#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 12, chart: 1, code: 6, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье анализируется AsyncRAT, троян удаленного доступа, используемый в многоэтапных атаках с использованием троянских установщиков ScreenConnect. Злоумышленники используют загрузчики ClickOnce для динамической доставки полезных данных с использованием WScript.Оболочка для выполнения через дроппер (Ab.vbs) и поддержания закрепления с помощью запланированных задач. Вредоносное ПО работает с использованием общих портов, таких как 21, 80 и 443, часто зашифрованных с помощью TLS, в то время как полезные нагрузки демонстрируют низкие показатели обнаружения в VirusTotal, что указывает на передовые методы обфускации.
-----

В статье обсуждается отслеживание AsyncRAT, троянца удаленного доступа (RAT), используемого наряду с троянскими установщиками ScreenConnect в многоэтапной атаке. Злоумышленники развертывают AsyncRAT и пользовательский PowerShell RAT с помощью загрузчиков ClickOnce, которые динамически извлекают полезные данные во время выполнения, повышая скрытность и усложняя обнаружение. Анализ выявил по меньшей мере восемь IP-адресов, связанных с этой вредоносной инфраструктурой, включая 176.65.139.119 и 45.74.16.71, которые были идентифицированы через открытые каталоги, содержащие пакеты вредоносного ПО.

Наблюдаемый процесс заражения обычно инициируется с помощью капельницы (Ab.vbs), использующей WScript.Оболочка для выполнения файла ярлыков Microsoft (.lnk), настроенного для вызова PowerShell с обходом политик выполнения. Это приводит к выполнению другого скрипта, Skype.ps1, из общедоступной папки. Закрепление атаки достигается за счет частых запланированных задач, таких как SystemInstallTask, которые выполняются с агрессивными интервалами, что предполагает продуманную стратегию сохранения доступа, даже если первоначальные переносчики заражения уничтожены.

AsyncRAT использует общие коммуникационные порты, включая 21, 80 и 443, и использует широкий спектр временных портов, часто обернутых в TLS для шифрования. Платформа attack framework демонстрирует изощренное использование тактик эксплуатации, включая встроенное внедрение и выполнение в памяти для обхода традиционных мер безопасности. Примечательно, что наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на то, что они могут быть недавно созданы или запутаны, чтобы обойти защиту на основе сигнатур.

Чтобы смягчить такие угрозы, в статье предлагается несколько стратегий: введение строгого списка разрешений для установщиков, мониторинг URL-адресов ClickOnce на сетевых контрольных точках, развертывание поведенческого обнаружения методов выполнения в памяти и ограничение выполнения скриптов из общедоступных каталогов, доступных для записи. Кроме того, организациям следует проводить упреждающий поиск угроз для выявления индикаторов компрометации (IOC), связанных с этой тактикой, использовать Многофакторную аутентификацию и регулярно проверять доступ поставщиков к критически важным системам.

Этот анализ освещает передовую тактику и мастерство злоумышленников, подчеркивая необходимость многоуровневой стратегии защиты, которая выходит за рамки простого обнаружения хэша и включает анализ на основе поведения и сетевые телеметрические данные для эффективного противодействия меняющемуся ландшафту киберугроз.

#ParsedReport #CompletenessLow
18-09-2025

Could The Belsen Group Be Associated With ZeroSevenGroup?

https://www.kelacyber.com/blog/could-the-belsen-group-be-associated-with-zerosevengroup/

Report completeness: Low

Actors/Campaigns:
Belsen (motivation: cyber_criminal)
Zerosevengroup (motivation: cyber_criminal)
Zerox296

Threats:
Medusa_ransomware

Victims:
Fortinet fortigate device users, Toyota us branch, Companies

Industry:
Government

Geo:
Brazil, Usa, Asia, Russia, Africa, Israel, Yemen, Japan, Italian, Poland

CVEs:
CVE-2022-406841 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1567.002, T1585.001, T1589, T1593, T1597

Soft:
Telegram, Twitter

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Belsen, действующая с января 2025 года, допустила утечку 1,6 ГБ данных с более чем 15 000 уязвимых устройств Fortinet из-за CVE-2022-406841, что указывает на постоянный доступ до взлома. Сначала они предлагали данные для проверки достоверности, а затем попытались монетизировать доступ. Между тем, с середины 2024 года ZeroSevenGroup атаковала различные компании, в частности, американское отделение Toyota, и их общая тактика с Belsen, включая схожие стили общения, предполагают потенциальное сотрудничество в киберпреступной деятельности.
-----

Расследование деятельности Belsen Group и ее потенциальной связи с ZeroSevenGroup выявило меняющийся ландшафт киберпреступной деятельности, связанной с Йеменом. Группа компаний Belsen появилась в январе 2025 года и попала в заголовки газет главным образом благодаря утечке 1,6 ГБ конфиденциальных данных с более чем 15 000 уязвимых устройств Fortinet FortiGate. Этот эксплойт был реализован с использованием CVE-2022-406841, критической уязвимости для обхода аутентификации в брандмауэрах Fortinet, которая предполагает, что группа Belsen, возможно, имела постоянный доступ к этим устройствам в течение длительного времени, прежде чем инициировать утечку данных.

Начальный этап деятельности Belsen Group включал в себя бесплатное предоставление утечек данных для установления доверия, за которым последовали попытки монетизировать доступ к скомпрометированным сетям в различных регионах, включая Африку, США и Азию. Однако по-прежнему нет никаких доказательств, подтверждающих, что доступ к сети, который они якобы продали, был успешно использован или получен третьими лицами. Коммуникационная стратегия группы включала использование таких платформ, как Tox, XMPP, Telegram и Социальные сети, для поддержания контактов с потенциальными клиентами или аудиториями, что было дополнено созданием сайта onion, на котором подробно описывалась их деятельность.

С другой стороны, ZeroSevenGroup, которая работает с середины 2024 года, имеет опыт эксплуатации многочисленных компаний и монетизации украденных данных. Эта группа идентифицирована как активная на нескольких платформах, включая NulledTo и BreachForums, где они нацелены на фирмы на ключевых международных рынках, таких как Польша, Израиль и США. Их деятельность достигла заметного пика после взлома американского филиала Toyota, где произошла утечка внушительных 240 ГБ конфиденциальной информации. Этот инцидент стал примером их тактики первоначального предоставления бесплатных данных, прежде чем перейти к продаже больших наборов данных, которые часто размещались в Облачных сервисах, таких как Terabox и Mega, для распространения.

Тщательный анализ показывает, что обе группы демонстрируют поразительное сходство в форматировании постов и стилях общения, а в их соответствующих постах на форумах по киберпреступности наблюдаются свидетельства общей тактики. В частности, обе группы использовали идентичные форматы заголовков в своих сообщениях, используя квадратные скобки и согласованную формулировку, а также схожую стратегию использования хэштегов на таких платформах, как Twitter. Эти показатели потенциально указывают на совместное поведение или, по крайней мере, скоординированный подход к их киберпреступной деятельности, что требует дальнейшего изучения их операционных структур и взаимосвязей в рамках более широкого ландшафта киберугроз.

#ParsedReport #CompletenessLow
19-09-2025

New Phishing Attack Targets Facebook Users to Steal Login Credentials

https://cybersecuritynews.com/new-phishing-attack-targets-facebook-users/

Report completeness: Low

Victims:
Facebook users

Geo:
Spanish, German, Korean

ChatGPT TTPs:
do not use without manual check
T1204.001, T1556.003, T1566.002

IOCs:
Url: 9

Soft:
twitter

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по фишингу нацелена на пользователей Facebook, которые рассылают тщательно подготовленные электронные письма, предназначенные для кражи учетных данных для входа с помощью социальной инженерии. В атаке используется механизм перенаправления, который использует систему предупреждения URL-адресов Facebook, заманивая жертв переходить по Вредоносным ссылкам, ведущим на поддельные страницы входа в Facebook. Такой подход манипулирует доверием пользователей к Facebook, облегчая злоумышленникам сбор конфиденциальной информации без немедленного распознавания угрозы.
-----

Недавняя изощренная кампания по фишингу специально нацелена на пользователей Facebook с целью кражи их учетных данных для входа в систему с помощью тщательно подготовленных электронных писем. Этот тип атак использует методы социальной инженерии для манипулирования пользователями с целью раскрытия конфиденциальной информации.

Схема фишинга использует механизм заражения на основе перенаправления, который использует преимущества системы предупреждения о внешних URL-адресах, используемой Facebook. Умело оформляя контент таким образом, чтобы он выглядел законным, злоумышленникам удается заманить жертв к переходу по Вредоносным ссылкам. Этот инновационный подход использует доверие пользователей к установленным протоколам Facebook, облегчая злоумышленникам обход типичных средств защиты.

Как только целевые пользователи переходят по предоставленным ссылкам, они перенаправляются на сайты фишинга, созданные для имитации законной страницы входа в Facebook. Именно в этот момент жертвам предлагается ввести свои учетные данные, неосознанно передавая их злоумышленникам. Дизайн кампании гарантирует, что пользователи могут не сразу распознать враждебные намерения, поскольку сообщение, по-видимому, исходит из надежного источника.

Зависимость от тщательно составленных электронных писем и кажущихся законными целевых страниц подчеркивает острую необходимость в расширенном обучении пользователей методам выявления попыток фишинга. Пользователям рекомендуется сохранять бдительность, внимательно изучая неожиданные сообщения, особенно те, которые запрашивают конфиденциальную информацию или предписывают им вводить учетные данные на незнакомых сайтах.

#ParsedReport #CompletenessHigh
17-09-2025

Modus Operandi of Subtle Snail

https://catalyst.prodaft.com/public/report/modus-operandi-of-subtle-snail/overview

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Charming_kitten

Threats:
Minibike
Dll_sideloading_technique
Process_hollowing_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Telecommunications

Industry:
Telco, Financial, Aerospace, Critical_infrastructure

Geo:
Iran, Dutch

TTPs:
Tactics: 13
Technics: 22

IOCs:
File: 20
Path: 1
Domain: 4
Hash: 10
Registry: 1
Command: 1

Soft:
Chrome, Microsoft Edge, Google Chrome, Windows Hello, Outlook, Active Directory

Algorithms:
xor, exhibit, zip

Win API:
GetComputerNameExW, GetUserNameW, CopyFile2, QueryPerformanceCounter

Win Services:
BITS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская группа кибершпионажа UNC1549 нацелена на телекоммуникационные сети, используя сложные инструменты, включая бэкдор, который загружает дополнительные библиотеки DLL и взаимодействует с сервером управления с помощью шифрования на основе XOR. Их методология включает в себя обширную разведку, социальную инженерию с помощью поддельных предложений о работе и DLL Sideloading для первоначального доступа. После установки бэкдор обеспечивает закрепление и эксфильтрацию данных за счет скрытой обработки конфиденциальной информации при сохранении постоянного доступа к критически важным системам.
-----

UNC1549 - иранская группа кибершпионажа, специализирующаяся на телекоммуникационных сетях.

Их инструментарий включает в себя основной бэкдор для загрузки библиотек динамической компоновки (DLL-файлов) в скомпрометированные системы.

Бэкдор взаимодействует с сервером управления (C2), используя алгоритм на основе XOR для расшифровки строк во время выполнения.

Группа использует кейлоггер, реализованный с помощью библиотеки DLL, для расшифровки которого используются методы линейного конгруэнтного генератора и процедуры обфускации.

Они также развертывают средство перехвата данных браузера для сбора данных браузера и средство перехвата Outlook/Winlogon для извлечения учетных данных Windows и Outlook.

UNC1549 проводит разведку с целью выявления персонала с высоким уровнем доступа, используя общедоступные источники, такие как LinkedIn.

Они используют поддельные учетные записи HR, чтобы заманивать цели сфабрикованными предложениями о работе, что приводит к эксплуатации с помощью вредоносной DLL sideloading в подписанные двоичные файлы.

Бэкдор предназначен для сохранения при запуске системы, поддерживая доступ в разных сеансах.

Повышение привилегий достигается путем использования законных двоичных файлов с повышенными привилегиями.

Инфраструктура C2 размещена в Azure, что позволяет маскировать вредоносный трафик в рамках законных коммуникаций.

Стратегии эксфильтрации данных включают автоматическую идентификацию конфиденциальной информации и загрузку фрагментами, чтобы избежать обнаружения при мониторинге полосы пропускания.

Операции UNC1549's позволяют им поддерживать долгосрочный доступ при скрытном извлечении конфиденциальных данных.

Их деятельность сопряжена со значительными рисками утечки данных и уязвимостей в целевых компаниях.

#ParsedReport #CompletenessHigh
15-09-2025

Threat Actor Profile: APT27

https://www.dexpose.io/threat-actor-profile-apt27/

Report completeness: High

Actors/Campaigns:
Emissary_panda (motivation: hacktivism, cyber_espionage, information_theft, financially_motivated)
Stealthytrident
Akira_ransomware
I-soon_leak (motivation: information_theft)
Coldface
Winnti

Threats:
Proxylogon_exploit
Hyperbro
Supply_chain_technique
Sysupdate
Polar_ransomware
Drbcontrol
Plugx_rat
Devman
Akira_ransomware
Spear-phishing_technique
Watering_hole_technique
Zxshell
Gh0st_rat
Httpbrowser
Aspxspy_shell
Chinachopper
Credential_dumping_technique
Mimikatz_tool
Gsecdump
Pandora
Fscan_tool
Owaauth
Shadowpad
Proxyshell_vuln
Log4shell_vuln
Tmanger
Dll_sideloading_technique
Antak
Pwdump_tool
Nbtscan_tool
Impacket_tool
Psexec_tool
Smbexec_tool
Eternalblue_vuln
Godzilla_webshell
Nglite
Kdcsponge_stealer
Rshell
Cobalt_strike_tool
Lazagne_tool
Iox_tool
Credential_harvesting_technique
Lolbin_technique
Adfind_tool
Secretsdump_tool
Passworddumper_tool
Kekeo_tool
Twoface
Dll_hijacking_technique
Shadow_copies_delete_technique
Process_injection_technique
Screen_shotting_technique
Process_hollowing_technique

Victims:
Government, Telecommunications, Multinational electronics manufacturer, State legislature, Healthcare, Defense, Energy, Technology, Education, Higher education, have more...

Industry:
Energy, Government, Aerospace, Telco, Military, Education, Healthcare, Transport, Entertainment, Foodtech

Geo:
America, Middle east, Germany, German, Hong kong, Afghanistan, Chinese, Philippines, Asian, China, Pakistan, Lithuania, Taiwan, Mongolia, Singapore, Asia, Iran, India, Taiwanese

CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-40539 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0213 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2014-6324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-0604 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0144 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44077 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 45

IOCs:
File: 20
IP: 1
Url: 1
Hash: 18

Soft:
Microsoft Exchange, Linux, BitLocker, Twitter, ASP.NET, Apache Tomcat, Outlook, psexec, Microsoft Exchange Server, macOS, have more...

Algorithms:
des, exhibit, shikata_ga_nai

Functions:
CreateMedia, CreateTsMediaAdm

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT27, спонсируемая китайским государством группа кибершпионажа, действующая по меньшей мере с 2010 года, нацелена на широкий круг организаций, включая правительства и критически важные отрасли промышленности, для сбора разведывательных данных. Они используют множество уязвимостей, в частности, в Microsoft Exchange и Zoho ManageEngine, используя сложное вредоносное ПО, такое как HyperBro и SysUpdate, а также стратегии долгосрочного доступа. Недавние операции выявили двойную направленность на шпионаж и потенциальную финансовую выгоду, проявившуюся во время таких событий, как операция StealthyTrident и внедрение программ-вымогателей Polar.
-----

APT27, также известная как Emissary Panda, Iron Tiger и LuckyMouse, является спонсируемой китайским государством группой кибершпионажа, которая действует как минимум с 2010 года. Группа известна тем, что нацелена на широкий круг организаций, включая правительства и важнейшие отрасли промышленности, с целью получения политической, экономической и технологической информации. APT27 использует разнообразный набор методов и специально разработанное вредоносное ПО, делая упор на долгосрочное проникновение и постоянный доступ к своим целям.

Злоумышленник активно использует уязвимости в широко используемых приложениях для получения первоначального доступа. Известные эксплойты включают уязвимости ProxyLogon Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) и уязвимость Zoho ManageEngine ADSelfService Plus (CVE-2021-40539). Например, APT27 нацелился на три сервера SharePoint на Ближнем Востоке, используя CVE-2019-0604, развернув Веб-шеллы, включая Antak версии 0.5.0, для обеспечения доступа.

Для APT27 характерно использование сложного инструментария для защиты от вредоносного ПО, включающего проприетарные бэкдоры, такие как HyperBro и SysUpdate, а также облегченные Веб-шеллы и средства кражи учетных данных, предназначенные для поддержания контроля над скомпрометированными средами. Группа продемонстрировала свою адаптивность в ходе различных кампаний в разных регионах, включая Северную Америку, Европу и Азию. Недавняя активность включает атаки на телекоммуникационные организации на Ближнем Востоке и правительства азиатских стран, с использованием нового варианта Backdoor. SysUpdate

В конкретных операциях APT27 усовершенствовала свои методологии. "Операция StealthyTrident" включала в себя компрометацию supply-chain, в ходе которой троянские установщики приложения для чата использовались для доставки вредоносного ПО, подчеркивая сосредоточенность группы на социальной инженерии и эксплуатации. В течение 2021 и 2022 годов APT27 проводила крупномасштабные шпионские кампании, что привело к нарушениям в таких секторах, как здравоохранение, оборона и технологии. В 2023 году они обновили свое вредоносное ПО, указав на продолжающиеся усовершенствования, позволяющие избежать обнаружения.

С точки зрения коллективной угрозы, операции APT27's демонстрируют широкое сотрудничество внутри акторов, связанных с Китаем. Инциденты, связанные с группой, привели к действиям правоохранительных органов, включая предъявление обвинений гражданам Китая, причастным к кибератакам. Более того, тактика группы выходит за рамки шпионажа; в таких инцидентах, как внедрение программы-вымогателя Polar, они не только сохраняли доступ к системе, но и пытались монетизировать ее, демонстрируя двойной интерес как к разведданным, так и к финансовой выгоде.

APT27 остается значительной и развивающейся угрозой в глобальном киберпространстве, о чем свидетельствуют недавние рекомендации и продолжающийся мониторинг со стороны организаций, занимающихся кибербезопасностью. Их способность использовать известные уязвимости и быстро адаптироваться подчеркивает необходимость принятия бдительных мер защиты в целевых секторах.

#ParsedReport #CompletenessLow
23-09-2025

The Phantom Extension: Backdooring chrome through uncharted pathways

https://www.synacktiv.com/en/publications/the-phantom-extension-backdooring-chrome-through-uncharted-pathways.html

Report completeness: Low

Threats:
Chromeloader
Cursedchrome_tool

Victims:
Enterprise organizations, Windows domain environments

ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1112

IOCs:
File: 11
Path: 1
Registry: 3

Soft:
chrome, Chromium, Microsoft Edge, Active Directory, Twitter

Algorithms:
zip, sha256, base64, hmac

Functions:
GetFlags, value, size

Languages:
python, javascript

Platforms:
cross-platform

Links:
https://github.com/mandatoryprogrammer/CursedChrome
https://github.com/Pica4x6/SecurePreferencesFile/blob/main/Seed.py#L60

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют браузеры на базе Chromium для компрометации конфиденциальной информации, такой как учетные данные и токены, используя такие методы, как принудительная загрузка произвольных расширений. Они используют уязвимости в "manifest.json" расширения и процессах проверки целостности. Известные методы включают подмену хэша расширений, внесенных в белый список, которая выдает себя за законные расширения, и удаление расширений, когда вредоносные расширения смешиваются с установленными, обходя меры безопасности и манипулируя пользовательскими политиками.
-----

Усиление мер безопасности компонентов Windows привело к тому, что злоумышленники переключили свое внимание на использование браузеров, в частности, нацелились на браузеры на базе Chromium. Эти браузеры в настоящее время являются ключевыми каналами доступа к конфиденциальной информации, что делает их привлекательными объектами для получения учетных данных и токенов. Один из известных методов компрометации этих браузеров включает принудительную загрузку произвольных расширений, что приводит к полному захвату функциональных возможностей браузера.

Расширения Chromium, состоящие из HTML, CSS и JavaScript, позволяют пользователям изменять свой опыт просмотра веб-страниц с помощью множества функций и интеграций. Центральное место в этих расширениях занимает файл manifest.json, в котором описаны права доступа, скрипты и метаданные расширения. Функциональность дополнительно расширяется с помощью сценариев service worker, которые включают фоновые процессы, такие как управление сетью и доступ к файлам cookie, а также сценариев контента, которые могут манипулировать содержимым веб-страницы и извлекать конфиденциальную информацию.

Процесс установки расширений Chromium основан на файлах пользовательских настроек, хранящихся в каталоге AppData, которые управляют всеми установленными расширениями и содержат их список. Важным аспектом этой системы является генерация хэшей расширений, которые обеспечивают их целостность. Однако существуют уязвимости, подобные тем, которые были выявлены в исследовательской работе 2020 года, в которой показано, как HMAC, используемый для проверки целостности, вычисляется с использованием исходных данных, жестко закодированных в файле resources.pak, что потенциально позволяет злоумышленникам беспрепятственно манипулировать настройками.

Обновленные протоколы безопасности в Chromium версий 134 и выше ввели более строгий контроль в режиме разработчика, ограничив возможность регистрации и загрузки расширений на основе подписанного файла настроек. Это не остановило киберпреступников, которые разработали изощренные методы обхода этих ограничений, особенно в корпоративных средах, где политики безопасности реализуются с помощью объектов групповой политики.

Одним из важных рассмотренных методов является подмена хэша расширений, внесенных в белый список. Это работает за счет использования механизма открытого ключа RSA, присущего идентификаторам расширений, для имитации одобренного корпорацией расширения, даже если законное расширение не установлено. Другой метод, подмены расширений, позволяет злоумышленникам скрыть вредоносное распакованное расширение, выдав его за законное, уже установленное в браузере. Кроме того, злоумышленники могут манипулировать пользовательскими политиками с помощью разделов реестра, подрывая защиту организации.

#ParsedReport #CompletenessMedium
23-09-2025

LARVA-25004 Tracking Report

https://asec.ahnlab.com/ko/90292/

Report completeness: Medium

Actors/Campaigns:
Larva-25004
Kimsuky
Lazarus

Threats:
Spear-phishing_technique
Nikidoor
Httpspy
Http_troy
Memload

Victims:
Defense industry, Government research institute

Industry:
Government

Geo:
Korea, Korean, North korea

TTPs:

IOCs:
File: 4
Hash: 4
IP: 1
Url: 4

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, занимающаяся хакерской группировкой, действующая с августа 2023 года, нацелилась на оборонный сектор Южной Кореи и правительственные исследовательские институты, используя spear phishing и сложные инфраструктурные компрометации. Они воспользовались уязвимостью на сервере обновлений Bizbox alpha messenger для распространения измененного исполняемого файла, bizboxamessenger.exe , который содержит как вредоносный, так и законный код, что облегчает его уклонение от обнаружения и усложняет идентификацию инфекций в пользовательских системах.
-----

Отчет об отслеживании LARVA-25004 раскрывает деятельность хакерской группировки, идентифицированной как Kimsuky, которая действует с августа 2023 года. Эта группа в первую очередь сосредоточила свои атаки на объектах южнокорейской оборонной промышленности и правительственных научно-исследовательских институтах. Аналитический центр безопасности Ahnlab (ASEC) связал эту группу с инцидентом с вредоносным кодом, который был связан с использованием просочившегося сертификата корейской компании CJ OLIVE NETWORKS в мае 2025 года.

Оперативная тактика группы LARVA-25004 включает в себя spear phishing как метод проникновения в системы через электронную почту. В дополнение к этому они продемонстрировали сложные методы, ставя под угрозу внутреннюю инфраструктуру организаций. В частности, они нацелились на сервер обновлений Bizbox alpha messenger, который облегчил загрузку измененной версии законного исполняемого файла, bizboxamessenger.exe . Этот измененный файл предназначен для маскировки под подлинное обновление при внедрении вредоносного кода в системы пользователя.

Когда запускается законный мессенджер Bizbox alpha, он автоматически подключается к обновленному серверу, непреднамеренно загружая скомпрометированную версию исполняемого файла. Примечательно, что Вредоносный файл структурирован таким образом, чтобы включать как вредоносный код, так и не вредоносный легитимный код, что позволяет избежать обнаружения конечными пользователями и принятия мер безопасности. Этот метод усложняет идентификацию системного заражения, поскольку наличие аутентичного файла затрудняет жертвам распознавание вредоносного характера обновления при отсутствии четких признаков компрометации.