#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BQTLock - это программа-вымогатель как услуга (RaaS), управляемая группой во главе с Каримом Файядом, также известной как ZeroDayX, и связанной с пропалестинскими хактивистскими группами. Используя модель RaaS, основная команда разрабатывает программу-вымогатель, в то время как филиалы проводят атаки с целью получения прибыли, что приводит к широкому распространению вредоносного ПО. BQTLock сочетает в себе техническую изощренность с политическими мотивами, которые могут повлиять на его эволюционирующую тактику в области программ-вымогателей.
-----

BQTLock - это недавно появившаяся программа-вымогатель как услуга (RaaS), которая быстро приобрела дурную славу благодаря своей агрессивной тактике работы и сложным техническим возможностям. Хакерскую группировку, стоящую за BQTLock, родом с Ближнего Востока, возглавляет Карим Файяд, который действует под такими псевдонимами, как ZeroDayX и ZeroDayX1, с ассоциированным членом по имени Fuch0u. Группа, по-видимому, сотрудничает с пропалестинскими хактивистскими организациями, используя социальные сети для взаимного продвижения и потенциального сотрудничества.

Операционная модель BQTLock построена вокруг фреймворка RaaS, в котором основная команда разработчиков создает программу-вымогатель, в то время как различные филиалы выполняют атаки в обмен на часть выкупа, выплачиваемого жертвами. Такой раздвоенный подход обеспечивает широкое распространение вредоносного ПО среди различных целевых объектов, подчеркивая быструю масштабируемость и адаптивность операций. С момента своего появления BQTLock был вовлечен в несколько организованных кампаний, что привело к значительным сбоям в работе целого ряда профилей жертв.

BQTLock отличается не только своим техническим исполнением, но и лежащими в его основе идеологическими мотивами, обрамляющими его действия в политическом контексте, несмотря на то, что основное внимание уделяется криминалу. Это уникальное сочетание отличает его от других операций с программами-вымогателями, предполагая, что он может продолжать совершенствовать свою тактику в ответ как на усилия правоохранительных органов, так и на динамику рынка программ-вымогателей. Организации, нацеленные на эту угрозу, должны внедрять надежные средства защиты, включающие возможности обнаружения, стратегии реагирования и превентивные меры для эффективного смягчения потенциальных атак.

#ParsedReport #CompletenessLow
16-09-2025

KillSec Ransomware is Attacking Healthcare Institutions in Brazil

https://www.resecurity.com/blog/article/killsec-ransomware-is-attacking-healthcare-institutions-in-brazil

Report completeness: Low

Actors/Campaigns:
Killsec (motivation: cyber_criminal, information_theft)

Threats:
Supply_chain_technique

Victims:
Healthcare sector, Healthcare it supply chain, Medicsolution

Industry:
Government, Healthcare, Financial

Geo:
Peru, Colombia, Brazilian, Saudi, Latin america, Brazil, Usa

ChatGPT TTPs:
do not use without manual check
T1195, T1537, T1654, T1656, T1657, T1659

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 сентября 2025 года группа вымогателей KillSec начала атаку на MedicSolution, бразильского поставщика программного обеспечения для здравоохранения, угрожая утечкой конфиденциальных данных, если не начнутся переговоры. В результате взлома было украдено более 34 ГБ данных, включая критически важные медицинские записи и неотредактированные изображения пациентов, что свидетельствует о растущей тенденции акторов-вымогателей, нацеленных на supply chain IT в сфере здравоохранения. Расследования связали атаку с ненадлежащим образом защищенным облачным хранилищем AWS, что сигнализирует о повышенном риске и потенциальной возможности аналогичных атак на другие нижестоящие организации здравоохранения.
-----

8 сентября 2025 года группа программ-вымогателей, известная как KillSec, осуществила масштабную кибератаку на MedicSolution, ключевого поставщика программного обеспечения для сектора здравоохранения Бразилии. Они пригрозили утечкой конфиденциальных данных, если переговоры не начнутся немедленно. Этот инцидент подчеркивает тревожную тенденцию, при которой акторы-вымогатели нацеливаются на supply chain медицинских ИТ-технологий, которая служит шлюзом для компрометации многочисленных организаций здравоохранения и получения доступа к огромным объемам конфиденциальной личной информации (PII). Такие атаки на supply chain особенно эффективны, поскольку они используют установившееся доверие между организациями и их поставщиками, затрудняя обнаружение и обеспечивая длительный необнаруженный доступ.

Нарушение привело к краже более 34 ГБ данных, которые включают в себя важные медицинские записи, такие как оценки, результаты лабораторных исследований, X-rays и неотредактированные изображения пациентов. Кроме того, записи несовершеннолетних находятся среди скомпрометированных файлов, что вызывает серьезные опасения по поводу конфиденциальности. Это указывает на более широкую, системную угрозу, поскольку KillSec недавно атаковала аналогичные медицинские учреждения в других регионах, включая Колумбию, Перу и Соединенные Штаты, демонстрируя возросший интерес киберпреступников к сектору здравоохранения.

Расследование показало, что основная причина этой утечки данных была связана с ненадлежащим образом защищенным облачным хранилищем AWS, где были обнаружены украденные файлы. Оценки угроз предполагают, что KillSec может не только продолжать использовать нынешних жертв, но и распространить атаки на другие нижестоящие организации здравоохранения, учитывая наблюдаемые закономерности. Деятельность группы в начале сентября 2025 года указывает на значительное увеличение целенаправленных киберопераций против здравоохранения, как по масштабам, так и по количеству жертв по сравнению с предыдущими инцидентами.

Чтобы снизить эти риски, организациям здравоохранения настоятельно рекомендуется применять строгие меры по защите данных. Ключевые действия включают внедрение надежной политики управления данными, обеспечение явного согласия пациента на обработку данных, ограничение доступа только уполномоченного персонала и соблюдение нормативных требований к отчетности. Бразильский общий закон о защите данных (LGPD), который регулирует обработку конфиденциальных персональных данных, требует строгого соблюдения и требует своевременного сообщения о нарушениях в соответствующие органы. По мере развития сферы кибербезопасности здравоохранения постоянное обучение и аудит безопасности будут играть ключевую роль в укреплении защиты от таких угроз со стороны программ-вымогателей.

#ParsedReport #CompletenessMedium
15-09-2025

The Most Powerful Ever? Inside the 11.5Tbps-Scale Mega Botnet AISURU

https://blog.xlab.qianxin.com/super-large-scale-botnet-aisuru-en/

Report completeness: Medium

Threats:
Aisuru
Airashi
Fodcha
Catddos
Rapperbot
Residential_proxy_technique

Industry:
Healthcare, Telco

Geo:
Columbia, Czech, England, New york, Hong kong, China, United kingdom, Usa, Germany

CVEs:
CVE-2023-50381 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-5259 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-35733 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-3307 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-5948 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-28771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3721 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-44149 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2013-1599 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071, T1090, T1190, T1498, T1562.001, T1572, T1583.001

IOCs:
File: 5
IP: 2
Domain: 5
Hash: 7

Soft:
Zyxel,Zyxel,Zyxel,Zyxel, Zyxel, VirtualBox, QEMU, Linux

Algorithms:
base64, chacha20, xor, rc4

Languages:
golang, javascript, php

Platforms:
cross-platform

Links:
https://github.com/wy876/POC/blob/main/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6/%E4%B8%89%E6%B1%87%E7%BD%91%E5%85%B3%E7%AE%A1%E7%90%86%E8%BD%AF%E4%BB%B6debug.php%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md?ref=blog.xlab.qianxin.com
https://github.com/netsecfish/tbk\_dvr\_command\_injection?ref=blog.xlab.qianxin.com
https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/admin/http/cnpilot\_r\_cmd\_exec.rb?ref=blog.xlab.qianxin.com
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет AISURU стал ключевым игроком в DDoS-атаках, достигнув пиковой скорости 11,5 Тбит/с и используя вредоносные скрипты через домен загрузчика, updatetoto.tw . Он использует постоянную уязвимость 0DAY в маршрутизаторах cnPilot от Cambium Networks и использует туннели GRE для управления несколькими IP-адресами. Последние версии вредоносного ПО содержат усовершенствованное шифрование и методы уклонения от обнаружения, включающие функции DDoS и прокси-сервера, демонстрирующие адаптивность AISURU's и потенциал для более широкой киберпреступной деятельности.
-----

Ботнет AISURU стал важным игроком на рынке распределенных атак типа "отказ в обслуживании" (DDoS), достигнув беспрецедентной пропускной способности при пиковых операциях, достигающих 11,5 Тбит/с. С момента своего создания ботнет был связан с многочисленными громкими атаками, в частности, из-за коалиции ключевых фигур, известных только под кодовыми именами: Сноу, Том и Форки. Сообщается, что эти люди объединили усилия в 2022 году, используя слабости друг друга для расширения масштабов своих операций.

Примечательным аспектом деятельности AISURU является использование вредоносных скриптов, таких как развертывание домена загрузчика (updatetoto.tw ), которая приобрела существенное влияние вскоре после своего создания в апреле 2025 года. Этот домен способствовал проведению обширной кампании по заражению, подчеркивая эффективность группы в распространении своего вредоносного ПО. Было обнаружено, что в сочетании с использованием уязвимостей NDAY AISURU активно использует сохраняющуюся уязвимость 0DAY, воздействие на маршрутизаторы cnPilot от Cambium Networks, впервые выявленную в июне прошлого года, демонстрируя свою адаптивность и техническое мастерство.

Что касается инфраструктуры командования и контроля (C2), AISURU использует туннели GRE по нескольким IP-адресам, с задокументированными атаками на известные организации, такие как журналист по безопасности Брайан Кребс в мае 2025 года, и еще одной массированной атакой на определенный IP-адрес в сентябре, что коррелирует с пиковыми уровнями трафика. Тактика группировки выглядит экспансивной и неизбирательной, нацеленной на множество секторов по всему миру, включая такие крупные регионы, как США, Китай и Европа.

Технически эволюция ботнет AISURU характеризовалась существенными изменениями в архитектуре вредоносного ПО. В последних версиях их образцов были реализованы передовые методы шифрования, отходящие от традиционных методов, таких как RC4 и HMAC-SHA256. Кроме того, образцы включают механизмы, позволяющие избежать обнаружения путем манипулирования "Убийцей нехватки памяти" в Linux, тем самым продлевая время их работы на скомпрометированных системах. Эта манипуляция гарантирует, что их процессы остаются активными даже при ограниченных ресурсах.

Кроме того, образцы продемонстрировали универсальность: они не только организуют DDoS-атаки, но и облегчают работу прокси-сервера. Этот сдвиг указывает на стратегический поворот в деятельности AISURU, согласующийся с растущей тенденцией интеграции прокси-сервисов в устоявшиеся структуры ботнет. Эта возможность не только удовлетворяет растущий спрос на услуги анонимизации на фоне усиления глобальных правоохранительных мер по борьбе с киберпреступностью, но и подчеркивает потенциал ботнет для коммерческого использования.

Таким образом, AISURU представляет собой серьезную угрозу в киберпространстве, отличающуюся своими техническими возможностями по использованию различных уязвимостей, использованию сложных методов уклонения и расширению функционала за пределы простых операций DDoS, чтобы охватить более широкую деятельность по борьбе с киберпреступностью. Поскольку AISURU продолжает адаптироваться и расширяться, мониторинг и противодействие его операциям будут иметь решающее значение для продвижения акторов в области кибербезопасности.

#ParsedReport #CompletenessLow
16-09-2025

Raven Stealer

https://www.pointwild.com/threat-intelligence/raven-stealer

Report completeness: Low

Threats:
Raven_stealer
Process_injection_technique
Process_hollowing_technique
Trojan.w32.100925.ravenstealer

Victims:
Individual users

Industry:
Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1055.012, T1071.001, T1102, T1106, T1555.003, T1620

IOCs:
Hash: 6
Path: 5
File: 3

Soft:
Chromium, Telegram, Chrome, Microsoft Visual C++

Algorithms:
sha256, chacha20, sha1, aes, md5, zip

Languages:
delphi

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raven Stealer - это сложное вредоносное ПО для кражи информации на основе Delphi и C++, предназначенное в первую очередь для браузеров на базе Chromium, таких как Chrome и Edge, извлекающее конфиденциальные данные, такие как пароли и платежная информация. В нем используются передовые методы уклонения, включая Внедрение кода в процесс с помощью отражающего Внедрения в пустой процесс с использованием зашифрованной полезной нагрузки, что обеспечивает скрытность во время операций. Вредоносное ПО передает украденные данные злоумышленникам через Telegram, повышая свою эффективность при эксфильтрации данных в режиме реального времени, оставаясь при этом незамеченным.
-----

Raven Stealer - это усовершенствованное вредоносное ПО для кражи информации, разработанное с использованием Delphi и C++. Это легкое вредоносное ПО разработано для скрытой и эффективной работы, требующей минимального взаимодействия с пользователем и эффективно скрывающей свою деятельность. Он нацелен в первую очередь на браузеры на базе Chromium, такие как Chrome и Edge, извлекая конфиденциальную информацию, включая пароли, файлы cookie, платежные данные и записи автозаполнения. Raven Stealer выполняет эксфильтрацию данных в режиме реального времени путем интеграции с Telegram, позволяя злоумышленникам незаметно отправлять украденные данные по защищенным каналам.

Исполняемый файл вредоносного ПО представляет собой 32-разрядный переносимый исполняемый файл Windows (PE), созданный с помощью Borland Delphi, характеризующийся определенными структурными маркерами и соглашениями об именовании. Примечательно, что он встраивает важные компоненты полезной нагрузки в свой раздел ресурсов, которые, вероятно, содержат зашифрованные или запутанные библиотеки DLL или данные конфигурации. Такая практика встраивания ресурсов является отличительной чертой среды разработки Delphi, и она повышает скрытность вредоносного ПО, позволяя ему работать без добавления дополнительных файлов на диск.

Операционная механика Raven Stealer's включает в себя несколько важнейших этапов. Первоначально компоновщик выделяет разделу ресурсов соответствующий размер для размещения Встроенной полезной нагрузки и данных конфигурации. После завершения распределения ресурсов он вызывает пользовательский интерфейс для сбора учетных данных для связи, таких как идентификатор чата Telegram и токен бота. Затем эти сведения встраиваются в исполняемый файл, облегчая удаленную связь после выполнения.

Одним из ключевых методов, используемых Raven Stealer, является Внедрение кода в процесс с использованием зашифрованной полезной нагрузки. Вредоносное ПО встраивает свою основную библиотеку DLL, используя шифрование ChaCha20, гарантируя, что она остается скрытой в собственном двоичном файле. После запуска вредоносное ПО создает новый экземпляр браузера Chromium в приостановленном состоянии и использует рефлексивное Внедрение в пустой процесс для внедрения расшифрованной библиотеки DLL в этот контекст. Этот метод не только маскирует его действия под законным идентификатором браузера, но и помогает ему избежать обнаружения системами мониторинга поведения.

Для удаления рекомендуется перезагрузиться в безопасном режиме с подключением к сети и использовать антивирусные решения, такие как UltraAV, который идентифицирует вредоносное ПО как Trojan.W32.100925.RavenStealer.ORS. Сочетание передовых методов уклонения, эксфильтрации данных в режиме реального времени и целенаправленных браузерных атак позиционирует Raven Stealer как серьезную угрозу, подчеркивая необходимость многоуровневых мер кибербезопасности, включая поведенческий мониторинг и стратегии упреждающего обнаружения угроз.

#ParsedReport #CompletenessLow
16-09-2025

S1ngularity/nx attackers strike again

https://www.aikido.dev/blog/s1ngularity-nx-attackers-strike-again

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud

Victims:
Open source software ecosystem, Software developers, Package maintainers

Industry:
Education

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059.006, T1071.001, T1105, T1195.001, T1204.002, T1526, T1552, T1553.001, T1567.002, have more...

IOCs:
Domain: 1
File: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники S1ngularity/nx нацеливаются на Репозитории кода с помощью самореплицирующегося червя, который извлекает конфиденциальные данные через скомпрометированные пакеты npm. Вредоносное ПО сканирует переменные среды и собирает учетные данные через конечные точки облачных метаданных, отправляя данные в репозиторий GitHub под скомпрометированной учетной записью и используя действия GitHub для отправки их на внешний URL. Червь усиливает свое распространение, модифицируя файлы package.json для включения вредоносной полезной нагрузки, повторно публикуя зараженные пакеты, чтобы расширить свой охват.
-----

Вновь появились злоумышленники S1ngularity/nx, нацелившиеся на Репозитории кода с помощью сложного червя, который извлекает конфиденциальные данные и увековечивает себя с помощью скомпрометированных пакетов npm. Это вредоносное ПО использует множество стратегий для сбора секретов, сканируя хост и среды непрерывной интеграции на предмет переменных среды, используя такие инструменты, как TruffleHog, и получая доступ к конечным точкам облачных метаданных на таких платформах, как AWS и GCP, для сбора учетных данных экземпляра или службы.

Как только вредоносное ПО собирает конфиденциальную информацию, оно извлекает эти данные двумя основными способами. Он создает репозиторий GitHub с именем "Shai-Hulud" под скомпрометированной учетной записью, где фиксирует дамп JSON, содержащий системную информацию, переменные окружения и различные собранные секреты. Кроме того, он использует веб-интерфейс GitHub Actions для создания рабочего процесса, который сериализует эти секреты и отправляет их на удаленный URL-адрес, контролируемый злоумышленником, а также регистрирует двойную копию информации в формате base64 в журналах действий.

Вредоносное ПО демонстрирует хищническую методологию "взлома и захвата", аналогичную предыдущим атакам nx. Примечательно, что он не только утекает из учетных данных, но и манипулирует репозиториями GitHub, преобразуя частные репозитории в общедоступные. Это действие значительно увеличивает риск несанкционированного доступа к конфиденциальной информации.

Распространяясь через npm, червь загружает целевые архивные файлы и изменяет связанный с ними файл package.json, чтобы увеличить номер версии и добавить новый перехватчик жизненного цикла. Он включает свою вредоносную полезную нагрузку в архивный файл в виде "bundle.js ," гарантируя, что любой код, запущенный в одном зараженном пакете, впоследствии заразит другие. Затем троянский пакет повторно публикуется на npm с использованием учетных данных скомпрометированного сопровождающего, что способствует распространению червя в экосистеме.

Для организаций, использующих Aikido, крайне важно проверять центральные каналы на наличие проблем с вредоносным ПО, поскольку эта уязвимость будет рассматриваться как критическая проблема 100/100. Пользователям рекомендуется инициировать полную повторную проверку своих репозиториев, поскольку ночных проверок Aikido может оказаться недостаточно для быстрого выявления новых инфекций.

#ParsedReport #CompletenessHigh
16-09-2025

Under the Pure Curtain: From RAT to Builder to Coder

https://research.checkpoint.com/2025/under-the-pure-curtain-from-rat-to-builder-to-coder/

Report completeness: High

Actors/Campaigns:
Purecoder (motivation: cyber_criminal)

Threats:
Clickfix_technique
Purehvnc_tool
Sliver_c2_tool
Purecryptor
Purerat
Purelogs
Lolbin_technique
Amsi_bypass_technique
Hvnc_tool
Httpflood_technique
Tcpflood_technique
Silentcryptominer_tool
Pureminer
Fakerat
Runpe_tool

Victims:
Job seekers

Industry:
Media

Geo:
Russian, Russia, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1056.002, T1057, T1059.001, T1071.001, T1102, T1105, T1106, have more...

IOCs:
Domain: 5
IP: 1
Path: 2
Url: 2
File: 56
Command: 5
Registry: 1
Hash: 9
Coin: 2

Soft:
Telegram, Windows Defender, Chromium, Authy, Chrome, QQBrowser, ChromePlus, 7Star, CentBrowser, Chedot, have more...

Wallets:
harmony_wallet, tronlink, metamask, yoroi, jaxx, bitapp, iwallet, terra_station, bitclip, equal_wallet, have more...

Crypto:
bitcoin, litecoin, ethereum, ravencoin, monero, binance, solana

Algorithms:
base64, gzip, chacha20-poly1305, aes, md5, xor

Functions:
getURL, getTime, getDaysDiff, getListElement, Date, Get-ScheduledTask, Get-Date, TaskManager, DeletePlugins, DeleteRestorePoints, have more...

Win API:
DllRegisterServer, DllUnregisterServer, LdrLoadDll, WriteFileEx, varint, SetThreadExecutionState

Languages:
python, rust, powershell, javascript

Platforms:
x86

Links:
https://github.com/SychicBoy/NETReactorSlayer
https://github.com/aj3423/protod
https://github.com/protobuf-net/protobuf-net
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ClickFix демонстрирует многогранное вторжение с использованием таких инструментов, как PureHVNC RAT, Rust Loader и Sliver C2 framework, инициированное с помощью социальной инженерии с помощью поддельных предложений о работе. Жертвы попадали на страницу фишинга, на которой выполнялся вредоносный JavaScript, позволяющий развертывать RAT PureHVNC и последующую кражу учетных данных с помощью скрипта PowerShell. Сложный по дизайну загрузчик Rust использует методы антианализа и зашифрованную связь, подчеркивая расширенные возможности пакета Pure вредоносного ПО и продолжающуюся эволюцию киберугроз.
-----

Кампания ClickFix, проанализированная Check Point Research, иллюстрирует сложное вторжение с использованием целого ряда инструментов, включая троян удаленного доступа PureHVNC (RAT), загрузчик Rust и платформу управления Sliver (C2). Атака началась с тактики социальной инженерии, которая заманивала жертв с помощью поддельных предложений о работе, что привело к восьмидневному вторжению. Первоначально жертвы перенаправлялись на страницу фишинга, которая по прибытии выполняла вредоносный JavaScript, что позволяло удалять файлы JavaScript и развертывать RAT PureHVNC.

На второй день заражения была представлена более свежая версия PureHVNC, включающая загрузчик Rust и программу установки Inno. На восьмой день, после периода бездействия, злоумышленник внедрил имплантат Sliver, который запускал скрипт PowerShell, запрашивающий у пользователей их пароли, впоследствии сохраняя эти учетные данные в скрытом текстовом файле.

Сам загрузчик Rust представляет собой библиотеку DLL, написанную на Rust, для выполнения которой используется утилита Windows regsvr32. Загрузчик использует двухфункциональный экспорт, оба из которых содержат идентичный вредоносный код, что повышает его функциональную сложность. Кроме того, он использует ChaCha20-Poly1305 для расшифровки строк, генерируя ключи путем объединения двух жестко закодированных значений, встроенных в двоичный файл. Примечательно, что вредоносное ПО обладает надежными возможностями антианализа, включая проверку на соответствие различным антивирусным процессам и средствам безопасности.

PureHVNC выделяется как компетентный инструмент в семействе вредоносных ПО Pure, предлагая функции HVNC (скрытых виртуальных сетевых вычислений), обеспечивающие скрытый удаленный доступ. Его конфигурация запутана с использованием сериализации protobuf, сжатия Gzip и кодирования Base64, что усложняет процесс обратного проектирования. RAT связывается со своим сервером C2 для передачи собранной информации, включая сведения о системе и установленном программном обеспечении, в то время как его плагины динамически управляются посредством взаимодействия с реестром.

В ходе дальнейшего анализа был обнаружен Pure Builder, связанный с PureCoder, создателем этого пакета вредоносного ПО. Расследование инфраструктуры выявило ресурсы GitHub, связанные с разработчиком, что расширило возможности для сбора разведывательной информации в будущем. Связь с Rust Loader и PureCriter подчеркивает наличие инструментария профессионального уровня, адаптированного для различных вредоносных целей, демонстрирующего непрерывную эволюцию вредоносного ПО, нацеленного на ничего не подозревающих пользователей. В целом, кампания ClickFix освещает сложные операции злоумышленников, использующих семейство вредоносных ПО в чистом виде, подчеркивая необходимость постоянного наблюдения и принятия контрмер против таких изощренных атак.

#ParsedReport #CompletenessMedium
16-09-2025

From Red Team to Rogue, Villager Threatens to Become the Next Cobalt Strike

https://www.secureblink.com/cyber-security-news/from-red-team-to-rogue-villager-threatens-to-become-the-next-cobalt-strike

Report completeness: Medium

Threats:
Cobalt_strike_tool
Villager_tool
Supply_chain_technique

Victims:
Software supply chain, Developer environments, Ci and build systems, Organizations without strong controls

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1021, T1059, T1071, T1105, T1190, T1195, T1210, T1568, T1573, T1583, have more...

IOCs:
IP: 1
Hash: 1

Soft:
Docker, Chromium

Functions:
create, run, pyeval

Languages:
python

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Villager - это платформа для тестирования на проникновение, связанная с "Cyberspike", предназначенная для автоматизации задач атаки путем разбиения целей высокого уровня на более мелкие операционные задачи, выполняемые параллельно с помощью эфемерных контейнеров Kali Linux. Он включает в себя механизм генерации с дополненным поиском (RAG) для принятия решений, использующий элементы управления сеансом polymorphic, чтобы скрыть цифровые следы и свести к минимуму видимость судебной экспертизы. Его общедоступность и операционные возможности создают значительные риски для организаций с неадекватным контролем безопасности, потенциально сокращая время пребывания злоумышленников в сети и усиливая воздействие кибер-эксплойтов.
-----

Появление Villager, платформы для тестирования на проникновение, связанной с "Cyberspike", было освещено в отчете команды Straiker AI Research (STAR). Villager работает с помощью сложной высокоуровневой архитектуры, которая объединяет уровень принятия решений, основанный на модели, легкую систему координации и быстродействующий инструментарий. Это позволяет ИТ—отделу эффективно автоматизировать задачи по атакам, принимая во внимание цели высокого уровня, такие как выявление и использование уязвимостей, и разбивая их на более мелкие оперативные задачи, выполняемые параллельно с помощью распределенных инструментов.

Villager использует механизм генерации с дополненным поиском (RAG) для принятия решений, выбирая оптимальные подсказки из базы данных, чтобы направлять выбор инструмента и последующие действия. Фреймворк выполняет задачи в контейнерах Kali Linux по требованию, характеризующихся коротким сроком службы и эфемерными методами ведения журнала, что способствует снижению видимости в судебно-медицинской экспертизе. Кроме того, он поддерживает polymorphic элементы управления сеансами, которые включают рандомизированные SSH-порты и самоуничтожающиеся политики контейнеров, помогая скрыть цифровые следы.

В оперативных сценариях Villager автоматизирует внешнюю разведку, используя сканеры, специфичные для платформы, в контейнерах Kali для выявления уязвимостей и управления приоритетными целями для злоумышленников. Он также поддерживает использование API и браузера путем последовательной аутентификации и логических ошибок. Этапы проверки задачи гарантируют, что попытки эксплуатации будут подтверждены до эскалации, сводя к минимуму риски слепых эксплойтов.

Оценки рисков указывают на высокую вероятность неправильного использования Villager, прежде всего потому, что он общедоступен в виде пакета на PyPI и вызвал значительный интерес, о чем свидетельствуют тысячи загрузок. Для организаций, не имеющих надлежащего контроля безопасности, фреймворк создает значительные риски, сокращая время пребывания злоумышленников в сети и усиливая потенциальное воздействие кибер-эксплойтов.

Предлагаемые немедленные контрмеры включают мониторинг показателей, связанных с Villager и Cyberspike, применение строгих политик в отношении пакетов и ограничение разрешений для сетевых взаимодействий в средах разработки. В среднесрочной перспективе для повышения устойчивости к этим новым угрозам рекомендуется повысить безопасность реестров пакетов в supply chain, создать структуры управления для инструментов искусственного интеллекта и провести учения red team для имитации агентурных атак.