#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NeutralinoJS представляет угрозу безопасности, поскольку он опирается на Microsoft Edge WebView2, позволяя создавать вредоносные приложения, такие как calendaromatic-win_x64.exe , который содержит скрытую полезную нагрузку в архиве. Архив содержит веб-код и содержит подозрительную функцию с именем clean(), указывающую на потенциальные методы обфускации для сокрытия вредоносных действий, включая скрытую коммуникацию с помощью гомоглифов. Анализ трафика показывает, что вредоносное ПО нацелено преимущественно на пользователей в США, но также затрагивает такие страны, как Великобритания, Канада и Австралия.
-----

NeutralinoJS, облегченный фреймворк для разработки кроссплатформенных настольных приложений с использованием веб-технологий, представляет значительные риски для безопасности из-за того, что он использует Microsoft Edge WebView2, а не поставляется на полноценном движке Chromium. Этот фреймворк позволяет разработчикам легко объединять веб-ресурсы, но он использовался для создания вредоносных приложений. Одним из таких примеров является calendaromatic-win_x64.exe, который действует просто как оболочка для более коварной полезной нагрузки, скрытой в сопутствующем архиве с именем resources.neu. Этот архив содержит основной веб-код приложения, включая HTML, CSS и уменьшенные элементы JavaScript.

Внутри этого вредоносного пакета среди стандартных конфигурационных файлов можно найти подозрительную функцию с именем clean(). Эта функция может указывать на наличие методов обфускации, предназначенных для сокрытия дальнейшей вредоносной активности. Использование гомоглифов — визуально похожих символов — служит скрытым каналом связи, позволяя вредоносному ПО незаметно кодировать конфиденциальную информацию. Анализ показал, что сопоставления этих гомоглифов могут быть использованы для восстановления скрытых строк, что потенциально облегчает действия командования и контроля, не будучи легко обнаруженным.

Во время тестирования в контролируемой виртуальной среде было отмечено, что конечная точка API, связанная с вредоносным ПО, при обращении возвращала статус "404 не найдено", что еще больше усиливало подозрения в его обманчивой природе. Анализ трафика на связанный домен показал, что значительная доля запросов исходила из Соединенных Штатов (77,7%), что позволяет предположить, что вредоносное ПО намеренно нацелено на пользователей в США наряду с другими странами, такими как Великобритания, Канада и Австралия.

#ParsedReport #CompletenessLow
18-09-2025

"Shai-Hulud" Worm Compromises npm Ecosystem in Supply Chain Attack

https://unit42.paloaltonetworks.com/npm-supply-chain-attack/

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Supply_chain_technique
Shai-hulud
Credential_harvesting_technique

Victims:
Open source software ecosystem, Developers, Npm ecosystem

Geo:
Japan, India, Middle east, Asia, Australia

ChatGPT TTPs:
do not use without manual check
T1021.004, T1036, T1059.004, T1078, T1105, T1136.003, T1195, T1199, T1496, T1530, have more...

IOCs:
File: 4
Hash: 4
Url: 1

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь "Shai-Hulud" - это атака supply chain на программное обеспечение, компрометирующая более 180 пакетов npm, возникшая в результате фишинг-кампании credential-harvesting, которая обманом заставила разработчиков обновить свои регистрационные данные MFA. В этой многоэтапной атаке используются сложные методы, потенциально включающие большие языковые модели для кодирования, что позволяет злоумышленникам развертывать самореплицирующуюся вредоносную полезную нагрузку, которая может привести к серьезным последствиям, таким как утечка данных, развертывание программ-вымогателей и перемещение внутри компании внутри сетей. Атака представляет собой значительную эскалацию угроз экосистеме npm, подчеркивая необходимость повышенной бдительности в сообществе разработчиков с открытым исходным кодом.
-----

Атака active software supply chain, идентифицированная как червь "Shai-Hulud", ставит под угрозу экосистему npm, нацеливаясь на более чем 180 пакетов программного обеспечения. Эта атака, по-видимому, была вызвана сложной кампанией фишинга credential-harvesting, которая ввела разработчиков в заблуждение, заставив их обновить информацию для входа в систему Многофакторной аутентификации (MFA) для npm. Как только доступ был получен, злоумышленники развернули самовоспроизводящуюся вредоносную полезную нагрузку, предназначенную для функционирования в качестве червя, инициировав последовательность многоэтапных атак.

Анализ показывает, что в атаке используются передовые методы, включая потенциальное использование больших языковых моделей (LLM) для содействия разработке вредоносного кода, о чем свидетельствует стиль комментариев в скрипте bash. Воздействие кражи учетных данных из скомпрометированных учетных записей может быть серьезным, что может привести к потенциальным нарушениям работы Облачных сервисов, таких как AWS, Azure и Google Cloud Platform (GCP). Это может привести к краже данных из хранилищ, внедрению программ-вымогателей, криптомайнингу, удалению производственных сред, прямой краже базы данных и даже захвату сторонних сервисов в целях фишинга. Скомпрометированные SSH-ключи также могут способствовать перемещению внутри компании в уязвимых сетях.

В ответ на угрозу рекомендуются немедленные действия, начиная с замены всех учетных данных разработчика, включая токены доступа npm, токены личного доступа GitHub (PATs) и SSH-ключи. Разработчикам следует провести тщательный аудит зависимостей своих проектов, чтобы выявить уязвимые пакеты и убедиться, что в их проекты не включены пакеты с заведомо скомпрометированными данными. Это включает в себя тщательное изучение package-lock.json или yarn.блокировка файлов. Также следует провести проверку безопасности учетных записей GitHub, чтобы убедиться в наличии любых несанкционированных репозиториев или подозрительной активности в рабочих процессах. Обеспечение соблюдения MFA во всех учетных записях разработчиков имеет решающее значение для предотвращения потенциального злоупотребления учетными данными.

Червь Shai-Hulud знаменует собой заметную эскалацию продолжающихся угроз, связанных с npm, нацеленных на сообщество разработчиков с открытым исходным кодом, после предыдущих инцидентов, связанных с кражей учетных данных и кампаниями фишинга. Для защиты от этих угроз используются подходы поведенческой защиты от угроз и машинного обучения, в то время как такие инструменты, как Advanced WildFire model и Prisma Cloud, обеспечивают дополнительные уровни защиты от вредоносных действий в конвейерах CI/CD и помогают обнаруживать уязвимости. Однако основное внимание по-прежнему уделяется бдительности и активным мерам безопасности для предотвращения эксплуатации экосистемы npm.

#ParsedReport #CompletenessLow
18-09-2025

Mapping Hidden Alliances in Russian-Affiliated Ransomware

https://dti.domaintools.com/mapping-hidden-alliances-russian-affiliated-ransomware/

Report completeness: Low

Actors/Campaigns:
Evil_corp
Wazawaka

Threats:
Conti
Lockbit
Blackbasta
Qakbot
Trickbot
Microsoft_quick_assist_tool
Anydesk_tool
Revil
Babuk
Avaddon

Victims:
Ransomware victims

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1583

Algorithms:
exhibit

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанные с Россией программы-вымогатели перешли от централизованных групп к фрагментированной экосистеме, отмеченной скрытыми альянсами и динамичными связями, особенно в "эпоху после Конти". Используя методологию "спайдер-аута", исследователи выявили значительное "перекрытие между людьми", когда отдельные акторы переключаются между группами, примером чего могут служить такие личности, как "Wazawaka" и "Basterlord". Современные группы вымогателей действуют модульно, специализируясь на различных операционных аспектах, а некоторые, такие как Evil Corp, используют такую тактику, как ребрендинг, чтобы избежать санкций при сохранении основных возможностей.
-----

Ландшафт программ-вымогателей, связанных с Россией, претерпел значительные изменения, превратившись из отдельных централизованных групп в более фрагментированную экосистему, характеризующуюся скрытыми альянсами и изменчивой принадлежностью. Исследование сосредоточено на этом переходе, особенно в "эпоху после Конти", когда традиционные модели операций с программами-вымогателями больше неприменимы из-за сложных взаимосвязей между различными группами.

Методология, используемая для расследования этих ассоциаций, включает в себя "разрозненный" подход, начиная с таких известных организаций-вымогателей, как Conti, LockBit и Evil Corp. Такой подход позволяет исследователям исследовать и визуализировать обширную сеть взаимоотношений между различными акторами в сфере программ-вымогателей. Важным открытием, полученным в результате этого анализа, является феномен "совпадения людей" и "дрейфа операторов", когда отдельные акторы-вымогатели переключаются между различными группами. Известные примеры включают таких людей, как "Wazawaka", связанных с несколькими группами, включая REvil, Babuk, LockBit, Hive и Conti, а также "Basterlord", который перешел от REvil к Avaddon, LockBit и, в конечном счете, к Hive.

Сопоставление этих взаимосвязей высвечивает ключевые операционные характеристики современных программ-вымогателей. Существующие группы работают по модульному принципу, что позволяет им специализироваться на конкретных аспектах операций с программами-вымогателями, таких как переговоры, разработка, управление инфраструктурой и руководящие роли. Такое разделение обязанностей способствует адаптации в условиях меняющегося рынка киберугроз. Примечательно, что некоторые группы, такие как Evil Corp, использовали стратегии уклонения от санкций, очевидные в их практике ребрендинга при повторном использовании базовой инфраструктуры, что говорит о том, что, несмотря на изменения в названиях и внешнем виде, базовые возможности этих групп остаются нетронутыми. В целом, полученные результаты подчеркивают необходимость глубокого понимания динамики программ-вымогателей для эффективной борьбы с этими эволюционирующими киберугрозами.

#ParsedReport #CompletenessLow
18-09-2025

Analysis of APT-C-24 (Sidewinder) Recent LNK File Phishing Attacks

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507398&idx=1&sn=8bb49e42e79fe9cc1e6a802ced1f1653&chksm=f9c1eecfceb667d9c8118ae2ae1b7b3bf7da89ea71b8c859c6aac50ffe49820ffce6d36895f9&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Low

Actors/Campaigns:
Sidewinder
Gamaredon

Industry:
Government

Geo:
Ukrainian

CVEs:
CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1204.002, T1204.004, T1566

IOCs:
File: 5
Hash: 35

Algorithms:
base64, md5, xor

Languages:
jscript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 5, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-24, также известный как Sidewinder, использует атаки фишинга с использованием файлов LNK для компрометации систем. Жертвы загружают сжатые файлы, содержащие файлы LNK, с удаленного сервера, что приводит к выполнению, которое часто приводит к установке вредоносного ПО или использованию системных уязвимостей. Хотя конкретные сведения о вредоносном ПО не приводятся, этот метод подчеркивает постоянную угрозу, исходящую от изощренных злоумышленников, использующих безопасные типы файлов для вредоносных целей.
-----

Было замечено, что APT-C-24, также известный как Sidewinder, применяет стратегию фишинг-атаки, использующую файлы LNK. Эта тактика заключается в заманивании жертв к загрузке сжатого файла, содержащего несколько файлов LNK, хранящихся на удаленном сервере. Первоначальное взаимодействие обычно происходит через электронные письма или сообщения, содержащие фишинг, которые приводят жертв к этим Вредоносным файлам.

После выполнения загруженного файла LNK система жертвы оказывается скомпрометированной. Файлы LNK, или файлы ярлыков, служат средством для выполнения вредоносных команд, часто приводящих к установке вредоносного ПО или дальнейшему использованию уязвимостей системы. Специфика поведения вредоносного ПО при запуске остается решающей для понимания воздействия таких атак; однако в анализе не были представлены подробные сведения о конкретных используемых штаммах или их возможностях.

Процесс атаки подчеркивает необходимость проявлять бдительность в отношении тактики фишинга, которая маскируется под законные загрузки. Распознавая риски, связанные с файлами LNK и аналогичными типами файлов, организации и частные лица могут усилить свою защиту от APT-C-24 и других злоумышленников, использующих аналогичные методы. В этом резюме освещается методический подход, применяемый Sidewinder при использовании, казалось бы, безобидных типов файлов для инициирования своих кибератак, подчеркивается постоянная угроза, исходящая от таких сложных целенаправленных атак.

#ParsedReport #CompletenessLow
18-09-2025

Magecart Skimmer Analysis: From One Tweet to a Campaign

https://blog.himanshuanand.com/posts/15-09-2025-magecart-skimmer-analysis/

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Ecommerce websites, Online retailers

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.002, T1059.007, T1105, T1190, T1204.001, T1583.006

IOCs:
Url: 1
Domain: 2
IP: 1

Functions:
getElementById

Languages:
python, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования кампаний Magecart выявили продвинутый метод внедрения JavaScript для сбора платежных данных со взломанных сайтов электронной коммерции. Аналитики использовали такие методы, как деобфускация скриптов и декодирование на Python, чтобы выявить вредоносные скрипты, нацеленные на определенные платформы, подтверждающие подключения к инфраструктуре, контролируемой злоумышленниками, с использованием шаблонов домена, таких как "get*js" и "*analytics". Постоянный характер этих кампаний был подчеркнут выявлением различных связанных доменов, которые демонстрировали текущую активность на протяжении более года.
-----

Недавние расследования кампаний Magecart выявили сложный подход к внедрению вредоносного JavaScript, направленный на сбор платежных данных со взломанных веб-сайтов электронной коммерции. Анализ начался с первоначального наблюдения из одного твита, в котором говорилось о потенциальном участии в операции в стиле Magecart-style, специально нацеленной на cc-analytics.com . Это побудило к дальнейшему изучению методов, используемых злоумышленниками.

Ключом к пониманию техники атаки была деобфускация вредоносных скриптов. Аналитики использовали метод отладки, добавляя к сценарию префикс "debugger;" и выполняя его в инструментах разработчика браузера. Кроме того, они использовали Python для декодирования запутанных строк, в которых использовались шестнадцатеричные значения и представления \x, тем самым упрощая извлечение соответствующего содержимого.

Расследование показало, что вредоносный JavaScript был внедрен по меньшей мере в две различные области на скомпрометированных платформах электронной коммерции. Используя такие инструменты, как UrlScan, исследователи подтвердили, что эти скрипты указывали на инфраструктуру, контролируемую злоумышленниками. Примечательно, что анализ выявил закономерность в номенклатуре используемых доменов, которая часто включала такие термины, как "get*js" и "*analytics". Такая переработка инфраструктуры типична для злоумышленников, которые поддерживают текущие операции, избегая обнаружения.

Дальнейший анализ с помощью Passive DNS и инструментов управления инфраструктурой выявил более широкий спектр связанных доменов, которые, вероятно, были частью операционной системы, поддерживающей кампании Magecart. Эти домены демонстрировали устойчивую активность в течение года, подчеркивая долговечность и закрепление злоумышленников за кулисами.

Таким образом, полученные результаты подчеркивают важность небольших общественных сигналов, таких как активность в Социальных сетях, для выявления более масштабных киберугроз. Расследование продемонстрировало, что бесплатные инструменты, включая UrlScan, PublicWWW и WHOIS, могут успешно помогать в выявлении инфраструктуры злоумышленников, предлагая потенциал для более глубокого анализа угроз и расширенные возможности для поиска угроз.

#cyberthreattech

Все обновления, касающиеся наших продуктов, теперь будут публиковаться в отдельном канале (больше каналов богу ТГ каналов):

https://t.iss.one/cyberthreattech

Летом и в начале сентября (пока все отдыхали) наша команда активно работала, т.ч. в новой группе уже размещена пачка обновлений.

#ParsedReport #CompletenessMedium
19-09-2025

Suspected APT-C-00 (OceanLotus) delivering the Havoc Trojan

https://www.ctfiot.com/271395.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: government_sponsored)

Threats:
Havoc
Dll_sideloading_technique

Victims:
Businesses, Government agencies

Industry:
Government

Geo:
Asia

TTPs:
Tactics: 1
Technics: 2

IOCs:
Hash: 7
Registry: 1
File: 1
IP: 2

Soft:
WeChat

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4