#ParsedReport #CompletenessLow
13-09-2025

Operation Eastwood: Measuring the Real Impact on NoName057(16)

https://www.imperva.com/blog/operation-eastwood-measuring-the-real-impact-on-noname05716/

Report completeness: Low

Actors/Campaigns:
Noname057 (motivation: hacktivism, propaganda, politically_motivated, sabotage)
Akatsuki_cyber_team (motivation: hacktivism, politically_motivated)
Hezi_rash (motivation: hacktivism, politically_motivated)
Red_wolf (motivation: hacktivism, politically_motivated)
Cyber_lami (motivation: hacktivism, politically_motivated)
Nullsec_philippines (motivation: hacktivism, politically_motivated)

Threats:
Ddosia_botnet

Victims:
Government websites, Police websites, Municipal websites, Media websites, Private sector websites

Industry:
Government, Critical_infrastructure

Geo:
Iranian, Israeli, Belgium, Russian, France, Italy, Czechia, Poland, Ukraine, Italian, Spain, Romania, Lithuania, Spanish, Russia, Moscow, German, Germany

ChatGPT TTPs:
do not use without manual check
T1090, T1498, T1587.001

Soft:
Telegram

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Иствуд", начатая 16 июля 2025 года, была нацелена на пророссийскую хактивистскую группу NoName057(16), известную проведением крупномасштабных DDoS-атак с марта 2022 года с использованием инструмента под названием DDOSIA для краудсорсинга. В ходе операции правоохранительные органы захватили более 100 серверов и арестовали ключевых участников, в то время как NoName057(16) продолжал свои атаки, главным образом на правительственные сайты Италии и Германии. После операции группа пережила временное затишье в деятельности, что указывало на оперативные неудачи, но все же сумела перегруппироваться и адаптироваться, что отражает устойчивость и эволюционирующие стратегии таких хакерских группировок.
-----

Операция "Иствуд", начатая 16 июля 2025 года Европолом при поддержке правоохранительных органов по всему миру, была направлена против пророссийской хактивистской группы NoName057(16). Действуя с марта 2022 года, NoName057(16) организовал многочисленные крупномасштабные DDoS-атаки на веб-сайты правительства, СМИ и частного сектора, в первую очередь в Украине и странах, которые его поддерживают. Группа действует подобно организованному сообществу, а не скрытной организации, используя Telegram для координации деятельности и поощрения членов. Они используют инструмент под названием DDOSIA, который позволяет добровольцам участвовать в атаках, заполняя выбранные веб-сайты трафиком. Эта краудсорсинговая модель позволяет проводить одновременные атаки на различные цели, подкрепленные стимулированием с помощью криптовалютных вознаграждений для активных участников.

В ходе операции "Иствуд" правоохранительные органы изъяли более 100 серверов и задержали центральных фигур группировки во Франции и Испании, одновременно выдав ордера на арест других членов и предупредив добровольцев об их причастности. Примечательно, что даже во время проведения операции NoName057(16) продолжал свои атаки, публикуя ежедневные списки целей в соответствии с их обычным оперативным темпом. Они сосредоточились на правительственных и муниципальных веб-сайтах Италии и Германии, которые вновь стали основными объектами их внимания, и их активность возросла после периода бездействия в июне.

Несмотря на заявления NoName057(16) о том, что операция не повлияет на их деятельность, они столкнулись с заметной тишиной сразу после операции, продолжавшейся с 18 по 22 июля, без сообщений о нападениях или списков целей. Эта пауза наводит на мысль о том, что операция вынудила группу столкнуться с реальными техническими проблемами, указывая на неудачу, которая противоречит их публичным заявлениям о преемственности. Хотя воздействие операции "Иствуд" было значительным — не совсем разрушительным, — оно высветило эффективность международного сотрудничества в борьбе с киберпреступностью.

Впоследствии NoName057(16) смог перегруппироваться и в конечном итоге возобновить операции, подчеркнув устойчивость, которая позволила им адаптироваться и потенциально усилить свою деятельность за счет новых альянсов. Этот оперативный сдвиг иллюстрирует динамичную природу хакерских группировок и служит напоминанием о текущих проблемах, создаваемых такими группами, как NoName057(16).

#ParsedReport #CompletenessLow
11-09-2025

F6 and RuStore blocked over 600 domains that distributed the Android Trojan DeliveryRAT

https://www.f6.ru/blog/android-troyan-deliveryrat/

Report completeness: Low

Actors/Campaigns:
Bonvi_team

Threats:
Deliveryrat

Victims:
Android users

Industry:
Foodtech, E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1583.001, T1584.001, T1621

IOCs:
IP: 1
Domain: 406

Soft:
RuStore, Android, Telegram, WhatsApp, Viber

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeliveryRAT, троян для Android, обнаруженный в середине 2024 года, нацелен на мобильные устройства для кражи денег и конфиденциальных данных, используя ботов Telegram для направления пользователей на поддельные веб-сайты, на которых размещены вредоносные APK-файлы. Аналитики заблокировали 604 домена, связанных с его распространением, выявив сложную инфраструктуру атаки. Автоматизированное внедрение вредоносного ПО позволяет даже неквалифицированным злоумышленникам легко распространять его, демонстрируя тревожную тенденцию в автоматизации киберпреступлений.
-----

Аналитики F6 и RuStore приняли серьезные меры против распространения DeliveryRAT, троянца для Android, обнаруженного летом 2024 года. Это вредоносное ПО нацелено на мобильные устройства с целью кражи денег и конфиденциальных данных. Чтобы смягчить эту угрозу, аналитики заблокировали 604 домена, которые были неотъемлемой частью операционной инфраструктуры злоумышленников, подчеркнув обширную сеть, поддерживающую распространение вредоносного ПО.

Принцип работы DeliveryRAT заключается в использовании специальных ботов Telegram, которые генерируют ссылки, направляющие пользователей на поддельные веб-сайты. На этих сайтах размещаются вредоносные APK-файлы, которые ничего не подозревающие жертвы загружают под видом законных приложений. Автоматизированная функциональность этой схемы позволяет даже лицам, не обладающим глубокими техническими знаниями, участвовать в мошенничестве, расширяя его охват.

Мошеннические группы, действующие в Telegram, являются примером растущей тенденции в киберпреступности, когда содействие совершению преступлений становится все более автоматизированным. Такая высокая степень автоматизации процесса не только упрощает создание Вредоносных ссылок, но и увеличивает потенциал для широкого распространения вредоносного ПО, не требуя от злоумышленников значительных усилий или опыта. Таким образом, DeliveryRAT представляет собой заслуживающую внимания угрозу в экосистеме Android, используя тактику социальной инженерии в сочетании с автоматизированными инфраструктурами для эффективного снижения безопасности пользователей.

#ParsedReport #CompletenessLow
09-09-2025

The Price of Free: How Nulled Plugins Are Used to Weaken Your Defense

https://www.wordfence.com/blog/2025/09/the-price-of-free-how-nulled-plugins-are-used-to-weaken-your-defense/

Report completeness: Low

Victims:
Wordpress site owners, Website administrators

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1098, T1132, T1505.003, T1546, T1562.001

IOCs:
File: 2
Hash: 6

Soft:
WordPress

Algorithms:
md5

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по распространению вредоносного ПО использует недействительные плагины WordPress для создания бэкдора и нарушения безопасности веб-сайта. Вредоносное ПО активируется через бэкдор, запускаемый по URL-адресу, во время действия инициализации WordPress и может отключать меры безопасности путем создания или повышения прав учетных записей пользователей с правами администратора, обеспечивая постоянный контроль для злоумышленников. Кроме того, он использует методы CSS и JavaScript для косметических манипуляций, чтобы скрыть свое присутствие, что затрудняет администраторам обнаружение и устранение угрозы.
-----

Команда Wordfence по анализу угроз обнаружила кампанию вредоносного ПО, которая использует "обнуленные плагины", которые являются несанкционированными версиями премиум-плагинов WordPress, измененных третьими лицами. Кампания представляет значительный риск не только для веб-сайтов, но и ставит под угрозу существующие средства защиты, позволяя злоумышленникам сохранять постоянный доступ. Эта манипуляция эффективно превращает разработчиков или владельцев сайтов в непреднамеренных соучастников снижения защиты своего сайта.

После анализа основной тактикой этого вредоносного ПО является его функция бэкдора, которая активируется с помощью действия инициализации WordPress, гарантируя, что она работает при каждой загрузке страницы. Вредоносное ПО остается неактивным до тех пор, пока в URL-запросе не будет обнаружен определенный триггер. После активации он может отключить меры безопасности, введенные Wordfence или альтернативными решениями безопасности. Этот вариант обеспечивает закрепление путем создания новой учетной записи администратора или повышения привилегий существующего пользователя, гарантируя, что злоумышленники сохранят контроль над скомпрометированным сайтом, даже если первоначальный бэкдор будет устранен.

В дополнение к установлению доступа через черный ход, вредоносное ПО использует косметические методы взлома. Он использует определенные правила CSS и JavaScript для управления внешним видом административных интерфейсов. Скрывая вредоносный плагин с главной страницы плагинов и скрывая результаты работы сканера Wordfence, злоумышленники мешают администраторам распознавать угрозы безопасности или устранять их, включая проблемы, которые вредоносное ПО проинструктировало сканер игнорировать.

Эта атака служит важным напоминанием об уязвимостях, присущих использованию плагинов с нулевым уровнем защиты, и подчеркивает важность обеспечения безопасности сайтов WordPress с помощью лучших практик. Установка законных плагинов и тем непосредственно из надежных источников имеет важное значение для защиты от таких скрытых угроз. В целом, эта кампания является примером того, как стремление к экономии средств с помощью незаконных средств может непреднамеренно расширить возможности хакеров, позволяя им отключать средства безопасности, использовать бэкдоры и создавать несанкционированный административный доступ.

#ParsedReport #CompletenessMedium
13-09-2025

EvilAI Operators Use AI-Generated Code and Fake Apps for Far-Reaching Attacks

https://www.trendmicro.com/en_us/research/25/i/evilai.html

Report completeness: Medium

Threats:
Evilai
Justaskjacky

Victims:
Manufacturing, Government public services, Healthcare

Industry:
Retail, Government, Healthcare, Education

Geo:
Middle east, United kingdom, Brazil, Africa, France, Germany, Canada, India, Asia, Spain, Italy, Americas, Norway

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1105, T1204, T1553, T1573

IOCs:
File: 13
Command: 4
Path: 16
Hash: 9
Domain: 1
Url: 5

Soft:
Node.js, Windows Registry, Microsoft Edge, Google Chrome, chrome

Algorithms:
aes, aes-256-cbc, murmur3, base64

Functions:
u, unref

Languages:
powershell, javascript, swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 8, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы EvilAI используют сгенерированный искусственным интеллектом код и социальную инженерию для распространения вредоносного ПО, которое маскируется под законные приложения, что усложняет усилия по обнаружению. Вредоносное ПО извлекает конфиденциальные данные браузера и взаимодействует с серверами управления с использованием шифрования AES, демонстрируя быстрое глобальное распространение, особенно в Европе и Северной и Южной Америке. Он функционирует главным образом как промежуточный, устанавливая закрепление в зараженных системах и потенциально активируя компонент infostealer на последующих этапах.
-----

Операторы EvilAI используют сгенерированный искусственным интеллектом код и методы социальной инженерии для проведения широкомасштабной кампании, которая маскирует вредоносное ПО под законные приложения, усложняя усилия по обнаружению. Это вредоносное ПО в первую очередь маскируется под инструменты повышения производительности и искусственного интеллекта, оснащенные профессиональными интерфейсами и действительными цифровыми подписями, что затрудняет пользователям и системам безопасности выявление его вредоносной природы. Кампания набирает обороты во всем мире, с заметной концентрацией инфекций в Европе, Северной и Южной Америке и регионе AMEA, затрагивая такие секторы, как производство, правительство и здравоохранение.

Вредоносное ПО умело извлекает конфиденциальные данные браузера, поддерживая зашифрованную связь со своими серверами управления с помощью шифрования AES. Это позволяет ит-отделу беспрепятственно получать команды злоумышленника и развертывать дополнительные полезные нагрузки. Данные телеметрии указывают на быстрое и агрессивное распространение инфекций EvilAI: мониторинг выявил 56 инцидентов в Европе, за которыми последовали 29 инцидентов в обеих Америках и регионах AMEA. Такой обширный охват подчеркивает постоянный характер кампании EvilAI, которая не проявляет никаких признаков изолированной угрозы.

EvilAI использует изощренную тактику уклонения, гарантируя, что ее вредоносное программное обеспечение очень похоже на легальные приложения на каждом уровне. Это достигается за счет тщательного отбора правдоподобных имен файлов, управляемых утилитами, которые, хотя и не имитируют известные бренды, выглядят аутентичными и подходящими для намеченной цели. Такая тактика направлена на укрепление доверия пользователей и снижение уровня контроля, облегчая развертывание и эксплуатацию вредоносного ПО.

Текущая роль вредоносного ПО EvilAI заключается в основном в качестве промежуточного продукта, предназначенного для получения первоначального доступа и закрепления в зараженных системах, подготавливая почву для последующих полезных нагрузок. Анализ его поведения в изолированных средах и телеметрия в режиме реального времени позволяют предположить, что на последующих этапах может быть активирован дополнительный компонент infostealer, хотя конкретные возможности этой полезной нагрузки остаются в значительной степени неизвестными. Этот уклончивый характер создает серьезные проблемы для защиты от кибербезопасности, что делает крайне важным для организаций совершенствовать свои методы кибергигиены и применять сложные защитные меры для противодействия угрозам, основанным на искусственном интеллекте, таким как EvilAI.

#ParsedReport #CompletenessLow
13-09-2025

Inboxfuscation: Because Rules Are Meant to Be Broken

https://permiso.io/blog/inboxfuscation-because-rules-are-meant-to-be-broken

Report completeness: Low

Threats:
Inboxfuscation_technique
Right-to-left_override_technique

Victims:
Enterprise environments

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.003, T1114

IOCs:
Email: 2
File: 2

Soft:
Microsoft Exchange, Outlook, Graph API

Functions:
Get-InboxRule, Find-ObfuscatedInboxRules

Languages:
powershell

Links:
have more...
https://github.com/Permiso-io-tools/Inboxfuscation

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Правила почтовых ящиков Microsoft Exchange стали ключевой мишенью для групп, занимающихся сложными целенаправленными атаками, в частности, с помощью метода, называемого Inboxfuscation, который использует обфускацию Unicode для создания скрытых вредоносных правил. Эти правила используют такие методы, как двунаправленные текстовые элементы управления и нулевые символы Юникода, чтобы избежать обнаружения, усложняя видимость и извлечение скомпрометированных правил. Следовательно, злоумышленники могут манипулировать поведением почтовых ящиков "Входящие", например, неправильно перенаправлять электронные письма в папки календаря или применять правила ко всем сообщениям, что усложняет обнаружение для систем безопасности.
-----

Правила почтовых ящиков Microsoft Exchange стали важным вектором атак для групп сложных целенаправленных атак с использованием сложных целенаправленных атак, нацеленных на поддержание закрепления и упрощение эксфильтрации данных. Недавно внедренный метод, получивший название Inboxfuscation, использует сложные методы запутывания на основе Unicode для создания вредоносных правил для почтовых ящиков, которые трудно обнаружить традиционным системам мониторинга безопасности. Исторически сложилось так, что эти вредоносные правила были легко идентифицируемы благодаря использованию бросающихся в глаза ключевых слов и простым действиям, таким как удаление сообщения или пересылка на почтовый ящик, контролируемый злоумышленником.

Inboxfuscation использует двунаправленные текстовые элементы управления, в частности, символы right-to-left override, для управления отображением текста в рамках правил почтового ящика, тем самым расширяя их возможности по обфускации. Злоумышленники могут использовать различные функциональные приемы запутывания для выполнения действий, которые усложняют обнаружение. Например, один из методов предполагает пересылку электронных писем непосредственно в папку календаря, что делает их невидимыми для пользователей, поскольку Outlook не отображает эти электронные письма простым способом.

Кроме того, злоумышленники могут создавать правила, в которых используются нулевые символы Unicode (`\u0000`), тем самым нарушая работу службы правил входящих сообщений и делая ее недоступной для просмотра и восстановления. Другая стратегия предполагает использование пробела, в результате чего правило применяется ко всем сообщениям, поскольку каждое электронное письмо содержит по крайней мере один пробел. Аналогично, условие правила "Входящие", которое ссылается на размер сообщения, можно изменить, чтобы оно применялось ко всем электронным письмам, выбрав минимальный размер менее 1024 байт, который серверная часть нормализует до 0 байт, таким образом, правило применяется повсеместно.

Для обнаружения и реагирования платформа Inboxfuscation framework предоставляет метод аудита правил работы с почтовыми ящиками в нескольких форматах журналов Exchange. Специалисты по безопасности могут выполнять комплексную проверку почтовых ящиков на наличие обфускации в Unicode и выполнять исторический анализ журналов аудита для выявления предыдущих признаков компрометации.

Таким образом, платформа Inboxfuscation framework предоставляет специалистам по безопасности необходимые инструменты для выявления и снижения рисков, связанных с этими сложными атаками на правила почтовых ящиков Microsoft Exchange.

#ParsedReport #CompletenessMedium
13-09-2025

SEO Poisoning Attack Targets Chinese-Speaking Users with Fake Software Sites

https://www.fortinet.com/blog/threat-research/seo-poisoning-attack-targets-chinese-speaking-users-with-fake-software-sites

Report completeness: Medium

Threats:
Seo_poisoning_technique
Hiddengh0st
Winos

Victims:
Chinese speaking users

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1056.001, T1071.001, T1105, T1112, T1204.002, T1218.007, T1497.001, have more...

IOCs:
File: 19
Registry: 4
Path: 9
Domain: 9
IP: 4
Hash: 10

Soft:
Windows Installer, Windows Defender, Telegram

Crypto:
tether, ethereum

Algorithms:
sha256, base64, aes, zip

Languages:
jscript, powershell

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО, нацеленная на пользователей, говорящих на китайском языке, использует поисковую систему SEO poisoning ( employso employs для маскировки под законное программное обеспечение DeepL, включая вредоносный установщик, содержащий вредоносную библиотеку DLL EnumW.dll . После запуска вредоносное ПО повышает привилегии и использует методы антианализа, чтобы избежать обнаружения, такие как мониторинг родительских процессов и проверка наличия изолированных сред. Он устанавливает связь C2, позволяя отслеживать активность пользователей и эксфильтрацию данных, обеспечивая при этом закрепление в зависимости от присутствия конкретного приложения.
-----

FortiGuard Labs выявила кампанию вредоносного ПО, нацеленную на китайскоязычных пользователей посредством поисковой системы SEO poisoning ( througho through). Вредоносное ПО маскируется под законное программное приложение, объединяя вредоносный установщик с реальным программным обеспечением DeepL. Установщик содержит вредоносный DLL-файл с именем EnumW.dll , который повышает привилегии до статуса администратора при выполнении. Он извлекает файлы в системные папки, такие как C:\ProgramData и C:\Program Файлы (x86). Перечислять.библиотека dll использует методы антианализа, проверяя свой родительский процесс и выполняя проверку целостности в режиме ожидания. Он также проверяет таблицы ACPI, чтобы избежать обнаружения в изолированной среде или средах виртуальных машин.

Кроме того, другая библиотека DLL, vstdlib.dll , создает раздел реестра Software\DeepSer, содержащий расшифрованный шелл-код, который извлекает конечную полезную нагрузку, выполненную в памяти. Такой подход сводит к минимуму риски обнаружения с помощью криминалистических инструментов. Вредоносное ПО обладает основными функциями, включая сердцебиение, мониторинг и связь по каналу Управления (C2). В функции Heartbeat мьютекс предотвращает запуск нескольких экземпляров. Значение gun.metric для соединений C2 определяется на основе текущей даты и времени системы, используемых для шифрования передачи данных.

Он может идентифицировать существующие решения безопасности в системе жертвы, чтобы избежать конфликтов. Файл маркера помещается в общедоступный каталог при успешном подключении C2, что влияет на меры по закреплению. Команды C2 обеспечивают мониторинг активности пользователей, эксфильтрацию данных, ведение журнала нажатий клавиш и управление результатами задач, что указывает на организованный характер злоумышленника, стоящего за этой кампанией.