#ParsedReport #CompletenessLow
29-09-2025

Dont Sweat the *Fix Techniques

https://www.huntress.com/blog/dont-sweat-clickfix-techniques

Report completeness: Low

Threats:
Clickfix_technique
Filefix_technique
Terminalfix_technique
Downloadfix_technique
Seo_poisoning_technique

Industry:
Military

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1059.003, T1071.001, T1105, T1189, T1204.001, T1204.002, T1566, T1608.004, have more...

IOCs:
File: 14
IP: 3
Url: 5
Domain: 3

Soft:
macOS, Linux, curl, Windows File Explorer, Google Chrome, Windows Explorer, trycloudflare, chrome

Functions:
getElementById, createElement, setTimeout, writeText, setClipboardCopyData, removeChild, removeEventListener, createObjectURL

Languages:
powershell, javascript

Links:
https://gist.github.com/tyler-bohlmann/87cc53d1ca2c4dcf222b604aab6f4dfd/raw/c72af203c96fbe8624e0f47afacd51541fcb1f8b/downloadfix\_fake\_download.js
have more...
https://github.com
https://gist.github.com/tyler-bohlmann/87cc53d1ca2c4dcf222b604aab6f4dfd#file-downloadfix\_fake\_download-js

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, chats: 1, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ClickFix, используемая злоумышленниками для первоначального доступа, основана на социальной инженерии, позволяющей манипулировать пользователями в обход мер безопасности. Все начинается с телеметрии процесса, включающей explorer.exe , который порождает conhost.exe и curl.exe для загрузки вторичной полезной нагрузки с вредоносных веб-сайтов, которые перехватывают функциональность буфера обмена. Такие варианты, как FileFix и TerminalFix, используют аналогичные методы, используя пользовательские подсказки для выполнения команд, подчеркивая необходимость взаимодействия с пользователем для облегчения этих атак.
-----

Технология ClickFix стала распространенной среди злоумышленников в качестве средства первоначального доступа, использующего поведение человека для обхода средств защиты и работы на нескольких платформах. Этот метод может быть основан на двух основных факторах: просмотр веб-страниц, который включает в себя Вредоносную рекламу, скомпрометированные веб-сайты и Отравление поисковой оптимизации(SEO), а также фишинг электронной почты. Он умело манипулирует пользователями, используя в своих интересах их склонность искать немедленные решения предполагаемых проблем, что часто приводит к тому, что они пренебрегают привлечением ИТ-специалистов или групп по кибербезопасности.

Анализ методологии ClickFix начинается с телеметрии процесса, где цепочка заражения обычно начинается с explorer.exe , используя окно запуска Windows для выполнения кода. Этот процесс порождает дочерний процесс, conhost.exe , который используется для прокси-сервера cmd.exe казнь. Впоследствии, curl.exe выполняется для загрузки и запуска дополнительной полезной нагрузки. Первоначальному компрометированию способствует злонамеренно разработанный веб-сайт, который перехватывает функциональность пользовательского буфера обмена, часто дополняемый поддельными вставками Cloudflare, чтобы скрыть попытки фишинга и повысить вовлеченность пользователей.

Механизм заманивания точно отражает ClickFix, но подчеркивает взаимодействие с пользователем посредством приглашения открыть проводник Windows. Это действие запускает собственное приложение навигации по файлам операционной системы, побуждая пользователей неосознанно инициировать процессы, которые приводят к атаке. Такие варианты, как FileFix и TerminalFix, следуют аналогичным процессам выполнения. FileFix имеет более простую структуру, которую можно увидеть, когда chrome.exe вызывает команду PowerShell, которая запрашивает файл из туннеля Cloudflare для немедленного выполнения. TerminalFix оптимизирован еще больше, работая исключительно с помощью единого процесса PowerShell, который использует пользовательский ввод для выполнения команд, генерируя минимальную телеметрию, хотя могут возникать вариации в зависимости от конкретных команд, предоставляемых злоумышленником.

Для того чтобы эти методы были эффективными, необходимы три основных условия: наличие вредоносного веб-сайта, взаимодействие с пользователем, подтверждающее личность человека, и выполнение предоставленного кода конечным пользователем. Варианты в основном отличаются тем, как они убеждают пользователя выполнить эти команды. Стратегии обнаружения таких атак должны быть сосредоточены на первоначальных полезных нагрузках, которые вызывают интерпретаторы сценариев для выполнения вредоносного кода, с особым упором на мониторинг процессов, исходящих из explorer.exe или веб-браузеров, и защиту исходящих сетевых подключений для выявления вторичных полезных нагрузок, размещенных удаленно.

#ParsedReport #CompletenessHigh
25-09-2025

Olymp Loader: A new Malware-as-a-Service written in Assembly

https://outpost24.com/blog/olymp-loader-a-new-malware-as-a-service/

Report completeness: High

Actors/Campaigns:
Olympo

Threats:
Olymp_loader
Lumma_stealer
Stealc
Code_cave_technique
Olymp_botnet
Amadey
Putty_tool
Webrat
Salatstealer
Quasar_rat
Raccoon_stealer
Kleenscan_tool
Brsteal
Browsersnatch
Olymp_crypter
Uac_bypass_technique
Process_injection_technique
Snatch_ransomware
Ultrasurf_tool

Victims:
Software developers, General users downloading legitimate software, Cryptocurrency users

Geo:
Russian

TTPs:
Tactics: 10
Technics: 15

IOCs:
Domain: 1
File: 6
Hash: 24
Url: 4

Soft:
Telegram, Windows Defender, Node.js, OpenSSL, Zoom, Capcut, SumatraPDF, Nuitka, Chrome, 7Star, have more...

Wallets:
electrum, wassabi, bitcoincore

Crypto:
monero

Algorithms:
zip, xor

Languages:
powershell, java, javascript, python, php

Platforms:
intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Olymp Loader - это недавно идентифицированное вредоносное ПО "как услуга" (MaaS), разработанное группой "OLYMPO", написанное на языке ассемблера и продаваемое как полностью необнаруживаемое. Методы распространения включают двоичные файлы, замаскированные под легальное программное обеспечение на таких платформах, как GitHub, и доставку через вредоносное ПО Amadey. После развертывания он предоставляет средства сбора информации об учетных данных и ПО для удаленного доступа, часто отключающие защитника Windows, и предлагает пользовательские модули для операций по краже, что делает его доступным для менее опытных злоумышленников.
-----

Olymp Loader - это новое вредоносное ПО "как услуга" (MaaS), появившееся с июня 2025 года и продаваемое группой, известной как "OLYMPO", на подпольных форумах и платформах, таких как Telegram. Код вредоносного ПО полностью написан на языке ассемблера и рекламируется как полностью необнаруживаемый (FUD). Точное число его активных пользователей неясно, но наблюдается заметная популярность: почти сотня подписчиков в его Telegram-канале предлагают обзоры и обсуждения.

Методы распространения Olymp Loader остаются несколько неоднозначными из-за его недавнего появления, но были выявлены способы заражения. Например, на GitHub были обнаружены два двоичных файла с Olymp Loader, Маскировки под легальное программное обеспечение, такое как Node.js . Такая тактика, скорее всего, введет в заблуждение разработчиков, которые ищут законную загрузку. Загрузчик иногда поставляется в качестве дополнительной полезной нагрузки с помощью вредоносного ПО Amadey, что намекает на возможную модель доставки с оплатой за установку (PPI) его клиентами.

При развертывании Olymp Loader в первую очередь служит для внедрения в скомпрометированные системы средства обработки учетных данных и ПО для удаленного доступа. Исследования показали, что различные образцы часто предназначены для отключения защитника Windows перед выполнением их полезной нагрузки. Наиболее распространенными инструментами постинфицирования вредоносного ПО являются LummaC2, WebRAT, QasarRAT и Raccoon, демонстрирующие четкую стратегию максимального увеличения кражи данных и компрометации системы.

Несколько итераций Olymp Loader уже были загружены для тестирования на VirusTotal, раскрывая такие методы, как запуск процесса из командной строки, копирование в каталог AppData и выполнение оттуда. В его последних обновлениях функциональность, связанная с ботнете, была удалена, а полезные нагрузки более тесно интегрированы и выполняются сразу после победы над защитником Windows.

Создатели Olymp Loader также внедрили пользовательские модули для клиентов, которые могут взаимодействовать через выделенный API. Эти модули способны выполнять различные операции по краже, включая модуль Telegram stealer, браузер stealer и криптокошелек stealer, нацеленный на несколько криптовалютных платформ. Такая гибкость позволяет даже менее опытным злоумышленникам эффективно использовать вредоносное ПО, одновременно увеличивая потенциал для широкомасштабного использования.

#ParsedReport #CompletenessLow
25-09-2025

First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails

https://www.koi.security/blog/postmark-mcp-npm-malicious-backdoor-email-theft

Report completeness: Low

Actors/Campaigns:
Postmark-mcp

Victims:
Software development, Email users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1114, T1195, T1199, T1204, T1546, T1553

IOCs:
Domain: 1
File: 1
Email: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Postmark, вредоносная модификация пакета postmark-mcp, продемонстрировал серьезные уязвимости в управлении зависимостями программного обеспечения, затронув многочисленные среды разработчиков с более чем 1500 еженедельными загрузками. Представленный в версии 1.0.16, он использовал простую модификацию кода для передачи конфиденциальной информации, такой как сброс пароля и внутренние заметки, на сервер злоумышленника, подчеркивая, как доверенные зависимости могут быть использованы в злонамеренных целях. Этот инцидент выявляет риски в экосистеме управляемых облачных пакетов, подчеркивая важность тщательной оценки безопасности программного обеспечения сторонних производителей.
-----

Появление бэкдора Postmark, идентифицированного как вредоносная модификация пакета postmark-mcp, выявило значительные уязвимости в управлении зависимостями программного обеспечения в средах разработчиков. Благодаря более чем 1500 загрузкам в неделю этот пакет был интегрирован в многочисленные рабочие процессы. Ключевое изменение произошло с выходом версии 1.0.16, в которой появилось подозрительное поведение, которое потребовало расследования с помощью механизма управления рисками в Koi. После анализа исследователи обнаружили, что модифицированный пакет незаметно передавал электронные письма, включая конфиденциальную информацию, такую как сброс пароля, счета-фактуры и внутренние заметки, на персональный сервер, контролируемый злоумышленником.

Используемый метод атаки отличается особой простотой, но эффективен, демонстрируя, как одна строка кода может превратить законный инструмент в средство для кражи тысяч конфиденциальных электронных писем. Этот инцидент подчеркивает тревожную тенденцию, при которой законное программное обеспечение становится скомпрометированным только после завоевания широкого доверия и интеграции в производственные среды. Бэкдор не был активирован случайным образом; вместо этого он использовал установившуюся зависимость пользователей от пакета, эффективно превращая доверенную зависимость в носителя вредоносного ПО.

Последствия этой атаки выходят за рамки конкретного экземпляра postmark-mcp, поднимая вопросы о более широкой устойчивости и безопасности экосистемы MCP (управляемых облачных пакетов). Архитектура таких систем, в которой внешние пакеты и зависимости используются автоматически без тщательной проверки во время выполнения, создает среду, пригодную для эксплуатации. Злоумышленники могут манипулировать этими рабочими процессами, внедряя вредоносный код в популярные пакеты, тем самым подрывая доверие к методам разработки программного обеспечения.

Этот инцидент служит важным напоминанием о необходимости тщательной оценки безопасности сторонних пакетов, даже тех, которые кажутся безвредными и широко используемыми. Зависимость от автоматизации без надлежащего надзора может привести к значительным рискам для безопасности, как продемонстрировал случай с postmark-mcp. Бэкдор postmark демонстрирует, как легко интегрированные инструменты могут превратиться в источники значительных утечек данных, подчеркивая необходимость повышенной бдительности при управлении зависимостями программного обеспечения.

#ParsedReport #CompletenessLow
29-09-2025

The Fake Bureau of Investigation: How Cybercriminals Are Impersonating Government Pages

https://www.varonis.com/blog/fbi-phishing-website

Report completeness: Low

Threats:
Seo_poisoning_technique
Spear-phishing_technique

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.001, T1566.002, T1583.001, T1584.001, T1608.006, T1647, T1659

IOCs:
Domain: 31

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют искусственный интеллект и продвинутое кодирование для создания фишинг-сайтов, которые полностью имитируют законные правительственные страницы, усложняя идентификацию вредоносного контента пользователями. Примечательной тактикой является Отравление поисковой оптимизации (SEO), при котором они оптимизируют эти фишингов сайты для получения результатов поиска, одновременно добавляя элементы официального брендинга, такие как логотип ФБР, для обмана пользователей. В отчете ФБР за 2024 год подчеркивается, что фишинг и спуфинг являются ведущими угрозами, подчеркивая, что традиционное обучение пользователей может оказаться недостаточным для борьбы с этими сложными схемами.
-----

Киберпреступники все чаще используют искусственный интеллект и сложные методы кодирования для создания сайтов фишинга, которые очень напоминают законные правительственные веб-страницы, что значительно затрудняет пользователям проведение различия между подлинным и вредоносным контентом. ФБР выделило фишинг и спуфинг в качестве наиболее часто регистрируемых видов преступлений в своем ежегодном отчете Центра рассмотрения жалоб на интернет-преступления за 2024 год (IC3), в котором подчеркивается критический риск, связанный с такой тактикой Имперсонации.

Один из методов, используемых этими недобросовестными акторами, включает в себя Отравление поисковой оптимизации (SEO), когда они оптимизируют вредоносные сайты, чтобы они появлялись в верхней части результатов поиска по таким терминам, как "сообщить о киберпреступности". В рамках этой тактики они используют такие методы, как включение логотипа ФБР в качестве значка, чтобы еще больше ввести пользователей в заблуждение. Жертвы часто упускают из виду критические признаки обмана, непреднамеренно получая доступ к этим сайтам, выдающим себя за другие, которые предназначены для сбора конфиденциальной информации.

Фишинг и спуфинг стали серьезными проблемами для организаций, поскольку традиционная подготовка пользователей недостаточна для борьбы с этими передовыми методами Имперсонации. Поскольку сотрудники все чаще используют интернет-браузеры для выполнения различных задач, возрастает опасность стать жертвой этих изощренных атак фишинга. Меняющаяся тактика, применяемая киберпреступниками, требует более надежного подхода к обеспечению безопасности, который выходит за рамки базовой осведомленности, потенциально включая внедрение передовых решений искусственного интеллекта для целей мониторинга и обнаружения.

Таким образом, пересечение стратегий искусственного интеллекта и целенаправленной Имперсонации продолжает формировать ландшафт киберугроз, требуя повышенной бдительности и адаптивных мер безопасности как от отдельных лиц, так и от организаций.

#ParsedReport #CompletenessHigh
25-09-2025

DeceptiveDevelopment: From primitive crypto theft to sophisticated AI-based deception

https://www.welivesecurity.com/en/eset-research/deceptivedevelopment-from-primitive-crypto-theft-to-sophisticated-ai-based-deception/

Report completeness: High

Actors/Campaigns:
Famous_chollima (motivation: financially_motivated, cyber_espionage)
Wagemole
Contagious_interview
Dev_popper
Lazarus
Dream_job

Threats:
Beavertail
Invisibleferret
Flexibleferret
Tsunami_framework
Signbt
Tropidoor
Akdoortea
Clickfix_technique
Ottercookie
Anydesk_tool
Pylangghost
Tsunami_botnet
Xmrig_miner
Nbminer
Akdoor
Spear-phishing_technique
Process_injection_technique

Victims:
Software developers, Cryptocurrency sector, Web3 projects, Job seekers, Headhunters, Recruiters

Industry:
Financial

Geo:
Russia, Ukraine, Ukrainian, Albania, Poland, China, France, North korean, North korea, Asia

TTPs:
Tactics: 7
Technics: 16

IOCs:
File: 5
Path: 1
IP: 9
Hash: 28
Domain: 3

Soft:
Linux, macOS, Microsoft Defender, Node.js

Algorithms:
rc4, zip, xor, base64

Languages:
javascript, python, powershell

Links:
https://github.com/eset/malware-ioc/tree/master/deceptivedevelopment

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeceptiveDevelopment, северокорейская хакерская группировка, занимается киберпреступлениями с финансовой мотивацией с 2023 года, в первую очередь нацеливаясь на разработчиков программного обеспечения в сфере криптовалют и Web3, используя методы социальной инженерии, такие как поддельные профили рекрутеров. Их арсенал вредоносного ПО включает BeaverTail для первоначальных заражений, а также WeaselStore и InvisibleFerret RAT, который превратился в сложный инструментарий под названием TsunamiKit, предназначенный для кражи криптовалют. Группа демонстрирует адаптивность в своей тактике, сотрудничая с WageMole и используя уязвимости лиц, ищущих работу, для улучшения своей деятельности.
-----

DeceptiveDevelopment, хакерская группировка, связанная с Северной Кореей, превратилась в изощренную организацию, занимающуюся киберпреступлениями на финансовой почве, по крайней мере, с 2023 года. Эта группа действует совместно с другой организацией, известной как WageMole, в которую входят северокорейские ИТ-специалисты. DeceptiveDevelopment в первую очередь ориентирована на разработчиков программного обеспечения в основных операционных системах — Windows, Linux и macOS — с особым акцентом на тех, кто занимается криптовалютами и проектами Web3. Методы работы группы включают использование методов социальной инженерии, включая создание поддельных профилей рекрутеров на таких платформах, как LinkedIn и Upwork, чтобы заманить жертв к загрузке троянских баз кода под видом проблем с кодированием.

Основными семействами вредоносных ПО группы являются BeaverTail, OtterCookie, WeaselStore и троян удаленного доступа InvisibleFerret (RAT). Начальная стадия заражения инициируется через BeaverTail, который доставляется с помощью, казалось бы, безобидных задач, требующих от жертв загрузки проектов из скомпрометированных репозиториев на таких платформах, как GitHub. Вредоносное ПО по мере его развития также включает новые компоненты, такие как WeaselStore, разработанные различными командами внутри группы в соответствии с их операционными потребностями. К концу 2024 года вредоносное ПО InvisibleFerret претерпело значительные обновления, что привело к внедрению нового сложного инструментария вредоносного ПО, получившего название TsunamiKit, разработанного специально для сбора криптовалюты и информации.

Группа компаний DeceptiveDevelopment продемонстрировала способность модифицировать и адаптировать свои инструменты, о чем свидетельствует появление WeaselStore и TsunamiKit. Конкретные кампании, подобные тем, которые исследовали исследователи ESET, иллюстрируют растущую сложность их ландшафта угроз. В ситуациях, когда вредоносное ПО включало ранее неизвестный браузер - модуль похитителя данных включал значительный закодированный сегмент, это подчеркивало сложность их операций.

Дальнейшее расследование связей группы с северокорейскими ИТ-работниками выявило сеть сотрудничества с общими Учетными записями эл.почты и профилями на GitHub, отмеченными между группами. Эти связи предполагают, что, хотя DeceptiveDevelopment и WageMole действуют как отдельные организации, существует существенное сотрудничество и обмен информацией. Такая синергия повышает их общую эффективность при проведении операций по борьбе с киберпреступностью.

Тактика, методы и процедуры (TTP) DeceptiveDevelopment отражают стратегическую опору на социальную инженерию и использование легкодоступных инструментов, а не чисто техническое мастерство. Их кампании используют уязвимость людей, ищущих работу с непреодолимыми финансовыми стимулами, подчеркивая растущую тенденцию использования уязвимости людей к кибератакам. В целом, DeceptiveDevelopment иллюстрирует прагматичный подход в сфере киберпреступности, сочетающий социальную инженерию с адаптивным внедрением вредоносного ПО для достижения значительных финансовых целей.

#ParsedReport #CompletenessMedium
26-09-2025

From SEO Poisoning to Malware Deployment: Malvertising campaign uncovered

https://conscia.com/blog/from-seo-poisoning-to-malware-deployment-malvertising-campaign-uncovered/

Report completeness: Medium

Threats:
Seo_poisoning_technique
Lolbin_technique
Oyster

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1105, T1189, T1218, T1553.002, T1573, T1588.003, T1608.006

IOCs:
Domain: 4
File: 3
IP: 2
Hash: 1

Soft:
Microsoft Teams, Microsoft Defender

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по Вредоносной рекламе, начатая 25 сентября 2025 года, использовала законные результаты поиска для перенаправления пользователей на вредоносные сайты в течение 11 секунд, используя автоматизированный процесс. Вредоносное ПО использовало действительный сертификат для Подписи исполняемого кода, что усложняло усилия по обнаружению, и было идентифицировано как вариант Backdoor. Oyster Этот инцидент иллюстрирует растущую изощренность киберугроз, включая использование злоумышленниками законных инструментов для обхода традиционных средств защиты.
-----

Недавняя кампания по Вредоносной рекламе подчеркивает растущую сложность и скорость современных киберугроз, когда злоумышленники используют сложные методы, которые обходят традиционные методы обнаружения. Инцидент начался 25 сентября 2025 года, когда правила Microsoft Defender по уменьшению поверхности атаки (ASR) вызвали предупреждение из-за подозрительных исходящих подключений из недавно запущенного файла. Это действие положило начало расследованию, которое выявило тщательно спланированную атаку, использующую SEO-манипуляции и действительные Сертификаты подписи кода для доставки вредоносного ПО.

Центральным элементом этой кампании был механизм автоматического перенаправления, который перенаправлял пользователей с законных результатов поиска на вредоносные сайты в течение тревожных 11 секунд, что указывает на целенаправленное использование стратегий Вредоносной рекламы. Такой быстрый переход предполагает использование автоматизированного процесса, предназначенного для компрометации пользователей без ручного ввода данных.

По мере углубления расследования было обнаружено, что вредоносное ПО использовало действительный сертификат для Подписи исполняемого кода - тактика, которая становится все более распространенной, поскольку злоумышленники стремятся избежать обнаружения системами безопасности. Такое злоупотребление сертификатами представляет собой серьезную проблему для традиционных антивирусных решений, которые в основном полагаются на методы обнаружения на основе сигнатур, которые можно обойти.

Потенциальные последствия этой атаки вредоносного ПО были серьезными, с признаками того, что это был вариант бэкдора Oyster, также известного под такими названиями, как Broomstick или CleanUpLoader. Существование этого бэкдора подчеркивает возможности задействованного семейства вредоносных ПО, выявляя потенциальный значительный ущерб, если бы атака не была перехвачена правилами ASR.

Ключевые выводы из этого инцидента отражают более широкие тенденции в области киберугроз. Злоумышленники постоянно адаптируются, используя законные системные утилиты новыми способами, чтобы избежать обнаружения. Мероприятие подчеркивает важность хорошо настроенной политики ASR, которая доказала свою эффективность в предотвращении этой изощренной атаки. Более того, это повышает осведомленность критиков о неправильном использовании сертификатов с коротким сроком действия, которые используются в качестве оружия для обхода стандартных мер безопасности.

#ParsedReport #CompletenessHigh
29-09-2025

From a Single Click: How Lunar Spider Enabled a Near Two-Month Intrusion

https://thedfirreport.com/2025/09/29/from-a-single-click-how-lunar-spider-enabled-a-near-two-month-intrusion/

Report completeness: High

Actors/Campaigns:
Lunar_spider (motivation: financially_motivated)
Vice_society

Threats:
Brc4_tool
Cobalt_strike_tool
Latrodectus
Rclone_tool
Nltest_tool
Adfind_tool
Zerologon_vuln
Metasploit_tool
Rustscan_tool
Process_injection_technique
Icedid
Keyhole_tool
Dll_injection_technique
Uac_bypass_technique
Blackcat
Powerview_tool
Nmap_tool
Credential_harvesting_technique
Psexec_tool
Paexec_tool
Winrm_tool

Industry:
Critical_infrastructure

Geo:
Russian, German

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 0

IOCs:
File: 38
Url: 16
IP: 42
Command: 9
Domain: 17
Registry: 2
Path: 11
Hash: 30

Soft:
Active Directory, PsExec, Speakeasy, Windows authentication, Windows security, Chrome, Google Chrome, Microsoft Edge, Yandex Browser, Vivaldi, Comodo Dragon, have more...

Algorithms:
xor, crc-32, zip, rc4, exhibit

Functions:
CreateNoWindow, Settings

Win API:
LoadLibraryA, CreateRemoteThread, NetBIOS, NtMapViewOfSection

Win Services:
Webclient

Languages:
javascript, powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/sadshade/veeam-creds
https://github.com/The-DFIR-Report/Yara-Rules/blob/main/28761/28761.yar
have more...