет собой скоординированную и финансово мотивированную атаку, направленную на службы Министерства правительства Индии, в частности, на системы mParivahan и e-Challan. Эта операция использует тактику вредоносного ПО для Android и фишинга, используя общественное доверие, выдавая себя за государственные службы для распространения вредоносных APK-файлов через репозитории и страницы GitHub. Кроме того, он использует многочисленные домены для фишинга, предназначенные для вовлечения жертв в мошеннические схемы верификации и оплаты, включающие UPI и традиционные банковские транзакции.

Фреймворк вредоносного ПО характеризуется многоэтапным выполнением с собственной поддержкой, что усложняет усилия по обнаружению. Он использует динамическую загрузку кода, методы полной обфускации и различные механизмы закрепления, основанные на функциях Android, таких как BroadcastReceivers и службы переднего плана, для поддержания долгосрочного присутствия на зараженных устройствах. Технический анализ показывает, что вредоносное ПО может перехватывать SMS-сообщения, собирать конфиденциальные данные, такие как OTP и банковские учетные данные, отслеживать местоположение устройств с помощью GPS и незаметно извлекать данные через встроенную инфраструктуру управления.

Операции NexusRoute иллюстрируют полный жизненный цикл киберпреступности. Начиная с создания поддельных репозиториев GitHub и сотен доменов для фишинга, злоумышленники заманивают пользователей через поддельные платформы транспортных сервисов. Установка вредоносного ПО основана на тактике социальной инженерии, побуждающей пользователей разрешать установку из неизвестных источников. После установки вредоносное ПО запускает многоступенчатый загрузчик, который динамически расшифровывает вторичные полезные нагрузки с помощью DexClassLoader, переходя к выполнению машинного кода через Java Native Interface (JNI), который скрывает свои операции от традиционных методов анализа.

Ключевые особенности вредоносного ПО включают в себя использование функций системы Android, таких как SMS и доступ к контактным данным. Он выполняет обширные действия по наблюдению, включая сбор журналов вызовов и генерацию данных журнала для эксфильтрации. Система связи управления использует постоянные каналы WebSocket для управления и передачи данных в режиме реального времени. Вредоносное ПО перехватывает конфиденциальные пользовательские данные с помощью наложений пользовательского интерфейса, специально имитирующих законные государственные службы, тем самым облегчая кражу учетных данных с помощью таких методов, как Регистрация нажатием клавиш и Перехват данных с помощью подмены пользовательского интерфейса.

#ParsedReport #CompletenessLow
13-12-2025

Digging through Rust to find Gold: Extracting Secrets from Rust Malware

https://binarydefense.com/resources/blog/digging-through-rust-to-find-gold-extracting-secrets-from-rust-malware

Report completeness: Low

Threats:
Luca_stealer
Blackcat

IOCs:
File: 1
Hash: 1

Soft:
Linux, Node.js

Algorithms:
base64, sha256

Languages:
golang, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Разработка вредоносного ПО переходит от традиционных языков, таких как C/C++, к современным компилируемым языкам, таким как Rust, Golang и Nim, которые предлагают такие преимущества, как кросс-платформенная совместимость. Уникальные возможности Rust усложняют анализ вредоносного ПО из-за его строгой обработки ошибок, безопасности памяти и зависимости от внешних библиотек, что затрудняет аналитикам обратное проектирование. По мере того как Rust набирает популярность среди злоумышленников, существующие методы обнаружения с трудом поспевают за ним, позволяя этим новым разновидностям вредоносного ПО эффективно обходить традиционные меры безопасности.
-----

Последние тенденции указывают на переход в разработке вредоносного ПО от традиционных языков, таких как C/C++, к более новым компилируемым языкам, включая Rust, Golang и Nim. Этот переход отражает преимущества, которые предлагают эти языки, такие как кроссплатформенная совместимость при минимальной модификации кода. Однако это также требует адаптации средств защиты и методологий анализа для эффективного обнаружения и анализа вредоносного ПО, написанного на этих современных языках.

Rust, в частности, создает уникальные проблемы для анализа вредоносного ПО из-за своего набора инструментов компилятора, который включает компилятор rustc и систему сборки cargo. Эти инструменты облегчают создание проекта и управление им, встраивая различные типы строк и зависимостей в двоичные файлы. Система управления зависимостями Rust позволяет интегрировать внешние библиотеки, или "ящики", которые могут усложнить аналитикам работу по обратному проектированию, скрывая функциональность вредоносного ПО.

Анализ вредоносное ПО вредоносными программами, написанными в Русте свидетельствует различных проблем, обусловленных присущими особенностями конструкции языка. В частности, ржавчины строгий обработки ошибок памяти и меры безопасности, ввести дополнительные уровни сложности в ходе реверс-инжиниринга. Язык включает в себя автоматическое проверяет возможные ошибки, такие как проверка границ и нарушения доступа к памяти, которые могут помешать аналитиков для выявления вредоносного поведения. Это отличается от C/C++, которая возлагает бремя управления памятью полностью на разработчике, тем самым увеличивая потенциал для неопределенного поведения.

Рост популярности Rust в разработке вредоносного ПО свидетельствует о растущей тенденции к внедрению сложных форм киберугроз, таких как программы-вымогатели и кража информации. Текущая среда обнаружения угроз для вредоносного ПО на основе Rust остается менее развитой, чем для вредоносных программ, созданных с использованием более устоявшихся языков, что позволяет этим новым разновидностям более эффективно уклоняться от обнаружения. По мере того как популярность Rust растет среди злоумышленников, задача специалистов по кибербезопасности будет заключаться в совершенствовании их аналитических систем и методов обнаружения для учета уникальных характеристик и уклончивости написанного на Rust вредоносного ПО.

#ParsedReport #CompletenessLow
12-12-2025

SHADOW-VOID-042 Targets Multiple Industries with Void Rabisu-like Tactics

https://www.trendmicro.com/en_us/research/25/l/SHADOW-VOID-042.html

Report completeness: Low

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)
Shadow-void-042 (motivation: cyber_espionage, financially_motivated)

Threats:
Spear-phishing_technique
Romcom_rat
Residential_proxy_technique
Cuba_ransomware

Victims:
Defense sector, Energy sector, Chemical sector, Cybersecurity sector, Information and communications technology sector, Pharmaceuticals sector, Human resources personnel, Executives

Industry:
Telco, Energy, Logistic, Retail, Government, Foodtech, Healthcare, Chemical, Financial

Geo:
Ukraine, America, Russian

CVEs:
CVE-2018-6065 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<65.0.3325.146)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1105, T1204.001, T1566.001, T1620

IOCs:
Path: 1

Soft:
Chrome, Chromium, WeChat, outlook

Algorithms:
cbc, sha512, aes

Win API:
GetSystemInfo

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, code: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ноябре 2025 года группа вторжения SHADOW-VOID-042 провела нацеленную кампанию Целевого фишинга, используя тактику социальной инженерии, напоминающую стиль Trend Micro, направленную на такие сектора, как оборона и фармацевтика. В атаке использовалась многоэтапная цепочка заражения с использованием отдельных файлов JavaScript, загружающих 64-разрядный шеллкод, который вызывал Windows API для доставки зашифрованного кода и подключался к жестко закодированным серверам C&C. Раннее вмешательство платформы Trend Vision One предотвратило развертывание связанного с ней вредоносного ПО, такого как Void Rabisu, в результате чего конечные цели злоумышленников остались неопределенными.
-----

В ноябре 2025 года была обнаружена изощренная кампания Целевого фишинга, связанная с временным набором вторжений с пометкой SHADOW-VOID-042. Эта кампания была нацелена на множество отраслей, включая оборону, энергетику, фармацевтику, кибербезопасность и ИКТ, используя тактику социальной инженерии, имитирующую корпоративный стиль Trend Micro. В электронных письмах с фишингом содержались веб-сайты-приманки, предназначенные для заманивания жертв, и они были заблокированы платформой безопасности Trend Vision One еще до того, как были развернуты какие-либо окончательные полезные приложения. Обнаружение предполагает сильную связь с тактикой группы вторжения Void Rabisu, которая связана с группой акторов с гибридной мотивацией и известными российскими интересами.

В кампании использовалась многоэтапная цепочка заражения, специально разработанная для целевых машин, которая имела сходство с более ранней кампанией в октябре 2025 года, также связанной с набором SHADOW-VOID-042. В ходе этой предыдущей кампании мишенями были руководители и сотрудники отдела кадров, которые использовали приемы социальной инженерии, связанные с жалобами на домогательства и запросами на академические исследования. Это свидетельствует о стратегической эволюции подхода злоумышленников, демонстрирующей их способность адаптироваться к различным организационным контекстам.

Во время ноябрьской кампании, вредоносное ПО вредоносных программ включены погрузка три отдельных файлов JavaScript. Один из этих файлов содержит 64-битный шеллкод, который сделал вызовы API-интерфейсов Windows с помощью уникального алгоритма хэширования. Этот шеллкод служил грузчиком на зашифрованный код, который был настроен для машины нацелен на основе уникального идентификатора. Последующий этап включает пытается подключиться к нескольким жестко командования и управления (C&C) для сервера, стремясь получить дополнительную аппаратуру встроены в цепочку заражения. Злоумышленники предприняли несколько попыток подключения, что свидетельствует об отказоустойчивости их методологии.

Несмотря на эти сложные уровни тактики проникновения, платформе Trend Vision One удалось остановить кампанию на ранней стадии цепочки заражения, предотвратив любое развертывание вредоносного ПО, связанного с Void Rabisu или потенциальным Backdoor. ROMCOM Из-за этого раннего вмешательства специфика конечной полезной нагрузки и конечные цели злоумышленников остаются неопределенными. Текущее отслеживание этих кампаний в рамках SHADOW-VOID-042 будет продолжено, поскольку аналитики стремятся установить более четкие связи с Void Rabisu и получить представление о возможностях и намерениях вовлеченных злоумышленников.

#ParsedReport #CompletenessLow
12-12-2025

Back to basics: attackers conducted a new VPO Buhtrap attack via bait sites

https://habr.com/ru/companies/F6/news/975730/

Report completeness: Low

Threats:
Buhtrap

Victims:
Accountants, Lawyers

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1583.001, T1583.006

IOCs:
Domain: 3
Url: 6
File: 2
Path: 3
Registry: 2
Hash: 4

Soft:
wordpad, Unix

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники изменили свою тактику распространения вредоносного ПО Buhtrap ВПО, создав сайты-приманки, ориентированные на бухгалтеров и юристов, отказавшись от использования служб электронного документооборота в качестве первоначального вектора атаки. Вредоносное ПО в первую очередь способствует Краже денежных средств и эксфильтрации данных, используя методы социальной инженерии, чтобы склонить пользователей к взаимодействию с вредоносным контентом. Это отражает адаптацию злоумышленников к совершенствованию своих методов и эффективному обходу мер безопасности, подчеркивая необходимость осторожности среди профессионалов в областях, которым доверяют.
-----

Недавно злоумышленники вернулись к устоявшейся тактике распространения вредоносного ПО Buhtrap ВПО, используя сайты-приманки, ориентированные на бухгалтеров и юристов. Этот сдвиг произошел после серии атак в третьем квартале 2025 года, в ходе которых в качестве исходного вектора для их операций использовался сервис электронного документооборота (EDI). Новый подход предполагает создание достоверного обмана с помощью сайтов-приманок, которые, вероятно, привлекут профессионалов в области финансов и юриспруденции, усиливая доверие, которое эти пользователи обычно проявляют к таким платформам.

Buhtrap ВПО - вредоносное ПО, предназначенное для облегчения различных вредоносных действий, со значительным акцентом на Кражу денежных средств и эксфильтрацию данных. Создавая эти сайты-приманки, злоумышленники могут применять тактику социальной инженерии, побуждая пользователей взаимодействовать с вредоносным контентом, что в конечном итоге приводит к установке вредоносного ПО. Этот метод подчеркивает важность осведомленности пользователей и распознавания потенциальных атак фишинга, поскольку даже хорошо проработанные сайты могут служить векторами для сложных киберугроз.

Переход от использования сервисов EDI к созданию ложных сайтов предполагает стратегическую адаптацию со стороны злоумышленников, что указывает на продолжающуюся эволюцию их тактики обхода мер безопасности и успешной доставки своих полезных данных. Организации, особенно в финансовом и юридическом секторах, должны сохранять бдительность и усиливать свою защиту от таких нацеленных атак, которые используют Доверительные отношения и знакомый контекст для достижения своих вредоносных целей.

#ParsedReport #CompletenessHigh
13-12-2025

Multiple Threat Actors Exploit React2Shell (CVE-2025-55182)

https://cloud.google.com/blog/topics/threat-intelligence/threat-actors-exploit-react2shell-cve-2025-55182/

Report completeness: High

Actors/Campaigns:
Earth_lamia
Jackpot_panda
Unc6600 (motivation: cyber_espionage)
Unc6586
Unc6588
Unc6603
Unc6595

Threats:
React2shell_vuln
Minocat_tool
Snowlight
Hisonic
Compood
Xmrig_miner
Vshell
Timestomp_technique

Victims:
Cloud services, Technology, Cryptocurrency mining targets

Geo:
Iran, Taiwan, Vietnam, China, Asia pacific, Apac

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)

CVE-2025-66478 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-67779 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.2, 19.1.3, 19.2.2)

CVE-2025-55183 [Vulners]
CVSS V3.1: 5.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (<19.0.2, <19.1.3, <19.2.2)

CVE-2025-55184 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (<19.0.2, <19.1.3, <19.2.2)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1496

IOCs:
File: 5
Domain: 1
Hash: 9
Url: 2
IP: 3

Soft:
systemd, Linux, cURL, OpenSSH, Outlook

Algorithms:
md5, xor, sha256

Win API:
readFile

Languages:
python, swift

YARA: Found

Links:
https://github.com/ejpir/CVE-2025-55182-research
https://github.com/ejpir/CVE-2025-55182-research/tree/e6f3f7f275a20c0ebc282b5cef37b833b458a16e
have more...
https://github.com/ejpir/CVE-2025-55182-research/blob/main/test-chunked-bypass.cjs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, получившая название "React2Shell", представляет собой критическую уязвимость для Удаленного Выполнения Кода без проверки подлинности в серверных компонентах React, оцененную в 10,0 баллов по шкале CVSS. Это позволяет злоумышленникам выполнять произвольный код с помощью одного HTTP-запроса, что приводит к широкому использованию различными злоумышленниками, включая базирующиеся в Китае группы, такие как Earth Lamia, и преступные организации для криптомайнинга, используя вредоносное ПО, такое как XMRig. После его раскрытия также были выявлены связанные с ним уязвимости CVE-2025-55183, CVE-2025-55184 и CVE-2025-67779.
-----

CVE-2025-55182, также известная как "React2Shell", представляет собой критическую уязвимость для неавторизованного Удаленного Выполнения Кода (RCE), обнаруженную в серверных компонентах React. Он имеет оценку CVSS 10,0, что подчеркивает его серьезность, поскольку позволяет злоумышленникам выполнять произвольный код, отправляя один HTTP-запрос с привилегиями пользователя, работающего на веб-сервере. Эта уязвимость была раскрыта 3 декабря 2025 года и с тех пор активно эксплуатировалась различными злоумышленниками, включая оппортунистических киберпреступников и шпионские группы из разных стран.

С момента его раскрытия наблюдалась значительная эксплуатационная активность в различных секторах и географических регионах. Примечательно, что были выявлены кластеры угроз China-nexus, где такие группы, как Earth Lamia, отслеживаемые GTIG как UNC5454, и Jackpot Panda, как было отмечено, используют эту уязвимость для компрометации сетей по всему миру. Кроме того, сообщалось, что акторы из Ирана также используют CVE-2025-55182.

Что касается финансово мотивированной деятельности, преступные акторы одними из первых воспользовались этой критической уязвимостью в целях криптомайнинга. Подробные наблюдения показывают, что после того, как уязвимость была раскрыта, акторы угроз инициировали эксплуатацию 5 декабря, развернув XMRig, майнер криптовалюты. Один пример включал загрузку и выполнение сценария оболочки под названием "sex.sh ," что облегчило установку майнера XMRig с GitHub. Кроме того, скрипт установил закрепление путем создания новой Службы systemd с именем "system-update-service", гарантируя, что майнер продолжал работать на скомпрометированных системах.

После тщательной проверки, которая часто сопровождает раскрытие существенных уязвимостей, с момента объявления CVE были выявлены три дополнительные уязвимости, связанные с компонентами React-2025-55182— CVE-2025-55183, CVE-2025-55184 и CVE-2025-67779. В то время как две из этих последующих уязвимостей приводят к ограниченному воздействию, связанному с раскрытием информации и условиями отказа в обслуживании, CVE-2025-67779 был обнаружен в результате неполного исправления для CVE-2025-55184 и также приводит к ситуации отказа в обслуживании.

Таким образом, быстрое использование CVE-2025-55182 различными злоумышленниками подчеркивает острую необходимость для организаций оперативно исправлять уязвимые системы, чтобы уменьшить потенциальный ущерб как от шпионажа, так и от финансово мотивированных действий в области киберугроз.

#ParsedReport #CompletenessHigh
13-12-2025

APT15 Cyber Espionage: Campaigns and TTPs Analysis

https://www.picussecurity.com/resource/blog/apt15-cyber-espionage-campaigns-and-ttps-analysis

Report completeness: High

Actors/Campaigns:
Playful_taurus (motivation: cyber_espionage)
Spacehop

Threats:
Graphican
Spear-phishing_technique
Steganography_technique
Bs2005
Silkbean
Doubleagent
Carbonsteal
Goldeneagle
Ketrican
Tidepool
Royalcli
Royal_dns
Miragefox
Okrum
Leeson
Neoichor
Driveletterview_tool

Victims:
Government sector, Diplomatic sector, Military sector, Uyghur ethnic minority, Indian embassies, Uk government service provider, Us navy contractor

Industry:
Military, Government

Geo:
Indian, Chinese, Guatemala, China, Brazil, America, Middle east, Slovakia, Chile, Belgium, Russia, Syrian

TTPs:
Tactics: 11
Technics: 23

IOCs:
Domain: 2
Path: 5
File: 9
Registry: 2

Soft:
ChatGPT, ORB3, Microsoft Exchange, Android, Graph API, SPACEHOP, Microsoft Word, Component Object Model, Internet Explorer, Foxit, have more...

Algorithms:
deflate, gzip, rc4, base64, aes

Functions:
sub_10002003, Set-Cookie

Win API:
ImpersonateLoggedOnUser, GetTickCount, GetCursorPos, GlobalMemoryStatusEx, GetAsyncKeyState

Win Services:
NtmSsvc

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT15, китайская группа кибершпионажа, действующая с 2010 года, нацелена на правительственный и военный секторы по всему миру, проводя операции, подобные атаке "moviestar" в 2013 году, и используя уязвимости в общедоступных приложениях. Они используют сложные методы для первоначального доступа, включая spear phishing и использование уязвимостей Microsoft Exchange, а также используют продвинутые методы уклонения, такие как использование кодировки Base64 и Маскировка вредоносного ПО под законные сервисы. В 2022 году они внедрили бэкдор Graphican и продолжили работу через сеть ORB3 в 2023 году, продемонстрировав адаптивность и устойчивость.
-----

APT15, группа кибершпионажа, базирующаяся в Китае, действует примерно с 2010 года и провела множество громких кампаний, нацеленных на правительственный, дипломатический и военный секторы по всей Северной Америке, Европе и на Ближнем Востоке. Их операции включают в себя такие известные инциденты, как операция "moviestar" в 2013 году против европейских министерств иностранных дел, нападения на персонал посольства Индии в 2016 году и взлом подрядчика ВМС США в 2018 году. Даже после значительных сбоев, таких как разгон Microsoft в 2021 году, APT15 адаптировался и продолжил свою деятельность, в частности, внедрив новый бэкдор под названием Graphican в 2022 году и используя сеть ORB3 для операций в 2023 году.

APT15 использует множество методов атаки, описанных в рамках MITRE ATT&CK framework. Их тактика включает в себя приобретение инфраструктуры для связи командования и контроля (C2), о чем свидетельствует использование ими определенных доменов для управления скомпрометированными системами. Они часто собирают законные учетные данные пользователей с помощью различных средств, включая хранилища учетных данных, чтобы получить дополнительный доступ к конфиденциальным средам, таким как Microsoft 365. Первоначальный доступ часто получают путем использования уязвимостей в общедоступных приложениях, таких как Microsoft Exchange и Pulse Secure VPN, или путем spear phishing-атак с использованием вложений, предназначенных для имитации законных документов.

Оказавшись внутри целевой сети, APT15 использует несколько механизмов для закрепления, таких как изменение папок автозагрузки и использование запланированных задач, чтобы гарантировать запуск их вредоносных двоичных файлов при входе пользователя в систему. Они используют изощренные методы, такие как COM-модель компонентов в Internet Explorer для взаимодействия с серверами C2 и запутывание, чтобы скрыть свою полезную нагрузку от обнаружения, часто встраивая вредоносный код в, казалось бы, невинные файлы PNG. Чтобы еще больше избежать обнаружения, они настраивают свое вредоносное ПО так, чтобы оно маскировалось под законные сервисы, изменяя системные реестры и используя различные методы шифрования сетевого трафика с использованием шифрования AES.

Их операционное мастерство демонстрирует передовые стратегии уклонения, включая использование кодировки Base64 для данных, передаваемых на серверы C2, использование методов маскировки вредоносных URL-адресов под законный трафик и выполнение команд с использованием таких инструментов, как rundll32.exe для загрузки вредоносных библиотек. APT15 остается серьезной угрозой, демонстрируя устойчивость и адаптивность, несмотря на существенные контрмеры против их инфраструктуры. Их скрытые методы коммуникации, опора на методы социальной инженерии и использование уязвимостей отражают их постоянную способность проводить изощренные кампании кибершпионажа.