#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2024 года злоумышленник Lunar Spider инициировал вторжение, развернув вредоносный файл JavaScript, что привело к установке загрузчика Brute Ratel, который внедрил вредоносное ПО Latrodectus в explorer.exe и установил связь С2. Злоумышленники использовали методы разведки и повышения привилегий, используя эксплойт Zerologon и методы перемещения внутри компании, такие как PsExec, для навигации по сети. Они провели обширную эксфильтрацию данных с помощью таких инструментов, как Rclone, поддерживали постоянный доступ с помощью различных типов вредоносных ПО и использовали тактику запутывания на протяжении всей атаки, хотя программы-вымогатели не использовались.
-----

В мае 2024 года началось вторжение, приписываемое злоумышленнику Lunar Spider, когда пользователь запустил вредоносный файл JavaScript, замаскированный под налоговую форму. Этот файл, связанный с группой Lunar Spider, содержал запутанный код, который запускал загрузку установщика MSI, который впоследствии развернул DLL-файл Brute Ratel с помощью утилиты Windows rundll32. После выполнения загрузчик Brute Ratel внедрил вредоносное ПО Latrodectus в explorer.exe процесс, устанавливающий связь командования и контроля (C2) с несколькими доменами.

Атака началась с обширной разведки примерно через час после первоначального доступа с использованием встроенных команд Windows для перечисления хостов и доменов. Последующие действия включали установление сеанса обратного подключения для удаленного доступа через VNC и доступ к unattend.xml файл для извлечения учетных данных администратора домена в виде открытого текста. Это способствовало значительному повышению привилегий, позволяя злоумышленнику использовать Cobalt Strike beacons для дальнейшего перемещения внутри компании по сети.

В течение почти двух месяцев злоумышленники периодически осуществляли командно-контрольную деятельность, осуществляя эксфильтрацию данных через Rclone и FTP. После входа в среду они внедрили несколько типов вредоносного ПО, включая Cobalt Strike и пользовательское .СЕТЕВОЙ бэкдор с именем lsassa.exe , который поддерживал связь с сервером C2 и собирал системные данные через регулярные промежутки времени. Методы перемещения внутри компании включали использование PsExec для развертывания маяков на дополнительных хостах, включая резервные копии и контроллеры домена.

Злоумышленник использовал различные уязвимости Windows, такие как эксплойт Zerologon (CVE-2020-1472) для перемещения внутри компании между системами, и использовал такие навыки, как Внедрение кода в процесс и методы UAC bypass. На протяжении всего вторжения они выполняли многочисленные команды обнаружения и запутывали свои команды, чтобы избежать обнаружения, а также использовали удаление файлов, чтобы помешать судебно-медицинскому анализу.

Сбор учетных записей осуществлялся систематически, ориентируясь на LSASS, программное обеспечение для резервного копирования и браузеры, а также на попытки извлечь учетные данные из решений Veeam для резервного копирования. Заключительные этапы атаки включали развертывание инструментария Rclone, который автоматизировал кражу конфиденциальных данных в облачное хранилище, контролируемое актором. Примечательно, что, несмотря на всесторонний доступ к критически важной инфраструктуре, во время этого масштабного вторжения не было никаких признаков развертывания программ-вымогателей.

В отчете подчеркивались важные признаки вредоносного поведения, такие как использование вредоносных полезных нагрузок, Внедрение кода в процесс, механизмы закрепления (включая ключи запуска реестра и запланированные задачи), а также запутанные шаблоны взаимодействия C2 из нескольких доменов. Методики кампании иллюстрируют изощренный подход к получению доступа, закреплению в среде жертв и систематическому сбору конфиденциальной информации в течение длительного периода.

#ParsedReport #CompletenessMedium
30-09-2025

Detour Dog: DNS Malware Powers Strela Stealer Campaigns

https://blogs.infoblox.com/threat-intelligence/detour-dog-dns-malware-powers-strela-stealer-campaigns/

Report completeness: Medium

Actors/Campaigns:
Hive0145

Threats:
Detour_dog
Strela_stealer
Starfish
Tofsee
Lospollos_tds_tool
Help_tds_tool
Webmonitor_rat
Fakecaptcha_technique
Vextrio_tds_tool

Industry:
Government

Geo:
Taiwan, Russian, Ukrainian, German, Kazakhstan, Moscow, Germany

IOCs:
Domain: 18
IP: 2
Url: 3
File: 4

Soft:
curl

Algorithms:
base64, zip

Languages:
javascript, php

Platforms:
apple, intel

Links:
https://github.com/infobloxopen/threat-intelligence/blob/main/indicators/csv/detour\_dog\_20250930\_iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 4, windows: 1, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Detour Dog использует DNS для перенаправления на многочисленных скомпрометированных веб-сайтах, эволюционируя и включая удаленное выполнение через систему управления на основе DNS (C2). В нем используются такие компоненты, как бэкдор StarFish, который позволяет загружать Strela Stealer, нацеленный на системы в основном в Европе с помощью фишингов электронных писем с вредоносными вложениями. Закрепление вредоносного ПО происходит из-за использования пуленепробиваемого хостинга и запутанных действий, что усложняет усилия по смягчению его последствий.
-----

Вредоносное ПО, известное как "Detour Dog", использует систему доменных имен (DNS) для выполнения тактики перенаправления на десятках тысяч скомпрометированных веб-сайтов по всему миру. С августа 2023 года был идентифицирован злоумышленник, стоящий за этим вредоносным ПО, который продолжает расширять свои функциональные возможности, выходя за рамки простого перенаправления, и в настоящее время развивается для включения команд удаленного выполнения через систему управления на основе DNS (C2). Операционная методология включает в себя выполнение DNS-запросов на стороне сервера, которые остаются необнаружимыми для посетителей, и условное перенаправление пользователей в зависимости от их географического местоположения и типа устройства.

Двумя основными компонентами вредоносного ПО, связанными с этой кампанией, являются "Бэкдор StarFish" и "Strela Stealer". Strela Stealer, впервые задокументированный в конце 2022 года, нацелен преимущественно на европейские страны с акцентом на Германию. Первоначальный метод распространения вредоносного ПО включает фишинг электронных писем с вредоносными вложениями, включая SVG-файлы, способные запускать обратный бэкдор оболочки, получивший название StarFish. Этот бэкдор не только облегчает точку входа, но и служит каналом для загрузки дополнительных полезных данных, таких как Strela Stealer.

После активации StarFish устанавливает регулярную связь с жестко запрограммированным сервером C2, используя определенную конечную точку. Он передает соответствующие данные, касающиеся зараженной системы, и сервер отвечает командами, включая возможные параметры выполнения. Один из ключевых механизмов включает включение строки "%SCRIPT%" в ответы сервера, запускающей последующие действия по локальным путям на зараженной машине.

Закрепление вредоносного ПО Detour Dog можно объяснить использованием пуленепробиваемых сервисов хостинга и преднамеренным запутыванием активности, что позволяет надолго заражать различные сайты. Переход операции от предоставления мошеннических услуг к внедрению возможностей по краже информации усилил усилия по мониторингу, направленные на отслеживание происхождения и продолжающейся деятельности вовлеченного злоумышленника.

С оборонительной стороны, были предприняты попытки сообщить о домене webdmonitor.io , связанный с Detour Dog, своему регистратору WebNIC, начиная с июня 2025 года. Хотя были получены ответы, свидетельствующие о некотором уровне осведомленности и действиях, домен в конечном счете оставался активным, несмотря на четкое представление о его вредоносных операциях. Это указывает на сохраняющиеся проблемы в борьбе с угрозами вредоносного ПО на основе DNS и сложности, связанные с устранением скомпрометированной инфраструктуры.

#ParsedReport #CompletenessLow
30-09-2025

Phishing for clues, part 2: Exploring a yearlong AiTM Phishing Campaign

https://www.orangecyberdefense.com/global/blog/cybersecurity/phishing-for-clues-part-2-exploring-a-year-long-aitm-phishing-campaign

Report completeness: Low

Threats:
Aitm_technique
Evilginx_tool

Victims:
Users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1204.001, T1204.002, T1557.003, T1566.002, T1583.001, T1608.001

IOCs:
Url: 22
File: 2
IP: 4
Domain: 17

Soft:
Telegram

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, расследуемая CyberSOC, включает в себя сложные методы, нацеленные на учетные записи пользователей во многих странах. Все начинается с того, что пользователи открывают HTML-вложения, которые выполняют файл JavaScript, перенаправляя их на поддельную страницу входа в OneDrive для получения учетных данных по электронной почте и Telegram. Несмотря на то, что многие связанные HTML-файлы не помечаются средствами обнаружения как вредоносные, злоумышленники проявляют закрепление, меняя свой JavaScript и используя различные сервисы хостинга.
-----

Недавнее расследование CyberSOC было посвящено годичной кампании фишинга, характеризующейся изощренными методами, направленными на компрометацию учетных записей пользователей. Считается, что эта кампания была нацелена на тысячи пользователей во многих странах. Начальная фаза атаки включает в себя открытие пользователями HTML-вложения, которое запускает выполнение файла JavaScript, содержащего домен с кодировкой base64. Этот код перенаправляет жертв на поддельную страницу OneDrive, предназначенную для сбора учетных данных.

В операции фишинга используется механизм перенаправления, связанный с платформой Evilginx, что очевидно из изменений в репозитории, связанных с кампанией атаки. Страница перенаправления структурирована таким образом, чтобы легко перенаправлять пользователей на поддельную форму входа в систему, чему способствует файл JavaScript с именем "home.js . " Когда пользователи пытаются войти в систему, их украденные учетные данные передаются злоумышленникам по электронной почте и Telegram, указывая четкий метод эксфильтрации данных.

Анализ кампании показал, что значительное количество HTML-файлов, связанных с активностью фишинга, не были обнаружены как вредоносные платформами безопасности, такими как VirusTotal, что указывает на значительный пробел в существующих возможностях обнаружения. Для борьбы с такими сложными угрозами фишинга решающее значение имеет внедрение решений по борьбе с фишингом, которые тщательно проверяют электронные письма на наличие подозрительного контента. Кроме того, организациям рекомендуется внедрять устойчивую к фишингу Многофакторную аутентификацию (MFA) для противодействия продвинутым платформам, таким как Evilginx, которые могут проникать сквозь традиционную защиту MFA.

Для дальнейшего снижения рисков следует разработать Политики условного доступа для ограничения доступа в случае успешной попытки фишинга. Постоянный мониторинг необходим для оперативного выявления любых нарушений и реагирования на них. Продолжающаяся адаптация злоумышленников очевидна, поскольку они часто меняют свои файлы JavaScript и используют различные сервисы хостинга, что подчеркивает постоянный характер этой кампании фишинга и необходимость принятия надежных мер безопасности для противодействия таким угрозам. Это расследование служит напоминанием о меняющемся ландшафте тактики фишинга и важности упреждающей защиты.

#ParsedReport #CompletenessMedium
30-09-2025

Breakingdown of Patchwork APT

https://labs.k7computing.com/index.php/breakingdown-of-patchwork-apt/

Report completeness: Medium

Actors/Campaigns:
Donot

Victims:
Government, Military

Industry:
Military

Geo:
Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1566, T1588

IOCs:
Path: 1
File: 10
Hash: 3
Url: 2

Soft:
Windows Scheduled Task, Twitter

Algorithms:
xor, base64

Functions:
xop, Protean, bkj, ghjk, dsffds, Charm

Win Services:
WebClient

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Patchwork APT, также известный как Dropping Elephant, действует по меньшей мере с 2015 года, в основном нацеливаясь на политические и военные организации в Южной и Юго-Восточной Азии. Группа характеризуется повторным использованием и модификацией существующего вредоносного ПО, а также изощренной тактикой социальной инженерии для обеспечения успешного проникновения. Их многоуровневые методы запутывания еще больше усложняют обнаружение, укрепляя их присутствие в качестве заметной угрозы в сфере кибербезопасности.
-----

Patchwork APT, также известная как Dropping Elephant, Monsoon и Hangover Group, действует по меньшей мере с 2015 года, уделяя основное внимание сбору политической и военной разведданных. Этот злоумышленник направляет свои усилия на организации в Южной и Юго-Восточной Азии, подчеркивая свою стратегическую нацеленность на критически важные секторы. Ключевой характеристикой Patchwork APT является его закрепление и адаптивность; вместо создания новых эксплойтов он часто повторно использует и модифицирует существующее вредоносное ПО и инструменты. Такой подход позволяет группе более эффективно реализовывать угрозы.

Группа известна тем, что использует сложные тактики социальной инженерии, которые играют ключевую роль в ее деятельности. Создавая индивидуальные приманки, которые, вероятно, будут резонировать с их целями, Patchwork APT повышает вероятность успешного проникновения. Кроме того, использование ими многоуровневых методов запутывания усложняет обнаружение и анализ их инструментов и методов. Следовательно, такое сочетание изобретательности, адаптивности и стратегического обмана позволило Patchwork APT поддерживать эффективное присутствие на рынке киберугроз, что делает их заметным актором для мониторинга в области кибербезопасности.

Запись вебинара: Скачать.
Архив с презентациями: Скачать .

#ParsedReport #CompletenessMedium
01-10-2025

WARMCOOKIE One Year Later: New Features and FreshInsights

https://www.elastic.co/security-labs/revisiting-warmcookie

Report completeness: Medium

Threats:
Warmcookie
Castlebot

Victims:
Unspecified organizations

Industry:
Financial

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 3
Path: 1
IP: 30
Domain: 1
Hash: 7

Algorithms:
sha256, rc4, sha1

Win API:
GetTickCount

Languages:
powershell

YARA: Found

Links:
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_downloads.toml
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/execution\_suspicious\_powershell\_execution.toml
have more...
https://github.com/elastic/protections-artifacts/blob/ecde1dfa1aaeb6ace99e758c2ba7d2e499f93515/behavior/rules/persistence\_scheduled\_task\_creation\_by\_an\_unusual\_process.toml

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор WARMCOOKIE претерпел значительные обновления, теперь для распространения используется загрузчик CASTLEBOT, что отражает переход к более сложным методам "вредоносное ПОкак услуга". Улучшения включают в себя улучшенные методы уклонения, введение идентификатора кампании для отслеживания и использование "банка строк" для скрытности, маскирующего свое присутствие с помощью законно звучащих путей. Вредоносное ПО продолжает развиваться, появляются новые обработчики команд и надежная инфраструктура с многочисленными серверами управления, что облегчает необнаруживаемую связь между вредоносным ПО и его операторами.
-----

За прошедший год бэкдор WARMCOOKIE продолжал развиваться, и Elastic Security Labs наблюдала за значительными обновлениями его кодовой базы и новой инфраструктуры, связанной с его распространением. Бэкдор теперь поставляется с использованием нового загрузчика вредоносного ПО по принципу "как услуга" (MaaS) под названием CASTLEBOT, что указывает на тенденцию к более сложным методам распространения. Выявленные возможности WARMCOOKIE включают в себя его способность запускать исполняемые файлы, библиотеки DLL и скрипты с помощью недавно введенных обработчиков команд, которые повышают его оперативную гибкость.

Со времени первоначальной публикации исследования в июле 2024 года были внесены заметные обновления, включая усовершенствования методов обхода вредоносного ПО и добавление поля идентификатора кампании. Это поле служит механизмом маркировки для операторов, помогая классифицировать инфекции и понимать конкретные используемые каналы распространения. Elastic Labs обнаружила, что WARMCOOKIE использует "банк строк", который состоит из путей, полученных из законных названий компаний, для имен запланированных задач и папок. Эта практика направлена на повышение скрытности за счет маскировки присутствия вредоносного ПО в системе, в отличие от предыдущих статичных и легко идентифицируемых путей.

Более того, параметры командной строки, ранее использовавшиеся WARMCOOKIE, были скорректированы, в частности, изменен параметр с "/p" на "/u" для планирования задач, что подчеркивает постоянные усилия разработчиков по внедрению прошлой тактики отчетности. Анализ бэкдора выявил постоянное появление новых вариантов, которые обладают различными обработчиками команд, демонстрируя активные усилия по разработке со стороны злоумышленников.

Инфраструктура, поддерживающая WARMCOOKIE, обширна, с многочисленными задокументированными IP-адресами серверов управления (C2), а также одним выдающимся SSL-сертификатом, который, вероятно, играет центральную роль в управлении внутренними операциями вредоносного ПО. Эти серверы C2 облегчают связь между зараженными системами и операторами вредоносного ПО, что еще больше делает его вредоносную деятельность незамеченной.

#ParsedReport #CompletenessHigh
01-10-2025

FunkSecs FunkLocker: How AI Is Powering the Next Wave of Ransomware

https://any.run/cybersecurity-blog/funklocker-malware-analysis/

Report completeness: High

Actors/Campaigns:
Funksec

Threats:
Funklocker
Funksec_ransomware
Promptlock
Lockbit
Wevtutil_tool
Vssadmin_tool
Mamona
Shadow_copies_delete_technique

Victims:
Government institutions, Defense sector, Technology companies, Financial services, Higher education

Industry:
Government, Software_development, Education

Geo:
Mongolia, Spain, India

TTPs:
Tactics: 4
Technics: 8

IOCs:
File: 4
Command: 1
Path: 1
Hash: 1

Soft:
Windows Defender, Chrome, Firefox, Steam, Windows Service, hrome, Firefox, E

Algorithms:
sha256

Languages:
java, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FunkSecs FunkLocker - это программа-вымогатель, управляемая искусственным интеллектом, которая использует шаблоны кодирования "фрагментов искусственного интеллекта" для развертывания, что приводит к нестабильному качеству программного обеспечения. Действующий с начала 2025 года, он нацелен на более чем 120 организаций в различных секторах, применяя агрессивную тактику прерывания работы, завершая работу приложений из предопределенного списка и широко используя PowerShell для операций шифрования. Примечательно, что он удаляет Shadow Copies томов Windows с помощью vssadmin, чтобы предотвратить восстановление системы, согласовывая свои методы со специфическими методами MITRE ATT&CK.
-----

FunkSecs FunkLocker представляет собой значительную эволюцию в области программ-вымогателей, использующих Искусственный интеллект для своей разработки и выполнения процессов. Этот штамм программ-вымогателей демонстрирует шаблоны кодирования "фрагментов искусственного интеллекта", позволяющие использовать оптимизированное, но непоследовательное кодирование, что может облегчить развертывание, но может повлиять на общее качество программного обеспечения. FunkLocker является частью более широкой тенденции вредоносного ПО, управляемого искусственным интеллектом, вслед за другими штаммами, такими как PromptLocker, и был активен в течение некоторого времени, публикуя заметное количество жертв на сайтах утечек Dark Web.

По состоянию на начало 2025 года FunkSec скомпрометировала более 120 организаций по всему миру, нацелившись на различные секторы, включая государственные структуры, оборону, технологии, финансовые услуги и высшие учебные заведения. Фаза выполнения FunkLocker является агрессивной; после активации она быстро прерывает процессы, останавливая приложения на основе заранее определенного списка. Этот метод грубой силы может привести к ошибкам, когда вредоносное ПО пытается завершить работу несуществующих приложений, демонстрируя недостаток изящества в его выполнении.

Вредоносное ПО широко использует PowerShell для осуществления своей вредоносной деятельности. Его команды структурированы таким образом, чтобы облегчить злоупотребление системой с акцентом на операции шифрования. Одним из важнейших аспектов программы-вымогателя FunkLocker является ее обработка Shadow Copies томов Windows, которые она удаляет с помощью администратора службы теневых томов (vssadmin). Поступая таким образом, FunkLocker эффективно устраняет у жертв возможность восстановить свои системы до предыдущих состояний, тем самым увеличивая влияние программы-вымогателя на пострадавшие организации.

С точки зрения безопасности FunkLocker соответствует специфическим методам MITRE ATT&CK, служащим основой для понимания его операционной механики. Появление искусственного интеллекта при разработке программ-вымогателей, примером чего является FunkSec, подчеркивает заметный сдвиг в том, как разрабатываются и выполняются такие угрозы. Командам безопасности настоятельно рекомендуется распознавать эти меняющиеся тенденции и соответствующим образом адаптировать свои стратегии, уделяя особое внимание постоянному мониторингу и превентивным мерам против таких изощренных атак программ-вымогателей.

#ParsedReport #CompletenessLow
01-10-2025

FlipSwitch: a Novel Syscall HookingTechnique

https://www.elastic.co/security-labs/flipswitch-linux-rootkit

Report completeness: Low

Threats:
Diamorphine_rootkit
Pumakit

Victims:
Linux users

ChatGPT TTPs:
do not use without manual check
T1014

Soft:
Linux

Functions:
somehow, we

Platforms:
x86

YARA: Found

Links:
have more...
https://github.com/1337-42/FlipSwitch-dev/
https://github.com/torvalds/linux/blob/v6.9/arch/x86/entry/syscall\_64.c

#ParsedReport #GeneratedSchema
Generated with GPT-4