#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-24, также известный как Sidewinder, использует атаки фишинга с использованием файлов LNK для компрометации систем. Жертвы загружают сжатые файлы, содержащие файлы LNK, с удаленного сервера, что приводит к выполнению, которое часто приводит к установке вредоносного ПО или использованию системных уязвимостей. Хотя конкретные сведения о вредоносном ПО не приводятся, этот метод подчеркивает постоянную угрозу, исходящую от изощренных злоумышленников, использующих безопасные типы файлов для вредоносных целей.
-----

Было замечено, что APT-C-24, также известный как Sidewinder, применяет стратегию фишинг-атаки, использующую файлы LNK. Эта тактика заключается в заманивании жертв к загрузке сжатого файла, содержащего несколько файлов LNK, хранящихся на удаленном сервере. Первоначальное взаимодействие обычно происходит через электронные письма или сообщения, содержащие фишинг, которые приводят жертв к этим Вредоносным файлам.

После выполнения загруженного файла LNK система жертвы оказывается скомпрометированной. Файлы LNK, или файлы ярлыков, служат средством для выполнения вредоносных команд, часто приводящих к установке вредоносного ПО или дальнейшему использованию уязвимостей системы. Специфика поведения вредоносного ПО при запуске остается решающей для понимания воздействия таких атак; однако в анализе не были представлены подробные сведения о конкретных используемых штаммах или их возможностях.

Процесс атаки подчеркивает необходимость проявлять бдительность в отношении тактики фишинга, которая маскируется под законные загрузки. Распознавая риски, связанные с файлами LNK и аналогичными типами файлов, организации и частные лица могут усилить свою защиту от APT-C-24 и других злоумышленников, использующих аналогичные методы. В этом резюме освещается методический подход, применяемый Sidewinder при использовании, казалось бы, безобидных типов файлов для инициирования своих кибератак, подчеркивается постоянная угроза, исходящая от таких сложных целенаправленных атак.

#ParsedReport #CompletenessLow
18-09-2025

Magecart Skimmer Analysis: From One Tweet to a Campaign

https://blog.himanshuanand.com/posts/15-09-2025-magecart-skimmer-analysis/

Report completeness: Low

Actors/Campaigns:
Magecart

Victims:
Ecommerce websites, Online retailers

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.002, T1059.007, T1105, T1190, T1204.001, T1583.006

IOCs:
Url: 1
Domain: 2
IP: 1

Functions:
getElementById

Languages:
python, javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования кампаний Magecart выявили продвинутый метод внедрения JavaScript для сбора платежных данных со взломанных сайтов электронной коммерции. Аналитики использовали такие методы, как деобфускация скриптов и декодирование на Python, чтобы выявить вредоносные скрипты, нацеленные на определенные платформы, подтверждающие подключения к инфраструктуре, контролируемой злоумышленниками, с использованием шаблонов домена, таких как "get*js" и "*analytics". Постоянный характер этих кампаний был подчеркнут выявлением различных связанных доменов, которые демонстрировали текущую активность на протяжении более года.
-----

Недавние расследования кампаний Magecart выявили сложный подход к внедрению вредоносного JavaScript, направленный на сбор платежных данных со взломанных веб-сайтов электронной коммерции. Анализ начался с первоначального наблюдения из одного твита, в котором говорилось о потенциальном участии в операции в стиле Magecart-style, специально нацеленной на cc-analytics.com . Это побудило к дальнейшему изучению методов, используемых злоумышленниками.

Ключом к пониманию техники атаки была деобфускация вредоносных скриптов. Аналитики использовали метод отладки, добавляя к сценарию префикс "debugger;" и выполняя его в инструментах разработчика браузера. Кроме того, они использовали Python для декодирования запутанных строк, в которых использовались шестнадцатеричные значения и представления \x, тем самым упрощая извлечение соответствующего содержимого.

Расследование показало, что вредоносный JavaScript был внедрен по меньшей мере в две различные области на скомпрометированных платформах электронной коммерции. Используя такие инструменты, как UrlScan, исследователи подтвердили, что эти скрипты указывали на инфраструктуру, контролируемую злоумышленниками. Примечательно, что анализ выявил закономерность в номенклатуре используемых доменов, которая часто включала такие термины, как "get*js" и "*analytics". Такая переработка инфраструктуры типична для злоумышленников, которые поддерживают текущие операции, избегая обнаружения.

Дальнейший анализ с помощью Passive DNS и инструментов управления инфраструктурой выявил более широкий спектр связанных доменов, которые, вероятно, были частью операционной системы, поддерживающей кампании Magecart. Эти домены демонстрировали устойчивую активность в течение года, подчеркивая долговечность и закрепление злоумышленников за кулисами.

Таким образом, полученные результаты подчеркивают важность небольших общественных сигналов, таких как активность в Социальных сетях, для выявления более масштабных киберугроз. Расследование продемонстрировало, что бесплатные инструменты, включая UrlScan, PublicWWW и WHOIS, могут успешно помогать в выявлении инфраструктуры злоумышленников, предлагая потенциал для более глубокого анализа угроз и расширенные возможности для поиска угроз.

#cyberthreattech

Все обновления, касающиеся наших продуктов, теперь будут публиковаться в отдельном канале (больше каналов богу ТГ каналов):

https://t.iss.one/cyberthreattech

Летом и в начале сентября (пока все отдыхали) наша команда активно работала, т.ч. в новой группе уже размещена пачка обновлений.

#ParsedReport #CompletenessMedium
19-09-2025

Suspected APT-C-00 (OceanLotus) delivering the Havoc Trojan

https://www.ctfiot.com/271395.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: government_sponsored)

Threats:
Havoc
Dll_sideloading_technique

Victims:
Businesses, Government agencies

Industry:
Government

Geo:
Asia

TTPs:
Tactics: 1
Technics: 2

IOCs:
Hash: 7
Registry: 1
File: 1
IP: 2

Soft:
WeChat

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-00, известная как OceanLotus, является спонсируемой государством хакерской группой, нацеленной на правительственные и коммерческие организации в Восточной Азии. Они внедряют троянца Havoc, сложное вредоносное ПО, которое проникает в сети, извлекает конфиденциальные данные и поддерживает закрепление. Их методология атаки основана на скрытности, использовании кампаний Целевого фишинга для доставки троянца, который устанавливает удаленный доступ для дальнейшей эксфильтрации данных и эксплуатации.
-----

APT-C-00, также известная как OceanLotus, идентифицируется как спонсируемая государством хакерская группировка, которая действует преимущественно в Восточной Азии, нацеливаясь как на правительственные, так и на коммерческие организации. Недавние действия показали, что эта группа внедряет троянца Havoc в рамках своей стратегии атаки. Троянец Havoc - это сложное вредоносное ПО, предназначенное для проникновения в целевые сети, извлечения конфиденциальной информации и поддержания закрепления в скомпрометированных системах.

Методы, используемые OceanLotus, делают упор на скрытность и обман, позволяя группе избегать обнаружения при сборе разведданных. Точная методология доставки троянца Havoc часто включает в себя кампании Целевого фишинга, которые используют тщательно подготовленные электронные письма или вредоносные вложения, чтобы заманить потенциальных жертв к исполнению. Оказавшись внутри сети, Havoc способен обеспечить удаленный доступ для злоумышленников, облегчая дальнейшую эксфильтрацию данных и эксплуатацию ресурсов жертвы.

Как следствие, организациям в Восточной Азии следует усилить бдительность в области кибербезопасности в отношении тактики и методов этой группы, особенно в связи с попытками социальной инженерии, которые могут привести к установке Havoc Trojan. Постоянный мониторинг сетевой активности и внедрение надежных протоколов безопасности могли бы помочь снизить риски, связанные с операциями OceanLotus's.

#ParsedReport #CompletenessMedium
19-09-2025

Dark Web Profile: Dire Wolf Ransomware

https://socradar.io/dark-web-profile-dire-wolf-ransomware/

Report completeness: Medium

Threats:
Dire_wolf
Vssadmin_tool
Wevtutil_tool
Spear-phishing_technique
Shadow_copies_delete_technique

Victims:
Organizations with high downtime sensitivity

Industry:
Foodtech, Healthcare

Geo:
Australia, Thailand, Brazil, Canada, Asia-pacific, Singapore, Taiwan, Asia, New york, America, United kingdom

ChatGPT TTPs:
do not use without manual check
T1027, T1047, T1070, T1070.001, T1486, T1489, T1490, T1562.001

IOCs:
File: 1

Soft:
bcdedit, MSSQL, Outlook

Algorithms:
chacha20, sha256, curve25519

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Dire Wolf - это финансово мотивированная группа вымогателей, которая появилась в мае 2025 года и в первую очередь нацелена на организации в Азии с агрессивной тактикой. Программа-вымогатель имеет продвинутые элементы дизайна, такие как защита от многократного выполнения, отключение параметров восстановления Windows и использование гибридного криптографического подхода с использованием Curve25519 и ChaCha20 для шифрования. Его операции также включают в себя превентивное завершение ключевых процессов применения корпоративных приложений, чтобы максимально увеличить сбои в работе и давление на жертв с целью выплаты выкупа.
-----

Dire Wolf - это финансово мотивированная группа вымогателей, которая впервые появилась в мае 2025 года, быстро установив свое присутствие с помощью агрессивных атак и сайта утечки информации из Dark Web для общения с жертвами. Его деятельность особенно ориентирована на организации в различных отраслях промышленности, с заметной концентрацией в Азии, где он использует среды, наиболее подверженные простоям в работе и потенциальному доступу к данным. Для этой группы характерен профессиональный подход, ориентированный исключительно на получение прибыли, отличающий ее от политически мотивированных злоумышленников.

Операционная методология Dire Wolf отражает передовую тактику программ-вымогателей. Он использует комбинацию саботажа и эффективного шифрования, чтобы оказать максимальное давление на жертв и заставить их заплатить выкуп. Технический дизайн программы-вымогателя демонстрирует тщательное планирование, обеспечивающее защиту от многократного выполнения в одной и той же системе. Это достигается с помощью файла маркера и проверки мьютекса, которая приводит к самоудалению, если вредоносное ПО обнаруживает предыдущие запуски. Кроме того, Dire Wolf активно отключает параметры восстановления, отключая службу журнала событий Windows и удаляя shadow copies, используя встроенные инструменты, такие как vssadmin и wevtutil, чтобы стереть любые доказательства своей деятельности.

Dire Wolf's использует язык Go для своей полезной нагрузки и UPX для упаковки, что обеспечивает кросс-платформенную гибкость и запутывание, препятствующее статическому анализу и обнаружению. Программа-вымогатель имеет обширный "список уничтожения", который завершает процессы ключевых корпоративных приложений, включая серверы баз данных, платформы электронной почты и решения для резервного копирования, перед запуском шифрования. Это тщательное превентивное действие гарантирует, что ит-отдел сможет выполнять шифрование без помех, нарушая операции по принуждению жертв к соблюдению требований.

Что касается шифрования, Dire Wolf использует гибридный криптографический подход, используя Curve25519 для обмена ключами и ChaCha20 для шифрования файлов, а также реализуя SHA-256 для получения ключей. Этот подход обеспечивает быстрое шифрование за счет полного шифрования файлов меньшего размера и частичного шифрования файлов большего размера. Как только шифрование завершено, в каждый затронутый каталог помещается уведомление о выкупе с подробным описанием учетных данных для доступа конкретной жертвы к порталу переговоров в Tor и указанием крайних сроков оплаты, а также растущими угрозами утечки украденных данных.

Чтобы защититься от Dire Wolf, организации должны принять многоуровневую стратегию защиты из-за сложных методов, используемых группой, которая включает отключение резервных копий и устранение возможностей ведения журнала перед шифрованием. Планирование восстановления должно быть упреждающим и многогранным, учитывая способность группы сделать традиционные усилия по восстановлению неэффективными.

#ParsedReport #CompletenessMedium
19-09-2025

False communications regarding the Milan Polytechnic used to spread FormBook

https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/

Report completeness: Medium

Threats:
Formbook

Victims:
Construction industry operators

Industry:
Education

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001

IOCs:
Domain: 4
Url: 6
Hash: 3

Algorithms:
zip

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID выявила кампанию, распространяющую вредоносное ПО для FormBook с помощью вводящих в заблуждение электронных писем, нацеленных на строительную отрасль. Эти электронные письма составлены таким образом, чтобы они напоминали законные корпоративные сообщения, что повышает их достоверность и увеличивает вероятность инициирования. FormBook умеет извлекать конфиденциальную информацию из зараженных систем, что делает строительные фирмы главными мишенями для этих атак, основанных на социальной инженерии.
-----

Недавние наблюдения CERT-AGID выявили кампанию, направленную на распространение вредоносного ПО FormBook через электронные письма, адресованные частным лицам в строительной отрасли. В этой операции используется стратегия обмана, чтобы повысить доверие к своим сообщениям, повышая вероятность того, что получатели станут жертвами атаки.

Злоумышленники создали электронные письма, имитирующие подлинные корпоративные сообщения, такие как приглашения к участию в проектах или предложения о коммерческом сотрудничестве. Этот подход использует знакомую корпоративную динамику, чтобы уменьшить естественный скептицизм, который получатели могут испытывать по отношению к незапрашиваемым электронным письмам. Дизайн кампании подчеркивает, что, хотя технические аспекты могут быть не особенно продвинутыми, эффективность атаки зависит от ее способности соответствовать ожиданиям и контексту получателя. Имитируя законную переписку, злоумышленники значительно увеличивают шансы на то, что прикрепленные документы будут открыты, что приводит к активации вредоносного ПО FormBook.

Это вредоносное ПО известно своей способностью захватывать конфиденциальную информацию из зараженных систем, что еще больше увеличивает риски, связанные с такими методами социальной инженерии. Поскольку организации строительного сектора могут обладать ценными корпоративными данными, они становятся главными мишенями для подобных стратегических кампаний фишинга. Описанные угрозы подчеркивают важность тщательного изучения электронной почты и повышения осведомленности пользователей, чтобы снизить риск стать жертвой подобной тактики распространения вредоносного ПО, основанной на обмане.

#ParsedReport #CompletenessLow
19-09-2025

Malware campaign abuse of legitimate RMM tools by false sharing documents

https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/

Report completeness: Low

Threats:
Pdq_connect_tool
Action1_tool

Victims:
General users

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204, T1219, T1566

IOCs:
Hash: 3
Domain: 3
Url: 5

Soft:
Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания использует надежные инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного ПО с помощью обманного обмена документами, что знаменует собой отход от предыдущей тактики, связанной с мошенническими исправлениями цифровой подписи. Злоумышленники используют методы социальной инженерии, чтобы заманить жертв сообщениями на английском языке, создавая ложное чувство легитимности. Хотя конкретные действия вредоносного ПО остаются нераскрытыми, кампания, вероятно, направлена на использование уязвимостей или выполнение несанкционированных команд для получения контроля над скомпрометированными системами.
-----

Недавние наблюдения выявили вредоносную кампанию, которая использует законные инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного ПО посредством обмена поддельными документами. Эта кампания, по-видимому, является развитием предыдущей тактики, когда злоумышленники распространяли мошеннические исправления для цифровых подписей. В текущей версии злоумышленники используют сообщения, написанные на английском языке, чтобы заманить потенциальных жертв к загрузке вредоносных документов.

Выбор в пользу инструментов RMM указывает на изощренный подход злоумышленников, поскольку пользователи обычно доверяют этим инструментам для удаленного доступа к файлам и управления системой. Злоупотребляя этими инструментами, злоумышленники могут создать ложное ощущение легитимности, повышая вероятность того, что пользователи будут взаимодействовать с общими документами. Эта тактика согласуется с более широкой тенденцией злоумышленников маскировать вредоносные действия под безобидные, чтобы избежать обнаружения и увеличить вероятность успеха своих атак.

Хотя конкретные детали, касающиеся поведения и функциональных возможностей вредоносного ПО, широко не раскрываются, использование кампанией социальной инженерии посредством обмена документами позволяет предположить, что полезная нагрузка, скорее всего, предназначена для использования уязвимостей или выполнения команд, которые могут привести к несанкционированному доступу и контролю над зараженными системами. Пользователям рекомендуется проявлять осторожность при обмене документами, особенно если контекст кажется подозрительным или источник непроверен.

#ParsedReport #CompletenessMedium
19-09-2025

Prompts as Code & Embedded Keys \| The Hunt for LLM-Enabled Malware

https://www.sentinelone.com/labs/prompts-as-code-embedded-keys-the-hunt-for-llm-enabled-malware/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Wormgpt_tool
Fraudgpt_tool
Promptlock
Lamehug_tool

Industry:
Software_development, Education

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059, T1071.001

IOCs:
File: 3
IP: 1
Path: 1
Hash: 39

Soft:
ChatGPT, OpenAI, Linux, curl, HuggingFace, Deepseek, Ollama, Android

Algorithms:
base64

Languages:
python, lua, golang

Platforms:
x64, arm

Links:
https://github.com/DX2PM/AITROJAN-malware