#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeerStealer - это сложное вредоносное ПО, нацеленное на конфиденциальную информацию с помощью передовых методов уклонения и многоэтапного процесса заражения. Он распространяется через ZIP-архивы, содержащие PE-файлы, используя доверенный COM-объект для bypass UAC и выполнения его полезных функций, включая Grid-Electr.exe для сбора данных. Вредоносное ПО обеспечивает закрепление за запланированными задачами и может адаптироваться путем смены серверов управления, функционируя скрытно, чтобы избежать обнаружения средствами безопасности.
-----

DeerStealer - это сложное вредоносное ПО, специально разработанное для кражи конфиденциальной информации из зараженных систем. Активно продвигаемый на форумах dark-web и через Telegram-каналы, DeerStealer использует передовые методы, чтобы избежать обнаружения и постоянно работать в скомпрометированных средах. Его архитектура позволяет ему маскироваться под законное программное обеспечение, обманывая пользователей и заставляя их запускать вредоносное ПО, в то время как он тайно собирает различные формы конфиденциальных данных, включая личные и финансовые данные.

Механизм доставки вредоносного ПО включает упаковку его полезной нагрузки в ZIP-архив, содержащий PE-файлы и дополнительные компоненты. После установки DeerStealer использует доверенный COM-объект с автоматическим повышением уровня (ICMLuaUtil) с помощью DllHost.exe чтобы запустить его установочный файл, Reader_en_install.exe , обходя запросы контроля учетных записей пользователей (UAC) с помощью установленных методов, предназначенных для предотвращения обнаружения. Пользовательское действие, вызываемое msiexec.exe впоследствии выполняет другую полезную нагрузку, Grid-Electr.exe , который выполняет основные вредоносные операции.

DeerStealer демонстрирует многоэтапную функциональность, которая включает в себя использование подписанных исполняемых файлов и законных библиотек динамической компоновки (DLL) для дальнейшего противодействия мерам безопасности. Чтобы обеспечить закрепление, вредоносное ПО создает несколько записей о запланированных задачах, которые позволяют ему автоматически активироваться после перезагрузки системы и поддерживать постоянную связь с серверами управления (C2). Собранные данные отфильтровываются на назначенные серверы C2, такие как сервер, указанный по адресу telluricaphelion.com .

Вредоносное ПО известно своей адаптивностью, ему удается переключать серверы C2, чтобы избежать обнаружения. Эта адаптивность сочетается с возможностями, подобными руткиту, что позволяет ему работать незамеченным даже под пристальным вниманием инструментов пользовательского режима и программного обеспечения безопасности. В целом, DeerStealer обладает заметной широтой возможностей, которые позиционируют его как серьезную угрозу для отдельных лиц и организаций, поскольку он угрожает скомпрометировать широкий спектр конфиденциальных данных, оставаясь скрытым в течение длительного времени.

#ParsedReport #CompletenessHigh
19-09-2025

Unmasking Akira: The ransomware tactics you cant afford to ignore

https://zensec.co.uk/blog/unmasking-akira-the-ransomware-tactics-you-cant-afford-to-ignore/

Report completeness: High

Actors/Campaigns:
Play_ransomware

Threats:
Akira_ransomware
Conti
Advanced-port-scanner_tool
Netscan_tool
Credential_dumping_technique
Cobalt_strike_tool
Anydesk_tool
Ligolo-ng_tool
Rclone_tool
Powerview_tool
Sharefinder_tool
Sharpshares_tool
Grixba
Playcrypt
Pingcastle_tool
Bloodhound_tool
Rvtools_tool
Password_spray_technique
Mimikatz_tool
Dcsync_technique
Kerberoasting_technique
Passthehash_technique
Netexec_tool
Impacket_tool
Mobaxterm_tool
Bitvise_ssh_tool

Victims:
Retail, Finance, Manufacturing, Medical organisations, Uk businesses

Industry:
Retail, Healthcare, Financial

CVEs:
CVE-2024-40711 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-3259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-27532 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-20269 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 63
Domain: 1
Hash: 9

Soft:
OpenSSH, WinSCP, Active Directory, ESXi, Hyper-V, Chrome, Linux, PsExec, Sysinternals, Windows Defender, have more...

Algorithms:
base64

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Akira - группа программ-вымогателей, нацеленная на британские предприятия с 2023 года, что напоминает тактику, используемую организацией Conti. Они используют уязвимости в брандмауэрах Cisco ASA (CVE-2023-20269, CVE-2020-3259) и продуктах Veeam (CVE-2023-27532, CVE-2024-40711) для получения несанкционированного доступа и повышения привилегий, часто используя ранее существовавшие учетные данные Active Directory. Их операции включают командование и контроль через AnyDesk и OpenSSH, используя RDP для перемещения внутри компании, и они систематически сжимают и извлекают данные, полностью шифруя их перед публикацией украденной информации на сайте onion.
-----

Akira - группа вымогателей, которая нацелена на британские предприятия как минимум с 2023 года, используя ряд тактик, напоминающих прежнюю организацию по борьбе с киберпреступностью Conti. Их деятельность в основном сосредоточена на таких секторах, как розничная торговля, финансы, производство и медицинские организации, причем, согласно мероприятиям по реагированию на инциденты, проведенным ZenSec, пострадали более 30 предприятий.

Одной из основных точек входа для атак Akira's было использование брандмауэров Cisco ASA, в частности, из-за отсутствия Многофакторной аутентификации (MFA) и известных уязвимостей, таких как CVE-2023-20269 и CVE-2020-3259, которые облегчают несанкционированный доступ. Оказавшись внутри сети, Akira часто использует уже существующие учетные данные Active Directory (AD) или использует уязвимости в продуктах Veeam, в частности CVE-2023-27532 и CVE-2024-40711, для повышения привилегий.

Для управления (C2) Akira часто использует инструмент удаленного управления AnyDesk, который упоминается более чем в 43% случаев инцидентов, в то время как OpenSSH использовался примерно в 18,75%. Распространенный метод перемещения внутри компании включает в себя Протокол удаленного рабочего стола (RDP), используемый во всех зарегистрированных случаях. Защищаясь, Akira обычно отключает или удаляет продукты безопасности, как только они получают права администратора, часто используя простые действия на Панели управления для удаления антивирусов или решений для обнаружения конечных точек и реагирования (EDR). Это включает в себя ручное или автоматическое отключение Защитника Windows, причем в известных случаях для обхода мер защиты используются команды PowerShell.

Что касается сбора данных, Akira придерживается структурированного подхода, часто сжимая файлы в идентифицируемые RAR-архивы с указанием целевых каталогов на файловом сервере жертвы. Скорость эксфильтрации данных в значительной степени зависит от пропускной способности жертвы при загрузке: в ответах на инциденты отмечается, что эксфильтрация была завершена всего за три часа. Наблюдения во время реагирования на инциденты указывают на полное шифрование данных во всех случаях с Akira, с общими командами выполнения для их полезной нагрузки программы-вымогателя в системах ESXi, включая "chmod +x" для установки разрешений на выполнение перед запуском процесса шифрования, обычно выполняемого либо через PowerShell, либо через командную строку на компьютерах с Windows.

В случае утечки данных Akira публикует украденную информацию на специальном сайте onion, обеспечивая видимость своей деятельности по вымогательству. Каждый инцидент оставляет после себя отслеживаемые криминалистические артефакты, такие как файлы журналов, связанные с выполнением программы-вымогателя, тем самым подчеркивая операционные схемы и потенциальные меры противодействия, которые организации могут внедрить для снижения риска, связанного с такими угрозами.

#ParsedReport #CompletenessHigh
20-09-2025

Gamaredon X Turla collab

https://www.welivesecurity.com/en/eset-research/gamaredon-x-turla-collab/

Report completeness: High

Actors/Campaigns:
Gamaredon (motivation: cyber_espionage)
Turla (motivation: cyber_espionage)
Invisimole
Oilrig
Sidecopy (motivation: cyber_espionage)
Spiceyhoney (motivation: cyber_espionage)

Threats:
Kazuar
Pteroodd
Pteropaste
Pterographin
Pterolnk
Pterostew
Pteroeffigy
Spear-phishing_technique
Andromeda
Amadey
Dll_sideloading_technique

Victims:
Government organizations, Diplomatic entities, Defense industry

Industry:
Telco, Government

Geo:
Middle east, Asia, Ukrainian, Iran, Pakistan, Russia, Kyrgyzstan, Crimea, Ukraine, Russian

TTPs:
Tactics: 6
Technics: 17

IOCs:
Url: 11
Command: 1
File: 4
Domain: 9
Registry: 1
Path: 2
IP: 8
Hash: 11

Soft:
Telegram, WordPress

Algorithms:
3des, base64, xor

Win Services:
WebClient, ekrn

Languages:
powershell

Platforms:
x86

Links:
https://github.com/eset/malware-ioc/tree/master/turla

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В феврале 2025 года группы сложных целенаправленных атак Gamaredon и Turla, связанные с ФСБ, сотрудничали в проведении киберопераций против высокопоставленных украинских объектов. Gamaredon использовал множество инструментов, включая PteroGraphin, загрузчик, который использует Telegra.ph сервис для доставки зашифрованных полезных данных, в то время как Turla внедрила имплантат Kazuar v3 для эксплуатации. Это партнерство демонстрирует их обмен ресурсами для проведения изощренной шпионской деятельности с акцентом на украинские правительственные учреждения в условиях геополитической напряженности.
-----

В феврале 2025 года было задокументировано сотрудничество в области киберугроз между двумя печально известными группами сложных целенаправленных атак, связанными с ФСБ, Gamaredon и Turla, особенно в контексте нацеливания на высокопоставленные организации в Украине. Gamaredon, действующая с 2013 года и известная своими операциями против украинских правительственных учреждений, наряду с Turla, которая считается действующей с 2004 года, была вовлечена в многочисленные масштабные кибершпионажные мероприятия, затрагивающие правительства и дипломатические организации в различных регионах.

Обнаруженные совместные операции включали использование различных инструментов Gamaredon, таких как PteroLNK, PteroStew, PteroOdd, PteroEffigy и PteroGraphin, при этом Turla в основном использовала имплантат Kazuar v3. Временная шкала показала, что Gamaredon скомпрометировал несколько машин до Turla's развертывания Kazuar, что указывает на скоординированные усилия, когда Gamaredon первоначально предоставил доступ, а затем Turla's использовала созданный плацдарм.

Одним из центральных элементов этих мероприятий является инструмент PteroGraphin, идентифицируемый как загрузчик, предназначенный для доставки зашифрованных полезных данных через Telegra.ph обслуживание. Этот метод позволяет удаленно манипулировать контентом, отправляемым на скомпрометированные компьютеры, - тактика, которую можно легко использовать, если токен доступа попадет не в те руки, что подчеркивает потенциальные риски, связанные с сотрудничеством.

Kazuar v3, который представляет собой шпионский имплантат на C#, используемый исключительно Turla с момента его первого появления в 2016 году, претерпел различные модификации, сохранив при этом свою основную функциональность. Обнаруженные последовательности действий — особенно загрузка и выполнение Kazuar v3 через PteroOdd и PteroGraphin — иллюстрируют сложные методы, используемые при таких компромиссах.

Еще одним свидетельством продолжающегося партнерства стали последующие операции, в ходе которых 18 апреля и 6 июня 2025 года произошло дальнейшее развертывание Kazuar с помощью других штаммов вредоносного ПО, таких как PteroOdd и PteroPaste. Эти результаты свидетельствуют о растущем сотрудничестве между Gamaredon и Turla, предполагая, что они обменивались ресурсами и методологиями для расширения своих соответствующих кибернетических возможностей, нацеливаясь на украинскую инфраструктуру в условиях продолжающейся геополитической напряженности.

#ParsedReport #CompletenessLow
16-09-2025

Satori Threat Intelligence Alert: SlopAds Covers Fraud with Layers of Obfuscation

https://www.humansecurity.com/learn/blog/satori-threat-intelligence-alert-slopads-covers-fraud-with-layers-of-obfuscation/

Report completeness: Low

Actors/Campaigns:
Slopads
Badbox

Threats:
Steganography_technique
Fatmodule

Victims:
Digital advertising ecosystem

Geo:
Brazil, India

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1041, T1059.007, T1071.001, T1102, T1105, T1106, T1204.002, T1583.001, have more...

IOCs:
Domain: 290

Soft:
Google Play, Android

Algorithms:
zip, exhibit

Languages:
java, javascript

Links:
https://github.com/packing-box/awesome-executable-packing

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 11, chart: 1, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Деятельность SlopAds представляет серьезную угрозу мошенничества с рекламой и кликами, поскольку использует по меньшей мере 224 приложения с более чем 38 миллионами загрузок, применяя такие методы, как Стеганография и запутывание, чтобы скрыть свою деятельность. Эти приложения взаимодействуют с Firebase Remote Config для получения зашифрованных конфигураций, облегчая загрузку модуля мошенничества и направляя пользователей к скрытым веб-просмотрам, которые собирают обширные данные об устройстве. Зависимость операции от законных сервисов и эволюционирующих методов свидетельствует о продолжающейся изощренности использования экосистемы цифровой рекламы для получения незаконной финансовой выгоды.
-----

Работа SlopAds представляет собой серьезную угрозу в сфере мошенничества с рекламой и кликами, используя сложную инфраструктуру, включающую по меньшей мере 224 приложения, которые в совокупности собрали более 38 миллионов загрузок по всему миру из магазина Google Play. Эти приложения используют передовые методы, в частности Стеганографию, для сокрытия мошеннических действий, одновременно облегчая скрытый просмотр веб-страниц для перехода на сайты вывода средств, принадлежащие злоумышленникам. Операция характеризуется очевидным использованием тем Искусственного интеллекта, что согласуется с растущей изощренностью схем мошенничества с рекламой.

Методология, используемая группой SlopAds, сложна и характеризуется множеством уровней запутывания, препятствующих усилиям по обнаружению. После установки эти приложения получают доступ к Firebase Remote Config для получения зашифрованной конфигурации, содержащей важные данные, такие как URL-адреса для загрузки модуля мошенничества (идентифицируемого как FatModule), а также домены для вывода средств H5 и полезную нагрузку JavaScript, которая управляет механизмами мошенничества с кликами. Такая зависимость от инструментов Google демонстрирует хитрое использование законных сервисов для содействия незаконной деятельности.

Первоначально приложения выполняют отладочные проверки, а затем запускают скрытые веб-просмотры, которые направляют пользователей на сайты, способные получать обширную информацию об устройстве и браузере. Этот начальный этап поиска данных имеет решающее значение, поскольку он позволяет злоумышленникам адаптировать свои мошеннические действия на основе конкретных пользовательских показателей. После этого приложения подключаются к серверам Command and Control (C2), чтобы получить инструкции о том, какие скрытые домены WebView следует посещать, в первую очередь ориентируясь на сайты вывода средств, находящиеся под контролем мошенников.

Обнаружение SlopAds с помощью Satori Threat Intelligence стало результатом тщательного анализа аномальных данных, связанных с этими приложениями, что привело к выявлению многочисленных доменов, продвигающих приложения SlopAds. По мере развития этих схем сохраняется потенциал для постоянной адаптации со стороны злоумышленников, что свидетельствует о непрерывном цикле совершенствования их операций, направленных на использование экосистемы цифровой рекламы для получения финансовой выгоды. Исследователи Satori сохраняют бдительность, отслеживая развитие событий и предвидя будущие изменения в работе SlopAds, поскольку она стремится избежать усилий по обнаружению и вербовке в условиях киберугрозы.

#ParsedReport #CompletenessLow
20-09-2025

EDR-Freeze: A Tool That Puts EDRs And Antivirus Into A Coma State

https://www.zerosalarium.com/2025/09/EDR-Freeze-Puts-EDRs-Antivirus-Into-Coma.html

Report completeness: Low

Threats:
Edr-freeze_tool
Byovd_technique

Victims:
Edr vendors, Antivirus vendors, Windows defender users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.001, T1036.003, T1068, T1562.001, T1574.002

IOCs:
File: 2

Soft:
Windows Error Reporting, Process Explorer, Windows Defender

Functions:
CreateProcessAsPPL

Win API:
Minidumpwritedump, CreateProcess, OpenProcess, NtSuspendProcess

Win Services:
MsMpEng

Links:
https://github.com/TwoSevenOneT/WSASS
have more...
https://github.com/TwoSevenOneT/CreateProcessAsPPL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Появление EDR-Freeze иллюстрирует тенденцию в техниках кибератак, в частности, методологию "Принеси свой собственный уязвимый драйвер" (BYOVD) для обхода механизмов безопасности, таких как EDR и антивирусные решения. EDR-Freeze использует функцию MiniDumpWriteDump для приостановки операций EDR и антивируса, позволяя манипулировать этими средствами защиты. Кроме того, злоумышленники могут использовать символические ссылки Windows с уязвимыми драйверами, осуществлять Маскировку путей и использовать перенаправление папок для нарушения функциональности Защитника Windows, выявляя значительные риски для целостности конечных точек.
-----

Появление таких инструментов, как EDR-Freeze, подчеркивает тревожную тенденцию в техниках кибератак, особенно связанную со стратегией BYOVD (Принесите свой собственный уязвимый драйвер) для обхода механизмов безопасности, таких как системы обнаружения конечных точек и реагирования (EDR) и антивирусное программное обеспечение. EDR-Freeze использует функцию MiniDumpWriteDump, которая приостанавливает все потоки в целевом процессе, чтобы эффективно "заморозить" работу EDR и антивирусных процессов, позволяя злоумышленникам манипулировать этими средствами защиты. Эта тактика также требует преодоления защиты Protected Process Light (PPL), которая защищает критически важные компоненты системы, включая EDR и антивирусные программы.

Благодаря значительному усовершенствованию метода BYOVD злоумышленники могут использовать комбинацию символических ссылок Windows наряду с уязвимыми драйверами, расширяя область потенциальных эксплойтов. Это позволяет злоумышленникам нацеливаться на большее число драйверов, обладающих возможностями записи файлов, что повышает их способность эффективно нарушать меры безопасности. Очевидно, что этот новый подход был описан в контексте отключения защитника Windows в Windows 11.

Другим обсуждаемым методом уклонения является Маскировка путей, которая позволяет злоумышленникам со стандартными пользовательскими привилегиями имитировать законные пути системных процессов, в частности исполняемый файл службы защиты от вредоносных программ, тем самым избегая обнаружения. Это включает в себя тщательный контроль событий создания процесса и контекста командной строки, чтобы сочетать вредоносные действия с безобидными на вид операциями.

Кроме того, злоумышленники могут использовать такие методы, как перенаправление папок, чтобы обойти защитную оболочку Защитника Windows. Получая доступ к защищенным папкам, содержащим исполняемые файлы Defender, они могут манипулировать его операциями, например, загружать вредоносные библиотеки DLL или повреждать исполняемые файлы, чтобы нарушить функциональность Defender.

В статье также отмечается, что PPL - это надежная функция, защищающая жизненно важные процессы в Windows, часто используемая EDR и антивирусными решениями. Однако разрабатываются методы для использования процессов, защищенных PPL, путем создания процессов с функциональными возможностями PPL, что эффективно позволяет злоумышленникам выполнять действия, которые обычно остаются недоступными без явной поддержки со стороны драйверов Windows.

Таким образом, эти изменения отражают заметную тенденцию в использовании методов, направленных на подрыв протоколов безопасности в операционных системах, создавая значительные риски для целостности конечных точек и общей устойчивости к кибербезопасности.

#ParsedReport #CompletenessLow
18-09-2025

From Abstract Terms to Acumen: SEO Poisoning

https://medium.com/@cyb3r-hawk/from-abstract-terms-to-acumen-seo-poisoning-b4152ee21594

Report completeness: Low

Threats:
Seo_poisoning_technique
Cloaking_technique

Victims:
Ecommerce users

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1071.001, T1189, T1204.001, T1204.003

IOCs:
Domain: 1
File: 1
Url: 28

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SEO poisoning - это метод кибератаки, при котором злоумышленники создают "страницы doorway", оптимизированные для Поисковых систем, чтобы ввести пользователей в заблуждение и заставить их посещать вредоносные сайты. Эти страницы содержат HTML-код, напоминающий легальный контент для электронной коммерции, эффективно индексируемый благодаря стратегическому использованию ключевых слов. Пользователи, ищущие товары, могут переходить по этим ссылкам только для того, чтобы быть перенаправленными с помощью команд JavaScript на мошеннические веб-сайты, подвергая их таким рискам, как кража данных или установка вредоносного ПО.
-----

SEO poisoning - это метод кибератаки, при котором злоумышленники манипулируют поисковой оптимизацией, чтобы направлять пользователей на вредоносные сайты. Важным используемым методом является создание "страниц doorway", которые предназначены для высокого рейтинга в результатах поиска благодаря стратегическому использованию ключевых слов.

В основе этих страниц doorway лежит HTML-код, содержащий полный код легального магазина электронной коммерции, в комплекте с меню, категориями товаров и популярными ключевыми словами. Эта настройка позволяет поисковым системам, таким как Google, эффективно индексировать контент, поскольку они обычно не выполняют перенаправления JavaScript (JS) во время процесса индексации. В результате эти страницы могут обеспечить высокую видимость в результатах поиска, даже если они предназначены для введения пользователей в заблуждение.

Типичный путь пользователя начинается с того, что он ищет конкретные товары, такие как "Сумки Louis Vuitton в продаже". Страница doorway появляется в результатах поиска благодаря богатому содержанию ключевых слов. Как только пользователь нажимает на ссылку, его обманывают, заставляя поверить, что он найдет привлекательное предложение. Однако, прежде чем будет представлен какой-либо контент, связанный с поддельным магазином, команда JavaScript, в частности "location.replace()", запускает перенаправление на другой веб-сайт (например, www.vapormax-plus.us ), который является мошенническим по своей природе. Этот быстрый переход эффективно скрывает вредоносную цель атаки, застигая пользователей врасплох и потенциально подвергая их дальнейшим угрозам, таким как кража данных или установка вредоносного ПО.

#ParsedReport #CompletenessHigh
18-09-2025

Tracking AsyncRAT via Trojanized ScreenConnect and Open Directories

https://hunt.io/blog/asyncrat-screenconnect-open-directory-campaigns

Report completeness: High

Threats:
Asyncrat
Screenconnect_tool
Supply_chain_technique
Clickonce
Chainverb
Amsi_bypass_technique
Process_injection_technique
Opendir_technique

Victims:
Us based organizations

Industry:
Telco

Geo:
Turkey, Germany

CVEs:
CVE-2025-3935 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1053.005, T1055, T1059.001, T1059.005, T1071.001, T1078, T1102, T1105, have more...

IOCs:
IP: 13
Domain: 6
File: 20
Url: 13
Path: 3
Hash: 19

Soft:
Windows Task Scheduler, Zoom

Algorithms:
md5, sha256

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 12, chart: 1, code: 6, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье анализируется AsyncRAT, троян удаленного доступа, используемый в многоэтапных атаках с использованием троянских установщиков ScreenConnect. Злоумышленники используют загрузчики ClickOnce для динамической доставки полезных данных с использованием WScript.Оболочка для выполнения через дроппер (Ab.vbs) и поддержания закрепления с помощью запланированных задач. Вредоносное ПО работает с использованием общих портов, таких как 21, 80 и 443, часто зашифрованных с помощью TLS, в то время как полезные нагрузки демонстрируют низкие показатели обнаружения в VirusTotal, что указывает на передовые методы обфускации.
-----

В статье обсуждается отслеживание AsyncRAT, троянца удаленного доступа (RAT), используемого наряду с троянскими установщиками ScreenConnect в многоэтапной атаке. Злоумышленники развертывают AsyncRAT и пользовательский PowerShell RAT с помощью загрузчиков ClickOnce, которые динамически извлекают полезные данные во время выполнения, повышая скрытность и усложняя обнаружение. Анализ выявил по меньшей мере восемь IP-адресов, связанных с этой вредоносной инфраструктурой, включая 176.65.139.119 и 45.74.16.71, которые были идентифицированы через открытые каталоги, содержащие пакеты вредоносного ПО.

Наблюдаемый процесс заражения обычно инициируется с помощью капельницы (Ab.vbs), использующей WScript.Оболочка для выполнения файла ярлыков Microsoft (.lnk), настроенного для вызова PowerShell с обходом политик выполнения. Это приводит к выполнению другого скрипта, Skype.ps1, из общедоступной папки. Закрепление атаки достигается за счет частых запланированных задач, таких как SystemInstallTask, которые выполняются с агрессивными интервалами, что предполагает продуманную стратегию сохранения доступа, даже если первоначальные переносчики заражения уничтожены.

AsyncRAT использует общие коммуникационные порты, включая 21, 80 и 443, и использует широкий спектр временных портов, часто обернутых в TLS для шифрования. Платформа attack framework демонстрирует изощренное использование тактик эксплуатации, включая встроенное внедрение и выполнение в памяти для обхода традиционных мер безопасности. Примечательно, что наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на то, что они могут быть недавно созданы или запутаны, чтобы обойти защиту на основе сигнатур.

Чтобы смягчить такие угрозы, в статье предлагается несколько стратегий: введение строгого списка разрешений для установщиков, мониторинг URL-адресов ClickOnce на сетевых контрольных точках, развертывание поведенческого обнаружения методов выполнения в памяти и ограничение выполнения скриптов из общедоступных каталогов, доступных для записи. Кроме того, организациям следует проводить упреждающий поиск угроз для выявления индикаторов компрометации (IOC), связанных с этой тактикой, использовать Многофакторную аутентификацию и регулярно проверять доступ поставщиков к критически важным системам.

Этот анализ освещает передовую тактику и мастерство злоумышленников, подчеркивая необходимость многоуровневой стратегии защиты, которая выходит за рамки простого обнаружения хэша и включает анализ на основе поведения и сетевые телеметрические данные для эффективного противодействия меняющемуся ландшафту киберугроз.