#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя многоэтапная атака Konni Group's использовала тактику Целевого фишинга, в частности, с помощью электронного письма, замаскированного под уведомление о встрече, в результате чего жертвы запускали вредоносный файл LNK, который устанавливал вредоносное ПО EndRAT. Это вредоносное ПО собирало конфиденциальную информацию и использовало приложение KakaoTalk для дальнейшего распространения Вредоносных файлов. В кампании использовались передовые технологии, такие как PowerShell для скрытых операций, запланированные задачи для закрепления и распределенная инфраструктура угроз для уклонения от обнаружения, а методы связи скрывали вредоносный трафик с помощью пользовательских протоколов сокетов.
-----

Анализ недавней преступной хакерской кампании, атрибутируемой с Konni Group, выявляет сложную многоэтапную атаку, использующую тактику Целевого фишинга, в частности, с использованием электронного письма, Маскировки под уведомление о встрече с северокорейским лектором по правам человека. После успешного фишинга жертва запустила вредоносный LNK-файл, который запустил загрузку и установку вредоносного ПО для удаленного доступа. Это вредоносное ПО, идентифицированное как вариант EndRAT, оставалось скрытым в пораженной системе, где оно собирало конфиденциальные данные и внутренние документы.

Как только был установлен первоначальный доступ, злоумышленник воспользовался приложением KakaoTalk жертвы, злоупотребляя активными сеансами обмена сообщениями для дальнейшего распространения вредоносных файлов среди контактов в списке друзей жертвы. Изощренность этой кампании заключалась в использовании контента на северокорейскую тематику для укрепления доверия и облегчения вторичного распространения, эффективно превращая жертв в переносчиков более масштабных атак.

Вредоносное ПО использовало вредоносный файл LNK, который при запуске использовал PowerShell для скрытых операций, загружая дополнительные полезные данные с сервера управления (C2). Файл был сконструирован таким образом, чтобы он отображался как доброкачественный PDF-документ при выполнении команд для реализации удаленного доступа и поддержания закрепления с помощью таких методов, как запланированные задачи.

Механизмы закрепления включали создание запланированных задач, которые выполняли сценарии автоматического запуска, при этом вредоносное ПО устанавливало уникальный мьютекс для предотвращения множественных экземпляров и обеспечения стабильной связи с сервером C2. Более того, инфраструктура угроз носила распределенный характер, используя различные IP-адреса в нескольких странах для повышения устойчивости к обнаружению.

Варианты троянцев, использованные в этой кампании, включали EndRAT, RftRAT и RemcosRAT, с методами связи, соответствующими более ранним версиям семейства EndRAT, использующими пользовательские протоколы сокетов через HTTP для сокрытия вредоносного трафика. Автоматизированный сбор данных системы осуществлялся с помощью закодированных сообщений, передаваемых на сервер C2, что свидетельствует о проактивном подходе к сохранению плацдарма и сбору разведывательной информации.

Анализ подчеркивает необходимость того, чтобы организации укрепляли свою систему безопасности от подобных угроз, используя системы обнаружения и реагирования, основанные на поведении, особенно те, которые способны обнаруживать аномалии, выходящие за рамки традиционных методов, основанных на сигнатурах. Усиленная подготовка и политика, направленные на ограничение рисков, связанных с такой целенаправленной тактикой социальной инженерии, также имеют решающее значение для смягчения этих сложных целенаправленных угроз. Этот инцидент иллюстрирует эволюционирующую природу киберугроз и важность разработки всеобъемлющих стратегий обнаружения, реагирования и восстановления.

#ParsedReport #CompletenessHigh
18-03-2026

The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors

https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain/

Report completeness: High

Actors/Campaigns:
Unc6353 (motivation: cyber_espionage)
Unc6748

Threats:
Darksword_exploitkit
Ghostblade
Ghostknife
Ghostsaber
Coruna_tool
Watering_hole_technique

Victims:
Mobile users, Civilians

Industry:
Government, Healthcare

Geo:
Turkey, Malaysia, Russian, Turkish, Ukrainian, Saudi arabia, Ukraine, Saudi arabian

CVEs:
CVE-2025-43520 [Vulners]
CVSS V3.1: 7.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.7.2, <26.1)
- apple iphone_os (<18.7.2, <26.1)
- apple macos (<14.8.2, <15.7.2, <26.1)
- apple tvos (<26.1)
- apple visionos (<26.1)
have more...
CVE-2025-31277 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<18.6)
- apple ipados (<18.6)
- apple iphone_os (<18.6)
- apple macos (<15.6)
- apple tvos (<18.6)
have more...
CVE-2025-14174 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<143.0.7499.110)

CVE-2025-43529 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<26.2)
- apple ipados (<18.7.3, <26.2)
- apple iphone_os (<18.7.3, <26.2)
- apple macos (<26.2)
- apple tvos (<26.2)
have more...
CVE-2026-20700 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<26.3)
- apple iphone_os (<26.3)
- apple macos (<26.3)
- apple tvos (<26.3)
- apple visionos (<26.3)
have more...
CVE-2025-43510 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.7.2, 26.0)
- apple iphone_os (<18.7.2, 26.0)
- apple macos (<14.8.2, <15.7.2, 26.0)
- apple tvos (<26.1)
- apple visionos (<26.1)
have more...

TTPs:
Tactics: 5
Technics: 0

IOCs:
Domain: 5
File: 75
IP: 2
Hash: 1

Soft:
Chrome, EvalJs, iMessage, Telegram, WhatsApp, Outlook

Algorithms:
aes, ecdh

Functions:
TextDecoder, getJS, canUseApplePay, supportsWebGL2, getDeviceInputInfo, deleteCrashReports, startSandworm

Languages:
javascript

Platforms:
apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Цепочка эксплойтов DarkSword нацелена на iOS версий с 18.4 по 18.7, используя шесть уязвимостей zero-day, включая значительные уязвимости RCE и выходы из "песочницы". Эта цепочка эксплойтов, развернутая различными злоумышленниками, включая спонсируемые государством группы, способствовала полной компрометации устройств и использованию трех семейств вредоносных ПО: GHOSTBLADE, GHOSTKNIFE и GHOSTSABER. Кампании охватывали множество стран, при этом злоумышленники использовали запутанный JavaScript и различные оперативные меры безопасности для распространения эксплойтов и эксфильтрации данных.
-----

Google Threat Intelligence Group (GTIG) выявила сложную цепочку эксплойтов под названием DarkSword, специально предназначенную для iOS версий с 18.4 по 18.7. Этот эксплойт включает в себя множество уязвимостей zero-day, обеспечивающих полную компрометацию устройства. С конца 2025 года DarkSword использовался несколькими злоумышленниками, включая коммерческих поставщиков средств слежки и предположительно спонсируемые государством группы, в различных кампаниях против целей в Саудовской Аравии, Турции, Малайзии и Украине. Было замечено, что три семейства вредоносных ПО, GHOSTBLADE, GHOSTKNIFE и GHOSTSABER, были развернуты после успешного проникновения.

Цепочка эксплойтов DarkSword использует комбинацию из шести уязвимостей, включая два эксплойта для Удаленного Выполнения Кода (RCE) в JavaScriptCore, которые используются для обхода механизмов безопасности и выполнения произвольного кода. К значительным уязвимостям относятся CVE-2025-31277, ошибка повреждения памяти, и CVE-2026-20700, обход кодов аутентификации указателя пользовательского режима (PAC), о которых сообщалось и которые были исправлены Apple в последующих обновлениях iOS. Кроме того, уязвимости в ядре iOS были использованы для выхода из "песочницы", что облегчило более широкий доступ к системе.

В начале ноября 2025 года было отмечено, что кластер злоумышленников UNC6748 нацелился на пользователей из Саудовской Аравии с помощью вредоносного веб-сайта Snapchat. В их эксплуатации использовался запутанный код JavaScript, чтобы направить жертв к доставке модулей RCE от DarkSword. Первоначальные кампании продемонстрировали зависимость от CVE-2025-31277 и CVE-2026-20700, прежде чем добавить дополнительные эксплойты, которые соответствовали проверке версий устройств, хотя и с выявляемыми недостатками в логике.

Другой актор, турецкая фирма PARS Defense, продемонстрировала более надежную систему оперативной безопасности в своих кампаниях, зашифровав сообщения с использованием эксплойтов и внедрив методы снятия отпечатков пальцев с устройств. Результатом их деятельности стало внедрение GHOSTSABER, бэкдора с различными возможностями эксфильтрации данных. В январе 2026 года последующая деятельность, связанная с PARS Defense в Малайзии, выявила использование более сложных механизмов загрузки и конфигураций команд, некоторые из которых оказались неполными.

Российский актор UNC6353 еще больше использовал DarkSword в атаке watering hole, нацеленной на украинских пользователей, развернув GHOSTBLADE, менее универсальный инструмент сбора данных, который собирает ряд данных с устройств, но не обладает широкими функциональными возможностями, присутствующими в GHOSTKNIFE и GHOSTSABER. Способ действия включал внедрение скриптов на украинские веб-сайты, подвергшиеся компрометации, которые при посещении пользователями облегчали загрузку вредоносных полезных файлов.

Механизмы доставки эксплойтов различными акторами демонстрируют как общую логику шаблонов, так и уникальные модификации, адаптированные к конкретным операционным требованиям. Хотя были отмечены несоответствия в том, как выбирались этапы RCE, это может означать различия в зрелости эксплуатации или адаптации по сравнению с первоначальной логикой разработчика.

#ParsedReport #CompletenessMedium
18-03-2026

Stryker Cyberattack: What You Need to Know

https://socradar.io/blog/stryker-cyberattack-what-you-need-to-know/

Report completeness: Medium

Actors/Campaigns:
Handala-hacking-team (motivation: propaganda)
Void_manticore

Threats:
Credential_harvesting_technique
Adrecon_tool
Netbird_tool
Handala_wiper

Victims:
Stryker, Healthcare sector, Medical technology sector, Manufacturing operations, Shipping operations, Order processing

Industry:
Healthcare, Transport, Government, Military

Geo:
Iran, Israel, Iranian, Israeli

ChatGPT TTPs:
do not use without manual check
T1003.001, T1021.001, T1059.001, T1078, T1098, T1105, T1119, T1485, T1556.006, T1566, have more...

IOCs:
Hash: 5
IP: 4

Soft:
Microsoft Entra, VeraCrypt

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
11 марта 2026 года Stryker подвергся кибератаке, атрибутированной с командой Handala Hack, связанной с иранскими интересами, которая использовала компрометацию идентификационных данных для злоупотребления административными возможностями Microsoft Intune, что привело к значительным сбоям в работе без развертывания традиционного вредоносного ПО. Злоумышленники выполнили удаленную очистку почти 80 000 устройств, выявив уязвимости в системах идентификации и управления устройствами. Этот инцидент подчеркивает растущую изощренность киберугроз, когда надежные инструменты могут быть использованы в качестве оружия, создавая риски для организаций, вовлеченных в геополитический контекст.
-----

11 марта 2026 года Stryker столкнулась со значительной кибератакой, которая нарушила работу среды Microsoft по всему миру, подчеркнув смещение векторов атак с традиционного вредоносного ПО на использование надежных инструментов администрирования. Stryker не сообщил о каких-либо признаках вымогательства или вредоносного ПО; вместо этого инцидент, по-видимому, связан с компрометацией личных данных, за которой последовало злоупотребление административными возможностями Microsoft Intune, что позволило злоумышленникам нанести значительный ущерб, используя законные команды.

Инцидент первоначально привел к широкомасштабным сбоям, особенно затронувшим системы обработки заказов, производства и доставки. В публичных отчетах указывалось, что во время атаки могло быть удалено около 80 000 устройств, хотя злоумышленники, связанные с командой Handala Hack, взяли на себя ответственность и предложили еще более высокие цифры. Системы компрометации привели к операционному хаосу, однако Stryker заверила клиентов, что ее медицинские продукты и услуги для пациентов остались незатронутыми, что указывает на разделение корпоративной ИТ-среды и среды медицинских продуктов.

Примечательно, что атака не была обусловлена традиционным развертыванием вредоносного ПО; вместо этого она использовала законные функции Microsoft Intune, в частности возможности удаленной очистки, чтобы вызвать обширные сбои в работе устройств. Этот метод подчеркивает важный урок для организаций: даже при отсутствии вредоносного ПО компрометация систем идентификации и управления может привести к разрушительным последствиям. Растущая изощренность атак, примером которых является этот инцидент, указывает на то, что злоумышленники могут использовать надежные инструменты для нарушения работы, не оставляя следов обычного вредоносного ПО.

Команда Handala Hack, которая, как полагают, связана с государственными интересами Ирана, заявила, что атака была ответной, возможно, связанной с участием Stryker в оборонной сфере и приобретением ею израильских компаний. Это говорит о том, что организации, связанные с геополитическими событиями, особенно те, которые связаны с инициативами США или Израиля, могут сталкиваться с повышенными рисками.

В ответ на атаку Stryker инициировал процессы восстановления, полагаясь при этом на ручные обходные пути из-за обширных сбоев в работе системы. Этот инцидент имеет более широкие последствия для Кибербезопасности, особенно в отношении того, как организации управляют своими системами идентификации и управления устройствами. В нем подчеркивается необходимость надежного надзора за привилегированными учетными записями, постоянного мониторинга необычных административных действий и планирования устойчивости, гарантирующего, что организации смогут поддерживать непрерывность работы даже при значительных компрометациях.

Этот инцидент служит предупреждением для всех предприятий, использующих аналогичные платформы управления, поскольку он выявляет уязвимости, которые выходят за рамки сектора здравоохранения. Организации должны оценить свои меры безопасности, особенно в отношении структур управления конечными точками, таких как Microsoft Intune, готовясь к сценариям, в которых доверенные административные функции могут быть использованы для деструктивных последствий.

#ParsedReport #CompletenessHigh
18-03-2026

The SOC Files: Time to Sapecar. Unpacking a new Horabot campaign in Mexico

https://securelist.com/horabot-campaign/119033/

Report completeness: High

Threats:
Horabot_botnet
Lumma_stealer
Amadey
Polymorphism_technique
Metamorfo
Tinba

Victims:
Financial services, Bank customers, Email users in mexico

Industry:
Financial

Geo:
Mexico, Spanish, Brazilian, Portuguese

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.001, T1059.007, T1060, T1070.004, T1071.001, T1082, T1095, T1105, have more...

IOCs:
Url: 19
Path: 1
File: 3
Hash: 3
Domain: 1
IP: 1

Soft:
OpenSSL

Algorithms:
rc4, base64, xor

Functions:
createElement, setAttribute, getElementsByTagName, decode_str

Win API:
CryptDeriveKey, CryptDecrypt, VirtualAlloc

Languages:
javascript, python, powershell, delphi, autoit

Platforms:
intel

YARA: Found

Links:
https://github.com/abalad/Delphi\_Remote\_Access\_PC

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Horabot нацелена на пользователей в Мексике, используя сложную цепочку атак, включающую банковский троян и передовые методы уклонения. Первоначальная компрометация происходит, когда пользователи выполняют вредоносную команду, приводящую к загрузчику, который извлекает запутанный JavaScript. Банковский троянец на базе Delphi, известный как Casbaneiro или Zusy, использует устаревшие библиотеки OpenSSL для защищенной связи и шифр XOR с отслеживанием состояния для шифрования, а также собирает Адреса эл. почты и отображает запросы на фишинг для ввода банковских учетных данных, что указывает на значительный риск, связанный с этой развивающейся угрозой.
-----

Кампания Horabot представляет собой сложную киберугрозу, нацеленную в первую очередь на пользователей в Мексике посредством сложной цепочки атак, включающей банковский троян, механизмы распространения электронной почты и передовые методы уклонения. Кампания характеризуется активной и эволюционирующей тактикой, использующей для выполнения социальную инженерию, PowerShell и polymorphic вредоносные скрипты.

Начальная точка компрометации возникает, когда пользователь следует инструкциям по выполнению вредоносной команды через диалоговое окно запуска, которое действует как загрузчик. Этот загрузчик впоследствии извлекает и выполняет JavaScript, размещенный в домене злоумышленника. Исходный VBScript демонстрирует polymorphism на стороне сервера, что означает, что он генерирует немного разные версии при каждом доступе, сохраняя при этом основные функциональные возможности, такие как сбор информации и доставка дополнительной полезной нагрузки.

После установки вредоносное ПО выполняет обширную разведку, собирая системную информацию (IP-адрес, имя хоста, имя пользователя, версию операционной системы) и связываясь с сервером управления (C2). Первый этап приводит к дальнейшим полезным нагрузкам, включая исполняемый файл AutoIt, который выполняет сложный запутанный код, содержащий различные вредоносные процедуры, и обрабатывает закрепление путем создания вредоносного файла LNK в папке автозагрузки.

В основе атаки лежит банковский троян на базе Delphi, известный под различными псевдонимами, такими как Casbaneiro и Zusy. Это вредоносное ПО встраивает устаревшие библиотеки OpenSSL для управления HTTPS-коммуникациями и использует шифр XOR-вычитания с отслеживанием состояния для шифрования строк и сообщений, гарантируя, что его взаимодействие с сервером C2 остается скрытым. Его конфигурация извлекается с помощью защищенных запросов, что еще больше усложняет усилия по обнаружению.

Вредоносное ПО обладает возможностями отображения фишингов -запросов для извлечения банковских учетных данных, используя соответствующие культуре комментарии к программированию на бразильском португальском, указывающие на географические и языковые связи операторов. Компонент spreader этого вредоносного ПО предназначен для сбора Адресов эл. почты с помощью MAPI, рассылки фишинг-писем с вредоносными вложениями и управления эксфильтрацией данных.

Описанные функциональные возможности подчеркивают значительный риск Horabot's, поскольку на протяжении всего его жизненного цикла используются эволюционирующие методы и обширная система запутывания. Эта кампания иллюстрирует современные угрозы в киберпространстве, что делает обнаружение и реагирование критически важными для потенциальных жертв.

#ParsedReport #CompletenessHigh
18-03-2026

Katana: a Mirai variant that compiles its own rootkit on Android TV set-top boxes

https://github.com/deepfield/public-research/blob/main/katana/report.md

Report completeness: High

Actors/Campaigns:
Ddos-for-hire

Threats:
Mirai
Residential_proxy_technique
Kimwolf
Putty_tool
Tcpstomp_technique
Udpflood_technique
Httpflood_technique
Pandora
Bigpanzi
Dns_hijacking_technique
Vo1d
Badbox
Supply_chain_technique
Cobalt_strike_tool
Asyncrat
Xworm_rat
Remcos_rat
Rhadamanthys
Jackskid
Dropbear_tool
Nmap_tool
Ncat_tool
Netcat_tool
Socat_tool
Screencap

Victims:
Android tv set top boxes, Residential proxy services users, Cloud service providers, Game hosting, Web hosting, Telecommunications

Industry:
Software_development, Media, Transport, Telco, Financial, Iot

Geo:
Seychelles, Latvian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036.005, T1037.004, T1046, T1053.003, T1057, T1059.004, T1070.004, T1071.001, have more...

IOCs:
IP: 8
Domain: 7
File: 13
Hash: 11

Soft:
Android, Google Play, Busybox, FiveM, CitizenFX, MySQL, TeamSpeak, Chrome, Discord, OpenSSL, have more...

Algorithms:
rc4, sha256, xxtea, xor

Functions:
getEndpoints, getConfiguration

Win Services:
bits

Languages:
python, perl, ruby

Platforms:
arm, x64, x86, mips

Links:
https://github.com/deepfield/public-research/blob/main/katana/detection/katana.yar
have more...
https://github.com/deepfield/public-research/blob/main/katana/detection

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Katana, разновидность вредоносного ПО Mirai, в первую очередь нацелен на телевизионные приставки Android TV, использующие уязвимости ADB для несанкционированного доступа. Он оснащен скомпилированным на устройстве руткитом ядра в формате APK, обеспечивающим закрепление и скрытность, и может генерировать скорость до 150 Гбит / с при DDoS-атаках с использованием одиннадцати различных методов. Его инфраструктура командования и контроля зашифрована, что облегчает ротацию доменов и возможности самоочистки, отражая эволюцию в области изощренности киберугроз.
-----

Katana - это разновидность вредоносного ПО Mirai, нацеленного на уязвимые телевизионные приставки Android, используя уязвимости ADB. Это обеспечивает несанкционированный доступ через службы residential proxy без сложных эксплойтов. По оценкам, ботнет состоит по меньшей мере из 30 000 активных ботов, способных генерировать атаки со скоростью до 150 Гбит/с. Он включает в себя DDoS-бота и руткит ядра, скомпилированный на устройстве, что повышает закрепление и скрытность. Вредоносное ПО подключается к порту ADB (5555) для уничтожения несанкционированных процессов, предотвращая контроль над конкурирующим ботнет. Katana отключает более 100 системных утилит и переназначает порты, чтобы затруднить взаимодействие владельца и криминалистического анализа. Инфраструктура C2 зашифрована пользовательским 5-ступенчатым шифром, что позволяет осуществлять ротацию домена без повторного развертывания. Он может динамически обновлять домены и удалять артефакты закрепления в течение трех дней. Katana использует одиннадцать методов DDoS-атаки, включая асинхронные протоколы, адаптированные для конкретных целей. Данные свидетельствуют о том, что компоненты вредоносного ПО могут использовать разработку с помощью искусственного интеллекта, в то время как основные функции остаются разработанными вручную для обеспечения точности.

#ParsedReport #CompletenessHigh
18-03-2026

Iranian Botnet Exposed via Open Directory: 15-Node Relay Network and Active C2

https://hunt.io/blog/iran-botnet-operation-open-directory

Report completeness: High

Threats:
Paqet_tool
Mhddos_tool
Synflood_technique
Udpflood_technique

Victims:
Game server hosting, Internet infrastructure, General servers

Industry:
Financial, Telco

Geo:
Finland, Iranian, London, Iran

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1036, T1059.004, T1059.006, T1071.001, T1078, T1090, T1095, T1105, have more...

IOCs:
Domain: 13
File: 1
IP: 20
Hash: 3

Soft:
FiveM

Algorithms:
sha256, aes

Languages:
c_language, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило иранский ботнет с 15-узловой ретрансляционной сетью, нацеленной на DDoS-атаки и уклонение от цензуры, использующий серверы в Финляндии и Иране. Бот использует сценарий массового развертывания на основе SSH, "ohhhh.py ," для доступа к машинам-жертвам и компиляции своих инструментов с использованием компилятора GCC, что позволяет избежать обнаружения. Кроме того, ботнет использует туннелирование KCP для маршрутизации трафика и может предлагаться в качестве услуги, что указывает на коммерческий мотив вместо государственного спонсорства.
-----

Недавнее исследование Кибербезопасности выявило сложный иранский ботнет, характеризующийся 15-узловой ретрансляционной сетью, предназначенной для DDoS-атак и уклонения от цензуры. Эта инфраструктура была обнаружена через открытый каталог, раскрывающий ряд операционных деталей.

Ботнет состоит из серверов, размещенных по всей Финляндии и Ирану, зарегистрированных у иранского интернет-провайдера и европейского облачного провайдера. Общий отпечаток сертификата TLS позволил исследователям точно определить в общей сложности 15 серверов, семь на Hetzner в Финляндии и семь на иранских интернет-провайдерах. Ботнет использует продвинутую технологию развертывания, при которой он компилирует инструменты DDoS непосредственно на компьютерах-жертвах с помощью компилятора GCC, переименовывая бот-клиент в "hex". Этот метод помогает избежать обнаружения двоичных файлов, что затрудняет программному обеспечению безопасности выявление вредоносных действий.

Методология атаки включает сценарий массового развертывания на основе SSH, идентифицированный как ohhhh.py , который автоматизирует открытие до 500 одновременных SSH-сеансов. Этот скрипт запрашивает учетные данные в формате host:порт\|имя пользователя\|пароль, чтобы получить доступ к компьютерам-жертвам, где он впоследствии компилирует и запускает бот-клиент. Подробные журналы Истории команды BASH фиксировали этапы работы этого ботнет: первоначальную настройку туннелей для обхода цензуры, переход к инструментам для DDoS-атак на живые цели и переход к постоянной разработке ботнет. Примечательно, что одна и та же инфраструктура служит двойным целям — запускает как трафик в обход цензуры, так и инструменты для атак.

Туннельный компонент атаки использует KCP (протокол туннелирования KCP) для облегчения маршрутизации трафика, с файлом конфигурации, указывающим настройки, предназначенные для обхода национальных систем фильтрации. Наличие веб-инструмента управления прокси-серверами сигнализирует о коммерческом аспекте ботнет, предполагая, что он может быть продан в качестве услуги другим лицам в Иране.

Этап разработки ботнет включал переход от ручных DDoS-атак к созданию более надежной постоянной возможности. Для доработки процесса развертывания были использованы различные скрипты на Python, включая функциональность для постоянного подключения и управления ботами. Клиент-бот, на который указывают восстановленные исходные конструкции с различными командами, позволяет регистрировать вновь зараженные хосты и включает функции автоматического переподключения, повышающие его устойчивость к перебоям в работе сервера.

Такие показатели, как использование услуг иранского интернет-провайдера и локализованные комментарии на фарси, указывают на то, что оператор, скорее всего, базируется в Иране или хорошо знаком с местными условиями, и что эта деятельность осуществляется не под руководством государства, а скорее по коммерческим мотивам.

Стратегии смягчения последствий для защитников должны пересмотреть механизмы обнаружения, которые ботнет стремится обойти, особенно в таких областях, как обнаружение на основе хэша, присвоение IP-адреса источника и двоичное сканирование. Этот случай иллюстрирует растущую изощренность киберугроз, которые угрожают как личной, так и организационной безопасности.

#ParsedReport #CompletenessHigh
18-03-2026

Cato CTRL Threat Research: Vishing and Microsoft Teams Used to Deliver PhantomBackdoor

https://www.catonetworks.com/blog/cato-ctrl-vishing-and-microsoft-teams-used-deliver-phantombackdoor/

Report completeness: High

Actors/Campaigns:
Phantomcaptcha

Threats:
Phantombackdoor
Spear-phishing_technique
Clickfix_technique

Victims:
Consumer services, Non governmental organizations, Government

Industry:
Ngo, Government

Geo:
Ukraine, Italy

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.010, T1059.001, T1071.001, T1105, T1566, T1598

IOCs:
Domain: 2
Url: 1
IP: 2
Hash: 2

Soft:
Microsoft Teams

Algorithms:
sha256, xor, base64

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, table: 1