#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель KAWA4096, нацеленная на многонациональные организации, главным образом в Японии и США, использует сайт утечки данных на базе TOR и использует метод двойного расширения для сбора и шифрования данных после атаки. Он обладает уникальной возможностью повторного запуска шифрования с использованием коэффициента a -lle, усложняющего дешифрование, и выборочно шифрует файлы, исключая при этом критически важные системные файлы, тем самым максимизируя воздействие. Примечательно, что он удаляет резервные копии данных с помощью команд, влияющих на shadow copies томов, что отражает растущую сложность угроз программ-вымогателей.
-----

Программа-вымогатель KAWA4096, появившаяся в июне 2025 года, представляет собой угрозу, нацеленную на многонациональные организации, главным образом в Японии и Соединенных Штатах, без ограничений для конкретных секторов промышленности, включая финансы, образование и услуги. Группа управляет сайтом утечки данных на базе TOR для раскрытия информации о жертвах. Его тактика включает метод двойного расширения, который позволяет ему захватывать и шифровать данные после атаки. Каждой жертве присваивается уникальный URL-адрес заявки для управления данными, указывающий на организованную операционную структуру. В настоящее время не разглашаются подробности о суммах выкупа или процессах переговоров.

Примечательной особенностью KAWA4096 является его способность повторно запускать процесс шифрования с использованием коэффициента -lle, не требуя этого изначально, что усложняет его расшифровку. На этапе подготовки к шифрованию аналитики выявили 17 настроек в разделе ресурсов программы-вымогателя, в то время как были предоставлены сведения о пяти из этих элементов, что намекает на сложную конфигурацию.

На этапе шифрования KAWA4096 выборочно нацеливается на файлы и каталоги на основе своих предопределенных настроек, гарантируя исключение системных и критически важных файлов для максимального воздействия. Он использует стратегию частичного шифрования, позволяющую ускорить процесс шифрования, шифруя только сегменты каждого файла, а не весь файл целиком. Этот метод эффективно компрометирует важные файлы, такие как документы и базы данных, делая их недоступными, даже если они не полностью зашифрованы.

Уведомления о выкупе, выпущенные KAWA4096, имеют поразительное сходство с сообщениями программы-вымогателя Qilin, что указывает на общую тактику среди групп вымогателей. В примечаниях сообщается о жертвах нападения, упоминается об утечке данных, содержится угроза публичного разоблачения и контактные данные для переговоров.

Кроме того, KAWA4096 использует метод удаления резервных копий данных путем выполнения команд, связанных с shadow copies томов, используя Win32_process: Create в WMI для запуска этих действий. Этот метод еще больше усложняет потенциальные усилия по восстановлению для пострадавших организаций, подчеркивая эволюционирующий характер и растущую изощренность угроз, связанных с программами-вымогателями.

#ParsedReport #CompletenessLow
17-09-2025

AppSuite, OneStart & ManualFinder: The Nexus of Deception

https://www.gdatasoftware.com/blog/2025/09/38262-appsuite-onestart-deception

Report completeness: Low

Threats:
Manualfinder
Browserassistant

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1071.001, T1105, T1204.002, T1583.001

IOCs:
File: 8
Path: 1
Coin: 1
Url: 2
Domain: 3
Hash: 8

Soft:
Chromium, electron

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование в отношении OneStart, AppSuite и ManualFinder показывает, что они используют одну и ту же инфраструктуру злоумышленника, причем OneStart использует настроенный браузер Chromium и проверяет наличие обновлений с помощью определенного API. Сценарии PowerShell, вызываемые после установки более старой версии OneStart, обнаруживают подключения к серверам управления, связанным с ManualFinder. Шаблоны общего домена приложений и серверная инфраструктура также предполагают централизованную разработку одними и теми же злоумышленниками.
-----

Расследование в отношении OneStart, AppSuite и ManualFinder выявило общую инфраструктуру, указывающую на то, что они, вероятно, исходят от одних и тех же злоумышленников. OneStart сам устанавливается в %appdata%\OneStart.ai directory и основан на настраиваемом браузере Chromium, в то время как AppSuite использует Electron. Примечательно, что OneStart проверяет наличие обновлений по URL-адресу "https://onestartapi.com/api/bb/updates.txt ," который служит конфигурационным файлом, привязанным к расширенному программному обеспечению установщика.

Попытки установить соединения между этими приложениями выявили более старую версию OneStart (OneStartInstaller-v4.5.224.8.msi), которая вызывала сценарии PowerShell после установки. Эти скрипты содержали случайные доменные имена, соотносящиеся с известными серверами управления (CnC), связанными с заражением ManualFinder. Исследование показало, что домены, связанные как с OneStart, так и с ManualFinder, имеют схожие структуры и демонстрируют шаблоны, типичные для ресурсов, размещенных на CloudFront.

В ходе тестирования URL-адреса из AppSuite могли быть успешно заменены доменами OneStart и возвращали ожидаемые ответы, укрепляя идею централизованной инфраструктуры для этих приложений. Эта связь ставит под сомнение утверждение об уникальности разработки, предполагая, что за все три объекта несут ответственность одни и те же злоумышленники.

Хотя следствие не нашло доказательств того, что node.exe установка в старой версии OneStart обнаружила подсказки в скрипте PowerShell, указывающие на действительные идентификаторы продукта, связанные с предыдущими дистрибутивами вредоносного ПО. Исследование старых установщиков выявило дополнительное программное обеспечение, такое как DesktopBar и BrowserAssistant, которые используют ту же серверную инфраструктуру, что и OneStart и AppSuite.

#ParsedReport #CompletenessMedium
17-09-2025

When the Dash Hits the Fan: Artificial Intelligence Exposes the Homoglyph Hustle

https://www.guidepointsecurity.com/blog/ai-exposes-homoglyph-hustle/

Report completeness: Medium

Actors/Campaigns:
Plymouth

Threats:
Homoglyph_technique
Smuggling_technique

Industry:
Healthcare, Education, Transport

Geo:
Australia, Italy, Canada, India, France

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1036.005, T1071.001, T1102, T1105, T1140, T1204.002, T1573

IOCs:
File: 6
Url: 1
Domain: 1
IP: 1
Hash: 4

Soft:
NeutralinoJS, Electron, Chromium, Microsoft Edge, Twitter

Functions:
clean, eval, loadHolidayFromAPI, loadHolidaysFromAPI

Win Services:
bits

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NeutralinoJS представляет угрозу безопасности, поскольку он опирается на Microsoft Edge WebView2, позволяя создавать вредоносные приложения, такие как calendaromatic-win_x64.exe , который содержит скрытую полезную нагрузку в архиве. Архив содержит веб-код и содержит подозрительную функцию с именем clean(), указывающую на потенциальные методы обфускации для сокрытия вредоносных действий, включая скрытую коммуникацию с помощью гомоглифов. Анализ трафика показывает, что вредоносное ПО нацелено преимущественно на пользователей в США, но также затрагивает такие страны, как Великобритания, Канада и Австралия.
-----

NeutralinoJS, облегченный фреймворк для разработки кроссплатформенных настольных приложений с использованием веб-технологий, представляет значительные риски для безопасности из-за того, что он использует Microsoft Edge WebView2, а не поставляется на полноценном движке Chromium. Этот фреймворк позволяет разработчикам легко объединять веб-ресурсы, но он использовался для создания вредоносных приложений. Одним из таких примеров является calendaromatic-win_x64.exe, который действует просто как оболочка для более коварной полезной нагрузки, скрытой в сопутствующем архиве с именем resources.neu. Этот архив содержит основной веб-код приложения, включая HTML, CSS и уменьшенные элементы JavaScript.

Внутри этого вредоносного пакета среди стандартных конфигурационных файлов можно найти подозрительную функцию с именем clean(). Эта функция может указывать на наличие методов обфускации, предназначенных для сокрытия дальнейшей вредоносной активности. Использование гомоглифов — визуально похожих символов — служит скрытым каналом связи, позволяя вредоносному ПО незаметно кодировать конфиденциальную информацию. Анализ показал, что сопоставления этих гомоглифов могут быть использованы для восстановления скрытых строк, что потенциально облегчает действия командования и контроля, не будучи легко обнаруженным.

Во время тестирования в контролируемой виртуальной среде было отмечено, что конечная точка API, связанная с вредоносным ПО, при обращении возвращала статус "404 не найдено", что еще больше усиливало подозрения в его обманчивой природе. Анализ трафика на связанный домен показал, что значительная доля запросов исходила из Соединенных Штатов (77,7%), что позволяет предположить, что вредоносное ПО намеренно нацелено на пользователей в США наряду с другими странами, такими как Великобритания, Канада и Австралия.

#ParsedReport #CompletenessLow
18-09-2025

"Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack

https://unit42.paloaltonetworks.com/npm-supply-chain-attack/

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Supply_chain_technique
Shai-hulud
Credential_harvesting_technique

Victims:
Open source software ecosystem, Developers, Npm ecosystem

Geo:
Japan, India, Middle east, Asia, Australia

ChatGPT TTPs:
do not use without manual check
T1021.004, T1036, T1059.004, T1078, T1105, T1136.003, T1195, T1199, T1496, T1530, have more...

IOCs:
File: 4
Hash: 4
Url: 1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь "Shai-Hulud" - это атака supply chain на программное обеспечение, компрометирующая более 180 пакетов npm, возникшая в результате фишинг-кампании credential-harvesting, которая обманом заставила разработчиков обновить свои регистрационные данные MFA. В этой многоэтапной атаке используются сложные методы, потенциально включающие большие языковые модели для кодирования, что позволяет злоумышленникам развертывать самореплицирующуюся вредоносную полезную нагрузку, которая может привести к серьезным последствиям, таким как утечка данных, развертывание программ-вымогателей и перемещение внутри компании внутри сетей. Атака представляет собой значительную эскалацию угроз экосистеме npm, подчеркивая необходимость повышенной бдительности в сообществе разработчиков с открытым исходным кодом.
-----

Атака active software supply chain, идентифицированная как червь "Shai-Hulud", ставит под угрозу экосистему npm, нацеливаясь на более чем 180 пакетов программного обеспечения. Эта атака, по-видимому, была вызвана сложной кампанией фишинга credential-harvesting, которая ввела разработчиков в заблуждение, заставив их обновить информацию для входа в систему Многофакторной аутентификации (MFA) для npm. Как только доступ был получен, злоумышленники развернули самовоспроизводящуюся вредоносную полезную нагрузку, предназначенную для функционирования в качестве червя, инициировав последовательность многоэтапных атак.

Анализ показывает, что в атаке используются передовые методы, включая потенциальное использование больших языковых моделей (LLM) для содействия разработке вредоносного кода, о чем свидетельствует стиль комментариев в скрипте bash. Воздействие кражи учетных данных из скомпрометированных учетных записей может быть серьезным, что может привести к потенциальным нарушениям работы Облачных сервисов, таких как AWS, Azure и Google Cloud Platform (GCP). Это может привести к краже данных из хранилищ, внедрению программ-вымогателей, криптомайнингу, удалению производственных сред, прямой краже базы данных и даже захвату сторонних сервисов в целях фишинга. Скомпрометированные SSH-ключи также могут способствовать перемещению внутри компании в уязвимых сетях.

В ответ на угрозу рекомендуются немедленные действия, начиная с замены всех учетных данных разработчика, включая токены доступа npm, токены личного доступа GitHub (PATs) и SSH-ключи. Разработчикам следует провести тщательный аудит зависимостей своих проектов, чтобы выявить уязвимые пакеты и убедиться, что в их проекты не включены пакеты с заведомо скомпрометированными данными. Это включает в себя тщательное изучение package-lock.json или yarn.блокировка файлов. Также следует провести проверку безопасности учетных записей GitHub, чтобы убедиться в наличии любых несанкционированных репозиториев или подозрительной активности в рабочих процессах. Обеспечение соблюдения MFA во всех учетных записях разработчиков имеет решающее значение для предотвращения потенциального злоупотребления учетными данными.

Червь Shai-Hulud знаменует собой заметную эскалацию продолжающихся угроз, связанных с npm, нацеленных на сообщество разработчиков с открытым исходным кодом, после предыдущих инцидентов, связанных с кражей учетных данных и кампаниями фишинга. Для защиты от этих угроз используются подходы поведенческой защиты от угроз и машинного обучения, в то время как такие инструменты, как Advanced WildFire model и Prisma Cloud, обеспечивают дополнительные уровни защиты от вредоносных действий в конвейерах CI/CD и помогают обнаруживать уязвимости. Однако основное внимание по-прежнему уделяется бдительности и активным мерам безопасности для предотвращения эксплуатации экосистемы npm.

#ParsedReport #CompletenessLow
18-09-2025

Mapping Hidden Alliances in Russian-Affiliated Ransomware

https://dti.domaintools.com/mapping-hidden-alliances-russian-affiliated-ransomware/

Report completeness: Low

Actors/Campaigns:
Evil_corp
Wazawaka

Threats:
Conti
Lockbit
Blackbasta
Qakbot
Trickbot
Microsoft_quick_assist_tool
Anydesk_tool
Revil
Babuk
Avaddon

Victims:
Ransomware victims

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1583

Algorithms:
exhibit

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанные с Россией программы-вымогатели перешли от централизованных групп к фрагментированной экосистеме, отмеченной скрытыми альянсами и динамичными связями, особенно в "эпоху после Конти". Используя методологию "спайдер-аута", исследователи выявили значительное "перекрытие между людьми", когда отдельные акторы переключаются между группами, примером чего могут служить такие личности, как "Wazawaka" и "Basterlord". Современные группы вымогателей действуют модульно, специализируясь на различных операционных аспектах, а некоторые, такие как Evil Corp, используют такую тактику, как ребрендинг, чтобы избежать санкций при сохранении основных возможностей.
-----

Ландшафт программ-вымогателей, связанных с Россией, претерпел значительные изменения, превратившись из отдельных централизованных групп в более фрагментированную экосистему, характеризующуюся скрытыми альянсами и изменчивой принадлежностью. Исследование сосредоточено на этом переходе, особенно в "эпоху после Конти", когда традиционные модели операций с программами-вымогателями больше неприменимы из-за сложных взаимосвязей между различными группами.

Методология, используемая для расследования этих ассоциаций, включает в себя "разрозненный" подход, начиная с таких известных организаций-вымогателей, как Conti, LockBit и Evil Corp. Такой подход позволяет исследователям исследовать и визуализировать обширную сеть взаимоотношений между различными акторами в сфере программ-вымогателей. Важным открытием, полученным в результате этого анализа, является феномен "совпадения людей" и "дрейфа операторов", когда отдельные акторы-вымогатели переключаются между различными группами. Известные примеры включают таких людей, как "Wazawaka", связанных с несколькими группами, включая REvil, Babuk, LockBit, Hive и Conti, а также "Basterlord", который перешел от REvil к Avaddon, LockBit и, в конечном счете, к Hive.

Сопоставление этих взаимосвязей высвечивает ключевые операционные характеристики современных программ-вымогателей. Существующие группы работают по модульному принципу, что позволяет им специализироваться на конкретных аспектах операций с программами-вымогателями, таких как переговоры, разработка, управление инфраструктурой и руководящие роли. Такое разделение обязанностей способствует адаптации в условиях меняющегося рынка киберугроз. Примечательно, что некоторые группы, такие как Evil Corp, использовали стратегии уклонения от санкций, очевидные в их практике ребрендинга при повторном использовании базовой инфраструктуры, что говорит о том, что, несмотря на изменения в названиях и внешнем виде, базовые возможности этих групп остаются нетронутыми. В целом, полученные результаты подчеркивают необходимость глубокого понимания динамики программ-вымогателей для эффективной борьбы с этими эволюционирующими киберугрозами.

#ParsedReport #CompletenessLow
18-09-2025

Analysis of APT-C-24 (Sidewinder) Recent LNK File Phishing Attacks

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507398&idx=1&sn=8bb49e42e79fe9cc1e6a802ced1f1653&chksm=f9c1eecfceb667d9c8118ae2ae1b7b3bf7da89ea71b8c859c6aac50ffe49820ffce6d36895f9&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Low

Actors/Campaigns:
Sidewinder
Gamaredon

Industry:
Government

Geo:
Ukrainian

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1204.002, T1204.004, T1566

IOCs:
File: 5
Hash: 35

Algorithms:
base64, md5, xor

Languages:
jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-24, также известный как Sidewinder, использует атаки фишинга с использованием файлов LNK для компрометации систем. Жертвы загружают сжатые файлы, содержащие файлы LNK, с удаленного сервера, что приводит к выполнению, которое часто приводит к установке вредоносного ПО или использованию системных уязвимостей. Хотя конкретные сведения о вредоносном ПО не приводятся, этот метод подчеркивает постоянную угрозу, исходящую от изощренных злоумышленников, использующих безопасные типы файлов для вредоносных целей.
-----

Было замечено, что APT-C-24, также известный как Sidewinder, применяет стратегию фишинг-атаки, использующую файлы LNK. Эта тактика заключается в заманивании жертв к загрузке сжатого файла, содержащего несколько файлов LNK, хранящихся на удаленном сервере. Первоначальное взаимодействие обычно происходит через электронные письма или сообщения, содержащие фишинг, которые приводят жертв к этим Вредоносным файлам.

После выполнения загруженного файла LNK система жертвы оказывается скомпрометированной. Файлы LNK, или файлы ярлыков, служат средством для выполнения вредоносных команд, часто приводящих к установке вредоносного ПО или дальнейшему использованию уязвимостей системы. Специфика поведения вредоносного ПО при запуске остается решающей для понимания воздействия таких атак; однако в анализе не были представлены подробные сведения о конкретных используемых штаммах или их возможностях.

Процесс атаки подчеркивает необходимость проявлять бдительность в отношении тактики фишинга, которая маскируется под законные загрузки. Распознавая риски, связанные с файлами LNK и аналогичными типами файлов, организации и частные лица могут усилить свою защиту от APT-C-24 и других злоумышленников, использующих аналогичные методы. В этом резюме освещается методический подход, применяемый Sidewinder при использовании, казалось бы, безобидных типов файлов для инициирования своих кибератак, подчеркивается постоянная угроза, исходящая от таких сложных целенаправленных атак.

#ParsedReport #CompletenessLow
18-09-2025

Magecart Skimmer Analysis: From One Tweet to a Campaign

https://blog.himanshuanand.com/posts/15-09-2025-magecart-skimmer-analysis/

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Ecommerce websites, Online retailers

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.002, T1059.007, T1105, T1190, T1204.001, T1583.006

IOCs:
Url: 1
Domain: 2
IP: 1

Functions:
getElementById

Languages:
python, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4