#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализированная кибератака включала кражу учетных данных у внешнего поставщика ИТ-услуг, что позволило несанкционированный доступ через SSL-VPN с использованием скомпрометированной учетной записи. Атакующий использовал PsExec для перемещения внутри компании и предпринял попытку атаки DCSync для извлечения данных паролей. Эксфильтрация данных проводилась с помощью rclone с использованием токенов легитимных учетных записей, а атака завершилась развертыванием ransomware, продемонстрировав различные сложные техники, соответствующие фреймворку MITRE ATT&CK.
-----

Рассмотренный случай демонстрирует сложную кибератаку, использующую различные техники, включая эксплуатацию внешних VPN-сервисов и применение инструментов для эксфильтрации данных. Атака началась с получения учетных данных, связанных с аккаунтом внешнего ИТ-провайдера, что позволило злоумышленнику (TA) получить несанкционированный доступ к корпоративной инфраструктуре жертвы. Этот первоначальный доступ был осуществлен через SSL-VPN, при этом логи указывают на то, что соединение было установлено с компрометированного аккаунта и машины Kali Linux — платформы, часто ассоциируемой с пентестингом и вредоносной деятельностью.

После первоначального проникновения злоумышленник установил службу PsExec на нескольких серверах, что позволило выполнять удаленные команды для дальнейшего перемещения внутри компании по сети. Примечательно, что была предпринята атака DCSync — метод, используемый для несанкционированной имперсонации контроллера домена и извлечения конфиденциальных данных паролей, что могло предоставить ТА обширный доступ к учетным данным пользователей. Хотя остается неясным, была ли эта попытка успешной, она подчеркивает амбиции атаки по повышению привилегий и поддержанию доступа.

Деятельность злоумышленника включала удаление важных средств защиты и обнаружение учетных данных в файле, сгенерированном с помощью инструмента получения учетных данных, возможно Mimikatz. Метод эксфильтрации заключался в использовании инструмента rclone, который обычно применяется для передачи данных в Облачные сервисы. Злоумышленник настроил rclone с токенами доступа, полученными от легитимной учетной записи, что позволило загружать файлы из SharePoint в течение двух дней до обнаружения вторжения.

Эксфильтрация применяла двухфазный подход, начиная с аутентичного доступа с IP-адреса, связанного с легитимным пользователем, и переходя к доступу через другой геолоцированный российский IP-адрес после получения необходимых токенов через rclone. Этот переход демонстрирует сложность атаки в маскировке её операций для уклонения от обнаружения. В конечном итоге, ТА инициировал деятельность по вымогательству, что подтверждается распространением ransom-ноты и шифрованием данных на системах корпорации.

В рамках реагирования на инцидент была обозначена необходимость немедленных корректирующих действий, включая сброс паролей для всех пользователей домена, внедрение многофакторной аутентификации и строгие ограничения доступа на основе геолокации и необходимости использования SSL-VPN. Такой подход соответствует лучшим практикам усиления безопасности для снижения рисков, связанных с внешними угрозами.

Событие наглядно демонстрирует набор тактик, техник и процедур (TTPs), соответствующих фреймворку MITRE ATT&CK, в частности использование существующих учетных записей, внешних служб удаленного доступа, эксфильтрация учетных данных через DCSync и других методологий, которые способствуют масштабному проникновению и эксфильтрация данных. Сложность этой атаки подчеркивает насущную необходимость для организаций внедрять проактивные меры безопасности, способные адаптироваться к развивающимся киберугрозам.

#ParsedReport #CompletenessHigh
13-05-2026

Multi-Stage SEO Poisoning Campaign Targets Chinese-Speaking Developers with Kong RAT

https://www.esentire.com/blog/multi-stage-seo-poisoning-campaign-targets-chinese-speaking-developers-with-kong-rat

Report completeness: High

Threats:
Seo_poisoning_technique
Kong_rat
Dll_sideloading_technique
Uac_bypass_technique
Finalshell
Xshell_tool
Dllsearchorder_hijacking_technique
Icmluautil_tool

Victims:
Chinese speaking developers, It professionals, System administrators, Chinese speaking users

Geo:
Hong kong, Chinese

TTPs:
Tactics: 4
Technics: 0

IOCs:
Domain: 16
File: 33
IP: 3
Hash: 22
Path: 5
Url: 15
Registry: 4
Command: 2

Soft:
Telegram, QuickQ, Alibaba Cloud, Windows Scheduled Task, Task Scheduler, Windows Explorer, WeChat, Chrome, WhatsApp

Algorithms:
fnv-1a, xor, sha256, prng

Functions:
GetAsyncKeyState-based, CreateAndExecuteTask, RPC, main, run, run_0, time64

Win API:
QueueUserAPC, EnumWindows, CheckTokenMembership, ExitProcess, VirtualAlloc, VirtualFree, LoadLibraryA, GetProcAddress, FreeLibrary, CreateToolhelp32Snapshot, have more...

Languages:
lua

Platforms:
x64

YARA: Found

Links:
https://github.com/eSentire/iocs/blob/main/KONG%20RAT/Kong-RAT-IoCs-04-16-2026.txt
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Kong RAT, нацеленная на разработчиков, говорящих на китайском языке, использует шестистадийный вектор атаки, начинающийся с Отравления поисковой оптимизации (SEO) и приводящий к доставке троянизированных установок программного обеспечения. Изначальный загрузчик вредоносного кода, замаскированный под легальное программное обеспечение, использует сложные техники для повышения привилегий и уклонения от обнаружения, включая тихий обход UAC через COM. Kong RAT взаимодействует со своим C2-сервером через собственный протокол на порту 5947, обеспечивая выполнение различных злонамеренных операций и маскируя свою активность под нормальный сетевой трафик.
-----

В марте 2026 года была обнаружена сложная вредоносная кампания под названием «Kong RAT», нацеленная на китайскоязычных разработчиков и ИТ-специалистов посредством Отравления поисковой оптимизации (SEO). Эта кампания использовала поддельные веб-сайты для доставки троянизированных версий популярных программных инструментов, заманивая жертв, искавших такие приложения, как SSH-клиент FinalShell и Xshell. Изначальный загрузчик вредоносного ПО, Setup.exe с легитимным видом, скомпилированный в .NET 10.0 NativeAOT, искусно избегал реверс-инжиниринга, преобразуя C# в нативный машинный код. Инфраструктура вредоносного ПО, размещенная на Alibaba Cloud, была активна с мая 2025 года, и все полезная нагрузка постоянно доставлялась через домен oss-cn-hongkong.aliyuncs.com.

Подход злоумышленника включал шестистадийную цепочку выполнения, начиная от отравления поисковой оптимизации (SEO Poisoning) и заканчивая финальным развертыванием Kong RAT. Первоначальный доступ был получен, когда жертвы скачивали троянизированные установщики с поддельных доменов, которые также содержали намеренные попытки выглядеть легитимно с помощью реалистичных скриншотов. Важно отметить, что дроппер не только развертывал вредоносные компоненты, но и применял техники повышения привилегий для избежания обнаружения. Он использовал комбинацию ShellExecute для первоначального запроса повышения прав через UAC, а затем переходил к тихому обходу UAC через COM, используя специально созданное поведение для маскировки идентичности процессов.

После установки вредоносное ПО реализовало ряд инновационных методов выполнения shellcode-пакетов, в частности, через обратные вызовы EnumWindows, что позволяло обходить распространенные средства защиты, контролирующие создание потоков. Загрузчик shellcode был встроен в специально созданный XML-файл, к которому обращались во время выполнения. Функциональность Kong RAT включала функцию регистрации нажатий клавиш, работающую со встроенным переключателем отключения, позволяющим оператору отключить её удаленно. Кроме того, оно использовало легитимные сервисы (например, LeTV CDN) для сбора геолокационной информации о целевых системах, маскируя свою активность под нормальный сетевой трафик.

Связь с сервером управления (управление) (C2) осуществлялась по протоколу TCP на порту 5947 с использованием собственного протокола (MPK1) для передачи данных, что затрудняло обнаружение при анализе в песочнице; при некорректном вызове по умолчанию поведение было безвредным. Фреймворк C2 обеспечивал выполнение широкого спектра команд — от удаленного выполнения команд оболочки до более сложных операций, таких как загрузка модулей, управление сессиями и даже самоуничтожение ВПО по требованию.

Kong RAT продемонстрировал продвинутые техники обфускации и уклонения, включая создание постоянных процессов через Планировщик заданий Windows и сложную обработку команд на уровне C2, что указывает на тщательно спланированную стратегию поддержания контроля над зараженными системами. Используя такие методы, как подгрузка DLL и регистрация в среде Windows, это ВПО представляет собой явную угрозу для физических лиц и организаций в целевых демографических группах, что свидетельствует о высокой вероятности того, что за его деятельностью стоит злоумышленник, говорящий на китайском языке.

#ParsedReport #CompletenessLow
14-05-2026

Lookalike Domains Expose the iPhone Theft Economy

https://www.infoblox.com/blog/threat-intelligence/lookalike-domains-expose-the-iphone-theft-economy/

Report completeness: Low

Threats:
Smishing_technique
Supply_chain_technique
Spear-phishing_technique

Victims:
Iphone owners, Apple users, Xiaomi users, Samsung users, Mobile device owners

Industry:
E-commerce

Geo:
Venezuela, Mexico, India, Brazil, Pakistan, Asia, Bangladesh

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.002, T1566.004, T1567, T1588.002, T1592, T1656

IOCs:
Domain: 20

Soft:
Telegram, WhatsApp, Chrome

Platforms:
intel, apple

Links:
https://github.com/Infoblox-CTO/phoebe-openintel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, chats: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
14-05-2026

Analyzing TeamPCP’s Supply Chain Attacks: Checkmarx KICS and elementary-data in CI/CD Credential Theft

https://www.trendmicro.com/en_us/research/26/e/analyzing-teampcp-supply-chain-attacks.html

Report completeness: Medium

Actors/Campaigns:
Teampcp (motivation: financially_motivated)
Vect (motivation: financially_motivated)
Lapsus
Sandworm

Threats:
Supply_chain_technique
Shai-hulud
Dead_drop_technique
Credential_harvesting_technique

Victims:
Open source software projects, Ci cd pipelines, Software development organizations, Cloud connected ci runners

TTPs:
Tactics: 10
Technics: 21

IOCs:
File: 9
Url: 1

Soft:
Docker, Kubernetes, LiteLLM, Xinference, Trivy, OpenVSX, Bitwarden, alpine, debian, claude, have more...

Wallets:
zcash

Crypto:
bitcoin, ethereum, solana, litecoin, dogecoin, ripple, monero, cardano

Algorithms:
aes-256-gcm, xor, ecdsa, ed25519

Functions:
SigV4-authenticated

Languages:
javascript, python

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TeamPCP выполнила продвинутые атаки на цепочку поставок в апреле 2026 года, направленные на кражу учетных данных через скомпрометированные рабочие процессы CI/CD. В инциденте с Checkmarx KICS они проникли на такие платформы, как Docker Hub и GitHub Actions, внедряя вредоносные скрипты, которые собирали различные учетные данные, а в случае elementary-data они использовали комментарий в GitHub для запуска вредоносного пакета, который выполнялся через механизм файлов .pth в Python, обходя защиты антивирусов. Эти атаки продемонстрировали отточенные техники извлечения учетных данных, используя API AWS и применяя зашифрованные полезную нагрузку, что подчеркивает гибкость и сложность инфраструктуры злоумышленника.
-----

TeamPCP выполнила сложную стратегию атаки на цепочку поставок, направленную на массовый кражу учетных данных в апреле 2026 года.

Инцидент с Checkmarx KICS 22 апреля включал проникновение в Docker Hub, GitHub Actions и OpenVSX.

Легитимные образы Docker были заменены, а рабочие процессы GitHub модифицированы для внедрения вредоносных скриптов.

Украденные токены npm использовались для перехвата контроля над компонентами следующего уровня, такими как @bitwarden/cli, с целью проведения дальнейших атак.

Вредоносный код из Checkmarx KICS нацеливался на множество учетных данных, включая персональные токены доступа GitHub (PAT), учетные данные облачных провайдеров и SSH-ключи.

В инциденте с elementary-data 24 апреля инъекция скриптов была осуществлена через комментарий в pull request в GitHub Actions.

Атакующий обошел необходимость использования прямых учетных данных мейнтейнера; один комментарий запустил процесс CI для выпуска вредоносного пакета.

Этот вредоносный пакет был криптографически подписан, чтобы выглядеть легитимным, и использовал механизм файлов .pth Python для выполнения при запуске интерпретатора Python.

Архитектура атаки была спроектирована таким образом, чтобы избежать обнаружения традиционными антивирусами и обеспечить компрометацию множества систем без создания постоянных артефактов на диске.

Элементарный полезный груз запрашивал живые API Amazon Web Services (AWS) для сбора секретов из Secrets Manager и EC2 Metadata Service.

Угроза охватывала более 80 различных путей к файлам учётных данных, увеличивая потенциальную поверхность атаки.

Ключевыми индикаторами компрометации (IoC) являлись использование AES-256-GCM для шифрования полезной нагрузки и жёстко закодированный в вредоносный код открытый ключ.

Оба инцидента продемонстрировали гибкую инфраструктуру управления (C&C), которая быстро циклически переключалась между доменами и методами эксфильтрации.

Анализ подчеркивает необходимость строгого соблюдения практик безопасности в процессах CI/CD, особенно в отношении принципа наименьших привилегий.

#ParsedReport #CompletenessMedium
14-05-2026

OrBit (Re)turns: Tracking an open-source Linux rootkit across four years of forks and deployments

https://intezer.com/blog/orbit-returns/

Report completeness: Medium

Actors/Campaigns:
Blockade_spider (motivation: cyber_espionage)
Unc3886 (motivation: cyber_espionage)

Threats:
Orbit
Rhombus_ransomware
Medusa_ransomware
Credential_harvesting_technique
Embargo_ransomware
Seaelf

Victims:
Virtualization environments, Juniper infrastructure, Vmware infrastructure, Vps, Iot devices

Industry:
Iot

Geo:
Israel, Russia

ChatGPT TTPs:
do not use without manual check
T1014, T1021.004, T1027, T1027.008, T1027.009, T1040, T1053.003, T1083, T1105, T1556.003, have more...

IOCs:
Url: 1
File: 5
Hash: 28
IP: 2
Domain: 1

Soft:
Linux, ChatGPT, Claude, sudo, sshpass, SELinux

Algorithms:
base64, xor, sha256

Functions:
read, xread, xor_dump, build_root

Links:
https://github.com/ldpreload/Medusa
have more...
https://github.com/git/git/blob/master/wrapper.c#L228

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
OrBit — это руткит пользовательского пространства Linux, созданный на базе Medusa, обладающий расширенными возможностями, такими как глубокое хукирование libc, бэкдор-доступ через SSH и сбор учетных записей на основе PAM. Он имеет две линии развития: Lineage A, включающая широкий набор функций с улучшениями, такими как функция xread для обхода собственных хуков, и Lineage B, имеющая урезанный профиль с меньшим количеством функций. В 2025 году OrBit представил новую архитектуру инфиктора для внедрения полезной нагрузки в ELF-бинарники и начал демонстрировать возможности управления, что свидетельствует о его адаптивности среди различных злоумышленников, включая UNC3886 и BLOCKADE SPIDER.
-----

OrBit — руткит пользовательского пространства Linux, являющийся производным от открытого руткита Medusa, первоначально проанализированного в 2022 году. Он обладает расширенными возможностями, включая глубокое хукинг-вмешательство в libc, доступ через SSH-бэкдор и сбор учетных записей на основе PAM. OrBit был обнаружен как единственный образец с уникальными операционными отпечатками, однако дальнейшее расследование показало, что это переработанный вариант Medusa, который был публично выпущен в декабре 2022 года. На протяжении четырех лет своего развития OrBit оставался активно развернутым, при этом было выявлено несколько образцов, демонстрирующих две основные операционные линии: комплексную Lineage A и облегченную Lineage B.

Основной характеристикой Lineage A является широкий набор функций, сохраняющий те же основные возможности, что и в первоначальном выпуске. Заметным развитием в образцах 2023 года стало внедрение функции xread, позволяющей руткиту обходить собственный хук чтения, что решает проблемы совместимости с программами, использующими собственные внутренние обёртки для чтения. Напротив, Lineage B работает с существенно сокращённым профилем, исключая ключевые функции, такие как перехват учётных данных PAM и скрытие сетевых портов, что минимизирует его след. Экземпляры 2024 и 2025 годов указывают на продолжение развития обеих линий, при этом Lineage A демонстрирует признаки дальнейших улучшений, включая хук на стороне службы PAM, позволяющий злоумышленникам манипулировать результатами аутентификации.

Образец 2025 года ознаменовал собой поворотный момент для OrBit, представив новую архитектуру инфиктора, которая обеспечивает ресурсосберегающее распространение руткита. Этот инфиктор сканирует ELF-бинарные файлы и внедряет в них полезную нагрузку руткита. Это также первый вариант, демонстрирующий какие-либо возможности управления, что является отходом от ранее применявшегося пассивного метода развертывания. Данный инфиктор имеет структурное сходство с предыдущими дропперами, использовавшимися в других кампаниях, что предполагает возможное пересечение методов операторов или использование общих инструментов.

Анализ связей OrBit с известными злоумышленниками показывает, что он используется как минимум тремя различными группами, включая спонсируемую государством UNC3886 и актора eCrime, известного как BLOCKADE SPIDER. Улики указывают на систематическое использование кодовой базы Medusa, в частности кластера 2024 года, который идеально соответствует конфигурации UNC3886. Поскольку наблюдение за руткитом OrBit включает методы ротации учетных данных и динамические изменения путей установки, это подчеркивает модульную природу угрозы, при которой несколько акторов могут использовать и адаптировать единую кодовую базу для различных злонамеренных целей.

В заключение, OrBit является примером развивающегося ландшафта киберугроз, в котором единая кодовая база обеспечивает разнообразные операционные возможности для различных злоумышленников. ВПО демонстрирует стабильность в своей базовой архитектуре, одновременно адаптируясь к техникам уклонения и изменяющимся операционным задачам, что подчеркивает постоянную угрозу, которую оно представляет в сфере кибербезопасности.

#ParsedReport #CompletenessHigh
14-05-2026

Kimsuky targets organizations with PebbleDash-based tools

https://securelist.com/kimsuky-appleseed-pebbledash-campaigns/119785/

Report completeness: High

Actors/Campaigns:
Kimsuky
Lazarus
Bluenoroff

Threats:
Pebbledash
Dwagent_tool
Spear-phishing_technique
Appleseed
Hellodoor
Httpmalice
Memload
Http_troy
Happydoor
Ngrok_tool
Babyshark
Randomquery
Xrat_rat
Xenorat
Trurat
Reger_dropper
Pidoc
Nikidoor
Troll_stealer
Httpspy
Dw_service_tool

Victims:
Public sector, Private sector, Government organizations, Defense organizations, Medical industry, Military, Machinery industry, Energy industry

Industry:
Government, Military, Energy, Healthcare

Geo:
Germany, Brazilian, Korea, Brazil, Korean, German

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1027, T1033, T1036, T1041, T1053.005, T1056.001, T1059.001, T1059.003, have more...

IOCs:
Hash: 21
Command: 4
File: 13
Url: 5
Registry: 1
Path: 3
Domain: 12

Soft:
VSCode, Visual Studio Code, TryCloudflare, Dropbox, Windows service, Slack, unrar

Algorithms:
md5, xor, rc4, zip, chacha20, base64

Languages:
rust, powershell, jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kimsuky, также известная как APT43, — это сложный злоумышленник, говорящий на корейском языке, использующий ВПО из платформы PebbleDash, которое включает такие варианты, как HelloDoor и httpMalice. Они применяют кампании целевого фишинга с различными загрузчиками для первоначального доступа и используют продвинутые инструменты, такие как VSCode Tunneling, для удаленного доступа и эксфильтрации данных. Их операции преимущественно нацелены на оборонный и государственный секторы Южной Кореи, с недавними расширениями в Бразилию и Германию, что демонстрирует адаптивную стратегию шпионажа.
-----

Kimsuky, также идентифицируемый как APT43, — это злоумышленник, говорящий на корейском языке, который проявляет постоянную активность и значительно эволюционировал в своих методах в ходе недавних кампаний, особенно используя ВПО, полученное на базе платформы PebbleDash. Эта платформа, ранее ассоциировавшаяся с группой Lazarus Group, используется Kimsuky как минимум с 2021 года. Недавние адаптации включают внедрение таких продвинутых инструментов, как VSCode Tunneling, Cloudflare Quick Tunnels, утилита удаленного мониторинга DWAgent и язык программирования Rust для разработки.

Для получения первоначального доступа Kimsuky создает целевой фишинг-письма с вредоносными вложениями, замаскированными под документы, используя различные загрузчики в форматах JSE, PIF, SCR и EXE. Инструментарий характеризуется двумя основными кластерами ВПО: PebbleDash, включающий сложные варианты, такие как HelloDoor и httpMalice, и AppleSeed. ВПО PebbleDash предназначено для создания бэкдоров в целевых системах, особенно в секторах обороны, военных и правительственных структурах, преимущественно в Южной Корее, при этом недавние атаки распространились на Бразилию и Германию.

HelloDoor представляет собой первый вариант семейства PebbleDash, написанный на Rust, который обеспечивает закрепление путем изменения записей системного реестра. Его связь с сервером управления (C2) осуществляется по протоколу HTTP с использованием методов шифрования, включая RC4, а для сокрытия идентичности сервера применяется временное туннелирование через Cloudflare. Аналогично, вариант httpMalice работает по протоколам HTTP/HTTPS, способен выполнять команды и собирать подробную информацию о системе, при этом основное внимание уделяется поддержанию постоянного доступа через службы Windows или изменения реестра. Его способность выполнять команды отражает синергию с существующими основными функциями PebbleDash.

MemLoad, инструмент, развертываемый через другие дропперы, обеспечивает скрытность за счет маскировки развертывания своего бэкдора httpTroy и выполняет разведку целевых систем, уклоняясь от обнаружения с помощью проверок на виртуальные машины (anti-VM). Кроме того, Kimsuky использует легитимные инструменты, такие как Visual Studio Code, для создания постоянного удаленного доступа путем эксплуатации функций удаленного туннелирования, что позволяет злоумышленникам обходить традиционные механизмы обнаружения.

Кластер вредоносного ПО AppleSeed служит фреймворком для эксфильтрации данных, часто нацеленным на правительственные системы. Недавние разработки акцентировали сбор конфиденциальной информации, такой как документы и нажатия клавиш. Примечательно, что HappyDoor считается продвинутым вариантом AppleSeed.

Хотя Kimsuky в основном нацелена на объекты в Южной Корее, включая как государственный, так и частный секторы, её инфраструктура включает множество доменов, зарегистрированных через бесплатный хостинг-сервис в Южной Корее, а также взломанные веб-сайты для маскировки операций C2. Эволюционирующие тактики группы подчеркивают сложный и адаптивный подход к кибершпионажу, обеспечивающий сохранение доступа и контроля над целевыми системами. Двойной фокус как на оборонном секторе, так и на государственных организациях указывает на стратегическое согласование целей, которое укрепляет их оперативные задачи.

#ParsedReport #CompletenessHigh
14-05-2026

LATAM Under Siege: Agent Tesla’s 18-Month Credential Theft Campaign Against Chilean Enterprises

https://any.run/cybersecurity-blog/agent-tesla-latam-enterprise/

Report completeness: High

Threats:
Agent_tesla
Process_hollowing_technique
Bec_technique
Dotnet_reactor_tool
Supply_chain_technique
Spear-phishing_technique
Realvnc_tool
Tigervnc_tool
Ultra_vnc_tool
Process_injection_technique

Victims:
Chilean enterprises, Latin america enterprises, Finance departments, Procurement departments

Industry:
Healthcare, Entertainment, Logistic, Financial

Geo:
Peru, Spanish, Chile, Romanian, Latam, Chilean, Latin america, Latin american

TTPs:
Tactics: 5
Technics: 10

IOCs:
IP: 1
File: 29
Hash: 5
Email: 1
Domain: 3
Path: 1

Soft:
Linux, Android, NET Reactor, Chrome, Firefox, Outlook, Telegram, Salesforce, NET Framework, Opera, Vivaldi, have more...

Algorithms:
sha1, md5, aes-cbc, sha256, deflate, cbc, base64, aes, aes-256

Functions:
GetMethod, CreateInstance, CreateDelegate

Win API:
VirtualAllocEx, WriteProcessMemory, GetProcAddress, Decompress, CreateProcessA, ZwUnmapViewOfSection, ReadProcessMemory, GetThreadContext, SetThreadContext, ResumeThread, have more...

Languages:
javascript, jscript, powershell

Platforms:
x86

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Agent Tesla, нацеленная на предприятия в Чили и Латинской Америке, сосредоточена на краже учетных данных путем использования тактик социальной инженерии для доставки закодированных JScript дропперов, замаскированных под бизнес-файлы. После выполнения эти дропперы развертывают стейджеры PowerShell, которые взаимодействуют с сервером управления через легитимный румынский FTP-сайт. Agent Tesla — это основанный на .NET кейлоггер, способный красть конфиденциальную информацию из различных приложений, используя сложную обфускацию и Внедрение в пустой процесс для уклонения от обнаружения, что указывает на наличие устойчивого и хорошо обеспеченного ресурсами злоумышленника.
-----

Вредоносная кампания Agent Tesla, которая действует уже как минимум 18 месяцев, нацелена на предприятия в Чили и более широком регионе Латинской Америки с акцентом на кражу учетных данных. Она действует под видом финансовой и закупочной документации, используя тактики социальной инженерии для заманивания жертв в открытие вредоносных вложений, замаскированных под важные бизнес-файлы. ВПО в основном распространяется в виде закодированного загрузчика на JScript, который при выполнении разворачивает дополнительные компоненты через стейджеры PowerShell, использующие техники обхода политики выполнения.

После активации начального JScript-дроппера он извлекает несколько загрузчиков PowerShell, которые взаимодействуют с сервером управления (C2), используя легитимный румынский FTP-сайт для эксфильтрации и оперативных задач. Загрузчики PowerShell предназначены для загрузки полезной нагрузки Agent Tesla путем внедрения ее в доверенные системные процессы, в частности aspnet_compiler.exe, что помогает избежать обнаружения инструментами безопасности конечных точек.

Сам Agent Tesla представляет собой .NET-основанный стиллер и инструмент регистрации нажатий клавиш, способный извлекать конфиденциальную информацию из различных приложений, включая веб-браузеры, почтовые клиенты и FTP-приложения. Его возможности также включают мониторинг буфера обмена, регистрацию нажатий клавиш и возможность создания скриншотов. Примечательно, что вредоносное ПО использует сложные методы обфускации через .NET Reactor v6.x, что затрудняет его анализ с помощью традиционных методов статической детекции. Использование Внедрения в пустой процесс позволяет вредоносному ПО выполняться полностью в памяти, дополнительно снижая вероятность обнаружения.

Угроза выходит за рамки простого кражи учетных данных, поскольку она открывает путь для более масштабных атак, таких как компрометация бизнес-электронной почты (BEC) и финансовое мошенничество. Детальная целевая ориентация на финансовые и закупочные отделы указывает на стратегический подход злоумышленника к облегчению несанкционированного доступа к значительным финансовым транзакциям и конфиденциальным корпоративным данным.

Операционная инфраструктура кампании демонстрирует стабильность: один и тот же IP-адрес C2 используется на протяжении длительного времени, что подтверждает вероятность наличия хорошо обеспеченного и стойкого злоумышленника. Эта постоянная активность указывает на профессиональную операцию, которая постоянно адаптирует свои тактики, оставаясь незамеченной в бизнес-экосистеме Латинской Америки.

Для эффективного снижения рисков, связанных с Agent Tesla, организациям рекомендуется внедрять усиленные меры безопасности, такие как интерактивная песочница для анализа в реальном времени, целевые программы обучения киберграмотности для сотрудников уязвимых подразделений и мониторинг аномальной исходящей FTP-активности. Результаты подчеркивают устойчивый характер этой угрозы и острую необходимость в надежных стратегиях кибербезопасности, адаптированных для защиты от операций по краже учетных данных в регионе.