#ParsedReport #CompletenessLow
18-09-2025

FBI FLASH

https://www.ic3.gov/CSA/2025/250912.pdf

Report completeness: Low

Actors/Campaigns:
Unc6040 (motivation: information_theft)
Unc6395 (motivation: information_theft)
Shinyhunters

Victims:
Salesforce users, Customer support teams

Industry:
Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1550.001, T1566, T1598.004

IOCs:
IP: 100
Url: 4

Soft:
Salesforce, Salesloft Drift

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Оперативный отчет ФБР раскрывает деятельность двух киберпреступных группировок, UNC6040 и UNC6395, нацеленных на платформы Salesforce с целью кражи данных и вымогательства. UNC6040 использует тактику социальной инженерии, такую как голосовой фишинг, для получения несанкционированного доступа, выдавая себя за службу ИТ-поддержки, в то время как UNC6395 использует скомпрометированные токены OAuth из приложения Salesloft Drift для доступа к информации о клиентах в учетных записях Salesforce. Обе группы выделяют эволюционирующие методы, используемые при киберугрозах для облегчения эксфильтрации данных.
-----

ФБР опубликовало оперативный отчет, освещающий деятельность двух киберпреступных группировок, UNC6040 и UNC6395, которые все чаще совершают кражи данных и вымогательства, нацеленные на платформы Salesforce. Этот отчет направлен на повышение осведомленности и предоставление индикаторов компрометации (IOCs), чтобы помочь специалистам по кибербезопасности укрепить свою защиту от этих угроз.

Группа UNC6040 действует с октября 2024 года и в основном использует тактику социальной инженерии, в частности голосовой фишинг (vishing), для получения несанкционированного доступа к учетным записям Salesforce. Они часто выдают себя за сотрудников ИТ-службы поддержки, связываясь с жертвами через колл-центры, утверждая, что помогают решить проблемы с подключением предприятия. Используя это доверие, акторы UNC6040 успешно обманывают сотрудников службы поддержки клиентов, заставляя их выполнять действия, которые предоставляют злоумышленникам доступ к учетным данным сотрудников. Этот метод позволяет им проникать в экземпляры Salesforce, что приводит к эксфильтрации конфиденциальных данных клиентов.

В отличие от этого, UNC6395 был идентифицирован как совершающий другую форму атаки. Эта группа была известна своей кампанией по краже данных, нацеленной на Salesforce, с августа 2025 года. Они используют скомпрометированные токены OAuth, связанные с приложением Salesloft Drift, которое представляет собой чат-бота с искусственным интеллектом, который интегрируется с Salesforce. Используя эти токены, UNC6395 получает несанкционированный доступ к информации о клиентах, хранящейся в целевых учетных записях Salesforce.

Обе группы иллюстрируют эволюционирующую тактику, применяемую киберугрозами, направленную на использование существующих платформ и инструментов для получения несанкционированного доступа и проведения мероприятий по эксфильтрации данных. Распространение ФБР информации о МОК, связанных с этими группами, направлено на повышение осведомленности о ситуации и оказание помощи правозащитникам в снижении рисков, создаваемых такими постоянными кибер-акторами.

#ParsedReport #CompletenessHigh
18-09-2025

Cyberspike Villager Cobalt Strikes AI-native Successor

https://www.straiker.ai/blog/cyberspike-villager-cobalt-strike-ai-native-successor

Report completeness: High

Threats:
Cobalt_strike_tool
Villager_tool
Supply_chain_technique
Asyncrat
Dcrat
Venomrat
Mimikatz_tool
Wpscan_tool

Industry:
Software_development

Geo:
China, Chinese

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 3
Hash: 1
File: 3
IP: 2
Url: 1
Email: 2

Soft:
Linux, DeepSeek, Discord, macOS, Docker, LangChain, OpenAI, WordPress

Functions:
pyeval, os_execute_cmd, Task-Based, TaskRelationManager

Languages:
python

Links:
https://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp/blob/master/README.md

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа Villager, основанная на искусственном интеллекте, разработанная китайской компанией Cyberspike, автоматизирует наступательные операции по кибербезопасности и за два месяца собрала около 10 000 загрузок с PyPI. Объединяя инструменты из моделей Kali Linux и DeepSeek AI, Villager снижает барьер для проведения продвинутых тестов на проникновение, потенциально облегчая вредоносную деятельность менее квалифицированных акторов. Его архитектура включает в себя систему управления на основе задач, которая использует обработку естественного языка для динамической оптимизации сложных задач, что знаменует собой переход от традиционных методов ручного тестирования.
-----

Китайская компания Cyberspike, известная разработкой инструментов тестирования на проникновение, представила "Villager" - фреймворк на основе искусственного интеллекта, предназначенный для автоматизации различных аспектов наступательных операций по кибербезопасности. Этот инструмент, выпущенный на базе индекса пакетов Python (PyPI), вызвал значительный интерес, достигнув примерно 10 000 загрузок за первые два месяца. Villager объединяет компоненты Kali Linux с моделями искусственного интеллекта DeepSeek для оптимизации и усовершенствования рабочих процессов тестирования на проникновение, тем самым сокращая технические навыки и время, необходимые для выполнения сложных кибератак. Такой низкий барьер для входа и мощная автоматизация усиливают опасения по поводу возможностей двойного назначения, поскольку это может способствовать как законной оценке безопасности, так и злонамеренным кибератакам со стороны менее квалифицированных акторов.

Последствия доступности для сельского жителя существенны. Используя надежное хранилище программного обеспечения, такое как PyPI, потенциальные злоумышленники могут легко получить и интегрировать этот инструмент в свои операции. Этот сценарий повторяет траекторию, установленную Cobalt Strike, законным инструментом red team, который был перепрофилирован различными преступными группировками. Автоматизация и простота использования, предоставляемые Villager, могут привести к ускорению жизненного цикла атак и, соответственно, к увеличению сложности обнаружения и принятия ответных мер на предприятиях. Особого внимания заслуживает архитектура Villager; она работает с использованием системы командования и контроля на основе задач (C2), оснащенной интерфейсом FastAPI, который облегчает интеллектуальное управление задачами с помощью стандартизированных выходных данных.

Villager использует передовые возможности искусственного интеллекта, такие как обработка естественного языка, позволяя пользователям отдавать команды в виде обычного текста. Это нововведение позволяет фреймворку легко выполнять сложные и адаптивные тесты. Например, при идентификации приложения WordPress Villager автономно запускает WPScan или изменяет свой подход к автоматизации браузера, если распознана конечная точка API, обеспечивая успешное выполнение каждой задачи перед переходом к следующей. Это представляет собой значительную эволюцию по сравнению с традиционными стратегиями тестирования пера, которые зависят от заранее подготовленных сценариев.

#ParsedReport #CompletenessHigh
17-09-2025

Malicious PyPI Packages Deliver SilentSync RAT

https://www.zscaler.com/blogs/security-research/malicious-pypi-packages-deliver-silentsync-rat

Report completeness: High

Threats:
Silentsync
Typosquatting_technique
Supply_chain_technique

Victims:
Software supply chain, Python developers, Healthcare data users

Industry:
Government, Healthcare

Geo:
Argentina

TTPs:
Tactics: 5
Technics: 5

IOCs:
Email: 2
Url: 1
Registry: 1
IP: 1
Hash: 3

Soft:
Chrome, Firefox, curl, Linux, macOS, crontab

Algorithms:
base64, zip

Functions:
search

Languages:
python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле и августе 2025 года Zscaler ThreatLabZ обнаружил три вредоносных пакета на Python в PyPI — termncolor, sisaws и secmeasure, связанных с трояном удаленного доступа SilentSync. Эта RAT нацелена на системы Windows, обеспечивая удаленное выполнение команд, эксфильтрацию файлов и кражу данных из веб-браузеров через жестко закодированный IP-адрес Base64 для своего сервера C2. Пакет sisaws использует typosquatting и имитирует законное программное обеспечение, сохраняя при этом закрепление для выполнения вредоносных операций, что подчеркивает растущие риски в безопасности supply chain программного обеспечения.
-----

В июле и августе 2025 года Zscaler ThreatLabZ идентифицировал три вредоносных пакета Python в индексе пакетов Python (PyPI): termncolor, sisaws и secmeasure. Эти пакеты связаны с трояном удаленного доступа (RAT) под названием SilentSync, предназначенным для удаленного выполнения команд, эксфильтрации файлов, захвата экранов и кражи данных браузера, включая учетные данные, историю просмотров и файлы cookie из популярных веб-браузеров, таких как Chrome, Brave, Edge и Firefox. Вредоносные пакеты специально нацелены на системы Windows, используя HTTP для связи с их сервером управления (C2), который использует жестко закодированный IP-адрес, который хранится в Base64 и декодируется во время выполнения.

Пакет sisaws использует методы typosquatting, Маскировки под законный пакет sisa, который взаимодействует с национальной информационной системой здравоохранения Аргентины. Пакет sisaws повторяет ключевые функции sisa, позволяя ему запрашивать номера национальных документов, удостоверяющих личность пользователей (DNI), и получать доступ к процессам проверки медицинского страхования. В тандеме с sisaws пакет secmeasure претендует на роль библиотеки для очистки строк и мер безопасности, но в конечном счете служит той же цели - развертыванию SilentSync под видом законной утилиты.

SilentSync поддерживает закрепление в зараженных системах с помощью специфичных для платформы методов, которые гарантируют его запуск после перезагрузки или входа в систему. Эта функциональность позволяет ит-службе непрерывно выполнять вредоносные операции, включая сбор данных и выполнение команд. RAT может извлекать полные каталоги, сжимая их в ZIP-файлы, чтобы избежать обнаружения, и впоследствии удалять любые следы после сбора данных.

Идентификация этих вредоносных пакетов подчеркивает растущую угрозу атак supply chain в репозиториях программного обеспечения, подчеркивая необходимость тщательного изучения программного обеспечения, даже из авторитетных источников, для предотвращения таких скрытых угроз. По мере развития этих инцидентов основное внимание должно по-прежнему уделяться пониманию тактики, используемой злоумышленниками, чтобы опережать потенциальные риски кибербезопасности.

#ParsedReport #CompletenessHigh
18-09-2025

Hive0154, aka Mustang Panda, drops updated Toneshell backdoor and novel SnakeDisk USB worm

https://www.ibm.com/think/x-force/hive0154-drops-updated-toneshell-backdoor

Report completeness: High

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Toneshell
Snakedisk_tool
Yokai
Tonedisk_tool
Pubload
Junk_code_technique
Cobalt_strike_tool
Dll_sideloading_technique
Robocopy_tool
Pubshell
Wisprider
Plugx_rat

Victims:
Public sector, Private sector, Think tanks, Policy groups, Government agencies, Individuals

Industry:
Military, Maritime, Government

Geo:
Thailand, Malaysia, Asia, China, Myanmar, Cambodia, Cambodian, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1036.005, T1090.003, T1091, T1106, T1140, T1204.002, T1547.013, T1566.001, have more...

IOCs:
File: 14
IP: 6
Hash: 2
Registry: 1
Path: 10
Url: 2
Command: 3
Coin: 2
Domain: 1

Soft:
Instagram, OpenAI, ChatGPT, Dropbox

Algorithms:
xor, crc-32, prng, sha256

Functions:
_rand

Win API:
NetBIOS, CreateMutexW, GetMessageW, TranslateMessage, DispatchMessageW, SHFIleOperationW, CopyFileW

Languages:
php

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hive0154, также известный как Mustang Panda, нацелен на Восточную Азию с помощью продвинутого вредоносного ПО, включая бэкдор Toneshell и USB-Worm. Toneshell9, новая версия, избегает обнаружения и обменивается данными через прокси-серверы при выполнении в качестве загружаемой сбоку библиотеки DLL, а также использует маяки сердцебиения для связи C2. SnakeDisk, разработанный специально для тайских сетей, использует аналогичные методы DLL Sideloading и заражает USB-накопители, отключая бэкдор Yokai для удаленного выполнения команд, что указывает на изощренную разработку вредоносного ПО злоумышленником.
-----

Hive0154, также известный как Mustang Panda, специализируется на кибершпионаже в Восточной Азии. Группа использует обновленное вредоносное ПО, включая бэкдор Toneshell и USB-червя под названием SnakeDisk. Toneshell9 - это недавнее обновление, которое позволяет избежать обнаружения, используя связь управления через локально настроенные прокси-серверы. Он устанавливает две обратные оболочки и каждые 30 секунд отправляет сердечные сокращения, содержащие коды ответа. Toneshell9 выполняется как загруженная сбоку DLL-библиотека из защищенного RAR-архива с BAT-файлом, который запускает законный исполняемый файл. SnakeDisk, обнаруженный в августе 2025 года, запускается на устройствах, подключенных к сетям в Таиланде, используя DLL sideloading и разрешение API, аналогичное Toneshell9. Он обнаруживает и заражает подключенные USB-накопители, отключая бэкдор Yokai для удаленного выполнения команд. SnakeDisk идентифицирует USB-устройства с "горячим подключением" для заражения на основе наличия существующего вредоносного ПО. Существует значительное перекрытие кода между SnakeDisk и предыдущими итерациями Tonedisk. Hive0154 имеет сложную структуру с различными инструментами вредоносного ПО, адаптированными для целей государственного и частного секторов.

#ParsedReport #CompletenessMedium
18-09-2025

KAWA4096 ransomware aimed at the brand effect through imitation

https://asec.ahnlab.com/ko/90189/

Report completeness: Medium

Actors/Campaigns:
Kawa4095

Threats:
Kawalocker
Qilin_ransomware
Qtox_tool
Shadow_copies_delete_technique
Ransomware/win.kawacrypt.c5774792
Ransomware/win.kawacrypt.c5783637
Ransom/mdp.command.m1026
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Akira_ransomware

Victims:
Multinational organizations, Financial sector, Education sector, Services sector

Industry:
Education

Geo:
Japan

TTPs:

ChatGPT TTPs:
do not use without manual check
T1047, T1486, T1490, T1651

IOCs:
File: 8
Command: 1
Hash: 3

Soft:
firefox, outlook, wordpad, TOR browser

Algorithms:
salsa20, md5

Win API:
MINIDUMPWRITEDUMP, Createmutexa, LoadResource, FindResourcew

Win Services:
sqlservr, powerpnt

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель KAWA4096, нацеленная на многонациональные организации, главным образом в Японии и США, использует сайт утечки данных на базе TOR и использует метод двойного расширения для сбора и шифрования данных после атаки. Он обладает уникальной возможностью повторного запуска шифрования с использованием коэффициента a -lle, усложняющего дешифрование, и выборочно шифрует файлы, исключая при этом критически важные системные файлы, тем самым максимизируя воздействие. Примечательно, что он удаляет резервные копии данных с помощью команд, влияющих на shadow copies томов, что отражает растущую сложность угроз программ-вымогателей.
-----

Программа-вымогатель KAWA4096, появившаяся в июне 2025 года, представляет собой угрозу, нацеленную на многонациональные организации, главным образом в Японии и Соединенных Штатах, без ограничений для конкретных секторов промышленности, включая финансы, образование и услуги. Группа управляет сайтом утечки данных на базе TOR для раскрытия информации о жертвах. Его тактика включает метод двойного расширения, который позволяет ему захватывать и шифровать данные после атаки. Каждой жертве присваивается уникальный URL-адрес заявки для управления данными, указывающий на организованную операционную структуру. В настоящее время не разглашаются подробности о суммах выкупа или процессах переговоров.

Примечательной особенностью KAWA4096 является его способность повторно запускать процесс шифрования с использованием коэффициента -lle, не требуя этого изначально, что усложняет его расшифровку. На этапе подготовки к шифрованию аналитики выявили 17 настроек в разделе ресурсов программы-вымогателя, в то время как были предоставлены сведения о пяти из этих элементов, что намекает на сложную конфигурацию.

На этапе шифрования KAWA4096 выборочно нацеливается на файлы и каталоги на основе своих предопределенных настроек, гарантируя исключение системных и критически важных файлов для максимального воздействия. Он использует стратегию частичного шифрования, позволяющую ускорить процесс шифрования, шифруя только сегменты каждого файла, а не весь файл целиком. Этот метод эффективно компрометирует важные файлы, такие как документы и базы данных, делая их недоступными, даже если они не полностью зашифрованы.

Уведомления о выкупе, выпущенные KAWA4096, имеют поразительное сходство с сообщениями программы-вымогателя Qilin, что указывает на общую тактику среди групп вымогателей. В примечаниях сообщается о жертвах нападения, упоминается об утечке данных, содержится угроза публичного разоблачения и контактные данные для переговоров.

Кроме того, KAWA4096 использует метод удаления резервных копий данных путем выполнения команд, связанных с shadow copies томов, используя Win32_process: Create в WMI для запуска этих действий. Этот метод еще больше усложняет потенциальные усилия по восстановлению для пострадавших организаций, подчеркивая эволюционирующий характер и растущую изощренность угроз, связанных с программами-вымогателями.

#ParsedReport #CompletenessLow
17-09-2025

AppSuite, OneStart & ManualFinder: The Nexus of Deception

https://www.gdatasoftware.com/blog/2025/09/38262-appsuite-onestart-deception

Report completeness: Low

Threats:
Manualfinder
Browserassistant

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1071.001, T1105, T1204.002, T1583.001

IOCs:
File: 8
Path: 1
Coin: 1
Url: 2
Domain: 3
Hash: 8

Soft:
Chromium, electron

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование в отношении OneStart, AppSuite и ManualFinder показывает, что они используют одну и ту же инфраструктуру злоумышленника, причем OneStart использует настроенный браузер Chromium и проверяет наличие обновлений с помощью определенного API. Сценарии PowerShell, вызываемые после установки более старой версии OneStart, обнаруживают подключения к серверам управления, связанным с ManualFinder. Шаблоны общего домена приложений и серверная инфраструктура также предполагают централизованную разработку одними и теми же злоумышленниками.
-----

Расследование в отношении OneStart, AppSuite и ManualFinder выявило общую инфраструктуру, указывающую на то, что они, вероятно, исходят от одних и тех же злоумышленников. OneStart сам устанавливается в %appdata%\OneStart.ai directory и основан на настраиваемом браузере Chromium, в то время как AppSuite использует Electron. Примечательно, что OneStart проверяет наличие обновлений по URL-адресу "https://onestartapi.com/api/bb/updates.txt ," который служит конфигурационным файлом, привязанным к расширенному программному обеспечению установщика.

Попытки установить соединения между этими приложениями выявили более старую версию OneStart (OneStartInstaller-v4.5.224.8.msi), которая вызывала сценарии PowerShell после установки. Эти скрипты содержали случайные доменные имена, соотносящиеся с известными серверами управления (CnC), связанными с заражением ManualFinder. Исследование показало, что домены, связанные как с OneStart, так и с ManualFinder, имеют схожие структуры и демонстрируют шаблоны, типичные для ресурсов, размещенных на CloudFront.

В ходе тестирования URL-адреса из AppSuite могли быть успешно заменены доменами OneStart и возвращали ожидаемые ответы, укрепляя идею централизованной инфраструктуры для этих приложений. Эта связь ставит под сомнение утверждение об уникальности разработки, предполагая, что за все три объекта несут ответственность одни и те же злоумышленники.

Хотя следствие не нашло доказательств того, что node.exe установка в старой версии OneStart обнаружила подсказки в скрипте PowerShell, указывающие на действительные идентификаторы продукта, связанные с предыдущими дистрибутивами вредоносного ПО. Исследование старых установщиков выявило дополнительное программное обеспечение, такое как DesktopBar и BrowserAssistant, которые используют ту же серверную инфраструктуру, что и OneStart и AppSuite.

#ParsedReport #CompletenessMedium
17-09-2025

When the Dash Hits the Fan: Artificial Intelligence Exposes the Homoglyph Hustle

https://www.guidepointsecurity.com/blog/ai-exposes-homoglyph-hustle/

Report completeness: Medium

Actors/Campaigns:
Plymouth

Threats:
Homoglyph_technique
Smuggling_technique

Industry:
Healthcare, Education, Transport

Geo:
Australia, Italy, Canada, India, France

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1071.001, T1102, T1105, T1140, T1204.002, T1573

IOCs:
File: 6
Url: 1
Domain: 1
IP: 1
Hash: 4

Soft:
NeutralinoJS, Electron, Chromium, Microsoft Edge, Twitter

Functions:
clean, eval, loadHolidayFromAPI, loadHolidaysFromAPI

Win Services:
bits

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4