#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы EvilAI используют сгенерированный искусственным интеллектом код и социальную инженерию для распространения вредоносного ПО, которое маскируется под законные приложения, что усложняет усилия по обнаружению. Вредоносное ПО извлекает конфиденциальные данные браузера и взаимодействует с серверами управления с использованием шифрования AES, демонстрируя быстрое глобальное распространение, особенно в Европе и Северной и Южной Америке. Он функционирует главным образом как промежуточный, устанавливая закрепление в зараженных системах и потенциально активируя компонент infostealer на последующих этапах.
-----

Операторы EvilAI используют сгенерированный искусственным интеллектом код и методы социальной инженерии для проведения широкомасштабной кампании, которая маскирует вредоносное ПО под законные приложения, усложняя усилия по обнаружению. Это вредоносное ПО в первую очередь маскируется под инструменты повышения производительности и искусственного интеллекта, оснащенные профессиональными интерфейсами и действительными цифровыми подписями, что затрудняет пользователям и системам безопасности выявление его вредоносной природы. Кампания набирает обороты во всем мире, с заметной концентрацией инфекций в Европе, Северной и Южной Америке и регионе AMEA, затрагивая такие секторы, как производство, правительство и здравоохранение.

Вредоносное ПО умело извлекает конфиденциальные данные браузера, поддерживая зашифрованную связь со своими серверами управления с помощью шифрования AES. Это позволяет ит-отделу беспрепятственно получать команды злоумышленника и развертывать дополнительные полезные нагрузки. Данные телеметрии указывают на быстрое и агрессивное распространение инфекций EvilAI: мониторинг выявил 56 инцидентов в Европе, за которыми последовали 29 инцидентов в обеих Америках и регионах AMEA. Такой обширный охват подчеркивает постоянный характер кампании EvilAI, которая не проявляет никаких признаков изолированной угрозы.

EvilAI использует изощренную тактику уклонения, гарантируя, что ее вредоносное программное обеспечение очень похоже на легальные приложения на каждом уровне. Это достигается за счет тщательного отбора правдоподобных имен файлов, управляемых утилитами, которые, хотя и не имитируют известные бренды, выглядят аутентичными и подходящими для намеченной цели. Такая тактика направлена на укрепление доверия пользователей и снижение уровня контроля, облегчая развертывание и эксплуатацию вредоносного ПО.

Текущая роль вредоносного ПО EvilAI заключается в основном в качестве промежуточного продукта, предназначенного для получения первоначального доступа и закрепления в зараженных системах, подготавливая почву для последующих полезных нагрузок. Анализ его поведения в изолированных средах и телеметрия в режиме реального времени позволяют предположить, что на последующих этапах может быть активирован дополнительный компонент infostealer, хотя конкретные возможности этой полезной нагрузки остаются в значительной степени неизвестными. Этот уклончивый характер создает серьезные проблемы для защиты от кибербезопасности, что делает крайне важным для организаций совершенствовать свои методы кибергигиены и применять сложные защитные меры для противодействия угрозам, основанным на искусственном интеллекте, таким как EvilAI.

#ParsedReport #CompletenessLow
13-09-2025

Inboxfuscation: Because Rules Are Meant to Be Broken

https://permiso.io/blog/inboxfuscation-because-rules-are-meant-to-be-broken

Report completeness: Low

Threats:
Inboxfuscation_technique
Right-to-left_override_technique

Victims:
Enterprise environments

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1071.003, T1114

IOCs:
Email: 2
File: 2

Soft:
Microsoft Exchange, Outlook, Graph API

Functions:
Get-InboxRule, Find-ObfuscatedInboxRules

Languages:
powershell

Links:
have more...
https://github.com/Permiso-io-tools/Inboxfuscation

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Правила почтовых ящиков Microsoft Exchange стали ключевой мишенью для групп, занимающихся сложными целенаправленными атаками, в частности, с помощью метода, называемого Inboxfuscation, который использует обфускацию Unicode для создания скрытых вредоносных правил. Эти правила используют такие методы, как двунаправленные текстовые элементы управления и нулевые символы Юникода, чтобы избежать обнаружения, усложняя видимость и извлечение скомпрометированных правил. Следовательно, злоумышленники могут манипулировать поведением почтовых ящиков "Входящие", например, неправильно перенаправлять электронные письма в папки календаря или применять правила ко всем сообщениям, что усложняет обнаружение для систем безопасности.
-----

Правила почтовых ящиков Microsoft Exchange стали важным вектором атак для групп сложных целенаправленных атак с использованием сложных целенаправленных атак, нацеленных на поддержание закрепления и упрощение эксфильтрации данных. Недавно внедренный метод, получивший название Inboxfuscation, использует сложные методы запутывания на основе Unicode для создания вредоносных правил для почтовых ящиков, которые трудно обнаружить традиционным системам мониторинга безопасности. Исторически сложилось так, что эти вредоносные правила были легко идентифицируемы благодаря использованию бросающихся в глаза ключевых слов и простым действиям, таким как удаление сообщения или пересылка на почтовый ящик, контролируемый злоумышленником.

Inboxfuscation использует двунаправленные текстовые элементы управления, в частности, символы right-to-left override, для управления отображением текста в рамках правил почтового ящика, тем самым расширяя их возможности по обфускации. Злоумышленники могут использовать различные функциональные приемы запутывания для выполнения действий, которые усложняют обнаружение. Например, один из методов предполагает пересылку электронных писем непосредственно в папку календаря, что делает их невидимыми для пользователей, поскольку Outlook не отображает эти электронные письма простым способом.

Кроме того, злоумышленники могут создавать правила, в которых используются нулевые символы Unicode (`\u0000`), тем самым нарушая работу службы правил входящих сообщений и делая ее недоступной для просмотра и восстановления. Другая стратегия предполагает использование пробела, в результате чего правило применяется ко всем сообщениям, поскольку каждое электронное письмо содержит по крайней мере один пробел. Аналогично, условие правила "Входящие", которое ссылается на размер сообщения, можно изменить, чтобы оно применялось ко всем электронным письмам, выбрав минимальный размер менее 1024 байт, который серверная часть нормализует до 0 байт, таким образом, правило применяется повсеместно.

Для обнаружения и реагирования платформа Inboxfuscation framework предоставляет метод аудита правил работы с почтовыми ящиками в нескольких форматах журналов Exchange. Специалисты по безопасности могут выполнять комплексную проверку почтовых ящиков на наличие обфускации в Unicode и выполнять исторический анализ журналов аудита для выявления предыдущих признаков компрометации.

Таким образом, платформа Inboxfuscation framework предоставляет специалистам по безопасности необходимые инструменты для выявления и снижения рисков, связанных с этими сложными атаками на правила почтовых ящиков Microsoft Exchange.

#ParsedReport #CompletenessMedium
13-09-2025

SEO Poisoning Attack Targets Chinese-Speaking Users with Fake Software Sites

https://www.fortinet.com/blog/threat-research/seo-poisoning-attack-targets-chinese-speaking-users-with-fake-software-sites

Report completeness: Medium

Threats:
Seo_poisoning_technique
Hiddengh0st
Winos

Victims:
Chinese speaking users

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1056.001, T1071.001, T1105, T1112, T1204.002, T1218.007, T1497.001, have more...

IOCs:
File: 19
Registry: 4
Path: 9
Domain: 9
IP: 4
Hash: 10

Soft:
Windows Installer, Windows Defender, Telegram

Crypto:
tether, ethereum

Algorithms:
sha256, base64, aes, zip

Languages:
jscript, powershell

Platforms:
x64, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО, нацеленная на пользователей, говорящих на китайском языке, использует поисковую систему SEO poisoning ( employso employs для маскировки под законное программное обеспечение DeepL, включая вредоносный установщик, содержащий вредоносную библиотеку DLL EnumW.dll . После запуска вредоносное ПО повышает привилегии и использует методы антианализа, чтобы избежать обнаружения, такие как мониторинг родительских процессов и проверка наличия изолированных сред. Он устанавливает связь C2, позволяя отслеживать активность пользователей и эксфильтрацию данных, обеспечивая при этом закрепление в зависимости от присутствия конкретного приложения.
-----

FortiGuard Labs выявила кампанию вредоносного ПО, нацеленную на китайскоязычных пользователей посредством поисковой системы SEO poisoning ( througho through). Вредоносное ПО маскируется под законное программное приложение, объединяя вредоносный установщик с реальным программным обеспечением DeepL. Установщик содержит вредоносный DLL-файл с именем EnumW.dll , который повышает привилегии до статуса администратора при выполнении. Он извлекает файлы в системные папки, такие как C:\ProgramData и C:\Program Файлы (x86). Перечислять.библиотека dll использует методы антианализа, проверяя свой родительский процесс и выполняя проверку целостности в режиме ожидания. Он также проверяет таблицы ACPI, чтобы избежать обнаружения в изолированной среде или средах виртуальных машин.

Кроме того, другая библиотека DLL, vstdlib.dll , создает раздел реестра Software\DeepSer, содержащий расшифрованный шелл-код, который извлекает конечную полезную нагрузку, выполненную в памяти. Такой подход сводит к минимуму риски обнаружения с помощью криминалистических инструментов. Вредоносное ПО обладает основными функциями, включая сердцебиение, мониторинг и связь по каналу Управления (C2). В функции Heartbeat мьютекс предотвращает запуск нескольких экземпляров. Значение gun.metric для соединений C2 определяется на основе текущей даты и времени системы, используемых для шифрования передачи данных.

Он может идентифицировать существующие решения безопасности в системе жертвы, чтобы избежать конфликтов. Файл маркера помещается в общедоступный каталог при успешном подключении C2, что влияет на меры по закреплению. Команды C2 обеспечивают мониторинг активности пользователей, эксфильтрацию данных, ведение журнала нажатий клавиш и управление результатами задач, что указывает на организованный характер злоумышленника, стоящего за этой кампанией.

#ParsedReport #CompletenessMedium
09-09-2025

ZynorRAT technical analysis: Reverse engineering a novel, Turkish Go-based RAT

https://www.sysdig.com/blog/zynorrat-technical-analysis-reverse-engineering-a-novel-turkish-go-based-rat

Report completeness: Medium

Threats:
Zynorrat
Silenteye

Industry:
Telco

Geo:
Turkish, Asia, Deutsche

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 11
File: 27

Soft:
Telegram, Linux, systemd, sudo, curl, VSCode

Algorithms:
sha256, md5

Win API:
sendMessage

Languages:
python

YARA: Found

Links:
have more...
https://github.com/kbinani/screenshot
https://github.com/drego85/tosint
https://github.com/radareorg/radare2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ZynorRAT - это недавно идентифицированный троян удаленного доступа, созданный в Go, позволяющий злоумышленникам получать удаленный доступ к системам как на Linux, так и на Windows через Telegram для управления. Его возможности включают перечисление файлов, эксфильтрацию, управление процессами и механизм закрепления с использованием пользовательских служб systemd. Гибкая работа вредоносного ПО позволяет ему выполнять команды через оболочку, если не получено никаких конкретных инструкций, и оно может быть связано с одним злоумышленником на основе артефактов, обнаруженных в его коде.
-----

ZynorRAT - это недавно обнаруженный троян удаленного доступа (RAT), разработанный в Go, выявленный в рамках продолжающейся работы по поиску угроз исследовательской группой Sysdig Threat Research. Это вредоносное ПО служит универсальным инструментом для злоумышленников, позволяя им получать удаленный доступ к компьютерам жертв, работающим как на Linux, так и на Windows, используя Telegram в качестве своей основной инфраструктуры командования и контроля (C2). Интеграция Telegram для выполнения команд позволяет ZynorRAT эффективно выполнять извлечение команд и эксфильтрацию данных.

Вредоносное ПО обладает целым рядом функциональных возможностей, включая перечисление файлов, эксфильтрацию файлов и управление процессами. Функция 'handleListDirectory`, активируемая командой `/fs_list`, позволяет ZynorRAT составлять список каталогов в целевой системе и отправлять результаты обратно на сервер C2 через Telegram. Аналогично, функция `handleGetFile` обрабатывает запросы к файлам, гарантируя, что файлы существуют и к ним можно получить доступ; в случае успеха файлы извлекаются с помощью функции `sendDocument`, которая подготавливает содержимое файла к передаче.

ZynorRAT использует механизм закрепления, используя пользовательские службы systemd, создавая служебный файл в определенном каталоге пользователя. Этот необычный метод закрепления позволяет вредоносному ПО сохранять свое присутствие в системе даже после перезагрузки. Более того, RAT включает в себя возможности для завершения процессов на компьютере-жертве с помощью команды `/proc_kill`, используя информацию из ранее упомянутой функции `handleListProcess` для идентификации запущенных процессов.

Если от C2 не поступает никаких конкретных команд, вредоносное ПО по умолчанию выполняет любые входящие команды непосредственно через оболочку, что указывает на его гибкую работу, основанную на вводимых злоумышленником данных. Хотя версии ZynorRAT для Linux и Windows имеют схожие функциональные возможности, примечательно, что вредоносное ПО все еще находится на начальной стадии разработки, о чем свидетельствуют артефакты тестирования, обнаруженные во время обратного проектирования.

В ходе анализа команда обнаружила повторяющиеся ссылки на имя "халил" в декомпилированном двоичном файле, что позволяет предположить, что КРЫСА может быть приписана отдельному лицу или одному актору. Эта ранняя стадия разработки указывает на потенциал коммерциализации ZynorRAT на подпольных рынках. По мере создания возможностей обнаружения цели должны сохранять бдительность в отношении команд, указывающих на деятельность ZynorRAT, обеспечивая надежную защиту от ее оперативного репертуара.

#ParsedReport #CompletenessHigh
14-09-2025

AI-Driven Deepfake Military ID Fraud Campaign by Kimsuky APT

https://www.genians.co.kr/en/blog/threat_intelligence/deepfake

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: financially_motivated, information_theft)

Threats:
Clickfix_technique
Spear-phishing_technique
Process_hollowing_technique

Victims:
Defense sector, Email service providers, Research organizations

Industry:
Military, Government

Geo:
North korea, North korean, Korean, Korea

ChatGPT TTPs:
do not use without manual check
T1036, T1059.003, T1059.006, T1059.007, T1105, T1140, T1204.002, T1218, T1566.001, T1656, have more...

IOCs:
Email: 2
Url: 3
Domain: 13
File: 20
IP: 11
Path: 5
Coin: 1
Hash: 12

Soft:
ChatGPT, OpenAI, Task Scheduler, AppStore

Algorithms:
md5, base64, xor, zip

Languages:
powershell, autoit, php, python

Platforms:
x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 6, code: 5, dump: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Kimsuky, занимающаяся сложными целенаправленными атаками, запустила сложную кампанию, использующую генеративный искусственный интеллект и технологию глубокой подделки, для нацеливания на южнокорейские военные идентификационные системы посредством Целевого фишинга, имитирующего законные учреждения обороны. Их методы включают оповещения по электронной почте, Маскировку под уведомления системы безопасности, вредоносные вложения в документы HWP и тактику уклонения с использованием пакетных файлов и сценариев автозапуска, чтобы избежать обнаружения. Кроме того, они используют скрипты на Python для сокрытия вредоносного кода в доброкачественных именах файлов, подчеркивая необходимость расширенных возможностей обнаружения.
-----

В недавнем отчете Genians Security Center (GSC) подробно описывается изощренная кампания группы Kimsuky, проводившей сложные целенаправленные атаки, характеризующаяся использованием генеративного искусственного интеллекта и технологии глубокой подделки в злонамеренных целях, в частности, нацеленная на южнокорейские военные идентификационные системы. Операция включает в себя Целевой фишинг-атаки, направленные на выдачу себя за южнокорейские оборонные учреждения, что облегчает несанкционированный доступ к задачам выдачи удостоверений личности. Эта тактика использует поддельные изображения военных удостоверений личности, созданные с помощью OpenAI ChatGPT, что свидетельствует о заметном повышении изощренности сложных целенаправленных атак.

Несколько инцидентов иллюстрируют методы, используемые Kimsuky. Один из ключевых подходов включает использование тактики фишинга с помощью оповещений по электронной почте, которые имитируют законные уведомления о безопасности от южнокорейских портальных компаний. Маскируя злонамеренные намерения под видом доверенных сообщений, злоумышленники могут эффективно заманивать жертв к просмотру вредоносного контента. Дополнительные методы включают использование вредоносных вложений в документы HWP, которые служат переносчиками заражения в обход традиционных процессов защиты электронной почты.

Группа компаний Kimsuky также использует продвинутую тактику уклонения, чтобы обойти антивирусную защиту. Это включает в себя использование пакетных файлов и сценариев автозапуска, которые скрывают вредоносные действия. Подчеркивается необходимость надежных мер по обнаружению конечных точек и реагированию на них (EDR), поскольку эти инструменты играют решающую роль в выявлении и устранении запутанных сценариев, которые в противном случае могли бы остаться незамеченными.

Другим примечательным аспектом этой кампании является использование скриптов на Python для сокрытия вредоносного кода. Вредоносные исполняемые файлы маскируются под доброкачественными именами файлов, а их критические конфигурации изменяются таким образом, чтобы избежать обнаружения, что позволяет более легко интегрироваться в целевые системы. Эта практика подчеркивает необходимость того, чтобы службы безопасности сохраняли повышенную бдительность и применяли методы обнаружения, основанные на поведении, для распознавания таких обманчивых маневров и реагирования на них.

Благодаря всестороннему анализу этих инцидентов в отчете подчеркивается важность понимания атрибуции угроз и восстановления корреляции при выявлении и смягчении угроз, исходящих от таких групп, как Kimsuky. Эти данные не только помогают отслеживать сценарии атак, но и расширяют базу разведывательных данных, необходимую для защиты от изощренных противников. В заключение следует отметить, что выполнение вредоносной полезной нагрузки под видом законных документов продемонстрировало эволюционирующие стратегии, применяемые хакерскими группировками, и острую необходимость в усилении мер безопасности.

#ParsedReport #CompletenessMedium
15-09-2025

The strongest in history? Revealing the inside story of AISURU, a super-large botnet in 11.5T

https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru/

Report completeness: Medium

Threats:
Aisuru
Airashi
Fodcha
Catddos
Rapperbot

Victims:
China, United states, Germany, United kingdom, Hong kong, Journalist blog

Industry:
Telco

Geo:
China, Germany, Hong kong, United kingdom

CVEs:
CVE-2013-5948 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-28771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-50381 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-3307 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-35733 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-5259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-1599 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3721 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-44149 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1008, T1027, T1071.001, T1090, T1090.003, T1105, T1190, T1498, T1573.001, T1583.006, have more...

IOCs:
File: 5
Domain: 7
IP: 8
Hash: 7

Soft:
Zyxel,Zyxel,Zyxel,Zyxel, Zyxel, VirtualBox, QEMU, Linux

Algorithms:
rc4, chacha20, xor, base64, md5

Languages:
golang, php, javascript

Links:
https://github.com/wy876/POC/blob/main/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6debug.php%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md?ref=blog.xlab.qianxin.com
https://github.com/netsecfish/tbk\_dvr\_command\_injection?ref=blog.xlab.qianxin.com
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/http/cnpilot\_r\_cmd\_exec.rb?ref=blog.xlab.qianxin.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет AISURU, связанный с бандой AISURU, достиг рекордной пропускной способности для DDoS-атак в 11,5 Тбит/с в 2025 году, используя различные векторы атак и вредоносные скрипты, включая сервер C2 через туннель GRE. Распространение вредоносного ПО использует известные уязвимости и уязвимости zero-day, особенно в таких устройствах, как маршрутизаторы Cambium Networks, при этом используются усовершенствованные методы шифрования, такие как модифицированный RC4 и HMAC-SHA256. Ботнет также переходит на предоставление анонимизированных услуг через сеть residential proxies, расширяя сферу своей деятельности.
-----

Ботнет AISURU стал значительным игроком на рынке DDoS-атак, продемонстрировав пиковую пропускную способность в 11,5 Тбит/с в 2025 году, установив новый рекорд для подобных инцидентов. Считается, что ботнет организован группой, известной как банда AISURU, состоящей из членов под кодовыми именами Сноу, Том и Форки, которые с 2022 года сотрудничали в различных проектах преступного мира. Анонимные источники предоставили ценную информацию о работе этого ботнет, которая, несмотря на трудности с проверкой этих утверждений, была подтверждена передовыми методами мониторинга, используемыми аналитиками безопасности.

Банда AISURU использовала различные векторы атак и вредоносные скрипты, такие как домен загрузчика с именем updatetoto.tw , который значительно повысил свой глобальный рейтинг благодаря успешным заражениям. Группа также использовала туннель GRE, сконфигурированный для функционирования в качестве сервера командования и контроля (C2), с подключениями, установленными в апреле 2025 года. Одна заметная отслеживаемая атака включала в себя трафик со скоростью 11,5 Тбит/с, нацеленный на IP-адрес 185.211.78.117, демонстрирующий значительные возможности ботнет.

Было замечено, что вредоносное ПО, связанное с AISURU, распространяется через сетевые уязвимости, включая как известные недостатки, так и эксплойты zero-day, в частности, нацеленные на такие устройства, как маршрутизатор Cambium Networks cnPilot. Статистика атак показывает, что охват AISURU обширен и охватывает несколько отраслей промышленности во многих странах, включая Соединенные Штаты и Германию, что указывает на отсутствие конкретных целей в ее деятельности.

Технический анализ вредоносного ПО выявил значительные обновления, особенно в методах шифрования, используемых для связи C2. Например, предыдущие стандартные алгоритмы шифрования были заменены модифицированными версиями алгоритма шифрования RC4 и методами проверки HMAC-SHA256, что улучшило маскировку вредоносных намерений. Кроме того, в образцах ботнет теперь используются механизмы для отключения функции Linux OOM Killer, что позволяет им поддерживать более длительное время выполнения даже при ограничениях памяти.

Недавние данные свидетельствуют о том, что AISURU не только занимается DDoS-атаками, но и занимается предоставлением анонимных услуг, поскольку спрос на эти предложения со стороны организаций, занимающихся киберпреступностью, растет. Инфраструктура, построенная ботнет, адаптируется для использования в качестве сети residential proxies, таким образом расширяя сферу ее применения за пределы традиционных методологий атак. Этот сдвиг представляет собой заметную тенденцию в области DDoS-атак, где ботнет эволюционирует для удовлетворения более широких потребностей киберпреступных операций.

#ParsedReport #CompletenessLow
15-09-2025

All that glitters is not gold: how malicious MCP servers emerged on the wave of AI popularity

https://securelist.ru/model-context-protocol-for-ai-integration-abused-in-supply-chain-attacks/113452/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Ai assistants users, Developers

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056, T1190, T1195, T1204, T1546, T1557

Soft:
Docker

Algorithms:
base64

Functions:
send_metrics_via_api

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4