#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cthulhu Stealer - это вредоносное ПО для macOS, написанное на Go, предназначенное для кражи учетных данных и информации о криптовалюте путем Маскировки под законное программное обеспечение и использования инструмента "osascript" для запроса пароля пользователя. Он поддерживает как архитектуру x86_64, так и ARM и распространяется через подпольные рынки с партнерскими соглашениями. Бэкдор Oyster, обнаруженный в 2023 году, обеспечивает удаленный доступ и использует управление из командной строки; его доставка включает в себя Отравление поисковой оптимизации (SEO), маскировку полезной нагрузки под законное программное обеспечение и демонстрацию изощренной тактики уклонения.
-----

Cthulhu Stealer - это вредоносное ПО для macOS "как услуга", которое крадет учетные данные и информацию о криптовалюте.

Он написан на Go и маскируется под легальное программное обеспечение для сбора конфиденциальных пользовательских данных.

Вредоносное ПО распространяется путем аренды доступа через подпольные торговые площадки за 500 долларов в месяц.

Cthulhu Stealer поддерживает как архитектуру x86_64, так и ARM и поставляется в виде Apple DMG, содержащего два двоичных файла.

Вредоносное ПО использует "osascript" для запроса паролей пользователей, что указывает на потенциальную связь с Atomic Stealer.

В Cthulhu Stealer реализована партнерская модель распределения прибыли, основанная на успешных внедрениях.

Бэкдор Oyster, обнаруженный в середине 2023 года, представляет собой вредоносное ПО на C++, обеспечивающее удаленный доступ и управление из командной строки.

Oyster использует поисковую систему SEO poisoning (izesoizes) для доставки полезных данных, замаскированных под легальное программное обеспечение, такое как PuTTY.

Активность RDP была замечена после обмена данными с серверами Oyster C2, что указывает на перемещение внутри компании в сетях.

Зашифрованные строки пользовательского агента в сетевом трафике предполагают методы обфускации для лучшего сокрытия атрибуции.

Очевидна тенденция использования вредоносного ПО как услуги (MaaS), когда вредоносное ПО адаптируется для достижения целей операторов.

#ParsedReport #CompletenessMedium
17-09-2025

Going Underground: China-aligned TA415 Conducts U.S.-China Economic Relations Targeting Using VS Code Remote Tunnels

https://www.proofpoint.com/us/blog/threat-insight/going-underground-china-aligned-ta415-conducts-us-china-economic-relations

Report completeness: Medium

Actors/Campaigns:
Ta415 (motivation: cyber_espionage)
Winnti
Chengdu_404_leak (motivation: cyber_espionage)
I-soon_leak (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Voldemort
Whirlcoil

Victims:
United states government, Think tanks, Academic organizations, Aerospace sector, Chemicals sector, Insurance sector, Manufacturing sector

Industry:
Chemical, Government, Aerospace

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1204, T1219, T1566, T1566.002

IOCs:
File: 4
Path: 1
Coin: 1
Domain: 1
Email: 3
Url: 8
Hash: 11

Soft:
Visual Studio, Dropbox, OpenDrive, VSCode

Algorithms:
sha256, base64, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В середине 2025 года китайская хакерская группировка TA415 провела кампании spearphishing, нацеленные на правительственные учреждения США и академические институты, используя тактику Имперсонации, сосредоточенную вокруг американо-китайских экономических тем. Они перешли от использования бэкдора Voldemort к использованию запутанного загрузчика Python WhirlCoil, облегчающего заражение через удаленные туннели VS Code. TA415 связан с сетевой технологией Chengdu 404 и имеет связи с Министерством государственной безопасности Китая, что указывает на его причастность к спонсируемым государством усилиям по кибершпионажу в условиях меняющейся геополитической динамики.
-----

В июле и августе 2025 года хакерская группировка TA415, связанная с Китаем, проводила кампании spearphishing, направленные против правительственных структур США, аналитических центров и академических институтов. Тактика группы заключалась в том, чтобы выдавать себя за узнаваемых деятелей и организации, связанные с американо-китайскими отношениями, в частности, используя темы, связанные с экономической политикой и торговлей, для получения конфиденциальной информации от своих целей.

Следуя более ранним кампаниям, в которых использовался бэкдор Voldemort, который они поставили в августе 2024 года, TA415 адаптировала свои методы, интегрировав использование удаленных туннелей VS Code. К сентябрю 2024 года они изменили свою методологию заражения, внедрив запутанный загрузчик Python, известный как WhirlCoil, для облегчения удаленного туннелирования VS Code.

инфекции. В число объектов, подвергшихся атаке на этом этапе, входили организации из аэрокосмического, химического, страхового и производственного секторов, параллельно с деятельностью, о которой сообщила другая компания, Cyble, в октябре 2024 года.

Атрибуция этих кампаний связывает TA415 с частным подрядчиком под названием Chengdu 404 Network Technology, базирующимся в Чэнду, Китай. Исторические ассоциации предполагают, что эта группа сотрудничает с другими частными подрядчиками в рамках китайской системы кибершпионажа. Примечательно, что некоторые обвиняемые члены этой группы заявили о своей принадлежности к гражданской службе внешней разведки Китая, Министерству государственной безопасности (МГБ). Proofpoint с высокой степенью достоверности относит описанные действия к TA415, основываясь на установленных корреляциях с известной инфраструктурой, последовательных схемах таргетинга и используемых TTP, соответствующих интересам Китая.

Последствия этих целенаправленных атак подчеркивают динамичный ландшафт угроз, на который влияют геополитические сдвиги. Изменение целей указывает на возможную корректировку приоритетов разведки, отражающую развитие американо-китайских экономических и внешнеполитических отношений. Поскольку эти действия соответствуют государственным интересам Китая, характер целевых организаций и сроки проведения операций предполагают обдуманный ответ на текущие геополитические условия. Это служит напоминанием о постоянной и эволюционирующей киберугрозе, исходящей от акторов, связанных с государством, в сфере международных отношений.

#ParsedReport #CompletenessHigh
17-09-2025

Mapping the Infrastructure and Malware Ecosystem of MuddyWater

https://www.group-ib.com/blog/muddywater-infrastructure-malware/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Muddyrot
Stealthcache
Phoenix_keylogger
Fooder
Spear-phishing_technique
Liteinject
Atera_tool
Simplehelp_tool
Ehorus_tool
N-able_tool
Screenconnect_tool
Syncro_tool
Dchspy
Dll_sideloading_technique
Cannonrat
Udpgangster
Hackbrowser
Go-socks5_tool

Victims:
Telecommunications, Government, Energy, Defense, Critical infrastructure

Industry:
Government, Critical_infrastructure, Energy, Telco

Geo:
Iran, Israel, Middle east, Israeli, Hungary, Turkey, Iranian, Azerbaijan, Tehran, Asian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1057, T1059.001, T1071.001, T1105, T1119, T1204.002, T1566.001, T1566.002, have more...

IOCs:
File: 17
Hash: 4
Domain: 2
Path: 5
Command: 1
Url: 9
IP: 12

Soft:
Dropbox, Android, macOS, Linux, Microsoft Office

Algorithms:
md5, exhibit, xor, aes, sha256

Functions:
DllEntryPoint

Win API:
setsockopt, CryptHashData, CryptDeriveKey, CryptDecrypt, GetLastError

Languages:
golang, powershell, python

Links:
https://github.com/moonD4rk/HackBrowserData
have more...
https://github.com/hashicorp/yamux
https://github.com/armon/go-socks5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, иранская группа по сложным целенаправленным атакам, с начала 2025 года активизировала свою деятельность, сосредоточившись на spear phishing и развертывании пользовательского вредоносного ПО против целей на Ближнем Востоке, в Европе и Соединенных Штатах. Ключевые варианты включают BugSleep, бэкдор C/C++ для выполнения команд и передачи файлов; StealthCache, который улучшает связь C2 через HTTP(ы); и Fooder, загрузчик, который выполняет полезные нагрузки в памяти. Группа использует разнообразную инфраструктуру, включая AWS и Cloudflare, для облегчения своей деятельности и поддержания операционной безопасности.
-----

MuddyWater, спонсируемая иранским государством группа по сложным целенаправленным атакам (Сложные целенаправленные атаки), с начала 2025 года проявляет все большую активность, в первую очередь нацеливаясь на организации по всему Ближнему Востоку, Европе и Соединенным Штатам. Операционная стратегия этой группы перешла от оппортунистических кампаний удаленного мониторинга и управления (RMM) к более целенаправленному spear phishing и внедрению пользовательского вредоносного ПО, что свидетельствует о более изощренном подходе.

Ключевые варианты вредоносного ПО, идентифицированные как часть арсенала MuddyWater's, включают BugSleep, StealthCache, Phoenix, Fooder и LiteInject. BugSleep, написанный на C/C++, служит пользовательским бэкдором, который облегчает выполнение команд и передачу файлов между скомпрометированными системами и серверами управления (C2). С середины 2024 года он был широко развернут, особенно на Ближнем Востоке и в Европе. StealthCache известен своими расширенными функциями и расширенными коммуникационными возможностями C2, использующими HTTP-запросы к конечной точке, где команды диктуют действия вредоносного ПО. Команды могут инициировать кражу файлов, проверку процессов на соответствие известным решениям безопасности и отправку сообщений обратно на сервер C2, что позволяет операторам сохранять осведомленность о мерах безопасности, применяемых в зараженных средах.

Phoenix - это еще один вариант вредоносного ПО, приписываемый MuddyWater, отличающийся минималистичной функциональностью бэкдора, в котором он расшифровывает встроенный PE-файл и запускает его. Fooder, функционирующий как загрузчик, предназначен для загрузки, расшифровки и выполнения полезных нагрузок вредоносного ПО, хранящихся в памяти, иногда используя методы DLL side-loading. Группа имеет большой опыт в использовании проектов Golang с открытым исходным кодом для улучшения своих операционных результатов.

Инфраструктура MuddyWater's разнообразна и использует такие сервисы, как AWS, Cloudflare и пуленепробиваемые хостинговые решения. Этот анализ инфраструктуры имеет решающее значение для понимания их методов работы и облегчает принятие упреждающих мер против их деятельности. Отслеживание регистраций доменов и действий хостинг-провайдера позволяет специалистам по кибербезопасности более эффективно выявлять атаки и отслеживать онлайн-присутствие MuddyWater's.

#ParsedReport #CompletenessHigh
17-09-2025

Tech Note - BeaverTail variant distributed via malicious repositories and ClickFix lure

https://gitlab-com.gitlab.io/gl-security/security-tech-notes/threat-intelligence-tech-notes/north-korean-malware-sept-2025/

Report completeness: High

Actors/Campaigns:
Contagious_interview
Famous_chollima

Threats:
Beavertail
Clickfix_technique
Invisibleferret
Fakecaptcha_technique
Golangghost
Flexibleferret
Ottercookie
Residential_proxy_technique

Victims:
Cryptocurrency sector, Retail sector, Marketing roles, Trader roles

Industry:
Retail, Education, E-commerce, Software_development

Geo:
North korean, Russian, Polish

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.004, T1059.006, T1059.007, T1105, T1140, T1204, T1548.003, T1555.003, have more...

IOCs:
Domain: 2
Url: 2
File: 3
IP: 15
Email: 2
Hash: 11

Soft:
curl, sudo, macOS, Linux, PyInstaller, payuniversal2, e, Chrome

Wallets:
tronlink, exodus_wallet, binancechain, enkrypt, unisat

Crypto:
ethereum

Algorithms:
sha256, 7zip, base64, exhibit

Languages:
visual_basic, javascript, golang, python

Links:
https://github.com/vercel/pkg
https://github.com/nvm-sh/nvm
have more...
https://github.com/pyinstaller/pyinstaller

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В мае 2025 года исследователи обнаружили спонсируемых государством северокорейских акторов, распространяющих два варианта вредоносного ПО, BeaverTail и InvisibleFerret, нацеленных на криптовалютный сектор и розничную торговлю. BeaverTail, вредоносное ПО на JavaScript, которое крадет конфиденциальную информацию, было доставлено с помощью приманок ClickFix и использовало мошенническую платформу для найма персонала. Эта кампания ознаменовала собой изменение тактики, в ходе которой был применен конкретный таргетинг на определенные расширения браузера и продемонстрирован более простой масштаб операций при низких показателях обнаружения, наблюдаемых на ранних этапах развертывания.
-----

В мае 2025 года исследователи кибербезопасности выявили инфраструктуру, связанную с распространением двух вариантов вредоносного ПО, BeaverTail и InvisibleFerret, которые приписываются спонсируемым государством злоумышленникам из Северной Кореи, известным под такими идентификаторами, как Contagious Interview и Famous Chollima. Эти варианты вредоносного ПО были нацелены на роли маркетологов и трейдеров в секторах криптовалют и розничной торговли, отличаясь от предыдущих ролей разработчиков программного обеспечения. Эта кампания продемонстрировала изменение тактики злоумышленника, использующего приманки ClickFix для манипулирования соискателями, чтобы заставить их запускать вредоносное ПО BeaverTail, которое было скомпилировано в исполняемые файлы, а не доставлялось в виде сценариев, что указывает на меньший масштаб операции на данном этапе.

BeaverTail, признанный вредоносным ПО на JavaScript, ранее скрывался в Репозиториях кода вредоносных программ, предназначенных для разработчиков программного обеспечения, под видом возможностей трудоустройства. После проникновения он крадет конфиденциальные данные, включая информацию о кошельке криптовалюты, системные учетные данные и данные браузера, прежде чем развернуть вторичную полезную нагрузку, известную как InvisibleFerret, средство для кражи информации и удаленного доступа.

Приманка ClickFix направляла пользователей на мошенническую платформу для найма персонала, разработанную на хостинговом сервисе Vercel, которая предназначалась для поиска соискателей работы и запросов об инвестициях. Что касается механизмов доставки, кампании были дифференцированы на разных платформах. Для macOS команда ClickFix извлекает исправленный установочный пакет, который выполняет сценарий предварительной установки. Напротив, для Windows она загружала архивный файл, содержащий необходимые компоненты вредоносного ПО, в то время как для систем Linux команда использовала wget для получения сценария, передаваемого в bash для выполнения, что приводило к установке вредоносного ПО.

Вариант BeaverTail, запущенный в рамках этой кампании, демонстрирует заметное упрощение, ориентируясь только на восемь конкретных расширений браузера, в отличие от обычных двадцати двух. Его целевой подход отражает сужение фокуса на менее распространенных криптовалютных кошельках при одновременной интеграции минимальных методов запутывания. Злоумышленник, по-видимому, использовал IP-адреса, связанные с российскими телекоммуникационными компаниями, и, возможно, полагался на адреса, внесенные в список разрешенных, чтобы защитить себя от непреднамеренного заражения своей операционной среды.

Ранние наблюдения показывают, что разработка этой операции началась в начале 2025 года, а первые тестовые развертывания состоялись в мае. Показатели указывают на то, что кампания еще не достигла широкомасштабного распространения, о чем свидетельствуют минимальное присутствие в "песочницах" вредоносного ПО и низкие показатели обнаружения, наряду с остатками разработки, обнаруженными в коде вредоносного ПО, и заметными недостатками в используемой тактике социальной инженерии.

#ParsedReport #CompletenessHigh
17-09-2025

ShinyHunters Calling: Financially Motivated Data Extortion Group Targeting Enterprise Cloud Applications

https://blog.eclecticiq.com/shinyhunters-calling-financially-motivated-data-extortion-group-targeting-enterprise-cloud-applications

Report completeness: High

Actors/Campaigns:
Shinyhunters (motivation: financially_motivated, cyber_criminal, information_theft)
0ktapus (motivation: financially_motivated, cyber_criminal)
Shiny_spider
Lapsus
Yukari
Sp1d3r_hunters (motivation: cyber_criminal)
Dragonforce (motivation: financially_motivated)

Threats:
Supply_chain_technique
Sim_swapping_technique
Qtox_tool
Screenconnect_tool
Anydesk_tool
Mfa_bombing_technique
Spear-phishing_technique
Credential_dumping_technique
Evilginx_tool

Victims:
Enterprise cloud application users, Salesforce users, Okta users, National bank, Japanese car manufacturer, Enterprise development environments

Industry:
Entertainment, Financial, E-commerce, Energy, Transport, Aerospace, Telco, Retail

Geo:
French, Japanese, Brazil

CVEs:
CVE-2021-35587 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 30

IOCs:
Domain: 22
IP: 8
Hash: 5
Coin: 2

Soft:
ESXi, Telegram, Salesforce, Slack, Unix

Wallets:
coinbase

Crypto:
bitcoin

Algorithms:
sha256

Languages:
php

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 4, windows: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShinyHunters - это финансово мотивированная хакерская группировка, нацеленная на корпоративные облачные приложения, использующая передовые тактики, такие как голосовой фишинг и Компрометация цепочки поставок. Группа использовала инсайдерские угрозы и форумы по борьбе с киберпреступностью для использования данных, используя такие методы, как SIM Swapping и VoIP-сервисы, для запуска крупномасштабных кампаний фишинга, которые компрометируют учетные данные для таких платформ, как Salesforce и Okta. Их операции также включают использование уязвимостей, таких как CVE-2021-35587, для доступа к конфиденциальным записям, что указывает на серьезную угрозу безопасности предприятия.
-----

ShinyHunters - это финансово мотивированная хакерская группировка, действующая с 2020 года, известная тем, что нацелена на корпоративные облачные приложения с помощью передовых тактик, включая голосовой фишинг с поддержкой искусственного интеллекта и Компрометацию цепочки поставок. Аналитики отмечают, что группа расширила свою деятельность, используя как злонамеренных инсайдеров, так и форумы по киберпреступности, такие как BreachStars и OGUsers, для продажи или использования конфиденциальных данных, полученных от предприятий.

Заметная связь с другими киберпреступными организациями установлена через Юкари, активного участника как ShinyHunters, так и Scattered Spider, который специализируется на методах первоначального компрометации, таких как SIM Swapping и голосовой фишинг. Используя VoIP-сервисы, такие как Twilio и Google Voice, ShinyHunters организовали крупномасштабные кампании по поиску клиентов. Злоумышленники выдают себя за ИТ-персонал во время этих звонков, вводя жертв в заблуждение и заставляя их предоставлять аутентификационные данные, которые позволяют получить несанкционированный доступ к критически важным приложениям, таким как Salesforce, часто через модифицированную версию загрузчика данных Salesforce.

ShinyHunters нацелена на пользователей Okta с начала 2025 года, используя инфраструктуру фишинга, имитирующую подлинные страницы единого входа Okta, для сбора учетных данных из таких секторов, как инвестиционный банкинг и электронная коммерция. Эти усилия включают в себя клонирование потока аутентификации поддомена Okta, что делает их страницы для фишинга очень убедительными.

Операции группы, в частности, выходят за рамки обычного фишинга и охватывают более изощренные способы, такие как доступ к ключам API BrowserStack для проникновения в конвейеры CI/CD для получения исходного кода и атак на supply chain. Такой подход усиливает угрозу, которую ShinyHunters представляют для корпоративных сред разработки. Кроме того, использование уязвимости Oracle Access Manager (CVE-2021-35587) компанией Yukari является еще одним примером способности группы компрометировать конфиденциальные данные клиентов из важных объектов, включая национальный банк и японского автопроизводителя.

Более того, ShinyHunters стремится привлечь инсайдеров, которые могут предоставить прямой доступ к критически важным системам, таким как Okta, Microsoft SSO и Citrix VPN, что указывает на стратегический акцент на облачных приложениях в своих кампаниях по фишингу. Сотрудничество с другими киберпреступными группами, такими как Scattered Spider, повышает эффективность их атак в рамках экосистемы eCrime.

Для организаций рост числа ShinyHunters сигнализирует об обострении ситуации с угрозами, в которой предприятия сталкиваются со значительными рисками, связанными с целенаправленным фишингом и попытками вымогательства данных. Аналитики подчеркивают необходимость строгого контроля доступа и механизмов мониторинга для смягчения векторов атак группы и усиления политики безопасности организации в соответствии с наблюдаемыми тенденциями.

#ParsedReport #CompletenessMedium
17-09-2025

GOLD SALEMs Warlock operation joins busy ransomware landscape

https://news.sophos.com/en-us/2025/09/17/gold-salems-warlock-operation-joins-busy-ransomware-landscape/

Report completeness: Medium

Actors/Campaigns:
Warlock (motivation: cyber_criminal)
Storm-2603
Hunters_international

Threats:
X2anylock
Hunters_international
Toolshell_vuln
Byovd_technique
Mimikatz_tool
Impacket_tool

Victims:
Commercial entities, Government entities, Multinational corporations, Electricity generation industry

Industry:
Government

Geo:
China, Russia, America, Russian, Russian federation

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-51324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.003, T1190, T1505.003

IOCs:
File: 3
Url: 1
Hash: 2

Soft:
ESXi, curl, Local Security Authority, PsExec, Velociraptor, Visual Studio Code

Algorithms:
sha1, md5, sha256

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Warlock группы GOLD SALEM - это изощренный актор-вымогатель, ответственный за атаки на 60 жертв по всей Северной Америке, Европе и Южной Америке, избегая целей в Китае и России. Они использовали цепочку эксплойтов под названием ToolShell для атаки на серверы SharePoint, используя уязвимости CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771, развертывая Веб-шелл ASPX для удаленного выполнения команд. Их тактика иллюстрирует изменение в ландшафте программ-вымогателей, сочетая устоявшиеся стратегии с новыми методами использования уязвимостей.
-----

Операция Warlock группы GOLD SALEM стала заметным игроком на рынке программ-вымогателей, демонстрируя уровень технического мастерства, соответствующий устоявшимся операциям с программами-вымогателями. К середине сентября 2025 года группировка взяла на себя ответственность за нападения на 60 жертв, включая широкий круг представителей малого бизнеса, государственных структур и крупных транснациональных корпораций по всей Северной Америке, Европе и Южной Америке. Интересно, что GOLD SALEM в значительной степени избегал нападок на организации в Китае и России, хотя в начале сентября он опубликовал информацию о жертве из России на своем специализированном сайте по утечке информации. Эта российская организация специализируется на инжиниринговых услугах для сектора производства электроэнергии, что потенциально указывает на то, что операционная база группы находится за пределами российской юрисдикции, где, как известно, правоохранительные органы активно преследуют акторов-вымогателей.

Расследование тактики GOLD SALEM выявило изощренную вредоносную активность, в частности инцидент в конце июля с участием серверов SharePoint. Группа использовала специальную цепочку эксплойтов, известную как ToolShell, чтобы получить первоначальный доступ. Эта цепочка эксплойтов использовала комбинацию уязвимостей, обозначенных как CVE-2025-49704, CVE-2025-49706, CVE-2025-53770 и CVE-2025-53771. Успешная эксплуатация позволила группе развернуть ASPX- Веб-шелл, который создал объект Process для cmd.exe в контексте рабочего процесса IIS (w3wp.exe ). Эта настройка позволяла злоумышленнику удаленно выполнять произвольные команды с возможностью просмотра выходных данных в режиме реального времени.

Появление GOLD SALEM иллюстрирует продолжающуюся трансформацию в сфере программ-вымогателей, где новые группы используют проверенные стратегии и потенциально внедряют новые подходы для использования хорошо известных уязвимостей. Их оперативная тактика, особенно в использовании продвинутых цепочек эксплойтов, представляет значительный риск для различных секторов, подчеркивая необходимость усиления мер безопасности в целевых и уязвимых системах.

#ParsedReport #CompletenessMedium
17-09-2025

Comicform, beginning: F6 analysts studied the phishing campaigns of a new attacking

https://www.f6.ru/blog/comicform/

Report completeness: Medium

Actors/Campaigns:
Comicform

Threats:
Formbook

Victims:
Industrial sector, Financial sector, Tourism sector, Biotechnology sector, Research sector, Trade sector, Production companies

Industry:
Financial, Transport

Geo:
Belarusian, Kazakhstan, Russian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.001

IOCs:
File: 18
Hash: 65
Command: 2
Url: 42
IP: 3
Email: 2
Domain: 45

Soft:
Windows Defender

Algorithms:
md5, sha256, sha1

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Аналитики F6 Threat Intelligence отследили кампанию фишинга, проводимую злоумышленником Comicform, нацеленную на различные российские секторы, включая промышленный и финансовый. Этот актор использовал специализированные электронные письма для фишинга, тематически связанные с "актами вербовки", включая примечательный пример, в котором использовались персонажи комиксов и вредоносное ПО для Formbook. Тактика Comicform эволюционировала с течением времени, и текущие действия указывают на постоянное намерение использовать уязвимости в целевых организациях, о чем свидетельствует регистрация отличительного электронного письма и тактика, которая адаптируется, чтобы избежать обнаружения.
-----

С середины мая по начало июня 2025 года аналитики F6 Threat Intelligence выявили и отслеживали кампанию фишинга, направленную против российских организаций в различных секторах, включая промышленность, финансы, туризм, биотехнологии, исследования и торговлю. Эта вредоносная активность была связана с злоумышленником по имени Comicform, который, по описанию, является специалистом по созданию электронных писем с фишингом, тематически связанных с "действиями по вербовке". В одном значительном примере кампании, датированном 3 июня 2025 года, использовалось электронное письмо с фишингом, в котором использовались персонажи комиксов, и содержалась вредоносная полезная нагрузка, связанная с Formbook, типом вредоносного ПО для кражи информации.

Злоумышленник, Comicform, отличался такими идентификационными признаками, как использование определенного адреса электронной почты, зарегистрированного в бесплатном российском почтовом сервисе "Rivet_kz@...". Такой выбор инструментов и идентификаторов позволяет получить представление об их методах работы и потенциальной принадлежности.

Деятельность злоумышленника продолжалась и после завершения первоначальной кампании; 25 июля 2025 года система XDR, управляемая F6, успешно заблокировала еще больше фишинг-писем, направленных российским производственным компаниям. Эти электронные письма были отправлены от казахстанской компании, занимающейся промышленными операциями, что указывает на географическое и операционное расширение Comicform. По состоянию на начало сентября 2025 года аналитики отметили, что Comicform продолжала проводить кампании по фишингу, адаптируя свою тактику, непоследовательно используя указанный адрес электронной почты в последующих рассылках.

В течение всего периода анализа исследователи F6 собирали подробную информацию о вредоносной инфраструктуре Comicform, выявляли специфическое поведение вредоносного ПО, сопоставляли связанные с ним тактики, методы и процедуры (TTP) и разрабатывали правила поиска, чтобы усилить защиту организации от этих постоянных угроз фишинга. Текущая деятельность демонстрирует решимость Comicform постоянно использовать уязвимости в целевых организациях.