#ParsedReport #CompletenessMedium
09-09-2025

ZynorRAT technical analysis: Reverse engineering a novel, Turkish Go-based RAT

https://www.sysdig.com/blog/zynorrat-technical-analysis-reverse-engineering-a-novel-turkish-go-based-rat

Report completeness: Medium

Threats:
Zynorrat
Silenteye

Industry:
Telco

Geo:
Turkish, Asia, Deutsche

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 11
File: 27

Soft:
Telegram, Linux, systemd, sudo, curl, VSCode

Algorithms:
sha256, md5

Win API:
sendMessage

Languages:
python

YARA: Found

Links:
have more...
https://github.com/kbinani/screenshot
https://github.com/drego85/tosint
https://github.com/radareorg/radare2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ZynorRAT - это недавно идентифицированный троян удаленного доступа, созданный в Go, позволяющий злоумышленникам получать удаленный доступ к системам как на Linux, так и на Windows через Telegram для управления. Его возможности включают перечисление файлов, эксфильтрацию, управление процессами и механизм закрепления с использованием пользовательских служб systemd. Гибкая работа вредоносного ПО позволяет ему выполнять команды через оболочку, если не получено никаких конкретных инструкций, и оно может быть связано с одним злоумышленником на основе артефактов, обнаруженных в его коде.
-----

ZynorRAT - это недавно обнаруженный троян удаленного доступа (RAT), разработанный в Go, выявленный в рамках продолжающейся работы по поиску угроз исследовательской группой Sysdig Threat Research. Это вредоносное ПО служит универсальным инструментом для злоумышленников, позволяя им получать удаленный доступ к компьютерам жертв, работающим как на Linux, так и на Windows, используя Telegram в качестве своей основной инфраструктуры командования и контроля (C2). Интеграция Telegram для выполнения команд позволяет ZynorRAT эффективно выполнять извлечение команд и эксфильтрацию данных.

Вредоносное ПО обладает целым рядом функциональных возможностей, включая перечисление файлов, эксфильтрацию файлов и управление процессами. Функция 'handleListDirectory`, активируемая командой `/fs_list`, позволяет ZynorRAT составлять список каталогов в целевой системе и отправлять результаты обратно на сервер C2 через Telegram. Аналогично, функция `handleGetFile` обрабатывает запросы к файлам, гарантируя, что файлы существуют и к ним можно получить доступ; в случае успеха файлы извлекаются с помощью функции `sendDocument`, которая подготавливает содержимое файла к передаче.

ZynorRAT использует механизм закрепления, используя пользовательские службы systemd, создавая служебный файл в определенном каталоге пользователя. Этот необычный метод закрепления позволяет вредоносному ПО сохранять свое присутствие в системе даже после перезагрузки. Более того, RAT включает в себя возможности для завершения процессов на компьютере-жертве с помощью команды `/proc_kill`, используя информацию из ранее упомянутой функции `handleListProcess` для идентификации запущенных процессов.

Если от C2 не поступает никаких конкретных команд, вредоносное ПО по умолчанию выполняет любые входящие команды непосредственно через оболочку, что указывает на его гибкую работу, основанную на вводимых злоумышленником данных. Хотя версии ZynorRAT для Linux и Windows имеют схожие функциональные возможности, примечательно, что вредоносное ПО все еще находится на начальной стадии разработки, о чем свидетельствуют артефакты тестирования, обнаруженные во время обратного проектирования.

В ходе анализа команда обнаружила повторяющиеся ссылки на имя "халил" в декомпилированном двоичном файле, что позволяет предположить, что КРЫСА может быть приписана отдельному лицу или одному актору. Эта ранняя стадия разработки указывает на потенциал коммерциализации ZynorRAT на подпольных рынках. По мере создания возможностей обнаружения цели должны сохранять бдительность в отношении команд, указывающих на деятельность ZynorRAT, обеспечивая надежную защиту от ее оперативного репертуара.

#ParsedReport #CompletenessHigh
14-09-2025

AI-Driven Deepfake Military ID Fraud Campaign by Kimsuky APT

https://www.genians.co.kr/en/blog/threat_intelligence/deepfake

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: financially_motivated, information_theft)

Threats:
Clickfix_technique
Spear-phishing_technique
Process_hollowing_technique

Victims:
Defense sector, Email service providers, Research organizations

Industry:
Military, Government

Geo:
North korea, North korean, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1059.006, T1059.007, T1105, T1140, T1204.002, T1218, T1566.001, T1656, have more...

IOCs:
Email: 2
Url: 3
Domain: 13
File: 20
IP: 11
Path: 5
Coin: 1
Hash: 12

Soft:
ChatGPT, OpenAI, Task Scheduler, AppStore

Algorithms:
md5, base64, xor, zip

Languages:
powershell, autoit, php, python

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6, code: 5, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, занимающаяся сложными целенаправленными атаками, запустила сложную кампанию, использующую генеративный искусственный интеллект и технологию глубокой подделки, для нацеливания на южнокорейские военные идентификационные системы посредством Целевого фишинга, имитирующего законные учреждения обороны. Их методы включают оповещения по электронной почте, Маскировку под уведомления системы безопасности, вредоносные вложения в документы HWP и тактику уклонения с использованием пакетных файлов и сценариев автозапуска, чтобы избежать обнаружения. Кроме того, они используют скрипты на Python для сокрытия вредоносного кода в доброкачественных именах файлов, подчеркивая необходимость расширенных возможностей обнаружения.
-----

В недавнем отчете Genians Security Center (GSC) подробно описывается изощренная кампания группы Kimsuky, проводившей сложные целенаправленные атаки, характеризующаяся использованием генеративного искусственного интеллекта и технологии глубокой подделки в злонамеренных целях, в частности, нацеленная на южнокорейские военные идентификационные системы. Операция включает в себя Целевой фишинг-атаки, направленные на выдачу себя за южнокорейские оборонные учреждения, что облегчает несанкционированный доступ к задачам выдачи удостоверений личности. Эта тактика использует поддельные изображения военных удостоверений личности, созданные с помощью OpenAI ChatGPT, что свидетельствует о заметном повышении изощренности сложных целенаправленных атак.

Несколько инцидентов иллюстрируют методы, используемые Kimsuky. Один из ключевых подходов включает использование тактики фишинга с помощью оповещений по электронной почте, которые имитируют законные уведомления о безопасности от южнокорейских портальных компаний. Маскируя злонамеренные намерения под видом доверенных сообщений, злоумышленники могут эффективно заманивать жертв к просмотру вредоносного контента. Дополнительные методы включают использование вредоносных вложений в документы HWP, которые служат переносчиками заражения в обход традиционных процессов защиты электронной почты.

Группа компаний Kimsuky также использует продвинутую тактику уклонения, чтобы обойти антивирусную защиту. Это включает в себя использование пакетных файлов и сценариев автозапуска, которые скрывают вредоносные действия. Подчеркивается необходимость надежных мер по обнаружению конечных точек и реагированию на них (EDR), поскольку эти инструменты играют решающую роль в выявлении и устранении запутанных сценариев, которые в противном случае могли бы остаться незамеченными.

Другим примечательным аспектом этой кампании является использование скриптов на Python для сокрытия вредоносного кода. Вредоносные исполняемые файлы маскируются под доброкачественными именами файлов, а их критические конфигурации изменяются таким образом, чтобы избежать обнаружения, что позволяет более легко интегрироваться в целевые системы. Эта практика подчеркивает необходимость того, чтобы службы безопасности сохраняли повышенную бдительность и применяли методы обнаружения, основанные на поведении, для распознавания таких обманчивых маневров и реагирования на них.

Благодаря всестороннему анализу этих инцидентов в отчете подчеркивается важность понимания атрибуции угроз и восстановления корреляции при выявлении и смягчении угроз, исходящих от таких групп, как Kimsuky. Эти данные не только помогают отслеживать сценарии атак, но и расширяют базу разведывательных данных, необходимую для защиты от изощренных противников. В заключение следует отметить, что выполнение вредоносной полезной нагрузки под видом законных документов продемонстрировало эволюционирующие стратегии, применяемые хакерскими группировками, и острую необходимость в усилении мер безопасности.

#ParsedReport #CompletenessMedium
15-09-2025

The strongest in history? Revealing the inside story of AISURU, a super-large botnet in 11.5T

https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru/

Report completeness: Medium

Threats:
Aisuru
Airashi
Fodcha
Catddos
Rapperbot

Victims:
China, United states, Germany, United kingdom, Hong kong, Journalist blog

Industry:
Telco

Geo:
China, Germany, Hong kong, United kingdom

CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-28771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-50381 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-3307 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-35733 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-5259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-1599 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3721 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-44149 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1071.001, T1090, T1090.003, T1105, T1190, T1498, T1573.001, T1583.006, have more...

IOCs:
File: 5
Domain: 7
IP: 8
Hash: 7

Soft:
Zyxel,Zyxel,Zyxel,Zyxel, Zyxel, VirtualBox, QEMU, Linux

Algorithms:
rc4, chacha20, xor, base64, md5

Languages:
golang, php, javascript

Links:
https://github.com/wy876/POC/blob/main/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6debug.php%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md?ref=blog.xlab.qianxin.com
https://github.com/netsecfish/tbk\_dvr\_command\_injection?ref=blog.xlab.qianxin.com
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/http/cnpilot\_r\_cmd\_exec.rb?ref=blog.xlab.qianxin.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет AISURU, связанный с бандой AISURU, достиг рекордной пропускной способности для DDoS-атак в 11,5 Тбит/с в 2025 году, используя различные векторы атак и вредоносные скрипты, включая сервер C2 через туннель GRE. Распространение вредоносного ПО использует известные уязвимости и уязвимости zero-day, особенно в таких устройствах, как маршрутизаторы Cambium Networks, при этом используются усовершенствованные методы шифрования, такие как модифицированный RC4 и HMAC-SHA256. Ботнет также переходит на предоставление анонимизированных услуг через сеть residential proxies, расширяя сферу своей деятельности.
-----

Ботнет AISURU стал значительным игроком на рынке DDoS-атак, продемонстрировав пиковую пропускную способность в 11,5 Тбит/с в 2025 году, установив новый рекорд для подобных инцидентов. Считается, что ботнет организован группой, известной как банда AISURU, состоящей из членов под кодовыми именами Сноу, Том и Форки, которые с 2022 года сотрудничали в различных проектах преступного мира. Анонимные источники предоставили ценную информацию о работе этого ботнет, которая, несмотря на трудности с проверкой этих утверждений, была подтверждена передовыми методами мониторинга, используемыми аналитиками безопасности.

Банда AISURU использовала различные векторы атак и вредоносные скрипты, такие как домен загрузчика с именем updatetoto.tw , который значительно повысил свой глобальный рейтинг благодаря успешным заражениям. Группа также использовала туннель GRE, сконфигурированный для функционирования в качестве сервера командования и контроля (C2), с подключениями, установленными в апреле 2025 года. Одна заметная отслеживаемая атака включала в себя трафик со скоростью 11,5 Тбит/с, нацеленный на IP-адрес 185.211.78.117, демонстрирующий значительные возможности ботнет.

Было замечено, что вредоносное ПО, связанное с AISURU, распространяется через сетевые уязвимости, включая как известные недостатки, так и эксплойты zero-day, в частности, нацеленные на такие устройства, как маршрутизатор Cambium Networks cnPilot. Статистика атак показывает, что охват AISURU обширен и охватывает несколько отраслей промышленности во многих странах, включая Соединенные Штаты и Германию, что указывает на отсутствие конкретных целей в ее деятельности.

Технический анализ вредоносного ПО выявил значительные обновления, особенно в методах шифрования, используемых для связи C2. Например, предыдущие стандартные алгоритмы шифрования были заменены модифицированными версиями алгоритма шифрования RC4 и методами проверки HMAC-SHA256, что улучшило маскировку вредоносных намерений. Кроме того, в образцах ботнет теперь используются механизмы для отключения функции Linux OOM Killer, что позволяет им поддерживать более длительное время выполнения даже при ограничениях памяти.

Недавние данные свидетельствуют о том, что AISURU не только занимается DDoS-атаками, но и занимается предоставлением анонимных услуг, поскольку спрос на эти предложения со стороны организаций, занимающихся киберпреступностью, растет. Инфраструктура, построенная ботнет, адаптируется для использования в качестве сети residential proxies, таким образом расширяя сферу ее применения за пределы традиционных методологий атак. Этот сдвиг представляет собой заметную тенденцию в области DDoS-атак, где ботнет эволюционирует для удовлетворения более широких потребностей киберпреступных операций.

#ParsedReport #CompletenessLow
15-09-2025

All that glitters is not gold: how malicious MCP servers emerged on the wave of AI popularity

https://securelist.ru/model-context-protocol-for-ai-integration-abused-in-supply-chain-attacks/113452/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Ai assistants users, Developers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056, T1190, T1195, T1204, T1546, T1557

Soft:
Docker

Algorithms:
base64

Functions:
send_metrics_via_api

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Протокол Model Context Protocol (MCP) содержит уязвимости, которые могут быть использованы для атак на supply chain, в первую очередь путем регистрации вредоносных серверов MCP, имитирующих законные. Злоумышленники могут вводить в заблуждение помощников с искусственным интеллектом, предоставляя несанкционированный доступ к данным и используя такие методы, как отравление MCP, которые могут выполнять скрытые команды во время обычных операций. Проверка концепции продемонстрировала, что вредоносные серверы MCP могут быть скрытно внедрены в легальные инструменты, собирая конфиденциальные данные и притворяясь, что выполняют безобидные задачи.
-----

Протокол Model Context Protocol (MCP) служит связующим интерфейсом для помощников искусственного интеллекта, но он также содержит уязвимости, которые могут быть использованы для атак на supply chain. Один из основных векторов атаки заключается в том, что злоумышленники регистрируют вредоносные серверы MCP с именами, похожими на законные. Это может ввести в заблуждение помощников искусственного интеллекта при взаимодействии с этими мошенническими серверами, что приведет к несанкционированному доступу к данным, включая токены и конфиденциальные запросы. Злоумышленники также могут использовать методы отравления MCP, когда скрытые команды маскируются в описаниях инструментов. Например, безобидная команда может не только выполнять свою предназначенную функцию, но и выполнять команду, которая раскрывает закрытый SSH-ключ пользователя.

Более того, вредоносный MCP-сервер может изменить определение существующих надежных инструментов. Он может копировать законный инструмент, внедряя вредоносные инструкции по перенаправлению. Этот тип манипуляций позволяет злоумышленникам использовать ранее существовавшее доверие и выполнять вредоносные действия без ведома пользователя. Сценарий, называемый "Оплошность с деньгами", показывает, как злоумышленник может завоевать доверие пользователей, прежде чем внедрять вредоносные обновления, такие как бэкдор, который автоматически интегрируется во время рутинных операций.

Уязвимости в реализациях платформы, подобные обнаруженным на GitHub, создают дополнительные риски. Например, создание проблем, вводящих в заблуждение, может заставить законные серверы MCP раскрывать информацию из закрытых хранилищ, тем самым способствуя утечке данных.

В статье описывается проверка концепции, проведенная Глобальным отделом экстренного реагирования на киберинциденты (GERT) "Лаборатории Касперского", подчеркивающая, насколько легко вредоносные серверы MCP могут быть установлены и развернуты в скомпрометированных системах. В ходе контролируемого тестирования эти инструменты оказались легитимными, хотя и содержали вредоносные модули, предназначенные для сбора конфиденциальных данных из среды разработчика и более широкой пользовательской системы под видом показателей производительности и ведения журнала.

Основная вредоносная функциональность находится в файле с именем project_metrics.py , в задачу которого входит сбор конфиденциальных данных, при этом Маскировка под безобидный инструмент мониторинга производительности. Это подчеркивает острую необходимость аудита безопасности и тщательной оценки инструментов, интегрированных в рабочие процессы разработки программного обеспечения, для предотвращения подобных злонамеренных действий.

#ParsedReport #CompletenessMedium
16-09-2025

RevengeHotels: a new wave of attacks leveraging LLMs and VenomRAT

https://securelist.com/revengehotels-attacks-with-ai-and-venomrat-across-latin-america/117493/

Report completeness: Medium

Actors/Campaigns:
Ta558 (motivation: cyber_criminal, information_theft)

Threats:
Venomrat
Revenge_rat
Nanocore_rat
Njrat
Xworm_rat
Desckvbrat
Quasar_rat
Hvnc_tool
Ngrok_tool
Trojan.win32.generic

Industry:
Entertainment

Geo:
Portuguese, Spain, Mexico, Argentina, Costa rica, Latin america, Belarus, Turkey, Brazil, Brazilian, Spanish, Russia, Bolivia, Chile

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 9
Hash: 8
Registry: 1

Soft:
Windows Registry, Windows Defender, task scheduler

Algorithms:
aes, lzma, base64, md5, exhibit, aes-128

Functions:
RAT

Win API:
SeDebugPrivilege, RtlSetProcessIsCritical, SetThreadExecutionState

Languages:
powershell, javascript, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RevengeHotels, также известная как TA558, является хакерской группировкой, нацеленной на гостиничный сектор с 2015 года, главным образом для кражи информации о кредитных картах с помощью изощренных кампаний фишинга. Они используют вариант QuasarRAT под названием VenomRAT, который оснащен механизмами защиты от уничтожения и может распространяться через USB-накопители, обеспечивая закрепление и уклонение во время своих операций. Тактика группы расширилась и включает испаноязычные страны, совершенствуя свои стратегии фишинга за счет использования передовых инструментов, таких как большие языковые модели, для повышения эффективности своих атак.
-----

RevengeHotels, также известная как TA558, представляет собой хакерскую группировку, которая действует с 2015 года и в первую очередь нацелена на гостиничный сектор с целью кражи информации о кредитных картах у гостей отелей. Их стратегия атаки основана на рассылке фишингов электронных писем, которые побуждают получателей переходить по ссылкам, ведущим на сайты хранения поддельных документов. Эти сайты впоследствии загружают вредоносные скрипты, которые устанавливают троянские программы удаленного доступа (RAT) на компьютеры жертв. RAT позволяют злоумышленнику отдавать команды, красть конфиденциальные данные и поддерживать постоянный контроль над зараженными системами.

Группа обычно использует электронные письма с фишингом с тематикой выставления счетов, ориентированные на Адреса эл. почты для бронирования отелей, часто написанные на португальском языке, хотя также были отмечены попытки фишинга на испанском языке. Это указывает на расширение их охвата за пределы Бразилии и включение испаноязычных стран.

При открытии Вредоносной ссылки процесс заражения начинается с загрузки файла WScript JS, причем имена файлов меняются при каждой атаке, чтобы избежать обнаружения. Например, файл с именем Fat146571.js декодирует закодированный буфер, который сохраняется как скрипт PowerShell, выполняющийся несколько раз перед завершением.

Одним из основных типов вредоносного ПО, используемого RevengeHotels, является VenomRAT, усовершенствованная версия QuasarRAT с открытым исходным кодом, доступная для покупки в даркнете. VenomRAT включает функцию защиты от уничтожения, которая изменяет разрешения своего процесса для защиты от завершения, гарантируя, что RAT остается работоспособным в системе. Его сетевые возможности включают в себя создание пакетов на заказ и сериализацию в соответствии с конкретными командами, передаваемыми с сервера управления (C2).

Более того, VenomRAT может распространяться через USB-накопители, сканируя и копируя себя на съемные диски под именем My Pictures.exe . В нем реализованы различные методы скрытности, чтобы избежать обнаружения и отличаться от предыдущих вариантов RAT, повышая его закрепление и сложность удаления.

Недавний анализ показывает, что RevengeHotels не только усовершенствовала свои методы, но и расширила географию своей деятельности, теперь ориентируясь на отели и туристические компании во многих испаноязычных странах, таких как Аргентина, Боливия и Мексика. Злоумышленники используют передовые инструменты, в том числе агенты large language model (LLM), для создания и модификации контента для фишинга, что делает их кампании более сложными и адаптируемыми, поскольку они намерены продолжать развертывать атаки удаленного доступа с помощью VenomRAT.

#ParsedReport #CompletenessLow
16-09-2025

AWSDoor: Persistence on AWS

https://www.riskinsight-wavestone.com/en/2025/09/awsdoor-persistence-on-aws/

Report completeness: Low

Threats:
Awsdoor

Industry:
Critical_infrastructure, Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1069, T1078, T1090, T1090, T1098, T1098, T1098, T1098, T1136, have more...

IOCs:
File: 4
IP: 1

Soft:
DynamoDB, boto3, curl, systemd, GuardDuty

Algorithms:
zip, hmac

Functions:
CreatePolicy, CreatePolicyVersion, SetDefaultPolicyVersion, get, CreateSnapshot, GetCommandInvocation, LeaveOrganization

Win API:
DeleteObject

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AWSDoor освещает использование Amazon Веб-сервисов (AWS) злоумышленниками для поддержания постоянного доступа без использования традиционного вредоносного ПО. Злоумышленники манипулируют функциями AWS Identity and Access Management (IAM) и настройками безопасности, такими как создание ролей с повышенными привилегиями и развертывание обратных SSH-SOCKS-прокси для компрометации экземпляров EC2. Вмешиваясь в системы ведения журнала и оповещения, они могут уклоняться от обнаружения, отключать учетные записи от организаций и извлекать конфиденциальные данные, оставаясь незамеченными.
-----

AWSDoor освещает злоупотребление Amazon Веб-сервисами (AWS) для поддержания постоянного доступа со стороны злонамеренных акторов. В статье отмечается, что злоумышленники могут использовать функции AWS по управлению идентификацией и доступом (IAM) без необходимости развертывания традиционного вредоносного ПО. Вместо этого они изменяют политики IAM, создают новых пользователей и используют бэкдорные доверенные удостоверения, что позволяет им поддерживать доступ к облачным средам более скрытно, чем в локальных сценариях.

Один из рассмотренных методов заключается в манипулировании политиками доверия для предоставления повышенных привилегий. Злоумышленник может создать роль, которая выглядит безобидной, но на самом деле предоставляет права администратора. Например, лямбда-функция может быть запрограммирована на автоматическое повышение привилегий пользователя на основе обновлений в базе данных DynamoDB, что позволяет злоумышленникам динамически изменять уровни доступа по мере необходимости, оставаясь незамеченными.

Кроме того, злоумышленники могут использовать возможности AWS Systems Manager (SSM) для взлома инстансов EC2. Используя обратный SSH SOCKS-прокси, злоумышленник может закрепиться и выполнять команды удаленно. Эта тактика позволяет ему перемещаться по сети и поддерживать длительный доступ к конфиденциальным ресурсам.

Другим важным аспектом, о котором идет речь, является намеренное ослабление мер безопасности, называемое нарушением защиты. Злоумышленники могут отключить ведение журнала, изменять настройки безопасности или манипулировать системами оповещения, что значительно снижает шансы на обнаружение. Вероятность создания организационного следа, который будет распространяться по целевым учетным записям, снижается благодаря возможности злоумышленников изменять параметры выбора событий, чтобы предотвратить регистрацию важных данных.

Кроме того, отключив учетные записи AWS от организации, злоумышленники могут действовать без надзора. Они могут получать доступ к конфиденциальной информации из разделов и баз данных S3 и извлекать ее, в то время как организация продолжает функционировать в обычном режиме, что позволяет избежать возникновения аварийных ситуаций.

Реализация технологии AWSDoor включает в себя различные векторы атак, предназначенные для использования конфигураций IAM для обеспечения устойчивого доступа, таких как внедрение ключей доступа и политики инъекционного доверия. Системы мониторинга конечных пользователей часто упускают из виду определенные действия API, например, связанные с обновлением правил жизненного цикла, что позволяет злоумышленникам манипулировать доступностью данных, не привлекая внимания.

#ParsedReport #CompletenessMedium
16-09-2025

Deniability by Design: DNS-Driven Insights into a Malicious Ad Network

https://blogs.infoblox.com/threat-intelligence/deniability-by-design-dns-driven-insights-into-a-malicious-ad-network/

Report completeness: Medium

Actors/Campaigns:
Vane_viper (motivation: disinformation)
Doppelgnger (motivation: propaganda, disinformation)
Apt31
Master134

Threats:
4shared
Cloaking_technique
Lumma_stealer
Spear-phishing_technique
Gozi
Triada_trojan
Dollyway

Victims:
Adtech sector, Gambling sector, Piracy ecosystem, Pornography sector, Disinformation ecosystem, General internet users, Mobile users

Industry:
Entertainment, Financial, Healthcare, Retail

Geo:
Malta, Moscow, Anguilla, German, Singapore, London, Russia, Panama, Seychelles, Cyprus, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1190, T1204, T1583.001, T1583.003, T1584.001, T1608, T1659

IOCs:
Url: 1
Domain: 13
Email: 1
IP: 3

Soft:
Webzilla, Monetag, BeMob, RollerAds, Opera

Algorithms:
exhibit

Functions:
Every

Languages:
javascript