#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Федеральное агентство США подверглось взлому после того, как злоумышленники воспользовались критической уязвимостью CVE-2024-36401 в его геосервере, что позволило удаленно выполнить код. Первоначальная разведка была проведена с использованием Burp Suite, за которой последовали сценарии закрепления и повышения привилегий с помощью эксплойта "dirtycow" (CVE-2016-5195). Злоумышленники использовали PowerShell для перемещения внутри компании, оставались незамеченными в течение трех недель и использовали неадекватные протоколы мониторинга и реагирования на инциденты.
-----

В недавнем инциденте, связанном с федеральным гражданским агентством исполнительной власти США, CISA подробно изложила критические выводы из своего взаимодействия после обнаружения потенциальной вредоносной активности с помощью инструментов EDR агентства. Инцидент выявил значительные пробелы в системе безопасности, включая задержки с исправлением уязвимостей, отсутствие тестирования плана реагирования на инциденты (IRP) и недостаточный постоянный мониторинг предупреждений EDR.

Злоумышленники воспользовались критической уязвимостью (CVE-2024-36401) на общедоступном геосервере агентства, чтобы получить первоначальный доступ 11 июля 2024 года. Эта уязвимость позволяет пользователям, не прошедшим проверку подлинности, выполнять удаленное выполнение кода (RCE) на уязвимых версиях GeoServer. Первоначальные усилия по разведке включали такие инструменты, как Burp Suite, для выявления уязвимости в сети агентства, что привело к использованию сценариев и инструментов для установления закрепления.

Получив доступ, злоумышленники использовали методы "eval injection" для RCE и попытались загрузить файл JavaScript для извлечения информации о веб-сервере, хотя эта попытка не увенчалась успехом. Они еще больше повысили привилегии, используя инструмент "dirtycow", который использует заметную уязвимость Linux (CVE-2016-5195). В своей тактике уклонения акторы выполняли косвенные команды через Веб-шеллы .php и использовали Задания BITS для своих операций.

Для перемещения внутри компании они использовали такие функции, как PowerShell, для загрузки дополнительных полезных данных и включили xp_cmdshell на геосервере, что облегчило перемещение на SQL server. Мониторинг CISA выявил, что злоумышленники действовали незамеченными в течение примерно трех недель, что в конечном итоге привело к появлению предупреждений EDR на SQL Server при загрузке подозрительного вредоносного ПО.

CISA сформулировала несколько уроков, извлеченных из этого инцидента, в частности, неспособность оперативно устранить выявленные уязвимости, что позволило использовать CVE-2024-36401 в установленные сроки, что продемонстрировало неэффективность управления известными угрозами. IRP агентства не был реализован, что привело к задержкам с привлечением CISA для оказания помощи и выявило недостаточность сбора данных о критических ситуациях и мониторинга событий.

Этот инцидент подчеркивает необходимость упреждающих методов управления уязвимостями, своевременного исправления уязвимых систем и важность тщательного тестирования планов реагирования для обеспечения готовности к потенциальным киберугрозам. В результате этого взаимодействия организациям напоминают о критическом характере постоянного мониторинга угроз и ценности отработки реагирования на инциденты с помощью настольных упражнений, чтобы избежать будущих уязвимостей и векторов атак.

#ParsedReport #CompletenessLow
23-09-2025

From El Dorado to BlackLock: Inside a Fast-Rising RaaS Threat

https://asec.ahnlab.com/en/90175/

Report completeness: Low

Threats:
Eldorado_ransomware
Shadow_copies_delete_technique
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Ransom/mdp.event.m1785
Ransom/mdp.event.m4353
Ransom/mdp.event.m4428
Trojan/win.generic.c5775331

Victims:
Multiple companies

Industry:
Transport, Education, Government

Geo:
Russian, Korea, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1486

IOCs:
File: 3
Hash: 1

Soft:
Linux, ESXi

Algorithms:
ecdh, md5, xchacha20

Functions:
NewUnauthenticatedCipher, XORKeyStream

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BlackLock, недавно выявленная группа программ-вымогателей, действующая с марта 2024 года, использует вредоносное ПО на базе Go для нацеливания на среды Windows, Linux и VMware ESXi, что позволяет проводить кросс-платформенные атаки. Их сложная методика шифрования генерирует уникальные ключи для каждого файла, которые затем дважды шифруются, что усложняет восстановление данных. Группа использует как локальные диски, так и общие папки SMB в Windows, усиливая их воздействие в различных отраслях и демонстрируя их универсальность и активное присутствие угроз.
-----

BlackLock - это недавно появившаяся группа программ-вымогателей, которая появилась на свет в июне 2024 года, хотя считается, что она тайно действовала примерно с марта 2024 года. Первоначально действовавшая под названием ElDorado, группа провела ребрендинг на BlackLock примерно в сентябре 2024 года. Существование группы было подчеркнуто их специальным сайтом утечек (DLS), на котором отображалась информация о нескольких скомпрометированных компаниях, указывающая на их активное участие в атаках до их публичного раскрытия.

Вредоносное ПО, используемое BlackLock, разработано на Go, который характеризуется кроссплатформенными возможностями, позволяющими ему нацеливаться на среды Windows, Linux и VMware ESXi. Такая гибкость расширяет потенциальную зону атаки, позволяя программе-вымогателю воздействовать на различные операционные системы одновременно. Стандартная библиотека Go используется злоумышленниками для создания двоичных файлов, которые могут запускаться на разных платформах с минимальными настройками, с интегрированными функциями шифрования, упрощенными благодаря встроенным пакетам для кодирования и криптографических функций.

Методология шифрования программы-вымогателя сложна; она генерирует уникальный ключ шифрования для каждого отдельного файла, добавляя еще один уровень сложности путем дальнейшего шифрования этих ключей с помощью общего ключа. Этот метод значительно затрудняет усилия по восстановлению без вмешательства злоумышленников. В частности, в среде Windows BlackLock атакует не только локальные диски, но и общие папки SMB, тем самым увеличивая масштабы и воздействие своих атак. Кроме того, способность группы адаптировать свои программы-вымогатели для систем Linux и VMware ESXi усиливает ее профиль угроз, что делает BlackLock одной из самых универсальных и активных групп программ-вымогателей, действующих в настоящее время, воздействие которой ощущается во множестве отраслей, а не ограничивается конкретным сектором.

#ParsedReport #CompletenessLow
23-09-2025

BlockBlasters: Infected Steam game downloads malware disguised as patch

https://www.gdatasoftware.com/blog/2025/09/38265-steam-blockblasters-game-downloads-malware

Report completeness: Low

Actors/Campaigns:
Encrypthub

Threats:
Stealc

Victims:
Gamers, Steam users

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1059.005, T1082, T1105, T1204.002, T1518, T1555, T1562.001, have more...

IOCs:
Url: 3
File: 3
Hash: 9

Soft:
BlockBlasters, Steam, BlockBlaster, SteamDB, Windows Defender, Microsoft Defender, Google Chrome, Microsoft Edge

Algorithms:
rc4, sha256, exhibit

Win Services:
bits

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
2D-платформер BlockBlasters был взломан с целью распространения вредоносного ПО, которое извлекает конфиденциальные пользовательские данные, включая информацию о кошельке криптовалюты. Атака инициируется с помощью пакетного файла "game2.bat", в котором собираются такие данные, как IP-адреса и учетные данные Steam, которые затем отправляются на сервер управления. Дополнительные скрипты еще больше облегчают атаку, уклоняясь от обнаружения антивирусом и внедряя бэкдоры и средства кражи данных, что создает значительные риски для безопасности игроков.
-----

2D-платформер BlockBlasters, получивший патч 30 августа, был идентифицирован как источник распространения вредоносного ПО. Во время игрового процесса взломанная игра извлекает конфиденциальные данные с компьютера пользователя, включая информацию о криптовалютном кошельке, что потенциально затрагивает сотни игроков.

Начальный этап атаки выполняется с помощью пакетного файла с именем "game2.bat". Этот скрипт выполняет несколько вредоносных действий, которые нетипичны для легальной игры. Он собирает IP-адрес и местоположение пользователя, запрашивая такие сервисы, как "ipinfo.io ," выполняет поиск запущенных процессов, связанных с антивирусным программным обеспечением, и собирает учетные данные для входа в Steam, которые он сохраняет для дальнейшего использования. Собранная информация загружается на сервер командования и контроля (C2) по адресу "hxxp://203.188.171.156:30815/upload". Кроме того, он запускает скрипты VBS с именами "launch1.vbs" и "test.vbs", которые, вероятно, облегчают дальнейшие вредоносные операции.

Пакетный файл "test.bat" также используется для извлечения сведений о расширениях браузера и криптовалютных кошельках, отправляя эту информацию на тот же сервер C2. Процесс расширяется с помощью "1.bat", который освобождает путь установки игры от проверки антивирусом Microsoft Defender, позволяя вредоносным исполняемым файлам оставаться незамеченными. Этот файл распаковывает защищенный паролем архив с именем "v3.zip " (SHA256: 58a97ab524b704172a8f68fda92daa802b706e397adede410b6475a4eb229c9b) и выполняет файлы внутри него, специально нацеливаясь на исполняемый файл игры, чтобы замаскировать истинную природу атаки.

Извлеченные полезные грузы включают в себя два особенно вредных компонента: "Client-built2.exe , "который функционирует как черный ход, и "Block1.exe ," который действует как Stealer. Наблюдения по данным телеметрии указывают на минимальное количество активных пользователей (1-4) и более 100 загрузок с момента установки вредоносного исправления.

В ответ на эти открытия игра была помечена как "подозрительная" на таких платформах, как SteamDB, и впоследствии удалена из Steam. Этот инцидент подчеркивает ощутимые риски, связанные с распространением вредоносного ПО через, казалось бы, безобидные источники, такие как видеоигры, подчеркивая важность бдительности в области безопасности в цифровой среде.

#ParsedReport #CompletenessLow
22-09-2025

Malicious fezbox npm Package Steals Browser Passwords from Cookies via Innovative QR Code Steganographic Technique

https://socket.dev/blog/malicious-fezbox-npm-package-steals-browser-passwords-from-cookies-via-innovative-qr-code

Report completeness: Low

Threats:
Steganography_technique
Supply_chain_technique

Victims:
Npm ecosystem users, Software developers

Industry:
Transport

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 9

IOCs:
File: 28
Url: 2

Soft:
Outlook

Functions:
setTimeout

Languages:
javascript, typescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет Fezbox npm, замаскированный под утилиту JavaScript и TypeScript, использует QR-коды для Стеганографии, чтобы нарушить безопасность браузера и извлечь конфиденциальную информацию. Этот метод использует Компрометацию цепочки поставок, выполнение команд с помощью JavaScript и эксфильтрацию данных Сессионных куки. Злоумышленники используют методы для маскировки своих действий, включая виртуальные проверки и стратегии уклонения, основанные на времени, что иллюстрирует изощренный подход к проникновению в целевые системы.
-----

Вредоносный пакет npm, известный как Fezbox, замаскированный под служебную библиотеку для JavaScript и TypeScript, использует инновационную технологию с использованием QR-кодов для Стеганографии, чтобы поставить под угрозу безопасность браузера. Рекламируемый на упрощенном китайском языке, этот пакет призван предлагать общие вспомогательные функции, но вместо этого включает в себя гнусные функции, предназначенные для извлечения конфиденциальной информации у пользователей.

Fezbox использует QR-коды в качестве скрытого средства для внедрения вредоносных полезных данных. Этот метод особенно примечателен, поскольку он представляет собой творческое использование Стеганографии, позволяющее злоумышленникам скрывать свои вредоносные действия в том, что кажется обычными данными. QR-коды обычно направляют пользователей на веб-сайты; однако в данном случае они функционируют как средство для извлечения паролей браузера, хранящихся в файлах cookie.

Атака использует несколько тактик, описанных в рамках MITRE ATT&CK framework. В частности, он подпадает под категорию Компрометации цепочки поставок (T1195.002), иллюстрируя, как можно манипулировать supply Chains программного обеспечения для вставки вредоносных компонентов. Действия, связанные с выполнением команд, выполняются с помощью JavaScript (T1059.007), в то время как злоумышленники передают инструменты для доступа к данным (T1105) и Кражи сессионных куки (T1539) во время операции. Техника Стеганографии, используемая для обфускации (T1001.002), демонстрирует сложный метод сокрытия вредоносных намерений QR-кодов в программном обеспечении. Кроме того, злоумышленники могут уклоняться от обнаружения с помощью виртуальных проверок (T1497.001) и использовать стратегии уклонения, основанные на времени (T1497.003), повышая свои шансы на успешное проникновение в целевые системы без предупреждения.

Этот случай подчеркивает эволюционирующий ландшафт киберугроз, где множество обфускаций и инновационных методов могут значительно усилить риски, связанные с уязвимостями supply chain программного обеспечения. Использование QR-кодов для таких стеганографических целей знаменует собой заметный сдвиг в методах, используемых злоумышленниками, что требует повышенной бдительности как разработчиков, так и пользователей в отношении управления зависимостями и целостности программных пакетов.

#ParsedReport #CompletenessLow
23-09-2025

A new attack using Phantomrshell backdor

https://habr.com/ru/companies/pt/articles/947258/

Report completeness: Low

Actors/Campaigns:
Phantomcore

Threats:
Phantomrshell
Polyglot_technique
Proxyshell_vuln
Proxylogon_exploit
Phantomcore

Victims:
Defense sector, Industrial sector, Banking sector, Russian organizations

Industry:
Financial

Geo:
Russian

CVEs:
CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.003, T1566.002

IOCs:
File: 6
Hash: 2
IP: 5
Path: 1

Soft:
Outlook

Wallets:
harmony_wallet

Algorithms:
curve25519, sha256, zip

Win Services:
bits

Links:
https://gist.github.com/EvanMcBroom/ace2a9af19fb5e7b2451b1cd4c07bf96

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе кибератака с использованием бэкдора Phantomrshell была направлена против российского оборонного, промышленного и банковского секторов, первоначально ошибочно идентифицированная как массовый фишинг. Злоумышленники использовали скомпрометированную инфраструктуру электронной почты законного отправителя, используя электронные письма со структурой polyglot file, которая объединяла форматы DLL, PDF и ZIP, чтобы избежать традиционных методов обнаружения. Поведенческий анализ показал, что вредоносные электронные письма передавались внутри компании, что позволяло злоумышленникам обходить протоколы безопасности и повышать успешность проникновения.
-----

В августе аналитики по безопасности выявили сложную кибератаку с использованием нового вредоносного ПО, известного как бэкдор Phantomrshell, нацеленную на российский оборонный, промышленный секторы и банковские организации. Первоначально это считалось массовым фишингом из-за появления скомпрометированных серверов, но позже выяснилось, что злоумышленники использовали законного отправителя, инфраструктура электронной почты которого была взломана.

Атака была обнаружена с помощью методов поведенческого анализа, примененных в PT Sandbox, которые выявили вредоносную активность 24 августа, что совпало с началом атак на идентифицированные секторы. Электронные письма, использованные в этой операции, не обладали типичными характеристиками фишинга, что потенциально позволяло им обходить обычные меры безопасности электронной почты.

Вредоносные вложения, содержащиеся в этих электронных письмах, были замаскированы в структуре polyglot file. Этот инновационный подход включал объединение трех различных типов файлов: файла библиотеки динамических ссылок (DLL), файла в формате переносимого документа (PDF) и ZIP-архива. Этот метод объединения нескольких типов файлов в одно вложение создает уникальные проблемы для обнаружения, поскольку каждый компонент сам по себе может восприниматься как безобидный.

При дальнейшем расследовании данные из заголовков электронных писем выявили путь маршрутизации скомпрометированного отправителя через различные почтовые серверы, что указывает на то, что вредоносное электронное письмо было ретранслировано внутри сети жертвы перед отправкой предполагаемым получателям. Такое тщательное сопоставление позволило злоумышленникам обойти определенные протоколы безопасности, используя обычные корпоративные каналы связи, что повысило вероятность успешного проникновения.

#ParsedReport #CompletenessHigh
23-09-2025

Kawa4096 ransomware targets branding through imitation.

https://asec.ahnlab.com/ko/90189/

Report completeness: High

Actors/Campaigns:
Kawa4095

Threats:
Kawalocker
Qilin_ransomware
Qtox_tool
Shadow_copies_delete_technique
Ransomware/win.kawacrypt.c5774792
Ransomware/win.kawacrypt.c5783637
Ransom/mdp.command.m1026
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Akira_ransomware

Victims:
Multinational organizations, Finance, Education, Services

Industry:
Education, Financial

Geo:
Japan

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1204, T1486

IOCs:
File: 7
Command: 1
Hash: 3

Soft:
firefox, outlook, wordpad

Algorithms:
md5, salsa20

Win API:
MiniDumpWriteDump, CreateMutexA, LoadResource, FindResourceW

Win Services:
sqlservr, powerpnt

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Kawa4096 появилась в июне 2025 года, нацелившись на многонациональные организации в различных секторах, таких как финансы и образование, в таких странах, как Япония и США. Он использует тактику двойного вымогательства, шифрования и кражи данных, используя сайт на базе Tor для раскрытия информации о жертвах и личные URL-адреса для переговоров о выкупе. Технически программа-вымогатель может повторно запустить себя с определенным аргументом, чтобы обеспечить всестороннее шифрование файлов, демонстрируя структурированный подход к своим операциям.
-----

Группа вымогателей Kawa4096 появилась в июне 2025 года, сосредоточившись на атаках на многонациональные организации в таких странах, как Япония и Соединенные Штаты. Его целевой подход эклектичен и затрагивает различные секторы, включая финансы, образование и сферу услуг. Хотя компания не подтвердила какую-либо деятельность по распространению программ-вымогателей как услуги (RaaS) или партнерские отношения с другими киберпреступными группами, ее быстрая серия атак во многих странах свидетельствует о растущей угрозе.

Kawa4096 использует оперативные методы, которые раскрывают структурированную и организованную структуру для выполнения атак. Одной из его ключевых функций является сайт эксфильтрации данных на основе Tor, где группа раскрывает информацию о скомпрометированных жертвах. Эта группа использует тактику двойного вымогательства, что означает, что они не только шифруют данные жертв, но и steal it, тем самым увеличивая свои рычаги влияния при переговорах о выкупе. Каждой жертве предоставляется специальный URL-адрес для получения своих данных, что свидетельствует о тщательном контроле за процессом вымогательства. Однако подробности, касающиеся требований о выкупе или методов ведения переговоров, пока не обнародованы.

С точки зрения технического исполнения программа-вымогатель Kawa4096 демонстрирует четкие поведенческие паттерны. Если программа-вымогатель запускается без каких-либо аргументов командной строки, у нее есть встроенная функция, которая предлагает ей повторно выполнить саму себя с аргументом “-all”. Эта функциональность обеспечивает всестороннее шифрование всех целевых файлов, тем самым максимизируя воздействие атаки до того, как потенциальная жертва отреагирует.

Анализ раздела ресурсов программы-вымогателя выявил 17 полей, из которых подмножество из пяти содержит ключевые эксплуатационные характеристики. Однако конкретные технические подробности об этих областях не были полностью раскрыты в доступных данных, и для более глубокого понимания внутренней работы вредоносного ПО необходимо дальнейшее изучение. В целом, Kawa4096 представляет собой формирующийся ландшафт угроз, характеризующийся систематической тактикой вымогательства и изощренными методами исполнения.

#ParsedReport #CompletenessLow
23-09-2025

From MUSE to Manual: Cyberattack Analysis on European Airport Operations

https://www.cyfirma.com/research/from-muse-to-manual-cyberattack-analysis-on-european-airport-operations/

Report completeness: Low

Actors/Campaigns:
Rhysida (motivation: financially_motivated)
0ktapus
Alixsec (motivation: hacktivism, politically_motivated)
Fancy_bear
Apt33
Lazarus (motivation: financially_motivated, cyber_espionage)

Threats:
Supply_chain_technique
Babuk
Rhysida
Spear-phishing_technique

Victims:
Airports, Aviation sector, Critical infrastructure

Industry:
Financial, Transport, Critical_infrastructure, Energy, Aerospace, Government

Geo:
Iranian, Russia, Iran, London, Russian, North korea, North korean, Berlin

TTPs:
Tactics: 7
Technics: 13

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4