#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанные с Россией программы-вымогатели перешли от централизованных групп к фрагментированной экосистеме, отмеченной скрытыми альянсами и динамичными связями, особенно в "эпоху после Конти". Используя методологию "спайдер-аута", исследователи выявили значительное "перекрытие между людьми", когда отдельные акторы переключаются между группами, примером чего могут служить такие личности, как "Wazawaka" и "Basterlord". Современные группы вымогателей действуют модульно, специализируясь на различных операционных аспектах, а некоторые, такие как Evil Corp, используют такую тактику, как ребрендинг, чтобы избежать санкций при сохранении основных возможностей.
-----

Ландшафт программ-вымогателей, связанных с Россией, претерпел значительные изменения, превратившись из отдельных централизованных групп в более фрагментированную экосистему, характеризующуюся скрытыми альянсами и изменчивой принадлежностью. Исследование сосредоточено на этом переходе, особенно в "эпоху после Конти", когда традиционные модели операций с программами-вымогателями больше неприменимы из-за сложных взаимосвязей между различными группами.

Методология, используемая для расследования этих ассоциаций, включает в себя "разрозненный" подход, начиная с таких известных организаций-вымогателей, как Conti, LockBit и Evil Corp. Такой подход позволяет исследователям исследовать и визуализировать обширную сеть взаимоотношений между различными акторами в сфере программ-вымогателей. Важным открытием, полученным в результате этого анализа, является феномен "совпадения людей" и "дрейфа операторов", когда отдельные акторы-вымогатели переключаются между различными группами. Известные примеры включают таких людей, как "Wazawaka", связанных с несколькими группами, включая REvil, Babuk, LockBit, Hive и Conti, а также "Basterlord", который перешел от REvil к Avaddon, LockBit и, в конечном счете, к Hive.

Сопоставление этих взаимосвязей высвечивает ключевые операционные характеристики современных программ-вымогателей. Существующие группы работают по модульному принципу, что позволяет им специализироваться на конкретных аспектах операций с программами-вымогателями, таких как переговоры, разработка, управление инфраструктурой и руководящие роли. Такое разделение обязанностей способствует адаптации в условиях меняющегося рынка киберугроз. Примечательно, что некоторые группы, такие как Evil Corp, использовали стратегии уклонения от санкций, очевидные в их практике ребрендинга при повторном использовании базовой инфраструктуры, что говорит о том, что, несмотря на изменения в названиях и внешнем виде, базовые возможности этих групп остаются нетронутыми. В целом, полученные результаты подчеркивают необходимость глубокого понимания динамики программ-вымогателей для эффективной борьбы с этими эволюционирующими киберугрозами.

#ParsedReport #CompletenessLow
18-09-2025

Analysis of APT-C-24 (Sidewinder) Recent LNK File Phishing Attacks

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507398&idx=1&sn=8bb49e42e79fe9cc1e6a802ced1f1653&chksm=f9c1eecfceb667d9c8118ae2ae1b7b3bf7da89ea71b8c859c6aac50ffe49820ffce6d36895f9&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Low

Actors/Campaigns:
Sidewinder
Gamaredon

Industry:
Government

Geo:
Ukrainian

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1204.002, T1204.004, T1566

IOCs:
File: 5
Hash: 35

Algorithms:
base64, md5, xor

Languages:
jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-24, также известный как Sidewinder, использует атаки фишинга с использованием файлов LNK для компрометации систем. Жертвы загружают сжатые файлы, содержащие файлы LNK, с удаленного сервера, что приводит к выполнению, которое часто приводит к установке вредоносного ПО или использованию системных уязвимостей. Хотя конкретные сведения о вредоносном ПО не приводятся, этот метод подчеркивает постоянную угрозу, исходящую от изощренных злоумышленников, использующих безопасные типы файлов для вредоносных целей.
-----

Было замечено, что APT-C-24, также известный как Sidewinder, применяет стратегию фишинг-атаки, использующую файлы LNK. Эта тактика заключается в заманивании жертв к загрузке сжатого файла, содержащего несколько файлов LNK, хранящихся на удаленном сервере. Первоначальное взаимодействие обычно происходит через электронные письма или сообщения, содержащие фишинг, которые приводят жертв к этим Вредоносным файлам.

После выполнения загруженного файла LNK система жертвы оказывается скомпрометированной. Файлы LNK, или файлы ярлыков, служат средством для выполнения вредоносных команд, часто приводящих к установке вредоносного ПО или дальнейшему использованию уязвимостей системы. Специфика поведения вредоносного ПО при запуске остается решающей для понимания воздействия таких атак; однако в анализе не были представлены подробные сведения о конкретных используемых штаммах или их возможностях.

Процесс атаки подчеркивает необходимость проявлять бдительность в отношении тактики фишинга, которая маскируется под законные загрузки. Распознавая риски, связанные с файлами LNK и аналогичными типами файлов, организации и частные лица могут усилить свою защиту от APT-C-24 и других злоумышленников, использующих аналогичные методы. В этом резюме освещается методический подход, применяемый Sidewinder при использовании, казалось бы, безобидных типов файлов для инициирования своих кибератак, подчеркивается постоянная угроза, исходящая от таких сложных целенаправленных атак.

#ParsedReport #CompletenessLow
18-09-2025

Magecart Skimmer Analysis: From One Tweet to a Campaign

https://blog.himanshuanand.com/posts/15-09-2025-magecart-skimmer-analysis/

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Ecommerce websites, Online retailers

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.002, T1059.007, T1105, T1190, T1204.001, T1583.006

IOCs:
Url: 1
Domain: 2
IP: 1

Functions:
getElementById

Languages:
python, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования кампаний Magecart выявили продвинутый метод внедрения JavaScript для сбора платежных данных со взломанных сайтов электронной коммерции. Аналитики использовали такие методы, как деобфускация скриптов и декодирование на Python, чтобы выявить вредоносные скрипты, нацеленные на определенные платформы, подтверждающие подключения к инфраструктуре, контролируемой злоумышленниками, с использованием шаблонов домена, таких как "get*js" и "*analytics". Постоянный характер этих кампаний был подчеркнут выявлением различных связанных доменов, которые демонстрировали текущую активность на протяжении более года.
-----

Недавние расследования кампаний Magecart выявили сложный подход к внедрению вредоносного JavaScript, направленный на сбор платежных данных со взломанных веб-сайтов электронной коммерции. Анализ начался с первоначального наблюдения из одного твита, в котором говорилось о потенциальном участии в операции в стиле Magecart-style, специально нацеленной на cc-analytics.com . Это побудило к дальнейшему изучению методов, используемых злоумышленниками.

Ключом к пониманию техники атаки была деобфускация вредоносных скриптов. Аналитики использовали метод отладки, добавляя к сценарию префикс "debugger;" и выполняя его в инструментах разработчика браузера. Кроме того, они использовали Python для декодирования запутанных строк, в которых использовались шестнадцатеричные значения и представления \x, тем самым упрощая извлечение соответствующего содержимого.

Расследование показало, что вредоносный JavaScript был внедрен по меньшей мере в две различные области на скомпрометированных платформах электронной коммерции. Используя такие инструменты, как UrlScan, исследователи подтвердили, что эти скрипты указывали на инфраструктуру, контролируемую злоумышленниками. Примечательно, что анализ выявил закономерность в номенклатуре используемых доменов, которая часто включала такие термины, как "get*js" и "*analytics". Такая переработка инфраструктуры типична для злоумышленников, которые поддерживают текущие операции, избегая обнаружения.

Дальнейший анализ с помощью Passive DNS и инструментов управления инфраструктурой выявил более широкий спектр связанных доменов, которые, вероятно, были частью операционной системы, поддерживающей кампании Magecart. Эти домены демонстрировали устойчивую активность в течение года, подчеркивая долговечность и закрепление злоумышленников за кулисами.

Таким образом, полученные результаты подчеркивают важность небольших общественных сигналов, таких как активность в Социальных сетях, для выявления более масштабных киберугроз. Расследование продемонстрировало, что бесплатные инструменты, включая UrlScan, PublicWWW и WHOIS, могут успешно помогать в выявлении инфраструктуры злоумышленников, предлагая потенциал для более глубокого анализа угроз и расширенные возможности для поиска угроз.

#cyberthreattech

Все обновления, касающиеся наших продуктов, теперь будут публиковаться в отдельном канале (больше каналов богу ТГ каналов):

https://t.iss.one/cyberthreattech

Летом и в начале сентября (пока все отдыхали) наша команда активно работала, т.ч. в новой группе уже размещена пачка обновлений.

#ParsedReport #CompletenessMedium
19-09-2025

Suspected APT-C-00 (OceanLotus) delivering the Havoc Trojan

https://www.ctfiot.com/271395.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: government_sponsored)

Threats:
Havoc
Dll_sideloading_technique

Victims:
Businesses, Government agencies

Industry:
Government

Geo:
Asia

TTPs:
Tactics: 1
Technics: 2

IOCs:
Hash: 7
Registry: 1
File: 1
IP: 2

Soft:
WeChat

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-00, известная как OceanLotus, является спонсируемой государством хакерской группой, нацеленной на правительственные и коммерческие организации в Восточной Азии. Они внедряют троянца Havoc, сложное вредоносное ПО, которое проникает в сети, извлекает конфиденциальные данные и поддерживает закрепление. Их методология атаки основана на скрытности, использовании кампаний Целевого фишинга для доставки троянца, который устанавливает удаленный доступ для дальнейшей эксфильтрации данных и эксплуатации.
-----

APT-C-00, также известная как OceanLotus, идентифицируется как спонсируемая государством хакерская группировка, которая действует преимущественно в Восточной Азии, нацеливаясь как на правительственные, так и на коммерческие организации. Недавние действия показали, что эта группа внедряет троянца Havoc в рамках своей стратегии атаки. Троянец Havoc - это сложное вредоносное ПО, предназначенное для проникновения в целевые сети, извлечения конфиденциальной информации и поддержания закрепления в скомпрометированных системах.

Методы, используемые OceanLotus, делают упор на скрытность и обман, позволяя группе избегать обнаружения при сборе разведданных. Точная методология доставки троянца Havoc часто включает в себя кампании Целевого фишинга, которые используют тщательно подготовленные электронные письма или вредоносные вложения, чтобы заманить потенциальных жертв к исполнению. Оказавшись внутри сети, Havoc способен обеспечить удаленный доступ для злоумышленников, облегчая дальнейшую эксфильтрацию данных и эксплуатацию ресурсов жертвы.

Как следствие, организациям в Восточной Азии следует усилить бдительность в области кибербезопасности в отношении тактики и методов этой группы, особенно в связи с попытками социальной инженерии, которые могут привести к установке Havoc Trojan. Постоянный мониторинг сетевой активности и внедрение надежных протоколов безопасности могли бы помочь снизить риски, связанные с операциями OceanLotus's.

#ParsedReport #CompletenessMedium
19-09-2025

Dark Web Profile: Dire Wolf Ransomware

https://socradar.io/dark-web-profile-dire-wolf-ransomware/

Report completeness: Medium

Threats:
Dire_wolf
Vssadmin_tool
Wevtutil_tool
Spear-phishing_technique
Shadow_copies_delete_technique

Victims:
Organizations with high downtime sensitivity

Industry:
Foodtech, Healthcare

Geo:
Australia, Thailand, Brazil, Canada, Asia-pacific, Singapore, Taiwan, Asia, New york, America, United kingdom

ChatGPT TTPs:
do not use without manual check
T1027, T1047, T1070, T1070.001, T1486, T1489, T1490, T1562.001

IOCs:
File: 1

Soft:
bcdedit, MSSQL, Outlook

Algorithms:
chacha20, sha256, curve25519

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Dire Wolf - это финансово мотивированная группа вымогателей, которая появилась в мае 2025 года и в первую очередь нацелена на организации в Азии с агрессивной тактикой. Программа-вымогатель имеет продвинутые элементы дизайна, такие как защита от многократного выполнения, отключение параметров восстановления Windows и использование гибридного криптографического подхода с использованием Curve25519 и ChaCha20 для шифрования. Его операции также включают в себя превентивное завершение ключевых процессов применения корпоративных приложений, чтобы максимально увеличить сбои в работе и давление на жертв с целью выплаты выкупа.
-----

Dire Wolf - это финансово мотивированная группа вымогателей, которая впервые появилась в мае 2025 года, быстро установив свое присутствие с помощью агрессивных атак и сайта утечки информации из Dark Web для общения с жертвами. Его деятельность особенно ориентирована на организации в различных отраслях промышленности, с заметной концентрацией в Азии, где он использует среды, наиболее подверженные простоям в работе и потенциальному доступу к данным. Для этой группы характерен профессиональный подход, ориентированный исключительно на получение прибыли, отличающий ее от политически мотивированных злоумышленников.

Операционная методология Dire Wolf отражает передовую тактику программ-вымогателей. Он использует комбинацию саботажа и эффективного шифрования, чтобы оказать максимальное давление на жертв и заставить их заплатить выкуп. Технический дизайн программы-вымогателя демонстрирует тщательное планирование, обеспечивающее защиту от многократного выполнения в одной и той же системе. Это достигается с помощью файла маркера и проверки мьютекса, которая приводит к самоудалению, если вредоносное ПО обнаруживает предыдущие запуски. Кроме того, Dire Wolf активно отключает параметры восстановления, отключая службу журнала событий Windows и удаляя shadow copies, используя встроенные инструменты, такие как vssadmin и wevtutil, чтобы стереть любые доказательства своей деятельности.

Dire Wolf's использует язык Go для своей полезной нагрузки и UPX для упаковки, что обеспечивает кросс-платформенную гибкость и запутывание, препятствующее статическому анализу и обнаружению. Программа-вымогатель имеет обширный "список уничтожения", который завершает процессы ключевых корпоративных приложений, включая серверы баз данных, платформы электронной почты и решения для резервного копирования, перед запуском шифрования. Это тщательное превентивное действие гарантирует, что ит-отдел сможет выполнять шифрование без помех, нарушая операции по принуждению жертв к соблюдению требований.

Что касается шифрования, Dire Wolf использует гибридный криптографический подход, используя Curve25519 для обмена ключами и ChaCha20 для шифрования файлов, а также реализуя SHA-256 для получения ключей. Этот подход обеспечивает быстрое шифрование за счет полного шифрования файлов меньшего размера и частичного шифрования файлов большего размера. Как только шифрование завершено, в каждый затронутый каталог помещается уведомление о выкупе с подробным описанием учетных данных для доступа конкретной жертвы к порталу переговоров в Tor и указанием крайних сроков оплаты, а также растущими угрозами утечки украденных данных.

Чтобы защититься от Dire Wolf, организации должны принять многоуровневую стратегию защиты из-за сложных методов, используемых группой, которая включает отключение резервных копий и устранение возможностей ведения журнала перед шифрованием. Планирование восстановления должно быть упреждающим и многогранным, учитывая способность группы сделать традиционные усилия по восстановлению неэффективными.

#ParsedReport #CompletenessMedium
19-09-2025

False communications regarding the Milan Polytechnic used to spread FormBook

https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/

Report completeness: Medium

Threats:
Formbook

Victims:
Construction industry operators

Industry:
Education

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001

IOCs:
Domain: 4
Url: 6
Hash: 3

Algorithms:
zip

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4