#ParsedReport #CompletenessLow
12-09-2025

Sidewinder APT leverages Nepal protests to push mobile malware

https://strikeready.com/blog/sidewinder-apt-leverages-nepal-protests-to-push-mobile-malware/

Report completeness: Low

Actors/Campaigns:
Sidewinder (motivation: information_theft)

Victims:
Mobile users interested in nepal protests

Industry:
Government

Geo:
Nepal

ChatGPT TTPs:
do not use without manual check
T1204, T1566

IOCs:
Domain: 2
Path: 1
IP: 1
Hash: 3

Soft:
Android

Languages:
php

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2025-09-10%20sidewinder%20targets%20nepal

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sidewinder использует сложную целенаправленную атаку на продолжающиеся протесты в Непале для распространения вредоносного ПО для мобильных устройств, используя беспорядки в качестве приманки для социальной инженерии. Эта стратегия нацелена на людей, которые ищут информацию о протестах, извлекая выгоду из политически напряженной обстановки. Акцент на мобильном вредоносном ПО подчеркивает повышенный риск для пользователей, особенно в регионах, сталкивающихся с социально-политическими потрясениями, поскольку злоумышленники адаптируют свои методы для использования событий реального мира.
-----

Sidewinder, сложная целенаправленная атака, адаптировала свою тактику для использования продолжающихся протестов в Непале, используя беспорядки в качестве вектора распространения вредоносного ПО для мобильных устройств. Поскольку эта геополитическая ситуация развивается после запрета Социальных сетей и обвинений в коррупции в правительстве, злоумышленник использует общественный интерес к этим событиям, чтобы нацелиться на конкретных пользователей.

Стратегия группы по проведению сложных целенаправленных атак предполагает использование протестов в качестве приманки социальной инженерии для распространения вредоносного ПО, направленного на заражение мобильных устройств людей, которые могут запрашивать информацию о протестах. Эта тактика подчеркивает сохраняющуюся тенденцию, когда хакерские группировки используют события реального мира, чтобы склонить жертв к использованию вредоносного контента. Сочетание политически напряженной atmosphere и социальных потрясений создает благодатную почву для таких целенаправленных нападений.

Акцент на мобильном вредоносном ПО особенно примечателен, учитывая распространенность использования мобильных устройств среди протестующих и тех, кто стремится быть в курсе событий. Приспосабливая свой подход к контексту протестов, Sidewinder сложная целенаправленная атака является примером стратегической модификации методов для повышения вероятности успешного проникновения в целевую демографическую группу. Это изменение фокуса подчеркивает необходимость повышения бдительности пользователей, особенно в регионах, переживающих социально-политические потрясения, поскольку они могут столкнуться с угрозами, заложенными в кажущихся безобидными сообщениях, связанных с текущими событиями.

#ParsedReport #CompletenessLow
13-09-2025

Echoleak- Send a prompt , extract secret from Copilot AI!( CVE-2025-32711)

https://www.seqrite.com/blog/echoleak-send-a-prompt-extract-secret-from-copilot-ai-cve-2025-32711/

Report completeness: Low

Threats:
Echoleak_vuln

Victims:
Microsoft 365 copilot users

CVEs:
CVE-2025-32711 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


Soft:
Microsoft Office, Outlook

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость EchoLeak (CVE-2025-32711) в Microsoft 365 Copilot представляет серьезную угрозу безопасности, поскольку позволяет злоумышленникам извлекать конфиденциальные данные без участия пользователя с помощью эксплойта с нулевым щелчком мыши. Этот недостаток вызывает опасения по поводу утечки информации и целостности приложений ИИ, подчеркивая необходимость повышения безопасности интегрированных с ИИ систем на фоне их растущего использования для управления конфиденциальной информацией. В исследовании подчеркиваются риски, связанные с недостаточной защитой таких технологий.
-----

Уязвимость EchoLeak, идентифицированная как CVE-2025-32711, представляет собой серьезную угрозу безопасности, связанную с Microsoft 365 Copilot, инструментом искусственного интеллекта, интегрированным в различные приложения Microsoft Office, такие как Word и Excel. Этот эксплойт с нулевым щелчком мыши позволяет злоумышленникам извлекать конфиденциальную информацию из AI assistant, не требуя прямого взаимодействия с пользователем, например, перехода по ссылке или открытия электронного письма. Уязвимость подчеркивает потенциальную опасность, которую могут представлять агенты ИИ при недостаточной защите, что отражает более широкие последствия для безопасности систем, интегрированных с ИИ.

Исследователи подчеркнули, что эта уязвимость облегчает эксфильтрацию секретов непосредственно из функций второго пилота, тем самым вызывая опасения по поводу утечки данных и целостности приложений искусственного интеллекта на рабочих местах. Поскольку инструменты искусственного интеллекта становятся все более распространенными при обработке конфиденциальной информации, этот эксплойт служит предупреждением относительно мер безопасности, которым необходимо уделять приоритетное внимание для предотвращения манипуляций и несанкционированного доступа.

#ParsedReport #CompletenessMedium
13-09-2025

You re invited: Four phishing lures in campaigns dropping RMM tools

https://redcanary.com/blog/threat-intelligence/phishing-rmm-tools/

Report completeness: Medium

Threats:
Itarian_tool
Simplehelp_tool
Atera_tool
Pdq_connect_tool
Hijackloader
Deerstealer
Screenconnect_tool

Victims:
Windows desktop users

Industry:
Government, Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1041, T1071.001, T1105, T1204.001, T1204.002, T1219, T1497.001, T1566.002, T1583.001, have more...

IOCs:
Domain: 25
Url: 4
File: 27
Hash: 11
IP: 1

Soft:
Google Chrome, Chrome, SysInternals, Microsoft Teams, Zoom, Microsoft Excel, Android, Telegram, Cloudflare R2

Win API:
arc

Languages:
javascript

Platforms:
intel, apple, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании по фишингу нацелены на пользователей Windows, используя тактику социальной инженерии для предоставления инструментов удаленного мониторинга и управления (RMM). Злоумышленники используют различные приманки, включая поддельные обновления браузера и Имперсонацию законного программного обеспечения, такого как Microsoft Teams, часто в комплекте с инструментами RMM, такими как Atera и ScreenConnect. Вредоносные скрипты извлекают информацию об устройстве и передают ее на серверы командования и контроля (C2), что указывает на организованную попытку использовать доверие к аутентичному программному обеспечению и правительственным коммуникациям для развертывания RMM.
-----

Недавнее исследование Red Canary Intelligence и Zscaler выявило серию кампаний фишинга, в которых используются тактики социальной инженерии для предоставления инструментов удаленного мониторинга и управления (RMM), специально предназначенных для пользователей Windows. В кампаниях используются различные приманки, включая поддельные обновления браузера, приглашения на собрания, вечеринки и Имперсонацию бланков правительства США.

Поддельная приманка для обновления браузера предлагает пользователям веб-страницу, на которой утверждается, что необходимо обновить браузер для доступа к ожидаемому контенту. Эта тактика эффективна, поскольку ранее она использовалась другими семействами вредоносных ПО, причем обнаруженные случаи были связаны со скомпрометированными спортивными веб-сайтами и попытками получить доступ к доменам медицинского обслуживания. Злоумышленники внедряют скрипты, которые извлекают информацию, такую как сведения об устройстве, которая затем отправляется на сервер командования и контроля (C2).

В дополнение к поддельному обновлению браузера кампании также выдают себя за законные программные приложения, такие как Microsoft Teams, Excel и Zoom, чтобы отказаться от инструментов RMM, таких как Atera, PDQ и ScreenConnect. Эти инструменты либо поставляются в комплекте с законным программным обеспечением, либо маскируются под установщики, чтобы избежать подозрений пользователей, и часто имеют названия, похожие на подлинное программное обеспечение (например, MicrosoftTeams.msi).

Приманка для приглашения на вечеринку работает аналогичным образом, используя созданную тему для распространения файла MSI, Маскировки под "Электронное приглашение" или "Средство просмотра партийных карточек". Кроме того, было выявлено использование электронных писем с фишингом, выдающих себя за формы правительства США, такие как формы W9 или заявления о социальном страховании. Эти электронные письма приводят к различным развертываниям RMM, указывая на то, что несколько инструментов могут выполняться быстро и последовательно.

Для борьбы с этими угрозами организациям крайне важно внедрять надежные меры безопасности. Это влечет за собой ведение утвержденного списка инструментов и мониторинг несанкционированного программного обеспечения RMM, учитывая риск эксплуатации, связанный с законными инструментами. Защитные механизмы, такие как изоляция браузера и бдительность в отношении подозрительных регистраций доменов, могли бы помочь в раннем обнаружении и сдерживании этих попыток фишинга.

Были выделены несколько доменов и URL-адресов, используемых в этих кампаниях, включая вредоносные серверы C2, связанные с инструментами SimpleHelp и ScreenConnect. В анализе подчеркивается важность осведомленности организации о наличии вредоносных сообщений, особенно тех, которые напоминают законные обновления программного обеспечения или государственные формы, для снижения потенциальных рисков безопасности.

#ParsedReport #CompletenessLow
13-09-2025

Uncloaking VoidProxy: a Novel and Evasive Phishing-as-a-Service Framework

https://sec.okta.com/articles/uncloakingvoidproxy/

Report completeness: Low

Threats:
Voidproxy_tool
Aitm_technique
Bec_technique

ChatGPT TTPs:
do not use without manual check
T1102, T1204.002, T1205, T1550.004, T1557.002, T1566.003, T1583.001, T1583.006, T1584.005, T1586.002, have more...

IOCs:
Url: 2
Domain: 4

Soft:
gatekeeper, Office 365, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidProxy - это продвинутая операция "фишинг как услуга", использующая скомпрометированные Учетные записи эл. почты от авторитетных провайдеров для распространения фишинг-приманок, тем самым обходя спам-фильтры. Как только пользователи подключаются к этим приманкам, их учетные данные — часто Microsoft или Google — собираются с помощью прокси-сервера Account in the Middle (AitM), который позволяет беспрепятственно перехватывать сеансы. В ходе операции используется сложная инфраструктура с эфемерными интерфейсами и стабильной Бессерверной инфраструктурой, что повышает ее устойчивость к обнаружению.
-----

Анализ, проведенный Okta Threat Intelligence, выявил сложную операцию "Фишинг как услуга" (PhaaS) под названием VoidProxy, характеризующуюся многоуровневой тактикой атаки и инновационными методами уклонения. Жизненный цикл атаки состоит из нескольких отдельных этапов, которые повышают ее эффективность против ничего не подозревающих пользователей.

Изначально VoidProxy использует скомпрометированные Учетные записи эл. почты от известных поставщиков услуг электронной почты (ESP), таких как Constant Contact и Active Campaign. Используя эти доверенные учетные записи для рассылки фишинг-приманок, операция позволяет обойти спам-фильтры, которые обычно защищают пользователей от вредоносных электронных писем. Эта тактика создает ложное чувство безопасности у целей, повышая их вероятность использования фишингов -контента.

Как только пользователь взаимодействует с приманкой, его браузер связывается с Cloudflare Worker, который действует как привратник и загрузчик приманки. Роль этого сотрудника является ключевой, поскольку он фильтрует входящий трафик, гарантируя, что только пользователи, прошедшие определенные испытания, будут перенаправлены на страницу фишинга. Архитектура эффективно отделяет начальный этап фильтрации от фактической операции фишинга, повышая вероятность успешного сбора учетных записей.

После ввода их учетных данных, обычно связанных с учетными записями Microsoft или Google, информация передается на основной сервер VoidProxy, который использует учетную запись в промежуточной (AitM) прокси-атаке. Этот сложный метод позволяет злоумышленникам беспрепятственно перехватывать сеансы пользователей, обеспечивая постоянный доступ к учетным записям, не вызывая подозрений.

Инфраструктура, лежащая в основе VoidProxy, особенно сложна. Он использует сочетание эфемерных интерфейсов с высокой текучестью, которые, вероятно, не будут обнаружены, и более стабильного бэкенда, размещенного на архитектуре Бессерверной инфраструктуры. Такая конструкция повышает оперативную устойчивость, усложняя усилия защитников по смягчению последствий.

#ParsedReport #CompletenessMedium
13-09-2025

Mac.c stealer evolves into MacSync: Now with a backdoor

https://moonlock.com/macc-stealer-macsync-backdoor

Report completeness: Medium

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Amos_stealer
Clickfix_technique

Industry:
Healthcare

Geo:
America, Germany, Ukraine

ChatGPT TTPs:
do not use without manual check
T1041, T1059, T1059.002, T1071.001, T1102, T1560

IOCs:
Hash: 2
Url: 3
Domain: 16
File: 1

Soft:
macOS, Cloudflare Turnstile, BurpSuite, curl

Algorithms:
sha256, zip

Languages:
applescript

Platforms:
arm, apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО MacSync, разработанное актором, известным как "mentalpositive", является эволюцией более ранней версии Mac.c stealer, расширяющей ее возможности с помощью бэкдора на базе Go для сложных операций по краже данных. Используя полезную нагрузку AppleScript, он собирает конфиденциальную информацию, такую как учетные данные пользователей и криптовалютные кошельки, сжимает данные и отправляет их на сервер управления с помощью пользовательского запроса POST. Новые схемы обнаружения указывают на его распространение по Европе и Северной Америке, что свидетельствует о заметной эскалации его деятельности в области киберугроз.
-----

Программа-похититель Mac.c, разработанная злоумышленником, использующим псевдоним "mentalpositive", превратилась в более изощренное вредоносное ПО, известное как MacSync. Первоначально запущенный в апреле 2025 года, mac.c отличался отсутствием скрытности и функциональных возможностей, но завоевал популярность благодаря своей низкой стоимости. Значительным достижением MacSync является интеграция бэкдора на базе Go, который расширяет его функциональность, выходя за рамки простой кражи информации.

Фундаментальным механизмом MacSync остается полезная нагрузка AppleScript, которая активно собирает конфиденциальные данные, включая учетные данные пользователей и криптовалютные кошельки. Эти собранные данные сжимаются в zip-файл с именем /tmp/salmonela.zip и отфильтровывается через POST-запрос на назначенный сервер командования и контроля (C2), в частности https://meshsorterio.com/api/data/receive , использующий пользовательский заголовок (X-Bid) для различения своего трафика.

После запуска бэкдор MacSync запускается как фоновый процесс, выполняя первоначальную регистрацию на сервере C2 через POST-запрос в /api/external/machines/me. Это устанавливает связь для целей командования и контроля. Анализ двоичного файла также выявляет внутреннюю схему JSON, которая включает в себя такие ключи, как "os", "arch", "username" и "exit_code", которые являются неотъемлемой частью его работы и взаимодействия с сервером C2. Результаты тестирования указывают на то, что агент может выполнять произвольные команды, полученные с сервера, что свидетельствует о значительных эксплуатационных возможностях.

Сравнение с другим вариантом вредоносного ПО, AMOS, подчеркивает ключевые различия; в то время как AMOS включает компоненты на основе зашумленного C, которые могут быть легко обнаружены системами обнаружения конечных точек и реагирования (EDR), использование MacSync более совершенной архитектуры потенциально позволяет обеспечить более скрытную связь и работу.

Появляющаяся телеметрия с CleanMyMac от MacPaw указывает на то, что MacSync начал распространяться по различным регионам, с заметными показателями обнаружения в Европе и Северной Америке, что подчеркивает его растущее влияние на ландшафт киберугроз. В целом, переход с mac.c на MacSync иллюстрирует стратегический сдвиг в инструментарии злоумышленника, отдающий приоритет эффективности доступа и извлечения, а не первоначальному виду и сложности.

#ParsedReport #CompletenessLow
13-09-2025

Introducing HybridPetya: Petya/NotPetya copycat with UEFI Secure Boot bypass

https://www.welivesecurity.com/en/eset-research/introducing-hybridpetya-petya-notpetya-copycat-uefi-secure-boot-bypass/

Report completeness: Low

Threats:
Hybridpetya
Petya
Eternal_petya
Notpetyaagain
Blacklotus
Bootkitty
Logofail_vuln

Geo:
Ukraine, Poland

CVEs:
CVE-2022-21894 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-7344 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-7433 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-26200 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 6
Technics: 12

IOCs:
Email: 2
File: 2
Hash: 11

Soft:
Hyper-V

Crypto:
bitcoin

Algorithms:
exhibit, base58, salsa20

Win API:
NtRaiseHardError

Languages:
rust

Links:
https://github.com/FirstBlood12/RedPetyaOpenSSL
https://github.com/microsoft/secureboot\_objects/blob/main/Archived/dbx\_info\_msft\_1\_14\_25.json
https://github.com/rdp-studio/NotPetyaAgain
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года была идентифицирована новая программа-вымогатель под названием HybridPetya, характеризующаяся компонентом буткита, который использует CVE-2024-7344 для обхода защиты UEFI Secure Boot. HybridPetya использует метод деструктивной атаки, аналогичный своим предшественникам, Petya и NotPetya, и изменяет конфигурацию системы, чтобы включить шифрование с использованием алгоритма Salsa20. Это программное обеспечение-вымогатель иллюстрирует тревожную тенденцию в разработке вредоносного ПО, подчеркивая возможности буткита UEFI, которые подрывают существующие меры безопасности.
-----

В июле 2025 года была идентифицирована серия образцов программ-вымогателей, напоминающих печально известные Petya и NotPetya вредоносное ПО, что привело к обозначению этих новых образцов как HybridPetya. Эта программа-вымогатель обладает общими характеристиками с обоими предшественниками, используя методы, предназначенные для деструктивных атак, а не для эффективного шифрования. Одной из примечательных особенностей HybridPetya является ее способность обходить защиту UEFI Secure Boot, используя CVE-2024-7344.

HybridPetya состоит из буткита и установщика, с особым акцентом на компонент буткита UEFI. После выполнения буткит извлекает свою конфигурацию из файла \EFI\Microsoft\Boot\config и проверяет состояние флага шифрования. Если флаг установлен в 0, что указывает на то, что система не зашифрована, буткит извлекает ключ шифрования Salsa20 и одноразовый номер из данных конфигурации. Он перезаписывает конфигурационный файл с обнуленным ключом шифрования и флагом шифрования, установленным на 1, затем шифрует файл \EFI\Microsoft\Boot\verify, используя алгоритм Salsa20. Перед началом процесса шифрования диска он создает файл с именем \EFI\Microsoft\Boot\counter в системном разделе EFI.

Если система уже зашифрована, что отражается флагом шифрования, равным 1, буткит представляет уведомление о выкупе, которое имитирует стиль NotPetya, но отличается суммой выкупа, биткоин-адресом и связанным с ним адресом электронной почты для связи. Примечательно, что биткоин-адрес остается неизменным в разных версиях Ransomware.

Анализ также касается метода установки буткита UEFI от HybridPetya, подчеркивая, что доступные в настоящее время установщики не учитывают сценарии безопасной загрузки UEFI. Однако наличие варианта, использующего UEFI Secure Boot bypass, было подтверждено с помощью анализа архива, обнаруженного на VirusTotal, который включал буткит, упакованный с файлом cloak.dat, относящимся к CVE-2024-7344.

HybridPetya дополняет растущий список буткитов UEFI, способных обходить средства защиты при безопасной загрузке, включая ранее выявленные угрозы, такие как BlackLotus, BootKitty и бэкдор Hyper-V, подтверждающий концепцию. Эта тенденция подчеркивает растущую распространенность и интерес к методам обхода защищенной загрузки UEFI при разработке вредоносного ПО, что свидетельствует об опасной эволюции ландшафта киберугроз.

#ParsedReport #CompletenessLow
13-09-2025

Operation Eastwood: Measuring the Real Impact on NoName057(16)

https://www.imperva.com/blog/operation-eastwood-measuring-the-real-impact-on-noname05716/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism, propaganda, politically_motivated, sabotage)
Akatsuki_cyber_team (motivation: hacktivism, politically_motivated)
Hezi_rash (motivation: hacktivism, politically_motivated)
Red_wolf (motivation: hacktivism, politically_motivated)
Cyber_lami (motivation: hacktivism, politically_motivated)
Nullsec_philippines (motivation: hacktivism, politically_motivated)

Threats:
Ddosia_botnet

Victims:
Government websites, Police websites, Municipal websites, Media websites, Private sector websites

Industry:
Government, Critical_infrastructure

Geo:
Iranian, Israeli, Belgium, Russian, France, Italy, Czechia, Poland, Ukraine, Italian, Spain, Romania, Lithuania, Spanish, Russia, Moscow, German, Germany

ChatGPT TTPs:
do not use without manual check
T1090, T1498, T1587.001

Soft:
Telegram

#ParsedReport #ExtractedSchema

Classified images:
schema: 1