#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ кампании Remcos RAT указывает на переход к безфайловым методам выполнения для уклонения от обнаружения, начиная с фишинговых писем, которые поставляют загрузчик на JavaScript. Этот загрузчик получает AES-обфусцированный PowerShell полезный груз, который выполняется полностью в памяти, позволяя многоступенчатой инфекции проходить без оставления артефактов на диске. Вредоносное ПО использует процессное хлование для внедрения себя в легитимный процесс Windows и связывается с сервером командования и управления, используя собственный TCP-протокол, передавая конфиденциальные операционные данные, минимизируя свои поведенческие следы.
-----

Анализ недавней кампании Remcos RAT показывает сдвиг в методах атаки от традиционных способов доставки файлов к безфайловым стратегиям выполнения, которые избегают обнаружения. Эта кампания начинается с фишинговых электронных писем на тему закупок, которые содержат заархивированный вложение с JavaScript-загрузчиком. Этот загрузчик загружает вредоносный код PowerShell, зашифрованный с помощью AES, с серверов, контролируемых злоумышленниками, что позволяет создать многоступенчатую цепочку заражения, которая в конечном итоге избегает создания любых артефактов на диске.

После выполнения JavaScript функционирует исключительно как загрузчик, отправляя HTTP-запросы для получения закодированного скрипта PowerShell, который выполняется целиком в памяти. Этот загрузчик PowerShell отвечает за выполнение AES-дешифрования в памяти, восстанавливая полезную нагрузку без оставления следов в файловой системе. Затем он использует управляемый .NET инжектор для опустошения легитимного процесса Windows, конкретно aspnet_compiler.exe, в который инжектируется и выполняется Remcos RAT. Эта техника опустошения процесса позволяет вредоносному ПО работать под прикрытием доверенного процесса, минимизируя вероятность обнаружения с помощью поведенческих и основанных на сигнатурах средств безопасности.

Установка вредоносного ПО начинается с электронных писем, выдающих себя за законную деловую переписку, с темами, намекающими на бизнес-транзакции, чтобы заманить жертвы в выполнение вредоносных вложений. Внутри вложения файл JavaScript маскируется под деловой документ, который при выполнении загружает необходимые файлы для дальнейших стадий инфекции.

Скрипт PowerShell использует техники распаковки в памяти и загрузки функций, что значительно уменьшает его поведенческий отпечаток. После внедрения Remcos RAT выполняет инициализацию во время выполнения, динамическое разрешение API Windows и профилирование целевой среды для определения данных о ОС и архитектуре, при этом обеспечивая однократное выполнение через механизм мьютекса.

После установления связи со своим сервером управления и контроля (C2), Remcos RAT передает профиль зараженной машины вместе с оперативными данными, включая имена узлов, версии операционных систем и любые собранные данные о нажатиях клавиш. Связь использует настраиваемый протокол по TCP, подчеркивая способность этого вредоносного ПО смешиваться с обычным сетевым трафиком.

Этот случай иллюстрирует растущую сложность вредоносного ПО, такого как Remcos RAT, использующего современные техники, такие как выполнение в памяти и использование функциональности встроенных инструментов для скрытных операций. Чтобы противостоять этим развивающимся угрозам, организациям следует сосредоточиться на выявлении поведенческих аномалий и минимизации зависимости от традиционных методов на основе сигнатур, выступая за надежную стратегию, которая включает строгий контроль доступа, проверку памяти и выполнения скриптов, а также повышенную видимость через проактивный мониторинг и ведение журналов.

#ParsedReport #CompletenessHigh
16-03-2026

COVERT RAT: Phishing Campaign

https://www.pointwild.com/threat-intelligence/covert-rat-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Covert_accesss

Threats:
Covertrat
Cobalt_strike_tool
Spear-phishing_technique
Antivm_technique
Antidebugging_technique
Credential_harvesting_technique

Victims:
Judicial ecosystem, Federal courts, Legal practitioners, Justice related government agencies, Academic institutions, Advocacy groups

Industry:
Government

Geo:
Argentina

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1041, T1057, T1059.001, T1070.004, T1071.001, T1082, T1105, T1140, have more...

IOCs:
File: 24
Registry: 5
IP: 1
Hash: 5

Soft:
Microsoft Edge, Windows registry, VirtualBox, HyperV, QEMU, Hyper V, Xen, task scheduler

Algorithms:
exhibit, sha256, zip, xor, base64

Win API:
IsDebuggerPresent, QueryPerformanceFrequency

Win Services:
WebClient

Languages:
powershell, rust

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 5, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
"Operation Covert Access" нацеливается на судебный сектор Аргентины с помощью сложного трояна удаленного доступа (RAT), доставленного через спифишинг. Атака использует обманные судебные документы в ZIP-файле, содержащем вредоносное ярлык Windows, который выполняет пакетный скрипт для загрузки RAT, скрытого под именем "msedge_proxy.exe." После активации RAT использует антианалитические техники, устанавливает постоянный канал управления и контроля, и может динамически загружать дополнительные модули, включая программное обеспечение-вымогатели и собиратели учетных данных, демонстрируя свои продвинутые возможности.
-----

Анализируемая кампания, получившая название "Operation Covert Access", сосредоточена на доставке сложного Remote Access Trojan (RAT) с помощью тактики целевого фишинга, специально нацеливаясь на судебный сектор Аргентины. Кампания характеризуется многоступенчатой цепочкой инфицирования, где злоумышленники используют обманчивые судебные документы, эксплуатируя доверие пользователей к официальным коммуникациям, чтобы получить доступ к целевым системам. Зловредный компонент представляет собой RAT на основе Rust, разработанный для скрытного и постоянного проникновения в сети федеральных судов, юридических практиков и связанных учреждений.

Атака начинается с тщательно подготовленных целевых фишинговых писем, содержащих сжатый ZIP-архив. Внутри этого архива находится злонамеренный ярлык Windows (.LNK), предназначенный для выполнения пакетного скрипта с использованием PowerShell в скрытом режиме, одновременно открывая выглядящий легитимно PDF. Эта двойная активация эффективно скрывает злонамеренную активность, позволяя фактическому полезному компоненту быть доставленным и активированным без поднятия подозрений у пользователя.

Пакетный скрипт, установленный в файле LNK, подключается к репозиторию GitHub для загрузки основного полезного груза, замаскированного под "msedge_proxy.exe" в директории пользовательских данных Microsoft Edge. Этот выбор имени файла и местоположения служит для дальнейшей маскировки его истинной природы. После выполнения RAT демонстрирует несколько мер противодействия анализу, таких как обнаружение выполнения в виртуализированных или контролируемых средах путем сканирования на наличие индикаторов технологий виртуализации и мониторинговых инструментов. Если он выявляет такие условия, он немедленно завершает свой процесс, чтобы избежать обнаружения.

После успешного выполнения вредоносное ПО устанавливает надежный канал связи командованием и управления (C2) с резервными возможностями как для IPv4, так и для IPv6, обеспечивая ему постоянный доступ. Операционная структура включает в себя различные команды для управления файлами, сбора данных и повышения привилегий. RAT может динамически загружать дополнительные модули, включая основанный на DLL программный комплекс для вымогательства и инструменты для сбора учетных данных, что обеспечивает универсальность и адаптивность к изменяющимся задачам.

Ключевые команды, такие как PERSIST_ENABLE, PERSIST_REMOVE, HARVEST, ENCRYPT и ELEVATE, иллюстрируют всеобъемлющие контрольные возможности вредоносного ПО, позволяя ему выполнять передачу файлов, шифровать данные и поддерживать устойчивость с помощью различных методов, таких как записи в реестре и запланированные задачи. Кроме того, входящие команды C2 кодируются в Base64, подчеркивая необходимость наличия надежной рутинной декодировки внутри вредоносного ПО для эффективного выполнения инструкций.

Операция завершает выделением необходимости в улучшении мер кибербезопасности, особенно из-за эффективности методов выполнения атаки и упорного характера развернутого RAT. Это подчеркивает критическую проблему для защитников против сложных тактик социального инженерии, совмещенных с современными механизмами доставки вредоносного ПО, что усиливает необходимость бдительности и улучшенных защитных стратегий в институциональных условиях.

#ParsedReport #CompletenessMedium
13-03-2026

Body Title Malware distribution using a fake FileZilla site Malware Analysis Report by 4 2026. 3. 13. 14:38

https://blog.alyac.co.kr/5738

Report completeness: Medium

Threats:
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Hvnc_tool

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1027, T1056.001, T1071.001, T1102, T1106, T1113, T1140, T1204.002, T1497.001, T1555, have more...

IOCs:
File: 18
Domain: 2
Url: 3
Hash: 3
IP: 1

Soft:
VirtualBox

Algorithms:
exhibit, md5, zip

Win Services:
VGauthService

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кибератака была связана с вредоносным ПО, распространяемым через поддельный сайт FileZilla, где вредоносная DLL была встроена в легитимную версию приложения. Нападающие использовали загрузку DLL для выполнения вредоносного ПО, которое служит загрузчиком для окончательной установки Трояна удаленного доступа (RAT), способного на кражу учетных данных и удаленное управление. Операция продемонстрировала организованное управление со стороны группы угроз, применяющей такие методы, как DNS через HTTPS, чтобы избежать обнаружения, и сложные проверки для ухода от аналитических сред.
-----

Недавняя атака была идентифицирована, в которой вредоносное ПО распространяется через поддельный веб-сайт, имитирующий официальный сайт FileZilla. Участники угроз используют убедительное воспроизведение сайта, чтобы заманить пользователей в загрузку вредоносной версии клиента FTP FileZilla. В частности, атака включает в себя встраивание вредоносного DLL-файла в легитимную версию FileZilla, что позволяет вредоносному ПО выполнять свои действия наряду с нормальным поведением программы.

Первоначальная фаза атаки включала сжатые файлы, содержащие портативную версию FileZilla 3.69.5 вместе с вредоносным DLL под названием version.dll. Когда пользователи распаковывают и запускают этот файл, DLL выполняется с помощью техники, известной как DLL sideloading, которая использует приоритет загрузки DLL в Windows. Это позволяет вредоносному DLL загружаться перед легитимным. В последующих атаках появился более упорядоченный подход, при котором единый исполняемый файл содержал как подлинный установщик FileZilla, так и вредоносный DLL. Запуск этого исполняемого файла инициирует типичный процесс установки, одновременно помещая вредоносный DLL в каталог установки для выполнения во время будущих запусков FileZilla.

Вредоносная DLL функционирует как загрузчик, используя многоступенчатый процесс для обхода обнаружения безопасности. Каждый загрузчик извлекает и расшифровывает следующую стадию своего полезного нагрузки, которая в конечном итоге выполняет Remote Access Trojan (RAT). Нападающие использовали технологии DNS over HTTPS (DoH) для обхода традиционного мониторинга DNS, используемого решениями сетевой безопасности. Отправляя зашифрованные DNS-запросы, замаскированные под обычный HTTPS-трафик к публичному резольверу Cloudflare, они эффективно обошли механизмы обнаружения, предназначенные для блокировки подозрительных доменов.

Более того, проанализированные данные из связи Командного и Контрольного центра (C2) указывают на систематическое управление векторами заражения через специфические параметры, что предполагает, что операция организована определенной группой угроз, а не отдельным лицом. Различные проверки в вредоносной DLL оценивают характеристики системы, включая версию BIOS и программное обеспечение виртуализации, чтобы идентифицировать среды анализа и предотвратить обнаружение.

Итоговая нагрузка идентифицирована как RAT, способный выполнять ряд вредоносных действий, включая кражу учетных данных, регистрация нажатий клавиш, захват скриншотов и создание скрытых удаленных сеансов доступа. Это позволяет злоумышленникам скрытно манипулировать зараженными системами, укрепляя их контроль и облегчая дополнительные вредоносные действия без ведома пользователя.

Характерные черты этой атаки примечательны своей зависимостью от социальной инженерии, продвинутых техник уклонения и организованного управления целями, а не эксплуатации уязвимостей системы. Использование поддельных веб-сайтов для распространения законного программного обеспечения с встроенным вредоносным ПО является примером устойчивой угрозы в киберпространстве.

#ParsedReport #CompletenessMedium
12-03-2026

A Slopoly start to AI-enhanced ransomware attacks

https://www.ibm.com/think/x-force/slopoly-start-ai-enhanced-ransomware-attacks

Report completeness: Medium

Actors/Campaigns:
Hive0163 (motivation: financially_motivated)
Fin12
Ta569
Tag-124
Landupdate808

Threats:
Slopoly
Interlock
Nodesnake
Interlockrat
Junkfiction
Polymorphism_technique
Clickfix_technique
Azcopy_tool
Oyster
Supper_backdoor
Zapcat
Portstarter
Systembc
Rhysida
Socgholish_loader
Kongtuke
Promptspy
Promptlock
Promptflux
Voidlink

Victims:
Ransomware victims

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1018, T1027, T1036, T1053.005, T1057, T1059.001, T1059.003, T1070.004, T1071.001, T1105, have more...

IOCs:
Domain: 34
IP: 4
Command: 3
File: 4
Hash: 1

Soft:
Instagram, Linux, Windows Task Scheduler, Windows Defender, OpenSSL

Algorithms:
sha256, aes-gcm, aes

Functions:
remove

Languages:
powershell, javascript, java, php

Links:
have more...
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2026 года группа Hive0163 запустила новый ransomware с поддержкой ИИ под названием "Slopoly," который использует зашифрованные сеансовые ключи, хранящиеся вне системы, и общается с сервером управления и контроля для выполнения команд. Цепочка атаки началась с тактики социального инженерии ClickFix, в результате чего была установлена рамочная структура вредоносного ПО на основе NodeJS, которая развернула Slopoly. Кроме того, ransomware Interlock, часть арсенала той же группы, использует шифрование AES и RSA, что усложняет обнаружение из-за использования стандартных взаимодействий с пользователем.
-----

В начале 2026 года IBM X-Force выявила новый улучшенный с помощью ИИ штамм программ-вымогателей под названием "Slopoly", развернутый группой Hive0163 во время операций с программами-вымогателями. Эта группа преследует финансовые цели и связана с несколькими высокопрофильными инцидентами программ-вымогателей, используя различные частные криптеры и вредоносные программы с доступом издалека, такие как NodeSnake, InterlockRAT и другие. Внедрение ИИ в разработку их вредоносного ПО указывает на тревожный сдвиг в том, как киберпреступники могут быстро внедрять инновации и расширять свои операции.

Malware Slopoly включает несколько примечательных функций, таких как хранение зашифрованных сеансовых ключей в назначенных файлах, а не в самом зашифрованном данных. Он работает через клиентский компонент, который взаимодействует с сервером управления и контроля (C2), отправляя периодические маяки и получая команды для выполнения. Архитектура Slopoly указывает на то, что он, вероятно, был сгенерирован менее продвинутой языковой моделью (LLM), которая создала скрипт PowerShell, характеризующийся стандартными логами, комментариями и именами переменных, что указывает на явный намерение для злонамеренного использования.

Цепочка атак началась с атаки ClickFix, тактики социальной инженерии, которая манипулирует пользователями, заставляя их запускать злонамеренные скрипты. Этот первоначальный взлом позволил установить фреймворк вредоносного ПО на базе NodeJS, который способствовал развертыванию последующих нагрузок, включая Slopoly. Операционные возможности вредоносного ПО включают функции задней двери и базовые, но важные функции, такие как сигнализация и выполнение команд через простой интерфейс. Обнаружение Slopoly затруднено из-за его зависимости от стандартных пользовательских взаимодействий и скромного уровня сложности.

Ransomware Interlock, еще один элемент инструментария Hive0163, работает как 64-битный исполняемый файл, использующий AES и RSA для шифрования файлов, специально нацеленный на файлы на логических дисках. Ransomware выполняется с различными параметрами, влияющими на его поведение шифрования и функции управления файлами. Он создает записки о выкупе после шифрования, оставляя такие следы, как механизмы "пersistence", чтобы сохранить доступ.

Наблюдаемые тактики и инструменты отражают тенденцию к более быстрому и преходящему развитию вредоносного ПО. Поскольку использование ИИ в киберпреступности увеличивается, легкость и эффективность, с которой актеры могут создавать уникальные экземпляры вредоносного ПО, ставят под сомнение традиционные методы выявления и атрибуции. Эволюция ландшафта угроз, отмеченная появлением эфемерного вредоносного ПО и приближающимися достижениями в области агентов ИИ, требует от рамок кибербезопасности адаптироваться к этим быстрым изменениям, чтобы защититься от все более сложных угроз.

#ParsedReport #CompletenessHigh
11-03-2026

HellsUchecker: ClickFix to blockchain-backed backdoor

https://www.derp.ca/research/hellsuchecker-clickfix-etherhiding/

Report completeness: High

Threats:
Hellsuchecker
Clickfix_technique
Lolbin_technique
Etherhiding_technique
Hellsgate_technique
Amos_stealer
Ocrfix_technique
Odyssey_stealer
Trojan.bat.agent.crd
Dropper/bat.agent.br
Polyglot_technique
Process_hacker_tool
Process_camouflage_technique
Timestomp_technique

Victims:
Windows users, Macos users

Industry:
Telco, Education, Financial

Geo:
Russian, Armenia, Russia, Moscow, Belarus, Azerbaijan, Tajikistan, Moldova, Georgia, Kyrgyzstan, Ukraine, Kazakhstan, Uzbekistan

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.005, T1027.010, T1036, T1036.005, T1055.012, T1059.003, T1059.006, T1070.004, have more...

IOCs:
Domain: 15
File: 33
Url: 3
Hash: 4
Path: 7
IP: 5
Email: 1
Coin: 2

Soft:
Cloudflare Turnstile, macOS, Windows TCP/IP, Unix, curl, Huorong, Visual Studio, NET Framework, gatekeeper, Xen, have more...

Crypto:
ethereum

Algorithms:
aes-128-cbc, deflate, sha3, sha256, prng, xor, rc4, base64, chacha20, zip

Functions:
name, CreateObject, LastIndexOf, RPC, C2, GetStdHandle

Win API:
RegisterApplicationRestart, VirtualAlloc, NtCreateSection, NtMapViewOfSection, CreateProcessW, NtDelayExecution, RtlAllocateHeap, polygon, MemoryBarrier, GlobalMemoryStatusEx, have more...

Languages:
python

Platforms:
x86, arm, intel, x64

YARA: Found

Links:
https://github.com/kirkderp/yara

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HellsUchecker - это продвинутый x64 бекдор, использующий сложную 10-ступенчатую цепочку атак, инициируемую обманчивой ClickFix приманкой, которая имитирует CAPTCHA. Он использует фишинговую страницу, чтобы побудить выполнение злонамеренных команд через легитимную утилиту, после чего загружает полезные нагрузки, которые полностью работают в памяти для избежания обнаружения. Это вредоносное ПО использует уникальную технику выполнения Hell's Gate, проводит обширные проверки на наличие песочницы и использует блокчейн для управления командой и контролем, что обеспечивает постоянную адаптируемость и устойчивость.
-----

HellsUchecker – это сложный нативный x64 бэкдор размером 28 КБ, известный своей комплексной 10-ступенчатой атакой, которая начинается с обманчивой приманки ClickFix, напоминающей CAPTCHA от Cloudflare, и завершается нагрузкой, резидирующей в памяти, которая связывается со своим сервером управления и контроля (C2) по HTTPS.

Начальная стадия направляет жертв на фишинговую страницу h01-captcha.sbs, которая реплицирует легитимный интерфейс CAPTCHA. После взаимодействия она предлагает пользователям выполнить вредоносную командную строку, с помощью payload из буфера обмена, который запускает легитимную утилиту Windows "finger.exe" на порту 79. Эта утилита загружает вредоносные команды, скрытые в специально созданном файле .plan с вредоносного сервера. Затем payload применяет серию инструкций для отключения explorer.exe рабочего стола, загрузки легитимного пакета встроенного Python, замаскированного под PDF, и выполнения вторичного payload через скрипт, закодированный в base64.

По мере прогрессирования атаки используется смарт-контракт на BNB Smart Chain для маскировки деталей C2 сервера, внедряя конфигурацию в блокчейн и применяя уникальный механизм дешифрования, который использует основанный на времени nonce для дополнительной безопасности. Чтобы улучшить методы уклонения, HellsUchecker выполняет 26 проверок на анти-песочницу, чтобы избежать обнаружения, оценивая системные параметры, такие как ОЗУ и дисковое пространство, а также наличие известных средств безопасности. Чтобы дальнейше избежать анализа, вредоносное ПО реализует параллельные потоки, генерирующие ложный сетевой трафик для сокрытия своих реальных коммуникаций.

Инжектор использует технику, названную Hell's Gate, чтобы выполнять shellcode напрямую, не вызывая срабатывание традиционных механизмов обнаружения. Он избегает стандартного использования Windows API, улучшая скрытность за счет полагания на прямые системные вызовы. Окончательный полезный груз полностью загружается в память и создаётся так, чтобы существовать только как динамически сгенерируемый исполняемый файл, никогда не записываемый на диск, тем самым обходя традиционные методы обнаружения на основе файлов.

С операционной точки зрения, backdoor разработан для обеспеченияpersistens, создавая копии начального BAT-файла в различных скрытых директориях. При перезагрузке он может повторно инициировать процесс инфекции, получая последние конфигурации от C2, предоставляемые через обновления блокчейна. Эта непрерывная связь позволяет злоумышленнику без проблем адаптировать свою инфраструктуру управления. В настоящее время backdoor функционирует, а следы инфраструктуры простираются по нескольким странам, что еще раз указывает на его обширную и устойчивую природу.

В целом, HellsUchecker представляет собой значительное преимущество в киберугрозах, используя различные техники уклонения, сложные механизмы доставки вредоносных программ и инновационное использование блокчейна для командования и управления, что значительно усложняет обнаружение и смягчение угроз.

#ParsedReport #CompletenessHigh
16-03-2026

Web Shells, Tunnels, and Ransomware: Dissecting a Warlock Attack

https://www.trendmicro.com/en_us/research/26/c/dissecting-a-warlock-attack.html

Report completeness: High

Actors/Campaigns:
Warlock

Threats:
Yuze_tool
Byovd_technique
X2anylock
Rclone_tool
Cobalt_strike_tool
Dll_sideloading_technique
Mimikatz_tool
Dcsync_technique
Cloudflared_tool
Nsec-killer_tool
Credential_dumping_technique
Av-killer

Victims:
Technology sector, Manufacturing sector, Government sector, Education sector

Industry:
Government, Education

Geo:
Germany, Russia

TTPs:
Tactics: 11
Technics: 19

IOCs:
File: 50
Domain: 2
Url: 5
Path: 19
IP: 4
Command: 3
Hash: 6

Soft:
TightVNC, Microsoft SharePoint, Velociraptor, Windows service, PsExec, Microsoft Edge, SharePoint server, Supabase, PccNTMon, Active Directory, have more...

Algorithms:
zip, sha256

Win API:
TmExtIns

Win Services:
WebClient, Ntrtscan, TmListen, TmCCSF, TmPfw, MsMpEng

Languages:
powershell

Platforms:
cross-platform, x86

Links:
https://github.com/BlackSnufkin/BYOVD

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Warlock усовершенствовала свою методику атак, интегрировав инструменты для сохранения доступа, бокового перемещения и уклонения, в частности, используя TightVNC, Yuze и эксплуатируя уязвимости драйверов NSec. Начальный доступ осуществляется через незавершенные серверы Microsoft SharePoint, что приводит к развертыванию программ-вымогателей через Cobalt Strike и тактикам уклонения, которые включают пользовательские инструменты на уровне ядра. Их операция включает сбор учетных данных с помощью Mimikatz, боковое перемещение с помощью PsExec и быстрое извлечение данных в ведро S3, контролируемое атакующим.
-----

Группа-вымогатель Warlock усовершенствовала свою цепочку атак с новыми тактиками, сосредоточенными на постоянстве, латеральном перемещении и уклонении. Они используют TightVNC, Yuze и технику BYOVD, эксплуатирующую уязвимости в драйвере NSec. Начальный доступ часто осуществляется через непатченные серверы Microsoft SharePoint, доступные из интернета. Они разворачивают вымогательские программы через Cobalt Strike, который соединяется через легитимный процесс w3wp.exe и внедряет вредоносный код, маскирующийся под бинарный файл Microsoft. Удалённые полезные нагрузки загружаются с помощью таких инструментов, как Velociraptor, замаскированных под легитимное программное обеспечение для эксфильтрации данных и командно-контрольных коммуникаций.

Методы постоянства включают скрытую установку TightVNC в качестве службы Windows. Yuze используется как основанный на C инструмент с открытым исходным кодом для обратного прокси, чтобы обойти традиционные меры безопасности. Группа также использует туннели Cloudflare, чтобы смешивать вредоносный трафик с легитимными операциями. Доступ к учетным данным включает атаки DCSync с использованием Mimikatz и debug.exe для сбора имен пользователей и паролей домена. Боковое движение достигается с помощью PsExec и PowerShell Remoting для выполнения команд и установки инструментов на других системах.

Для командного управления Warlock использует Velociraptor и туннелирование VS Code для скрытых коммуникационных каналов. Их специально разработанный инструмент NSec-Killer нацеливается на критически важные процессы продуктов безопасности на уровне ядра, чтобы избежать обнаружения. Выдача данных происходит напрямую в управляемый злоумышленником S3 бакет из целевых файловых общих папок. Вымогатель устанавливается с использованием групповой политики Active Directory для репликации вредоносных компонентов на системах, присоединённых к домену, что включает в себя шифрование файлов и оставление записки с требованием выкупа для жертв.

#ParsedReport #CompletenessHigh
16-03-2026

Remcos Banking Fraud via Three AutoIt Persistence Chains

https://www.derp.ca/research/remcos-autoit-persistence/

Report completeness: High

Actors/Campaigns:
Serpentine_cloud
Purecoder

Threats:
Remcos_rat
Purehvnc_tool
Violet_rat
Purelogs
Purecryptor
Process_hollowing_technique
Screen_shotting_technique
Hvnc_tool
Donut_loader
Donut

Victims:
Banking customers, Financial services

Industry:
Foodtech, Financial

Geo:
Canadian, American, Budapest

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1036.004, T1036.005, T1053.005, T1055.012, T1056.001, T1059.003, T1071.001, T1112, have more...

IOCs:
Hash: 11
File: 11
Path: 1
Domain: 19
IP: 1

Soft:
EcoOptimize, WealthWise, NET Framework, ledger live, EcoOptimize WealthWise

Wallets:
bitpay, exodus_wallet, atomicwallet, metamask

Algorithms:
aes-256, aes-256-cbc, lznt1, rc4, base64, ecc, gzip, aes, sha256, rsa-4096

Functions:
TestFunction

Win API:
ecompress

Languages:
autoit, python

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4