#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters - это финансово мотивированная хакерская группировка, нацеленная на корпоративные облачные приложения, использующая передовые тактики, такие как голосовой фишинг и Компрометация цепочки поставок. Группа использовала инсайдерские угрозы и форумы по борьбе с киберпреступностью для использования данных, используя такие методы, как SIM Swapping и VoIP-сервисы, для запуска крупномасштабных кампаний фишинга, которые компрометируют учетные данные для таких платформ, как Salesforce и Okta. Их операции также включают использование уязвимостей, таких как CVE-2021-35587, для доступа к конфиденциальным записям, что указывает на серьезную угрозу безопасности предприятия.
-----

ShinyHunters - это финансово мотивированная хакерская группировка, действующая с 2020 года, известная тем, что нацелена на корпоративные облачные приложения с помощью передовых тактик, включая голосовой фишинг с поддержкой искусственного интеллекта и Компрометацию цепочки поставок. Аналитики отмечают, что группа расширила свою деятельность, используя как злонамеренных инсайдеров, так и форумы по киберпреступности, такие как BreachStars и OGUsers, для продажи или использования конфиденциальных данных, полученных от предприятий.

Заметная связь с другими киберпреступными организациями установлена через Юкари, активного участника как ShinyHunters, так и Scattered Spider, который специализируется на методах первоначального компрометации, таких как SIM Swapping и голосовой фишинг. Используя VoIP-сервисы, такие как Twilio и Google Voice, ShinyHunters организовали крупномасштабные кампании по поиску клиентов. Злоумышленники выдают себя за ИТ-персонал во время этих звонков, вводя жертв в заблуждение и заставляя их предоставлять аутентификационные данные, которые позволяют получить несанкционированный доступ к критически важным приложениям, таким как Salesforce, часто через модифицированную версию загрузчика данных Salesforce.

ShinyHunters нацелена на пользователей Okta с начала 2025 года, используя инфраструктуру фишинга, имитирующую подлинные страницы единого входа Okta, для сбора учетных данных из таких секторов, как инвестиционный банкинг и электронная коммерция. Эти усилия включают в себя клонирование потока аутентификации поддомена Okta, что делает их страницы для фишинга очень убедительными.

Операции группы, в частности, выходят за рамки обычного фишинга и охватывают более изощренные способы, такие как доступ к ключам API BrowserStack для проникновения в конвейеры CI/CD для получения исходного кода и атак на supply chain. Такой подход усиливает угрозу, которую ShinyHunters представляют для корпоративных сред разработки. Кроме того, использование уязвимости Oracle Access Manager (CVE-2021-35587) компанией Yukari является еще одним примером способности группы компрометировать конфиденциальные данные клиентов из важных объектов, включая национальный банк и японского автопроизводителя.

Более того, ShinyHunters стремится привлечь инсайдеров, которые могут предоставить прямой доступ к критически важным системам, таким как Okta, Microsoft SSO и Citrix VPN, что указывает на стратегический акцент на облачных приложениях в своих кампаниях по фишингу. Сотрудничество с другими киберпреступными группами, такими как Scattered Spider, повышает эффективность их атак в рамках экосистемы eCrime.

Для организаций рост числа ShinyHunters сигнализирует об обострении ситуации с угрозами, в которой предприятия сталкиваются со значительными рисками, связанными с целенаправленным фишингом и попытками вымогательства данных. Аналитики подчеркивают необходимость строгого контроля доступа и механизмов мониторинга для смягчения векторов атак группы и усиления политики безопасности организации в соответствии с наблюдаемыми тенденциями.

#ParsedReport #CompletenessMedium
17-09-2025

GOLD SALEMs Warlock operation joins busy ransomware landscape

https://news.sophos.com/en-us/2025/09/17/gold-salems-warlock-operation-joins-busy-ransomware-landscape/

Report completeness: Medium

Actors/Campaigns:
Warlock (motivation: cyber_criminal)
Storm-2603
Hunters_international

Threats:
X2anylock
Hunters_international
Toolshell_vuln
Byovd_technique
Mimikatz_tool
Impacket_tool

Victims:
Commercial entities, Government entities, Multinational corporations, Electricity generation industry

Industry:
Government

Geo:
China, Russia, America, Russian, Russian federation

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-51324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.003, T1190, T1505.003

IOCs:
File: 3
Url: 1
Hash: 2

Soft:
ESXi, curl, Local Security Authority, PsExec, Velociraptor, Visual Studio Code

Algorithms:
sha1, md5, sha256

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Warlock группы GOLD SALEM - это изощренный актор-вымогатель, ответственный за атаки на 60 жертв по всей Северной Америке, Европе и Южной Америке, избегая целей в Китае и России. Они использовали цепочку эксплойтов под названием ToolShell для атаки на серверы SharePoint, используя уязвимости CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771, развертывая Веб-шелл ASPX для удаленного выполнения команд. Их тактика иллюстрирует изменение в ландшафте программ-вымогателей, сочетая устоявшиеся стратегии с новыми методами использования уязвимостей.
-----

Операция Warlock группы GOLD SALEM стала заметным игроком на рынке программ-вымогателей, демонстрируя уровень технического мастерства, соответствующий устоявшимся операциям с программами-вымогателями. К середине сентября 2025 года группировка взяла на себя ответственность за нападения на 60 жертв, включая широкий круг представителей малого бизнеса, государственных структур и крупных транснациональных корпораций по всей Северной Америке, Европе и Южной Америке. Интересно, что GOLD SALEM в значительной степени избегал нападок на организации в Китае и России, хотя в начале сентября он опубликовал информацию о жертве из России на своем специализированном сайте по утечке информации. Эта российская организация специализируется на инжиниринговых услугах для сектора производства электроэнергии, что потенциально указывает на то, что операционная база группы находится за пределами российской юрисдикции, где, как известно, правоохранительные органы активно преследуют акторов-вымогателей.

Расследование тактики GOLD SALEM выявило изощренную вредоносную активность, в частности инцидент в конце июля с участием серверов SharePoint. Группа использовала специальную цепочку эксплойтов, известную как ToolShell, чтобы получить первоначальный доступ. Эта цепочка эксплойтов использовала комбинацию уязвимостей, обозначенных как CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771. Успешная эксплуатация позволила группе развернуть ASPX- Веб-шелл, который создал объект Process для cmd.exe в контексте рабочего процесса IIS (w3wp.exe ). Эта настройка позволяла злоумышленнику удаленно выполнять произвольные команды с возможностью просмотра выходных данных в режиме реального времени.

Появление GOLD SALEM иллюстрирует продолжающуюся трансформацию в сфере программ-вымогателей, где новые группы используют проверенные стратегии и потенциально внедряют новые подходы для использования хорошо известных уязвимостей. Их оперативная тактика, особенно в использовании продвинутых цепочек эксплойтов, представляет значительный риск для различных секторов, подчеркивая необходимость усиления мер безопасности в целевых и уязвимых системах.

#ParsedReport #CompletenessMedium
17-09-2025

Comicform, beginning: F6 analysts studied the phishing campaigns of a new attacking

https://www.f6.ru/blog/comicform/

Report completeness: Medium

Actors/Campaigns:
Comicform

Threats:
Formbook

Victims:
Industrial sector, Financial sector, Tourism sector, Biotechnology sector, Research sector, Trade sector, Production companies

Industry:
Financial, Transport

Geo:
Belarusian, Kazakhstan, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001

IOCs:
File: 18
Hash: 65
Command: 2
Url: 42
IP: 3
Email: 2
Domain: 45

Soft:
Windows Defender

Algorithms:
md5, sha256, sha1

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аналитики F6 Threat Intelligence отследили кампанию фишинга, проводимую злоумышленником Comicform, нацеленную на различные российские секторы, включая промышленный и финансовый. Этот актор использовал специализированные электронные письма для фишинга, тематически связанные с "актами вербовки", включая примечательный пример, в котором использовались персонажи комиксов и вредоносное ПО для Formbook. Тактика Comicform эволюционировала с течением времени, и текущие действия указывают на постоянное намерение использовать уязвимости в целевых организациях, о чем свидетельствует регистрация отличительного электронного письма и тактика, которая адаптируется, чтобы избежать обнаружения.
-----

С середины мая по начало июня 2025 года аналитики F6 Threat Intelligence выявили и отслеживали кампанию фишинга, направленную против российских организаций в различных секторах, включая промышленность, финансы, туризм, биотехнологии, исследования и торговлю. Эта вредоносная активность была связана с злоумышленником по имени Comicform, который, по описанию, является специалистом по созданию электронных писем с фишингом, тематически связанных с "действиями по вербовке". В одном значительном примере кампании, датированном 3 июня 2025 года, использовалось электронное письмо с фишингом, в котором использовались персонажи комиксов, и содержалась вредоносная полезная нагрузка, связанная с Formbook, типом вредоносного ПО для кражи информации.

Злоумышленник, Comicform, отличался такими идентификационными признаками, как использование определенного адреса электронной почты, зарегистрированного в бесплатном российском почтовом сервисе "Rivet_kz@...". Такой выбор инструментов и идентификаторов позволяет получить представление об их методах работы и потенциальной принадлежности.

Деятельность злоумышленника продолжалась и после завершения первоначальной кампании; 25 июля 2025 года система XDR, управляемая F6, успешно заблокировала еще больше фишинг-писем, направленных российским производственным компаниям. Эти электронные письма были отправлены от казахстанской компании, занимающейся промышленными операциями, что указывает на географическое и операционное расширение Comicform. По состоянию на начало сентября 2025 года аналитики отметили, что Comicform продолжала проводить кампании по фишингу, адаптируя свою тактику, непоследовательно используя указанный адрес электронной почты в последующих рассылках.

В течение всего периода анализа исследователи F6 собирали подробную информацию о вредоносной инфраструктуре Comicform, выявляли специфическое поведение вредоносного ПО, сопоставляли связанные с ним тактики, методы и процедуры (TTP) и разрабатывали правила поиска, чтобы усилить защиту организации от этих постоянных угроз фишинга. Текущая деятельность демонстрирует решимость Comicform постоянно использовать уязвимости в целевых организациях.

#ParsedReport #CompletenessHigh
17-09-2025

Tracking Diicot: An Emerging Romanian Threat Actor

https://www.darktrace.com/blog/tracking-diicot-an-emerging-romanian-threat-actor

Report completeness: High

Actors/Campaigns:
Diicot (motivation: cyber_espionage, cyber_criminal)
Rhysida
Vice_society

Threats:
Mirai
Cayosin
Xmrig_miner
Seo_poisoning_technique
Putty_tool
Oyster
Typosquatting_technique
Rhysida
Dll_sideloading_technique
Spear-phishing_technique

Victims:
Ssh servers, It administrators

Industry:
Government

Geo:
Romania, Romanian

TTPs:
Tactics: 1
Technics: 8

IOCs:
File: 5
Url: 11
IP: 7
Domain: 6
Hash: 11
Coin: 1

Soft:
Discord, OpenWrt, Opera, systemd, Chrome, curl, l -O -, Windows Scheduled Task, WordPress

Crypto:
monero

Algorithms:
sha256, zip, base64

Functions:
readLines

Languages:
golang, java

Platforms:
arm

Links:
https://github.com/neurobin/shc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Diicot, румынская хакерская группировка, занимающаяся кибератаками брутфорсом по SSH и криптоджекингом с 2020 года, используя пользовательские инструменты и методы, такие как вредоносное ПО как услуга. В их работе используется инструмент SSH-брутфорса на базе Golang под названием "псевдонимы", предназначенный для различных систем, включая маршрутизаторы OpenWRT со скриптом в стиле Mirai. Diicot использует двоичные файлы ELF для выполнения майнинга криптовалюты с помощью XMRig с расширенной тактикой запутывания и закрепления, включая связь с командными серверами через веб-хуки Discord.
-----

Diicot - румынская хакерская группировка, известная различными кибератаками, в первую очередь связанными с атаками методом перебора SSH и криптоджекингом. За их деятельностью наблюдали, по крайней мере, с 2020 года, используя ряд пользовательских инструментов и методов, включая варианты "Вредоносное ПО как услуга" (MaaS). Группа провела ребрендинг с "Mexals" на Diicot, название которого по совпадению совпадает с названием румынского правоохранительного органа, что предполагает попытку продемонстрировать принадлежность к властям, одновременно внедряя румынские культурные атрибуты в свою деятельность с помощью языка и иконографии.

Тактики, приемы и процедуры Diicot's (TTP) обладают отличительными характеристиками, которые помогают в установлении авторства. Они используют компилятор сценариев оболочки (shc), чтобы скрыть свои сценарии загрузки, и часто упаковывают полезные нагрузки, используя модифицированную версию UPX. Первоначальный доступ осуществляется с помощью инструмента SSH брутфорса на базе Golang под названием "псевдонимы", который нацелен на IP-адреса со списком комбинаций имени пользователя и пароля. Их подход также распространяется на маршрутизаторы OpenWRT, где сценарий распространения в стиле Mirai называется "bins.sh " активирует и развертывает вариант ботнете Cayosin.

Как только система скомпрометирована, Diicot использует серию двоичных файлов ELF в своей цепочке выполнения. Основная полезная нагрузка, называемая "полезной нагрузкой", использует bash для подготовки целевой среды для запуска программного обеспечения для майнинга криптовалют, в частности XMRig, на основе количества доступных процессоров. Более того, дополнительный загрузчик ".diicot" управляет развертыванием майнера XMRig, извлекая конфигурации по мере необходимости. Их способность выполнять оперативные обязанности повышается благодаря таким инструментам, как "Chrome", который сканирует сети на наличие уязвимостей, регистрируя результаты, которые повторно используются при дальнейших попытках перебора.

Механизмы закрепления Diicot's включают обновление их набора инструментов с помощью скриптов и управление взаимодействием со структурой C2 с помощью веб-подключений Discord и выделенных вызовов API. Они используют тактику запутывания, такую как функции "toDiscord" и "toApi", для отправки оперативной информации обратно на свои командные серверы, что позволяет осуществлять скрытый контроль над скомпрометированными системами.

#ParsedReport #CompletenessLow
17-09-2025

New FileFix Campaign Exploits Steganography to Deploy StealC Infostealer

https://www.secureblink.com/cyber-security-news/new-file-fix-campaign-exploits-steganography-to-deploy-steal-c-infostealer

Report completeness: Low

Threats:
Filefix_technique
Steganography_technique
Stealc
Clickfix_technique
Promptfix_technique

Victims:
Social media users

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027.003, T1041, T1057, T1059.001, T1082, T1105, T1113, T1115, T1204.001, T1528, have more...

Soft:
Windows File Explorer, Chrome, Firefox, Opera, Discord, Telegram

Algorithms:
rc4, gzip

Win API:
arc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания FileFix - это продвинутая операция фишинга, которая использует Стеганографию для доставки infostealer StealC, предназначенного для скрытой кражи учетных данных. В этой атаке используется метод, при котором пользователей обманом заставляют выполнять запутанные команды PowerShell, которые загружают изображение в формате JPEG, содержащее вредоносную полезную нагрузку. StealC нацелен на конфиденциальную информацию, включая учетные данные браузера и системные метаданные, подчеркивая адаптивность злоумышленников и инновационное использование социальной инженерии и законных платформ для эксплуатации.
-----

Кампания FileFix использует передовые методы фишинга и Стеганографию для развертывания StealC infostealer. Он начал активно эксплуатироваться в начале 2025 года, используя текст, вставленный в адресную строку проводника Windows, в качестве исполняемых команд. Злоумышленники создавали страницы фишинга, имитирующие мета-отчеты об инцидентах, чтобы заставить пользователей выполнить команду PowerShell. Эта команда загружает изображение в формате JPEG из репозитория Bitbucket, скрывая фактическую вредоносную полезную нагрузку внутри него с помощью Стеганографии.

Вредоносное ПО StealC является модульным и извлекает конфиденциальную информацию, включая учетные данные браузера из Chrome, Firefox и Opera, данные обмена сообщениями из Discord и Telegram, ключи криптовалютного кошелька и учетные данные поставщика облачных услуг. Он также собирает системные метаданные и может делать скриншоты. Кампания иллюстрирует, как быстро противники могут адаптироваться к новым методам и использовать их в качестве оружия, а также использовать законные платформы в злонамеренных целях.

Защитные меры должны быть сосредоточены на выявлении необычных запусков PowerShell, мониторинге сетевого трафика на платформы разработки и обмена файлами, информировании пользователей о рисках, связанных с выполнением команд из скопированного текста, и развертывании инструментов стеганоанализа для обнаружения подозрительных изображений в сетевом трафике.

#ParsedReport #CompletenessMedium
18-09-2025

SystemBC Bringing the Noise

https://blog.lumen.com/systembc-bringing-the-noise/

Report completeness: Medium

Actors/Campaigns:
Morpheus

Threats:
Systembc
Transferloader
Nsocks_tool
Proxyam_tool
Moon_botnet
Icedid
Trickbot
Gobrut_botnet
Ngioweb
Avoslocker
Credential_harvesting_technique
Password_spray_technique
Limpopo_ransomware

Victims:
Vps servers, Gobrut botnet victims, Proxy network users

Industry:
Telco, Iot

Geo:
Russian, Vietnamese, Russia

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.003, T1584.003

IOCs:
Hash: 1
IP: 177
Domain: 1

Soft:
Twitter, Linux, WordPress

Algorithms:
rc4, xor

Links:
https://github.com/blacklotuslabs/IOCs/blob/main/SystemBC\_IOCs.txt

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 3, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет "SystemBC" работает с более чем 80 серверами командования и контроля и ежедневно компрометирует около 1500 жертв, в основном Виртуальные выделенные серверы (VPS) от крупных провайдеров. В отличие от типичных ботнет, использующих стационарные устройства, SystemBC фокусируется на большом объеме вредоносного трафика через VPS, чтобы избежать обнаружения, позволяя передавать данные объемом более 16 гигабайт за 24 часа. Первоначально связанная с программами-вымогателями, она превратилась в платформу для продажи специализированных ботнет-сетей, делая упор на объем и тактику грубой силы, а не на скрытность, распространенную в традиционных стратегиях ботнет-атак.
-----

Команда Black Lotus Labs из Lumen Technologies обнародовала важные данные, касающиеся ботнет "SystemBC", который состоит из более чем 80 серверов командования и контроля (C2s) и ежедневно насчитывает в среднем 1500 жертв. Примечательно, что около 80% этих жертв являются скомпрометированными Виртуально выделенными серверами (VPS) крупных коммерческих провайдеров. Вместо использования стационарных устройств, которые типичны для аналогичных прокси-сетей, SystemBC использует системы VPS для создания прокси, способных генерировать большие объемы вредоносного трафика. Такой подход обеспечивает устойчивое использование высокой пропускной способности без типичных проблем, связанных с предупреждением пользователей или потенциальными сбоями в работе.

Злоумышленники часто стремятся скрыть свою деятельность, чтобы избежать обнаружения жертвами или правоохранительными органами. Хотя инструменты анонимности, такие как TOR, обеспечивают некоторую степень защиты, они также обладают недостатками низкой пропускной способности и нестабильности. Это привело к росту интереса к прокси-сервисам, таким как NSOCKS и ProxyAM, которые используют широкий спектр стационарных устройств для маршрутизации трафика. SystemBC, отслеживаемая в течение нескольких месяцев, по-видимому, легко интегрируется с другими криминальными операциями, что подчеркивает ее роль в более широкой экосистеме киберугроз.

Анализ инфраструктуры показывает, что пользователи подключаются к SystemBC C2s через порты с высокими номерами, которые затем направляют трафик через скомпрометированные VPS-жертвы. Такой выбор VPS в пользу стационарных устройств является отходом от типичного поведения ботнет, вместо этого он фокусируется на поддержании значительного объема трафика. За период исследования аналитики отметили в среднем 1500 работающих ботов, включая 300 подключенных к ботнете GoBrut, что отражает разнообразные операционные возможности ботнет.

Что касается производительности прокси—сервера, SystemBC выделяется тем, что предлагает значительно более высокие объемы передачи данных - часто превышающие обычные ограничения на уровне гигабайт, наблюдаемые в большинстве прокси-сетей. Использование VPS позволяет операторам обойти типичные ограничения, налагаемые стационарными устройствами, которые подвержены нестабильности сети и повышенным шансам попадания в черный список из-за чрезмерного трафика. Такое отсутствие заботы о скрытности позволяет SystemBC работать в большем объеме, но вызывает вопросы о ее долгосрочной устойчивости. Анализ показал, что некоторые IP-адреса способны генерировать более 16 гигабайт данных прокси-сервера всего за 24 часа, что резко контрастирует с обычными функциями прокси-сервера.

Наконец, сохраняющаяся устойчивость и долговечность работы SystemBC характеризуют ее как постоянную угрозу в киберпространстве. Первоначально обслуживавший операции с программами-вымогателями, он превратился в платформу для сборки и продажи специализированных ботнет. Его акцент на объемах и тактике грубой силы с использованием VPS-систем отличает его от более традиционных и скрытных стратегий ботнет на базе SOHO. Эта эволюция подчеркивает необходимость бдительности и адаптивных мер перед лицом такого сложного поведения злоумышленников.

#ParsedReport #CompletenessHigh
18-09-2025

CountLoader: Silent Push Discovers New Malware Loader Being Served in 3 Different Versions

https://www.silentpush.com/blog/countloader/

Report completeness: High

Threats:
Countloader
Lockbit
Blackbasta
Qilin_ransomware
Cobalt_strike_tool
Adaptixc2_tool
Squiblydoo
Vidar_stealer
Emmenhtal
Bitsadmin_tool
Lolbin_technique
Purehvnc_tool
Lumma_stealer
Domain_fronting_technique

Victims:
Individuals, Citizens

Geo:
Ukraine, Russian, Russia, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1059.001, T1059.005, T1071.001, T1105, T1140, T1204.002, T1566.001, T1583.001

IOCs:
File: 15
Domain: 16
Url: 9
Registry: 2
Coin: 1
Hash: 8
IP: 5

Soft:
DeepSeek, Chrome, Curl, Internet Explorer, Yandex browser, SAP NetWeaver

Algorithms:
sha256, base64, xor

Functions:
Connect, GetUpdates, Main, b

Win Services:
bits

Languages:
python, jscript, powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silent Push сообщила о "CountLoader", новом загрузчике вредоносного ПО, связанном с российскими бандами вымогателей, который проявляется в версиях .NET, PowerShell и JScript. Вариант JScript, самый сложный, содержит 850 строк запутанного кода и взаимодействует через определенный путь API. Кроме того, были выявлены ссылки на Cobalt Strike и нетрадиционные методы хранения вредоносного ПО акторами LockBit, что подчеркивает эволюцию тактики в киберугрозах.
-----

Silent Push выявил новый загрузчик вредоносного ПО под названием "CountLoader", связанный с различными российскими бандами вымогателей. Эта развивающаяся угроза наблюдалась в трех различных формах versions-.NET , PowerShell и JScript. Развертывание CountLoader было особенно заметно в ходе недавней кампании по фишингу, которая была нацелена на отдельных лиц в Украине путем Маскировки под украинскую полицию, что еще раз указывает на его связь с российскими злоумышленниками.

В ходе расследования аналитики обнаружили, что CountLoader взаимодействует через домены, используя уникальный шаблон, в частности, используя путь "/api/GetFile?fn=". Первоначальный анализ показал, что JScript-вариант CountLoader выделяется как наиболее функциональный и продвинутый, содержащий около 850 строк кода и предоставляемый жертвам в виде запутанного hta-файла. После выполнения эта версия проверяет, была ли она уже инициализирована в целевой системе, проверяя URL-адрес выполнения.

.NET-версия CountLoader также была тщательно изучена, особенно в связи с доменом C2 ms-team-ping2.com , который, как было обнаружено, управляет запросами задач на получение двоичных файлов. И наоборот, версия PowerShell была менее сложной и содержала всего около 20 строк кода, что отражало простую стратегию выполнения.

Расследование также выявило связи с Cobalt Strike, инструментом, который часто используется для тестирования на проникновение, но также используется не по назначению в киберпреступной деятельности. Аналитики извлекли важную конфигурацию C2, связанную с CountLoader, из различных образцов Cobalt Strike, подчеркнув наличие уникальных водяных знаков, которые идентифицируют конкретные экземпляры Cobalt Strike. Такие домены, как misctoolsupdate.com были связаны с функциями командования и контроля Cobalt Strike.

Кроме того, в соответствующем внешнем отчете указано, что акторы-вымогатели, конкретно связанные с LockBit, использовали нетрадиционные методы для организации вредоносного ПО, сохраняя Вредоносные файлы в папке Windows Music, менее типичном каталоге для этих операций.

Поскольку с появлением Countrloader ситуация с угрозами продолжает меняться, Silent Push призывает организации проводить всесторонние расследования при обнаружении любой активности Countrloader и сохранять бдительность в отношении последующих выпусков полезной нагрузки и ее использования.

В отчете подчеркивается необходимость постоянного мониторинга и анализа аналогичных загрузчиков вредоносного ПО для снижения потенциальных рисков, связанных с развивающимися киберугрозами.

#ParsedReport #CompletenessLow
18-09-2025

FBI FLASH

https://www.ic3.gov/CSA/2025/250912.pdf

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: information_theft)
Unc6395 (motivation: information_theft)
Shinyhunters

Victims:
Salesforce users, Customer support teams

Industry:
Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1550.001, T1566, T1598.004

IOCs:
IP: 100
Url: 4

Soft:
Salesforce, Salesloft Drift

Languages:
python