#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Bookworm, связанное с группой Stately Taurus, представляет собой продвинутую программу RAT, обеспечивающую значительный контроль над скомпрометированными системами и использующую Целевой фишинг для доступа. Анализ показывает схемы работы Bookworm's, включая общие инструменты, такие как ToneShell, и конкретные пути PDB, что указывает на тесную связь с Stately Taurus. Нацеливание в первую очередь на правительственные структуры Юго-Восточной Азии соответствует историческим интересам этой группы, что свидетельствует о постоянной приспособляемости Bookworm's к кибершпионажу.
-----

При анализе семейства вредоносных ПО Bookworm и его связи с хакерской группировкой, известной как Stately Taurus, используется система атрибуции Unit 42, в которой основное внимание уделяется техническим характеристикам и операционному поведению, а не субъективным оценкам. Bookworm, первоначально идентифицированный в 2015 году, классифицируется как продвинутый троян удаленного доступа (RAT), который обеспечивает своим операторам значительный контроль над скомпрометированными системами, тесно согласуясь с известными тактиками, методами и процедурами (TTP) Stately Taurus.

Процесс определения авторства показывает, что Bookworm часто использует индивидуальные кампании Целевого фишинга для получения первоначального доступа - метод, характерный для Stately Taurus. Кроме того, вредоносное ПО работает в средах, где присутствуют другие отличные инструменты, такие как ToneShell, которые используются исключительно Stately Taurus, подчеркивая связь через общие операционные возможности. Кроме того, анализ выявил специфический путь PDB, обнаруженный в образцах как Bookworm, так и ToneShell, что указывает на последовательные операционные шаблоны безопасности, которые помогают в установлении авторства.

Анализ сетевой инфраструктуры показывает, что общие элементы между Bookworm и Stately Taurus имеют различную степень аналитической значимости, причем постоянные URL-адреса или домены являются более ценными для атрибуции, чем временные IPv4-адреса. Модели таргетинга также тесно совпадают, поскольку Bookworm в основном затронул правительственные учреждения и критически важную инфраструктуру в Юго-Восточной Азии, отражая исторические интересы Stately Taurus.

Временной анализ кампаний показывает, что активность Bookworm совпадает с периодами известных мероприятий Stately Taurus, в частности, их направленность на правительственные учреждения Юго-Восточной Азии. Развивающиеся возможности вредоносного ПО, которые позволяют ему адаптироваться и изменять методы своей работы с течением времени, способствуют его постоянной актуальности в усилиях по кибершпионажу.

#ParsedReport #CompletenessMedium
25-09-2025

[Advanced Threat Hunting (APT)\] In-depth Analysis of the Encrypted Payloads in the Pseudo Hunter Github Repository

https://mp.weixin.qq.com/s/A1UhFfqnGRLsEZywvaQA4A

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Dll_hijacking_technique

Victims:
Espionage targets

Industry:
Military, Education

Geo:
Korean, Singapore, Asian, Japan, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1102, T1105, T1566

IOCs:
IP: 1
File: 31
Path: 22
Registry: 1
Command: 1
Email: 2
Hash: 21

Soft:
Internet Explorer

Algorithms:
base64, xor, rc4

Functions:
CreateProcessWCreateEventW

Win API:
GetTickCount, LoadLibraryW, ReadFile, WriteFile, DeleteFileW, CreateDirectoryW, CreateFileW, CreateFileMappingA, MapViewOfFile, CloseHandle, have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 20, windows: 5, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа по атаке наисложнейшими целенаправленными атаками "Pseudo Hunter" использует файлы vhdx в фишингов -атаках для первоначальной компрометации и эволюционировала для распространения зашифрованных полезных данных через репозиторий GitHub, усиливая запутывание и усложняя обнаружение. Этот метод позволяет им отдавать команды и доставлять вредоносное ПО, смешиваясь с легальными сервисами, что отражает тревожную тенденцию к усложнению тактики сложных целенаправленных атак и выявляет проблемы для механизмов обнаружения безопасности.
-----

В августе 2025 года разведывательная лаборатория DeepView выявила группу сложных целенаправленных атак (Сложные целенаправленные атаки APT), известную как "Pseudo Hunter", использующую файлы vhdx для фишинга. Эти файлы vhdx послужили исходным вектором для компрометации, позволив злоумышленникам получить доступ к целевым средам. В ходе дальнейшей эволюции своей тактики Pseudo Hunter использовал репозиторий GitHub для распространения зашифрованных полезных данных в рамках своих операций. Использование зашифрованных полезных данных означает попытку скрыть вредоносный контент, что усложняет задачу обнаружения и анализа для специалистов по безопасности.

Оперативное развертывание этих полезных нагрузок предполагает методичный подход к шпионажу, при котором злоумышленники могли бы отдавать команды и доставлять свое вредоносное ПО, оставаясь скрытыми в рамках законных служб хостинга хранилища. Этот метод не только облегчает распространение вредоносного кода, но и использует, казалось бы, безобидные платформы для распространения продвинутых угроз, тем самым повышая вероятность успешного проникновения в целевые сети. Интеграция этих тактических приемов указывает на тревожную тенденцию к усложнению сложных целенаправленных атак, подчеркивая необходимость усовершенствованных стратегий обнаружения угроз и устранения неполадок.

#ParsedReport #CompletenessHigh
24-09-2025

Inside Salt Typhoon: Chinas State-Corporate Advanced Persistent Threat

https://dti.domaintools.com/inside-salt-typhoon-chinas-state-corporate-advanced-persistent-threat/

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, cyber_criminal, financially_motivated, information_theft)
I-soon_leak (motivation: cyber_espionage)
Coldface (motivation: cyber_espionage)
Unc4841
0ktapus
Emissary_panda

Threats:
Lolbin_technique
Credential_harvesting_technique
Plugx_rat
Demodex_tool
Chinachopper
Credential_dumping_technique
Netstat_tool
Wevtutil_tool

Victims:
Telecommunications providers, Defense contractors, Government entities, Think tanks, Internet service providers, Military networks, Critical infrastructure sectors, Technology firms, Foreign ministries, Religious sector, have more...

Industry:
Software_development, Logistic, Foodtech, Transport, Military, Critical_infrastructure, Government, Telco

Geo:
Asian, France, Taiwan, United kingdom, Germany, Los angeles, Asia, China, Chinese, American, Chinas, Netherlands

CVEs:
CVE-2023-20198 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3400 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-35082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 21

IOCs:
Domain: 11
IP: 4
Email: 2
Hash: 1
File: 1

Soft:
Protonmail, Ivanti, PAN-OS

Algorithms:
exhibit, md5, sha256

Win API:
SeDebugPrivilege

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon - это спонсируемая китайским государством группа по борьбе с сложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности, которая с 2019 года занимается долгосрочным шпионажем против глобальной телекоммуникационной инфраструктуры. Группа использует передовые технологии для использования периферийных устройств сети, поддерживает закрепление в целевых объектах и извлекает конфиденциальные данные, включая конфигурации голосовой связи и профили абонентов. Оперативная тактика включает модульную систему регистрации доменов и привлечение фирм-подрядчиков, которые обеспечивают возможность отрицания и расширяют операционные возможности, в то время как их встроенное вредоносное ПО предназначено для последовательной эксфильтрации данных посредством замаскированных коммуникаций.
-----

Salt Typhoon - это спонсируемая китайским государством группа по борьбе с наисложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности (MSS), действующая по меньшей мере с 2019 года, специализирующаяся на шпионаже против глобальной телекоммуникационной инфраструктуры. Группа использует периферийные устройства сети для поддержания закрепления и извлечения конфиденциальных данных, таких как метаданные связи и профили абонентов, у поставщиков телекоммуникационных услуг. Salt Typhoon использует гибридную операционную модель, сочетающую цели, поставленные государством, с возможностями подрядчиков, повышая масштабируемость и возможность отрицания. Среди выявленных подрядчиков - Sichuan Juxinhe Network Technology и Beijing Huanyu Tianqiong Information Technology. Их тактика включает в себя развертывание модульной инфраструктуры регистрации доменов, регистрацию по меньшей мере 45 доменов в период с 2020 по 2025 год, часто используя американских персонажей, которые могут помешать их усилиям по установлению авторства. Группа использует SSL-сертификаты, подтвержденные доменом, от таких поставщиков, как GoDaddy и Sectigo, для легитимизации своей инфраструктуры, одновременно облегчая операции командования и контроля. Основными целями являются телекоммуникационные и военные сети, причем методы начинаются с использования периферийных устройств для постоянного доступа и генерации данных. Их вредоносное ПО демонстрирует такое поведение, как последовательное использование маяков и зашифрованные сообщения, замаскированные под законные обновления. Таким ключевым фигурам, как Инь Кэчэн и Чжоу Шуай, были предъявлены обвинения и применены санкции за их роль в кибероперациях, что подчеркивает интеграцию усилий государства и подрядчиков в кибершпионаже Китая. Их оперативные схемы и использование инфраструктуры предоставляют правозащитникам возможности отслеживать и пресекать деятельность.

#ParsedReport #CompletenessMedium
25-09-2025

Updated Bo Team grouping tools

https://securelist.ru/bo-team-upgrades-brockendoor-and-zeronetkit-backdoors/113536/

Report completeness: Medium

Actors/Campaigns:
Bo_team

Threats:
Brockendoor
Zeronetkit

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1566.001

IOCs:
File: 6
Command: 2
Hash: 13
Coin: 1
IP: 1
Domain: 7
Url: 5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года группа Bo Team активизировала свои кампании фишинга, распространяя вредоносное ПО с помощью вводящих в заблуждение информационных бюллетеней, касающихся расследований политики ДМС, что привело к появлению вредоносных вложений, таких как "The order_protokol.rar ." Они обновили свой бэкдор Broeckendoor на C#, улучшив его тактику запутывания, чтобы избежать обнаружения, сократив номенклатуру команд. Эта новая версия выступает в качестве загрузчика для Zeronetkit, бэкдора на базе Go, ориентированного на сетевое взаимодействие, что отражает стремление группы совершенствовать свои угрозы кибербезопасности.
-----

В сентябре 2025 года группа Bo Team запустила новую кампанию, использующую тактику фишинга для распространения вредоносного ПО. Анализ их недавней деятельности выявил использование вводящих в заблуждение информационных бюллетеней, утверждающих, что они связаны с официальным расследованием злоупотребления политикой ДМС, которые были разработаны с целью побудить пользователей открывать вредоносные вложения. Эти вложения обычно содержали защищенный паролем RAR-архив с именем "The order_protokol.rar ," с паролем, удобно указанным в тексте письма, чтобы избежать автоматической антивирусной проверки.

Примечательно, что Bo Team обновила свои инструменты для работы с вредоносным ПО, значительно обновив Backdoor. Broeckendoor Этот новый вариант был переписан на C#, но сохранил большую часть функциональности оригинала. Обновления бэкдора включают изменение номенклатуры командных опций; конкретные командные команды были сокращены до двух или трех символов, что помогает в запутывании. Например, такие команды, как "set_poll_interval", были сокращены до "spi", а "run_program" - до "rp", что может создавать дополнительные проблемы для методов обнаружения, которые полагаются на распознавание установленных структур команд.

Более того, обновленный Broeckendoor служит загрузчиком для бэкдора Zeronetkit, еще одной полезной нагрузки второго этапа, широко используемой в операциях Bo Team's. Zeronetkit, впервые обнаруженный в конце 2024 года, написан на Go и обладает ограниченным числом функций — всего четырьмя — предназначенных в первую очередь для сетевого взаимодействия. Его название происходит от ранних ссылок на "ZeroNet" от Vegas в предыдущих версиях, сигнализирующих о его расширяющихся возможностях по мере изменения ландшафта угроз.

Подводя итог, можно сказать, что группа Bo Team активно совершенствует свои киберинструменты и стратегии. Их последняя кампания отражает постоянное внимание к фишингу как первоначальному источнику заражения в сочетании с улучшенными возможностями вредоносного ПО, включающими недавно разработанный C# Broeckendoor и оперативное использование Zeronetkit, что свидетельствует об их постоянной адаптивности и угрозе кибербезопасности. Постоянный мониторинг их деятельности имеет решающее значение для понимания их меняющейся тактики и смягчения потенциальных воздействий.

#ParsedReport #CompletenessMedium
24-09-2025

Two Malicious Rust Crates Impersonate Popular Logger to Steal Wallet Keys

https://socket.dev/blog/two-malicious-rust-crates-impersonate-popular-logger-to-steal-wallet-keys

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Software developers, Open source ecosystem, Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 6

IOCs:
Url: 3
File: 10

Soft:
Outlook, Linux, macOS

Wallets:
mainnet

Crypto:
solana, ethereum

Algorithms:
base58

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены два вредоносных ящика Rust, выдающих себя за законный регистратор fast_log для кражи ключей кошельков Solana и Ethereum. Эти ящики, опубликованные под подозрительными учетными записями, содержат код эксфильтрации, который отправляет шаблоны ключей кошелька на конечную точку управления (C2), замаскированную под RPC-сервис блокчейна. Сопутствующий crate использует аналогичный метод для взаимодействия с тем же C2, что подчеркивает риск Компрометации цепочки поставок программного обеспечения.
-----

Были обнаружены два вредоносных ящика Rust, которые выдают себя за законный регистратор fast_log с целью кражи ключей кошельков Solana и Ethereum. Эти вредоносные пакеты, опубликованные под учетными записями rustguruman и dumbn на основе crates.io, используют стратегию, которая имитирует реальный регистратор fast_log, копируя его README и сохраняя функциональный код ведения журнала. Такая схема предназначена для того, чтобы избежать обнаружения при беглом просмотре.

Вредоносная функциональность встроена в код crates, который выводит шаблоны ключей кошелька на конечную точку command and control (C2). Конечная точка замаскирована под блокчейн-RPC-сервис, что делает ее похожей на стандартный трафик разработчиков, чтобы избежать проверки. Кроме того, сопутствующий crate async_println использует аналогичный метод эксфильтрации и взаимодействует с той же конечной точкой C2, хотя и с небольшими различиями в именах функций и обработке данных.

В ответ на эту угрозу команда безопасности Crates вмешалась и заблокировала учетные записи вредоносных издателей, чтобы предотвратить дальнейшее распространение этих ящиков. Инцидент иллюстрирует очевидную Компрометацию цепочки поставок, вписывающуюся в рамки MITRE ATT&CK в соответствии с методикой T1195.002. Это подчеркивает уязвимость supply chains программного обеспечения и необходимость строгого контроля за сторонними библиотеками для защиты от подобных угроз.

#ParsedReport #CompletenessLow
25-09-2025

Where Are my Keys?! Ransomware Group Steals AWS Keys to Advance

https://www.varonis.com/blog/aws-keys

Report completeness: Low

Actors/Campaigns:
0ktapus

Victims:
Cloud infrastructure, Aws environments, On premise infrastructure

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1526, T1550.001, T1588.003

Soft:
Pacu, GuardDuty, Twitter

Languages:
swift

Links:
https://github.com/RhinoSecurityLabs/pacu

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группы вымогателей все чаще нацеливаются на системы управления AWS, используя украденные ключи AWS, что расширяет возможности атак для организаций, которым может не хватать надлежащего мониторинга. Такие инструменты, как Pacu, хотя и предназначены для этического тестирования сред AWS, также могут быть использованы злоумышленниками в качестве оружия. Расследования показали, что скомпрометированные ключи связывают облачные угрозы с атаками программ-вымогателей на локальную инфраструктуру, что подчеркивает необходимость интегрированных стратегий безопасности в облачных и локальных системах.
-----

Группы вымогателей все чаще начинают нацеливаться на уровни управления облаком, в частности на уровень управления AWS, используя украденные ключи AWS. Этот сдвиг свидетельствует о значительном расширении возможностей для атак в организациях, особенно там, где возможности мониторинга и обнаружения могут быть не так развиты, как в традиционных локальных средах. Когда злоумышленники-вымогатели получают доступ к плоскости управления, они могут осуществлять больший контроль над облачными ресурсами, что делает эти атаки потенциально более опасными и результативными.

Важным инструментом в этом контексте является Pacu, законный инструмент, используемый для оценки среды AWS с помощью тестирования на проникновение. Хотя Pacu может служить этическим целям, его возможности также могут быть использованы злоумышленниками не по назначению для облегчения своих атак на облачную инфраструктуру. Идентификация и оценка этих угроз имеют решающее значение для эффективной кибербезопасности.

Следственные действия после обнаружения скомпрометированных ключей AWS включали использование таких инструментов, как Varonis, которые позволили идентифицировать конкретные действия API, выполняемые с использованием украденных ключей. Этот процесс включал отслеживание IP-адресов, связанных с вредоносными вызовами API, что позволило получить ценные индикаторы компрометации (IOCs). Такая информация имеет решающее значение для обнаружения и предотвращения дальнейших атак.

Расследование показало, что сервер Veeam выступал в качестве координатора использования скомпрометированных ключей, связывая облачную угрозу с продолжающейся атакой программ-вымогателей на локальную инфраструктуру. Это указывает на то, что злоумышленники не только нацелены на облачные системы, но и способны соединять атаки между облачной и локальной средами, подчеркивая необходимость согласованных стратегий безопасности в обеих областях.

Организации должны осознавать меняющийся ландшафт киберугроз и соответствующим образом адаптировать свои механизмы защиты. Внедрение надежных систем мониторинга и обнаружения в облачных средах, особенно на уровне управления, жизненно важно для защиты от такой изощренной тактики вымогателей.

#ParsedReport #CompletenessMedium
25-09-2025

XWorm Malware Analysis: SOC & IR Perspective on Persistence, C2, and Anti-Analysis Tactics

https://medium.com/@0xzyadelzyat/xworm-malware-analysis-soc-ir-perspective-on-persistence-c2-and-anti-analysis-tactics-ed41d335b2ce?source=rss-b460882b1cf8------2

Report completeness: Medium

Threats:
Xworm_rat

TTPs:
Tactics: 4
Technics: 6

IOCs:
Hash: 6
IP: 10
File: 3
Url: 1

Soft:
Telegram, VirtualBox

Algorithms:
md5, aes-cbc, sha1, cbc, aes, sha256

Links:
https://github.com/kant2002/de4dot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm, троянец удаленного доступа на базе .NET (RAT) и бэкдор-вредоносное ПО, предназначенный как для предприятий, так и для частных лиц, обеспечивающий постоянный доступ и эксфильтрацию данных с помощью зашифрованных средств управления (C2). Он работает через децентрализованную инфраструктуру C2 с запутанными исполняемыми файлами, используя сложные методы запутывания и антианализа, чтобы избежать обнаружения. Вредоносное ПО использует шифрование AES для защиты трафика C2 и направляет телеметрические данные, включая идентификаторы версий, на такие каналы, как Telegram, что указывает на его сложность в управлении операциями.
-----

XWorm - это троян удаленного доступа (RAT) и бэкдор- вредоносное ПО, отличающееся универсальностью и уклончивостью, нацеленное как на предприятия, так и на отдельных пользователей. Разработанный в .NET, он продемонстрировал стабильную способность устанавливать постоянный доступ к зараженным системам, облегчать эксфильтрацию данных и использовать зашифрованные средства управления (C2). Недавний анализ вредоносного ПО включал изучение двух сильно запутанных .ЧИСТЫЕ исполняемые файлы.

Вредоносное ПО использует децентрализованную инфраструктуру C2, которая использует множество IP-адресов, доменов и даже каналов Telegram. Эта избыточность усложняет простые стратегии смягчения последствий, поскольку простые методы блокировки IP-адресов оказываются недостаточными для нарушения работы XWorm's. Кроме того, вредоносное ПО использует сложные методы обфускации, полагаясь на строковое шифрование и методы упаковки, чтобы эффективно избежать обнаружения с помощью мер безопасности, основанных на сигнатурах.

Для защиты своего трафика C2 XWorm использует алгоритм шифрования AES (в частности, управляемый Rijndael, работающий в режиме CBC), позволяющий скрывать конфиденциальные данные во время эксфильтрации. Сбор телеметрии с помощью XWorm направляется в Telegram и включает идентификаторы версий, такие как XWorm V5.0, который помогает злоумышленникам управлять и обновлять свои варианты вредоносного ПО.

Более того, XWorm использует ряд методов антианализа, предназначенных для того, чтобы помешать обратному проектированию и анализу со стороны специалистов по безопасности. Хотя конкретные стратегии не были детализированы, это свидетельствует о сложных методах, которые XWorm использует для поддержания своей операционной безопасности.

Понимание этих технических деталей подчеркивает важность постоянного мониторинга и передовых стратегий реагирования для противодействия воздействию XWorm и подобных угроз. Сложности, связанные с архитектурой C2 и механизмами запутывания, требуют многоуровневого подхода к защите от кибербезопасности, уделяя особое внимание как динамическому обнаружению, так и упреждающему поиску угроз.