#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, dump: 2, code: 4, table: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Многоэтапная атака с участием XWorm RAT демонстрирует передовые методы злоумышленников, начиная с фишингов электронного письма, которое приводит к вредоносному офисному документу, маскирующемуся под счет-фактуру. Процесс заражения использует скомпилированные .NET двоичные файлы и включает в себя отражающее DLL INJECTION для запуска вредоносного ПО в памяти, подключаясь к серверу управления по IP 158.94.209.180 для извлечения конфиденциальных данных. Анализ освещает эволюционирующую тактику киберпреступников, делая упор на использование социальной инженерии и изощренных методов исполнения.
-----

Недавний анализ многоэтапной атаки с участием XWorm RAT выявляет сложные методы, используемые злоумышленниками для доставки этого вредоносного ПО с использованием шелл-кода и методов выполнения в памяти. Атака, как правило, начинается с фишинг-сообщения электронной почты, содержащего вредоносный документ Office (с расширением .xlam), замаскированный под законный счет-фактуру. Когда пользователь открывает этот документ, он изначально кажется пустым или поврежденным, скрывая вредоносную полезную нагрузку во встроенном файле oleObject1.bin.

После извлечения и проверки становится очевидным, что исполняемый файл первого этапа назван "UXO.exe , " первоначально называвшийся "KQuT.exe ." Ключевым моментом в анализе является сосредоточение внимания на .NET-скомпилированных двоичных файлах, особенно на классах и методах, связанных с рисованием, поскольку многие варианты .NET- вредоносного ПО используют эти функции для загрузки ресурсов и инициирования следующий этап атаки в памяти.

Второй этап включает в себя создание DLL-файла с именем "CreativeAI.dll ,"который использует отражающую DLL injection для запуска другой библиотеки DLL с именем "DriverFixPro.dll - в памяти. Эта библиотека DLL устанавливается сама по себе в процессе UXO.exe . Анализ этой последней библиотеки DLL выявляет строки, содержащие имя "UD_XWormClient 6.5", указывающее на его связь с семейством вредоносных ПО XWorm.

После успешного внедрения и выполнения в памяти вредоносное ПО пытается подключиться к серверу управления (C2), расположенному по IP-адресу 158.94.209.180. Дальнейшее расследование показывает, что этот IP-адрес связан с доменом "berlin101.com:6000", распознанным как сервер C2 для операций XWorm. Это подключение позволяет вредоносному ПО извлекать конфиденциальные данные из скомпрометированной системы.

Таким образом, многоэтапная атака XWorm RAT демонстрирует эволюционирующие методы киберпреступников, использующих комбинацию социальной инженерии, встроенного шелл-кода и сложных методов DLL injection для достижения своих целей. Анализ подчеркивает важность надежных мер безопасности электронной почты для блокирования таких угроз на начальном этапе, а также постоянного мониторинга инфраструктур C2, связанных с известным вредоносным ПО.

#ParsedReport #CompletenessHigh
25-09-2025

From Custom Scripts to Commodity RATs: A Threat Actors Evolution to PureRAT

https://www.huntress.com/blog/purerat-threat-actor-evolution

Report completeness: High

Actors/Campaigns:
Lone_none
Purecoder

Threats:
Purerat
Dll_sideloading_technique
Pxa_stealer
Process_hollowing_technique
Dotnet_reactor_tool
Mitm_technique
Hvnc_tool
Purecryptor
Blueloader
Pureminer
Purelogs
Pure_clipper
Spear-phishing_technique

Geo:
Vietnamese, Vietnam

TTPs:
Tactics: 7
Technics: 14

IOCs:
File: 13
Path: 7
Command: 2
Domain: 2
IP: 1
Hash: 3
Registry: 1
Url: 3

Soft:
Windows Update Service, Telegram, Chrome, Event Tracing for Windows, NET Reactor, Outlook, Steam

Algorithms:
base64, gzip, rc4, aes-256, xor, sha256, md5, zip, aes

Functions:
exec, getEntryPoint, GetType, GetMethod, PlaySubscriber, RemoveSelector, DecideFlexibleController

Win API:
AmsiScanBuffer, EtwEventWrite, Decompress, GetLastInputInfo

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 22, table: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование кампании по фишингу выявило злоумышленника, использующего пользовательские инструменты на Python и обычное вредоносное ПО, в первую очередь, использующего удаленный доступ к PureRAT Trojan. Цепочка атак начинается с электронного письма с фишингом, содержащего вредоносный ZIP-файл, который выполняет DLL sideloading для внедрения вредоносного ПО. Эволюция методов включает переход от скриптов-похитителей на Python к исполняемым файлам .NET, использующим запутывание для уклонения, демонстрирующим сложный подход к краже информации и связывающий актора как с обычным вредоносным ПО, так и с инфраструктурой командования и контроля во Вьетнаме.
-----

Продолжающееся расследование кампании фишинга выявило эволюцию злоумышленника, использующего комбинацию пользовательских инструментов Python и обычного вредоносного ПО, кульминацией которого стало внедрение PureRAT, коммерчески доступного Trojan. Атака начинается с электронного письма с фишингом, содержащего ZIP-файл, Маскировку под уведомление о нарушении авторских прав, который включает в себя законный исполняемый файл PDF reader наряду с вредоносным version.dll . Этот подход использует метод DLL sideloading, который заставляет доверенный исполняемый файл загружать вредоносную DLL-библиотеку, тем самым внедряя вредоносное ПО в систему жертвы.

Исходная полезная нагрузка - это программа для кражи информации на основе Python, которая извлекается по ссылке и анализируется, чтобы выявить ее способность извлекать конфиденциальные данные. Это включает в себя учетные данные для входа в систему, файлы cookie, информацию о кредитной карте и данные автозаполнения из популярных браузеров, таких как Chrome и Firefox. Это указывает на продвинутую стратегию таргетинга актора, направленную на сбор информации, которую можно монетизировать или использовать для дальнейшей эксплуатации.

Затем кампания переходит от использования интерполированных скриптов на Python к скомпилированным .СЕТЕВЫЕ исполняемые файлы, предполагающие адаптацию для повышения изощренности и тактики уклонения. Конечная полезная нагрузка, названная Mhgljosy.dll , использует .NET Reactor, коммерческий инструмент запутывания, который усложняет работу по обратному проектированию. Это указывает на осведомленность о методах защитного анализа и преднамеренные усилия по ограничению возможностей следователя.

Дальнейший анализ .Сетевые пространства имен, связанные с этой полезной нагрузкой, содержат упоминания о PureHVNC, что убедительно указывает на ссылку на PureRAT, ранее проданный актором, использующим псевдоним "PureCoder". Эта связь подчеркивает растущее использование товарного вредоносного ПО в операциях по борьбе с сложными целенаправленными угрозами и подчеркивает тенденцию к использованию коммерчески доступных инструментов для вредоносных целей.

Доказательства указывают на причастность злоумышленника, связанного с инфраструктурой Telegram и метаданными, связанными с пользователем @LoneNone, а также с серверами командования и контроля, прослеженными до Вьетнама. Это действие демонстрирует явный переход от любительской тактики запутывания к изощренному использованию коммерческого вредоносного ПО, демонстрируя развитие возможностей злоумышленника. Их набор навыков включает в себя ряд методов, включая обработку байт-кода на Python, перечисление WMI, Внедрение в пустой процесс .NET и отражающую загрузку библиотеки DLL, что в конечном итоге указывает на постоянный и эволюционирующий ландшафт угроз.

#ParsedReport #CompletenessHigh
28-09-2025

SVG Phishing hits Ukraine with Amatera Stealer, PureMiner

https://www.fortinet.com/blog/threat-research/svg-phishing-hits-ukraine-with-amatera-stealer-pureminer

Report completeness: High

Actors/Campaigns:
Purecoder

Threats:
Amatera_stealer
Pureminer
Countloader
Process_hollowing_technique
Dll_sideloading_technique
Process_injection_technique
Process_hacker_tool
Anydesk_tool

Victims:
Ukrainian government entities

Industry:
Government

Geo:
Ukraine, Ukrainian

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 14
Path: 3
Registry: 1
Domain: 25
IP: 1
Hash: 13

Soft:
NET Framework, Process Explorer, Firefox, Waterfox, Pale Moon, IceDragon, Cliqz, Cyberfox, BlackHawk, IceCat, have more...

Wallets:
math_wallet, coin98, metamask, coinbase, ronin_wallet, tronlink, keplr, bitcoincore, dashcore, litecoincore, have more...

Crypto:
binance

Algorithms:
base64, rc4, zip, 3des, sha256

Functions:
getUpdates

Win API:
CryptUnprotectData

Languages:
python

Links:
https://github.com/naksyn/PythonMemoryModule

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на Украину, использует вредоносные SVG-файлы для развертывания вредоносного ПО Amatera Stealer и PureMiner с помощью атаки без файлов. Все начинается с электронных писем от имени Национальной полиции Украины, в которых используются срочные формулировки, побуждающие получателей открыть вложенные файлы. Первоначальный доступ осуществляется через CountLoader, который подключается к удаленному серверу для сбора системных данных, в то время как вредоносное ПО собирает конфиденциальную информацию из ключевых приложений, таких как Steam и Telegram, используя DLL Sideloading и выполнение в памяти, чтобы избежать обнаружения.
-----

Недавняя кампания по фишингу, нацеленная на Украину, использует вредоносные SVG-файлы для доставки вредоносного ПО Amatera Stealer и PureMiner через цепочку атак без файлов. Кампания начинается с электронных писем, Маскировка которых выдается за официальные сообщения Национальной полиции Украины, призывающие получателей открыть вложение, в котором утверждается, что оно относится к юридическому уведомлению. В электронных письмах используются формальные формулировки, чтобы создать ощущение срочности, побуждая жертв ознакомиться с содержанием.

Первоначальный доступ облегчается с помощью скрипта, известного как CountLoader, который подключается к удаленному серверу для получения дальнейших инструкций. После установления этого соединения вредоносное ПО собирает системную информацию и передает ее обратно злоумышленникам с помощью HTTP POST-запроса, закодированного с помощью XorBase64. Этот загрузчик также отвечает за отправку специально закодированного сообщения для получения дополнительных команд от сервера управления (C2).

После начальной полезной нагрузки создается ZIP-файл с именем ergosystem.zip загружается, содержащий исполняемый файл вместе с несколькими библиотеками динамической компоновки (DLL). В процессе выполнения используется DLL sideloading, использующая доверенное приложение для загрузки вредоносной библиотеки DLL. Полезная нагрузка разработана в .NET с использованием предварительной компиляции (AOT) для повышения эффективности выполнения.

Еще один ZIP-архив, smtpB.zip , содержит интерпретатор Python, необходимые модули и вредоносный скрипт на Python, предназначенный для выполнения в памяти. Этот скрипт позволяет избежать записи вредоносного ПО на диск, используя для операций загрузки проект PythonMemoryModule, размещенный на GitHub.

После разработки Amatera Stealer устанавливает мьютекс с жестко закодированными значениями и подключается к удаленному серверу для получения сведений о конфигурации, имеющих решающее значение для его функций сбора данных. Файл конфигурации подвергается декодированию в формате Base64 с последующей расшифровкой с использованием алгоритма RC4 перед обработкой для сбора данных.

Вредоносное ПО систематически извлекает различные типы системных данных и данных приложений. Он специально нацелен на файлы, относящиеся к приложениям на базе Gecko, с помощью конфигурации, которая определяет пути и каталоги. Аналогично, для приложений на базе Chromium параметры конфигурации определяют, какие браузеры и связанные с ними приложения следует тщательно проверять, а также охватывают расширения браузера и каталоги для сбора дополнительных данных.

Более того, Amatera Stealer оснащен предопределенными процедурами для извлечения данных из известных приложений, таких как Steam и Telegram. Что касается управления криптовалютными кошельками, вредоносное ПО может выполнять рекурсивный поиск файлов, если установлен определенный флаг, или создавать прямые пути к файлам на основе определенных целевых путей.

Эта кампания является примером инновационного использования SVG-файлов как средства инициирования цепочки заражения вредоносным ПО, в частности, путем сосредоточения внимания на украинских государственных структурах, использующих обманчивые электронные письма для распространения вложений в формате SVG, которые приводят к вредоносным загрузкам.

#ParsedReport #CompletenessMedium
26-09-2025

Potentially Unwanted Applications (PUAs) weaponized for covert delivery

https://fieldeffect.com/blog/potentially-unwanted-applications

Report completeness: Medium

Threats:
Tamperedchef
Imagelooker
Residential_proxy_technique
Credential_harvesting_technique
Seo_poisoning_technique

Victims:
Software users, Consumers

Industry:
E-commerce

CVEs:
CVE-2025-0411 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1553.002

IOCs:
File: 4
Domain: 3
Hash: 9

Soft:
Microsoft Defender, NeutralinoJS

Algorithms:
md5, exhibit, sha1, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 сентября 2025 года была выявлена кампания распространения вредоносного ПО, известная как кампания TamperedChef, использующая сложные тактики, такие как двоичные файлы с цифровой подписью, обманная упаковка программного обеспечения и захват браузера. Кампания, связанная с CROWN SKY LLC и напоминающая о Calendaromatic.exe , использует методы скрытого кодирования для обхода мер безопасности, маскируя вредоносное ПО под законные приложения, чтобы подорвать доверие пользователей и избежать обнаружения. Эта развивающаяся стратегия создает значительные риски для средств защиты от кибербезопасности.
-----

22 сентября 2025 года анализ потенциально нежелательного приложения (PUA), идентифицированного Microsoft Defender, выявил более масштабную кампанию распространения вредоносного ПО, в которой используются сложные тактики, такие как двоичные файлы с цифровой подписью, обманчивая упаковка и угонщики браузеров. Это расследование было сосредоточено вокруг двоичных файлов, связанных с CROWN SKY LLC, которая имеет историческую связь с Calendaromatic.exe , приложение, Маскировка под простой инструмент календаря.

Обнаруженная кампания, называемая кампанией TamperedChef, использует тактику манипулирования доверием пользователей и обхода мер безопасности конечных точек. Вовлеченные в это злоумышленники используют обманчивую упаковку программного обеспечения наряду с цифровым Подписью исполняемого кода, что позволяет им выдавать вредоносное ПО за законное программное обеспечение. Эти стратегии позволяют вредоносному ПО обходить обычные средства защиты, которые обычно защищают пользователей от вредоносного программного обеспечения.

Используя методы скрытого кодирования, эти злоумышленники еще больше повышают эффективность своих механизмов доставки. Способность маскировать вредоносное ПО под надежные приложения является значительным фактором риска, поскольку снижает бдительность пользователей и позволяет обойти как автоматическую, так и ручную оценку безопасности. Эволюционирующий характер этих тактических приемов подчеркивает необходимость постоянной бдительности и адаптации при защите от кибербезопасности.

#ParsedReport #CompletenessMedium
26-09-2025

HeartCrypt s wholesale impersonation effort

https://news.sophos.com/en-us/2025/09/26/heartcrypts-wholesale-impersonation-effort/

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Heartcrypt_tool
Dll_sideloading_technique
Lumma_stealer
Asyncrat
Rhadamanthys
Raspberry_robin
Av-killer
Ransomhub
Vmprotect_tool
Medusalocker

Geo:
Mexico, Korea, Ukraine, Brazil, Colombia, Argentina, France, Peru, Romania, Kazakhstan, Russia, Taiwan, Italian, Netherlands, Greece, Italy, Columbia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1105, T1204.002, T1543.003, T1553.002, T1562.001, T1566.001, have more...

IOCs:
Path: 12
Hash: 19
Command: 2
File: 25
Url: 7
Registry: 2

Soft:
Dropbox

Algorithms:
sha1, sha256, zip, xor, des, md5

Functions:
CrowdStrike

Win API:
CreateProcessW, VirtualAlloc, GetThreadContext, CreateRemoteThread, NtCreateThreadEx, pie

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HeartCrypt - это универсальное вредоносное ПО, связанное с различными злоумышленниками, первоначально предполагалось, что оно связано с "Blind Spider", но позже было идентифицировано как вовлекающее несколько групп из-за различных методов атаки. Он использует такие методы, как DLL Sideloading, фишинг электронных писем на наличие вредоносного контента и адаптируемую полезную нагрузку, адаптированную для конкретных целей. Вредоносное ПО внедряет вредоносный код в легальные исполняемые файлы и использует метод антиэмуляции, при этом полезной нагрузкой обычно являются трояны удаленного доступа, похитители учетных данных и инструмент "AV killer", воздействии на возможности EDR.
-----

HeartCrypt стал заметным предложением вредоносного ПО, характеризующимся различными кампаниями по Имперсонации и фишингу. Это было связано с многочисленными злоумышленниками, поскольку расследования выявили различные методы и полезные нагрузки, нацеленные на разные страны. Первоначально предполагалось, что это работа группы, известной как "Blind Spider", но существенные различия в векторах атак привели аналитиков к выводу, что в ней задействован более широкий круг акторов.

В основе этих атак лежит исполняемый файл, изначально напоминающий подлинный компонент CCleaner, который был модифицирован для включения вредоносного кода. Это подчеркивает общую тенденцию, когда легальные приложения становятся невольным средством доставки вредоносного ПО. Цепочка заражения значительно варьируется в зависимости от кампании, что указывает на использование адаптируемых методов "вредоносное ПО как услуга" (MaaS), при которых злоумышленники могут легко настраивать полезную нагрузку для своих конкретных целей.

Среди наблюдаемых методов заражения одна примечательная тактика включает DLL Sideloading, когда программа чтения PDF загружает вредоносную DLL-библиотеку из своего собственного каталога. Другой метод использовал электронное письмо с фишингом для распространения вредоносного контента, размещенного на таких платформах, как Google Диск, для чего требовался пароль, включенный в сообщение. Кроме того, в одном случае пользователи в Италии использовали файлы ярлыков LNK, скрипты PowerShell и пакетные процессы, демонстрируя универсальность методов эксплуатации.

Технически HeartCrypt изменяет законные исполняемые файлы, внедряя вредоносный код в раздел .text и добавляя замаскированные переносимые исполняемые файлы (PE). Эти ресурсы маскируются под растровые файлы, но на самом деле содержат вредоносную полезную нагрузку. Метод антиэмуляции, напоминающий Raspberry Robin, используется для уклонения от обнаружения путем оценки адресов функций, которые встречаются только в эмуляторах.

Полезная нагрузка, связанная с HeartCrypt, в основном состоит из обычных троянов удаленного доступа (RATs) и похитителей учетных данных, но часто всплывает вызывающий беспокойство инструмент, идентифицированный как AV killer, связанный с продолжающимися атаками программ-вымогателей. Этот инструмент ставит под угрозу возможности обнаружения конечных точек и реагирования на них (EDR). Были отмечены взаимоотношения между различными противоборствующими группами, что позволяет предположить наличие среды сотрудничества в сфере эксплуатации.

#ParsedReport #CompletenessMedium
28-09-2025

Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less

https://arcticwolf.com/resources/blog/smash-and-grab-aggressive-akira-campaign-targets-sonicwall-vpns/

Report completeness: Medium

Threats:
Akira_ransomware
Byovd_technique
Cloudflared_tool
Impacket_tool
Blackbasta
Wmiexec_tool
Nltest_tool
Sharpshares_tool
Netexec_tool
Bloodhound_tool
Ldapdomaindump_tool
Anydesk_tool
Teamviewer_tool
Rustdesk_tool
Splashtop_tool
Shadow_copies_delete_technique
Rclone_tool
Advanced-port-scanner_tool
Meshagent_tool
Atera_tool
Crackmapexec_tool
Krbrelayup_tool
Mobaxterm_tool
Cobalt_strike_tool
Winrm_tool
Softperfect_netscan_tool

Victims:
Organizations running sonicwall firewalls, Multiple sectors

Geo:
Georgian, Georgia, Uzbekistan, Estonia, Latvia, Moldova, Belarus, Ukrainian, Romanian, Azerbaijani, Russia, Tajikistan, Kazakhstan, Iranian, Ukraine, Asian, Turkmenistan, Kyrgyzstan, Armenia, Russian, Usa, Latvian, Lithuania, Belarusian, Azerbaijan

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 17

IOCs:
Command: 2
Path: 26
File: 22
Email: 1
Coin: 1
Registry: 3
IP: 43
Hash: 2

Soft:
Active Directory, SonicOS, SoftPerfect Network Scanner, MSSQL, PostgreSQL, MS SQL, OpenSSH, Windows Defender, Hyper-V, SysInternals, have more...

Algorithms:
zip, sha256, base64, sha1

Functions:
Get-ADUser, Get-ADComputer, Get-EncryptionSalt, Get-Date, Get-WmiObject, Remove-WmiObject, Set-MpPreference, ZwCreateFile, RtlCreateAcl, ZwSetSecurityObject, have more...

Win API:
GetSystemDefaultLocaleName

Win Services:
WebClient, MsMpEng, BITS

Languages:
powershell, python

Links:
https://github.com/xoreaxeaxeax/movfuscator
https://github.com/cloudflare/cloudflared

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июля 2025 года Akira ransomware все чаще атакует сети брандмауэров SonicWall, используя вредоносные SSL-VPN-логины, которые обходят Многофакторную аутентификацию, чтобы получить быстрый доступ к корпоративной среде. Злоумышленники выполняют сканирование портов и внедряют программы-вымогатели в течение часа, используя такие инструменты, как Impacket и SoftPerfect Network Scanner для перемещения внутри компании и извлечения учетных данных. Вызывающим беспокойство фактором является использование CVE-2024-40766 для административных манипуляций, наряду с методами эксфильтрации данных с использованием таких инструментов, как rclone, после отключения параметров восстановления.
-----

С конца июля 2025 года наблюдается заметный рост числа атак Akira ransomware, специально нацеленных на сети межсетевого экрана SonicWall. Атаки включают вредоносные SSL-VPN-логины, которые обходят Многофакторную аутентификацию (MFA), позволяя злоумышленникам получить немедленный доступ к корпоративной среде. Получив доступ, злоумышленники выполняют серию быстрых маневров, включая сканирование портов и развертывание программ-вымогателей в течение часа или меньше. Была идентифицирована аномальная активность SMB, указывающая на перемещение внутри компании, часто с использованием Impacket для обнаружения.

Кампания продемонстрировала высокую степень автоматизации, при этом несколько входов в систему осуществлялись с использованием одного и того же IP-адреса, что позволяет предположить, что для использования скомпрометированных учетных записей могли использоваться скрипты. Первоначальный доступ, как правило, осуществляется с помощью инфраструктуры Виртуального выделенного сервера (VPS), в отличие от законных поставщиков широкополосных или управляемых услуг. Вызывающий беспокойство вектор атаки был связан с недавно раскрытым CVE-2024-40766, который позволял злоумышленникам манипулировать административными функциями в устройствах SonicWall.

Оказавшись внутри сети, злоумышленники незамедлительно приступают к внутреннему сканированию в течение нескольких минут, используя такие инструменты, как SoftPerfect Network Scanner, для перечисления объектов Active Directory (AD) и определения местоположения критически важных компонентов инфраструктуры. Они также выполнили сложные сценарии извлечения учетных данных, ориентированные на резервное копирование и репликацию Veeam. Эта возможность позволяет им скомпрометировать резервные учетные данные и создавать Доменные учетные записи, некоторые из которых имеют права администратора, используемые для дальнейшей эксплуатации и установки инструментов удаленного управления, таких как AnyDesk.

В попытке избежать обнаружения злоумышленники отключают существующие решения для удаленного управления и манипулируют Shadow Copy томов Windows, эффективно устраняя возможности восстановления с помощью резервного копирования данных. Методы эксфильтрации информации, используемые в этих атаках, включают использование инструмента rclone для передачи украденных данных из сети жертвы в места, размещенные на VPS.

Процессы шифрования программ-вымогателей характеризуются командами, которые идентифицируют подключенные сетевые ресурсы и нацеливаются на них. Быстрота этих атак подчеркивает важность механизмов раннего обнаружения, в частности мониторинга нетипичных входов в систему VPN и поведения при перемещении внутри компании. Организациям рекомендуется усилить меры безопасности и обеспечить всесторонний контроль как за внешней, так и за внутренней сетевой деятельностью, чтобы снизить риск подобных вторжений программ-вымогателей.

#ParsedReport #CompletenessMedium
25-09-2025

From Prompt to Payload: LAMEHUGs LLM-Driven Cyber Intrusion

https://www.splunk.com/en_us/blog/security/lamehug-ai-driven-malware-llm-cyber-intrusion-analysis.html

Report completeness: Medium

Threats:
Lamehug_tool
Spear-phishing_technique

Victims:
Windows users, Technology sector

Industry:
Government

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 12
Path: 2
Url: 1
Hash: 4

Soft:
Hugging Face, HuggingFace, Slack

Algorithms:
zip, base64

Functions:
LLM_QUERY_EX, Main, xlsx_open

Languages:
python

Links:
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content