#ParsedReport #CompletenessLow
09-09-2025

The Price of Free: How Nulled Plugins Are Used to Weaken Your Defense

https://www.wordfence.com/blog/2025/09/the-price-of-free-how-nulled-plugins-are-used-to-weaken-your-defense/

Report completeness: Low

Victims:
Wordpress site owners, Website administrators

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1098, T1132, T1505.003, T1546, T1562.001

IOCs:
File: 2
Hash: 6

Soft:
WordPress

Algorithms:
md5

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по распространению вредоносного ПО использует недействительные плагины WordPress для создания бэкдора и нарушения безопасности веб-сайта. Вредоносное ПО активируется через бэкдор, запускаемый по URL-адресу, во время действия инициализации WordPress и может отключать меры безопасности путем создания или повышения прав учетных записей пользователей с правами администратора, обеспечивая постоянный контроль для злоумышленников. Кроме того, он использует методы CSS и JavaScript для косметических манипуляций, чтобы скрыть свое присутствие, что затрудняет администраторам обнаружение и устранение угрозы.
-----

Команда Wordfence по анализу угроз обнаружила кампанию вредоносного ПО, которая использует "обнуленные плагины", которые являются несанкционированными версиями премиум-плагинов WordPress, измененных третьими лицами. Кампания представляет значительный риск не только для веб-сайтов, но и ставит под угрозу существующие средства защиты, позволяя злоумышленникам сохранять постоянный доступ. Эта манипуляция эффективно превращает разработчиков или владельцев сайтов в непреднамеренных соучастников снижения защиты своего сайта.

После анализа основной тактикой этого вредоносного ПО является его функция бэкдора, которая активируется с помощью действия инициализации WordPress, гарантируя, что она работает при каждой загрузке страницы. Вредоносное ПО остается неактивным до тех пор, пока в URL-запросе не будет обнаружен определенный триггер. После активации он может отключить меры безопасности, введенные Wordfence или альтернативными решениями безопасности. Этот вариант обеспечивает закрепление путем создания новой учетной записи администратора или повышения привилегий существующего пользователя, гарантируя, что злоумышленники сохранят контроль над скомпрометированным сайтом, даже если первоначальный бэкдор будет устранен.

В дополнение к установлению доступа через черный ход, вредоносное ПО использует косметические методы взлома. Он использует определенные правила CSS и JavaScript для управления внешним видом административных интерфейсов. Скрывая вредоносный плагин с главной страницы плагинов и скрывая результаты работы сканера Wordfence, злоумышленники мешают администраторам распознавать угрозы безопасности или устранять их, включая проблемы, которые вредоносное ПО проинструктировало сканер игнорировать.

Эта атака служит важным напоминанием об уязвимостях, присущих использованию плагинов с нулевым уровнем защиты, и подчеркивает важность обеспечения безопасности сайтов WordPress с помощью лучших практик. Установка законных плагинов и тем непосредственно из надежных источников имеет важное значение для защиты от таких скрытых угроз. В целом, эта кампания является примером того, как стремление к экономии средств с помощью незаконных средств может непреднамеренно расширить возможности хакеров, позволяя им отключать средства безопасности, использовать бэкдоры и создавать несанкционированный административный доступ.

#ParsedReport #CompletenessMedium
13-09-2025

EvilAI Operators Use AI-Generated Code and Fake Apps for Far-Reaching Attacks

https://www.trendmicro.com/en_us/research/25/i/evilai.html

Report completeness: Medium

Threats:
Evilai
Justaskjacky

Victims:
Manufacturing, Government public services, Healthcare

Industry:
Retail, Government, Healthcare, Education

Geo:
Middle east, United kingdom, Brazil, Africa, France, Germany, Canada, India, Asia, Spain, Italy, Americas, Norway

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1105, T1204, T1553, T1573

IOCs:
File: 13
Command: 4
Path: 16
Hash: 9
Domain: 1
Url: 5

Soft:
Node.js, Windows Registry, Microsoft Edge, Google Chrome, chrome

Algorithms:
aes, aes-256-cbc, murmur3, base64

Functions:
u, unref

Languages:
powershell, javascript, swift

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 8, code: 14

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы EvilAI используют сгенерированный искусственным интеллектом код и социальную инженерию для распространения вредоносного ПО, которое маскируется под законные приложения, что усложняет усилия по обнаружению. Вредоносное ПО извлекает конфиденциальные данные браузера и взаимодействует с серверами управления с использованием шифрования AES, демонстрируя быстрое глобальное распространение, особенно в Европе и Северной и Южной Америке. Он функционирует главным образом как промежуточный, устанавливая закрепление в зараженных системах и потенциально активируя компонент infostealer на последующих этапах.
-----

Операторы EvilAI используют сгенерированный искусственным интеллектом код и методы социальной инженерии для проведения широкомасштабной кампании, которая маскирует вредоносное ПО под законные приложения, усложняя усилия по обнаружению. Это вредоносное ПО в первую очередь маскируется под инструменты повышения производительности и искусственного интеллекта, оснащенные профессиональными интерфейсами и действительными цифровыми подписями, что затрудняет пользователям и системам безопасности выявление его вредоносной природы. Кампания набирает обороты во всем мире, с заметной концентрацией инфекций в Европе, Северной и Южной Америке и регионе AMEA, затрагивая такие секторы, как производство, правительство и здравоохранение.

Вредоносное ПО умело извлекает конфиденциальные данные браузера, поддерживая зашифрованную связь со своими серверами управления с помощью шифрования AES. Это позволяет ит-отделу беспрепятственно получать команды злоумышленника и развертывать дополнительные полезные нагрузки. Данные телеметрии указывают на быстрое и агрессивное распространение инфекций EvilAI: мониторинг выявил 56 инцидентов в Европе, за которыми последовали 29 инцидентов в обеих Америках и регионах AMEA. Такой обширный охват подчеркивает постоянный характер кампании EvilAI, которая не проявляет никаких признаков изолированной угрозы.

EvilAI использует изощренную тактику уклонения, гарантируя, что ее вредоносное программное обеспечение очень похоже на легальные приложения на каждом уровне. Это достигается за счет тщательного отбора правдоподобных имен файлов, управляемых утилитами, которые, хотя и не имитируют известные бренды, выглядят аутентичными и подходящими для намеченной цели. Такая тактика направлена на укрепление доверия пользователей и снижение уровня контроля, облегчая развертывание и эксплуатацию вредоносного ПО.

Текущая роль вредоносного ПО EvilAI заключается в основном в качестве промежуточного продукта, предназначенного для получения первоначального доступа и закрепления в зараженных системах, подготавливая почву для последующих полезных нагрузок. Анализ его поведения в изолированных средах и телеметрия в режиме реального времени позволяют предположить, что на последующих этапах может быть активирован дополнительный компонент infostealer, хотя конкретные возможности этой полезной нагрузки остаются в значительной степени неизвестными. Этот уклончивый характер создает серьезные проблемы для защиты от кибербезопасности, что делает крайне важным для организаций совершенствовать свои методы кибергигиены и применять сложные защитные меры для противодействия угрозам, основанным на искусственном интеллекте, таким как EvilAI.

#ParsedReport #CompletenessLow
13-09-2025

Inboxfuscation: Because Rules Are Meant to Be Broken

https://permiso.io/blog/inboxfuscation-because-rules-are-meant-to-be-broken

Report completeness: Low

Threats:
Inboxfuscation_technique
Right-to-left_override_technique

Victims:
Enterprise environments

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.003, T1114

IOCs:
Email: 2
File: 2

Soft:
Microsoft Exchange, Outlook, Graph API

Functions:
Get-InboxRule, Find-ObfuscatedInboxRules

Languages:
powershell

Links:
have more...
https://github.com/Permiso-io-tools/Inboxfuscation

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Правила почтовых ящиков Microsoft Exchange стали ключевой мишенью для групп, занимающихся сложными целенаправленными атаками, в частности, с помощью метода, называемого Inboxfuscation, который использует обфускацию Unicode для создания скрытых вредоносных правил. Эти правила используют такие методы, как двунаправленные текстовые элементы управления и нулевые символы Юникода, чтобы избежать обнаружения, усложняя видимость и извлечение скомпрометированных правил. Следовательно, злоумышленники могут манипулировать поведением почтовых ящиков "Входящие", например, неправильно перенаправлять электронные письма в папки календаря или применять правила ко всем сообщениям, что усложняет обнаружение для систем безопасности.
-----

Правила почтовых ящиков Microsoft Exchange стали важным вектором атак для групп сложных целенаправленных атак с использованием сложных целенаправленных атак, нацеленных на поддержание закрепления и упрощение эксфильтрации данных. Недавно внедренный метод, получивший название Inboxfuscation, использует сложные методы запутывания на основе Unicode для создания вредоносных правил для почтовых ящиков, которые трудно обнаружить традиционным системам мониторинга безопасности. Исторически сложилось так, что эти вредоносные правила были легко идентифицируемы благодаря использованию бросающихся в глаза ключевых слов и простым действиям, таким как удаление сообщения или пересылка на почтовый ящик, контролируемый злоумышленником.

Inboxfuscation использует двунаправленные текстовые элементы управления, в частности, символы right-to-left override, для управления отображением текста в рамках правил почтового ящика, тем самым расширяя их возможности по обфускации. Злоумышленники могут использовать различные функциональные приемы запутывания для выполнения действий, которые усложняют обнаружение. Например, один из методов предполагает пересылку электронных писем непосредственно в папку календаря, что делает их невидимыми для пользователей, поскольку Outlook не отображает эти электронные письма простым способом.

Кроме того, злоумышленники могут создавать правила, в которых используются нулевые символы Unicode (`\u0000`), тем самым нарушая работу службы правил входящих сообщений и делая ее недоступной для просмотра и восстановления. Другая стратегия предполагает использование пробела, в результате чего правило применяется ко всем сообщениям, поскольку каждое электронное письмо содержит по крайней мере один пробел. Аналогично, условие правила "Входящие", которое ссылается на размер сообщения, можно изменить, чтобы оно применялось ко всем электронным письмам, выбрав минимальный размер менее 1024 байт, который серверная часть нормализует до 0 байт, таким образом, правило применяется повсеместно.

Для обнаружения и реагирования платформа Inboxfuscation framework предоставляет метод аудита правил работы с почтовыми ящиками в нескольких форматах журналов Exchange. Специалисты по безопасности могут выполнять комплексную проверку почтовых ящиков на наличие обфускации в Unicode и выполнять исторический анализ журналов аудита для выявления предыдущих признаков компрометации.

Таким образом, платформа Inboxfuscation framework предоставляет специалистам по безопасности необходимые инструменты для выявления и снижения рисков, связанных с этими сложными атаками на правила почтовых ящиков Microsoft Exchange.

#ParsedReport #CompletenessMedium
13-09-2025

SEO Poisoning Attack Targets Chinese-Speaking Users with Fake Software Sites

https://www.fortinet.com/blog/threat-research/seo-poisoning-attack-targets-chinese-speaking-users-with-fake-software-sites

Report completeness: Medium

Threats:
Seo_poisoning_technique
Hiddengh0st
Winos

Victims:
Chinese speaking users

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1056.001, T1071.001, T1105, T1112, T1204.002, T1218.007, T1497.001, have more...

IOCs:
File: 19
Registry: 4
Path: 9
Domain: 9
IP: 4
Hash: 10

Soft:
Windows Installer, Windows Defender, Telegram

Crypto:
tether, ethereum

Algorithms:
sha256, base64, aes, zip

Languages:
jscript, powershell

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО, нацеленная на пользователей, говорящих на китайском языке, использует поисковую систему SEO poisoning ( employso employs для маскировки под законное программное обеспечение DeepL, включая вредоносный установщик, содержащий вредоносную библиотеку DLL EnumW.dll . После запуска вредоносное ПО повышает привилегии и использует методы антианализа, чтобы избежать обнаружения, такие как мониторинг родительских процессов и проверка наличия изолированных сред. Он устанавливает связь C2, позволяя отслеживать активность пользователей и эксфильтрацию данных, обеспечивая при этом закрепление в зависимости от присутствия конкретного приложения.
-----

FortiGuard Labs выявила кампанию вредоносного ПО, нацеленную на китайскоязычных пользователей посредством поисковой системы SEO poisoning ( througho through). Вредоносное ПО маскируется под законное программное приложение, объединяя вредоносный установщик с реальным программным обеспечением DeepL. Установщик содержит вредоносный DLL-файл с именем EnumW.dll , который повышает привилегии до статуса администратора при выполнении. Он извлекает файлы в системные папки, такие как C:\ProgramData и C:\Program Файлы (x86). Перечислять.библиотека dll использует методы антианализа, проверяя свой родительский процесс и выполняя проверку целостности в режиме ожидания. Он также проверяет таблицы ACPI, чтобы избежать обнаружения в изолированной среде или средах виртуальных машин.

Кроме того, другая библиотека DLL, vstdlib.dll , создает раздел реестра Software\DeepSer, содержащий расшифрованный шелл-код, который извлекает конечную полезную нагрузку, выполненную в памяти. Такой подход сводит к минимуму риски обнаружения с помощью криминалистических инструментов. Вредоносное ПО обладает основными функциями, включая сердцебиение, мониторинг и связь по каналу Управления (C2). В функции Heartbeat мьютекс предотвращает запуск нескольких экземпляров. Значение gun.metric для соединений C2 определяется на основе текущей даты и времени системы, используемых для шифрования передачи данных.

Он может идентифицировать существующие решения безопасности в системе жертвы, чтобы избежать конфликтов. Файл маркера помещается в общедоступный каталог при успешном подключении C2, что влияет на меры по закреплению. Команды C2 обеспечивают мониторинг активности пользователей, эксфильтрацию данных, ведение журнала нажатий клавиш и управление результатами задач, что указывает на организованный характер злоумышленника, стоящего за этой кампанией.

#ParsedReport #CompletenessMedium
09-09-2025

ZynorRAT technical analysis: Reverse engineering a novel, Turkish Go-based RAT

https://www.sysdig.com/blog/zynorrat-technical-analysis-reverse-engineering-a-novel-turkish-go-based-rat

Report completeness: Medium

Threats:
Zynorrat
Silenteye

Industry:
Telco

Geo:
Turkish, Asia, Deutsche

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 11
File: 27

Soft:
Telegram, Linux, systemd, sudo, curl, VSCode

Algorithms:
sha256, md5

Win API:
sendMessage

Languages:
python

YARA: Found

Links:
have more...
https://github.com/kbinani/screenshot
https://github.com/drego85/tosint
https://github.com/radareorg/radare2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ZynorRAT - это недавно идентифицированный троян удаленного доступа, созданный в Go, позволяющий злоумышленникам получать удаленный доступ к системам как на Linux, так и на Windows через Telegram для управления. Его возможности включают перечисление файлов, эксфильтрацию, управление процессами и механизм закрепления с использованием пользовательских служб systemd. Гибкая работа вредоносного ПО позволяет ему выполнять команды через оболочку, если не получено никаких конкретных инструкций, и оно может быть связано с одним злоумышленником на основе артефактов, обнаруженных в его коде.
-----

ZynorRAT - это недавно обнаруженный троян удаленного доступа (RAT), разработанный в Go, выявленный в рамках продолжающейся работы по поиску угроз исследовательской группой Sysdig Threat Research. Это вредоносное ПО служит универсальным инструментом для злоумышленников, позволяя им получать удаленный доступ к компьютерам жертв, работающим как на Linux, так и на Windows, используя Telegram в качестве своей основной инфраструктуры командования и контроля (C2). Интеграция Telegram для выполнения команд позволяет ZynorRAT эффективно выполнять извлечение команд и эксфильтрацию данных.

Вредоносное ПО обладает целым рядом функциональных возможностей, включая перечисление файлов, эксфильтрацию файлов и управление процессами. Функция 'handleListDirectory`, активируемая командой `/fs_list`, позволяет ZynorRAT составлять список каталогов в целевой системе и отправлять результаты обратно на сервер C2 через Telegram. Аналогично, функция `handleGetFile` обрабатывает запросы к файлам, гарантируя, что файлы существуют и к ним можно получить доступ; в случае успеха файлы извлекаются с помощью функции `sendDocument`, которая подготавливает содержимое файла к передаче.

ZynorRAT использует механизм закрепления, используя пользовательские службы systemd, создавая служебный файл в определенном каталоге пользователя. Этот необычный метод закрепления позволяет вредоносному ПО сохранять свое присутствие в системе даже после перезагрузки. Более того, RAT включает в себя возможности для завершения процессов на компьютере-жертве с помощью команды `/proc_kill`, используя информацию из ранее упомянутой функции `handleListProcess` для идентификации запущенных процессов.

Если от C2 не поступает никаких конкретных команд, вредоносное ПО по умолчанию выполняет любые входящие команды непосредственно через оболочку, что указывает на его гибкую работу, основанную на вводимых злоумышленником данных. Хотя версии ZynorRAT для Linux и Windows имеют схожие функциональные возможности, примечательно, что вредоносное ПО все еще находится на начальной стадии разработки, о чем свидетельствуют артефакты тестирования, обнаруженные во время обратного проектирования.

В ходе анализа команда обнаружила повторяющиеся ссылки на имя "халил" в декомпилированном двоичном файле, что позволяет предположить, что КРЫСА может быть приписана отдельному лицу или одному актору. Эта ранняя стадия разработки указывает на потенциал коммерциализации ZynorRAT на подпольных рынках. По мере создания возможностей обнаружения цели должны сохранять бдительность в отношении команд, указывающих на деятельность ZynorRAT, обеспечивая надежную защиту от ее оперативного репертуара.

#ParsedReport #CompletenessHigh
14-09-2025

AI-Driven Deepfake Military ID Fraud Campaign by Kimsuky APT

https://www.genians.co.kr/en/blog/threat_intelligence/deepfake

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: financially_motivated, information_theft)

Threats:
Clickfix_technique
Spear-phishing_technique
Process_hollowing_technique

Victims:
Defense sector, Email service providers, Research organizations

Industry:
Military, Government

Geo:
North korea, North korean, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1059.006, T1059.007, T1105, T1140, T1204.002, T1218, T1566.001, T1656, have more...

IOCs:
Email: 2
Url: 3
Domain: 13
File: 20
IP: 11
Path: 5
Coin: 1
Hash: 12

Soft:
ChatGPT, OpenAI, Task Scheduler, AppStore

Algorithms:
md5, base64, xor, zip

Languages:
powershell, autoit, php, python

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6, code: 5, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, занимающаяся сложными целенаправленными атаками, запустила сложную кампанию, использующую генеративный искусственный интеллект и технологию глубокой подделки, для нацеливания на южнокорейские военные идентификационные системы посредством Целевого фишинга, имитирующего законные учреждения обороны. Их методы включают оповещения по электронной почте, Маскировку под уведомления системы безопасности, вредоносные вложения в документы HWP и тактику уклонения с использованием пакетных файлов и сценариев автозапуска, чтобы избежать обнаружения. Кроме того, они используют скрипты на Python для сокрытия вредоносного кода в доброкачественных именах файлов, подчеркивая необходимость расширенных возможностей обнаружения.
-----

В недавнем отчете Genians Security Center (GSC) подробно описывается изощренная кампания группы Kimsuky, проводившей сложные целенаправленные атаки, характеризующаяся использованием генеративного искусственного интеллекта и технологии глубокой подделки в злонамеренных целях, в частности, нацеленная на южнокорейские военные идентификационные системы. Операция включает в себя Целевой фишинг-атаки, направленные на выдачу себя за южнокорейские оборонные учреждения, что облегчает несанкционированный доступ к задачам выдачи удостоверений личности. Эта тактика использует поддельные изображения военных удостоверений личности, созданные с помощью OpenAI ChatGPT, что свидетельствует о заметном повышении изощренности сложных целенаправленных атак.

Несколько инцидентов иллюстрируют методы, используемые Kimsuky. Один из ключевых подходов включает использование тактики фишинга с помощью оповещений по электронной почте, которые имитируют законные уведомления о безопасности от южнокорейских портальных компаний. Маскируя злонамеренные намерения под видом доверенных сообщений, злоумышленники могут эффективно заманивать жертв к просмотру вредоносного контента. Дополнительные методы включают использование вредоносных вложений в документы HWP, которые служат переносчиками заражения в обход традиционных процессов защиты электронной почты.

Группа компаний Kimsuky также использует продвинутую тактику уклонения, чтобы обойти антивирусную защиту. Это включает в себя использование пакетных файлов и сценариев автозапуска, которые скрывают вредоносные действия. Подчеркивается необходимость надежных мер по обнаружению конечных точек и реагированию на них (EDR), поскольку эти инструменты играют решающую роль в выявлении и устранении запутанных сценариев, которые в противном случае могли бы остаться незамеченными.

Другим примечательным аспектом этой кампании является использование скриптов на Python для сокрытия вредоносного кода. Вредоносные исполняемые файлы маскируются под доброкачественными именами файлов, а их критические конфигурации изменяются таким образом, чтобы избежать обнаружения, что позволяет более легко интегрироваться в целевые системы. Эта практика подчеркивает необходимость того, чтобы службы безопасности сохраняли повышенную бдительность и применяли методы обнаружения, основанные на поведении, для распознавания таких обманчивых маневров и реагирования на них.

Благодаря всестороннему анализу этих инцидентов в отчете подчеркивается важность понимания атрибуции угроз и восстановления корреляции при выявлении и смягчении угроз, исходящих от таких групп, как Kimsuky. Эти данные не только помогают отслеживать сценарии атак, но и расширяют базу разведывательных данных, необходимую для защиты от изощренных противников. В заключение следует отметить, что выполнение вредоносной полезной нагрузки под видом законных документов продемонстрировало эволюционирующие стратегии, применяемые хакерскими группировками, и острую необходимость в усилении мер безопасности.