#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования кампаний Magecart выявили продвинутый метод внедрения JavaScript для сбора платежных данных со взломанных сайтов электронной коммерции. Аналитики использовали такие методы, как деобфускация скриптов и декодирование на Python, чтобы выявить вредоносные скрипты, нацеленные на определенные платформы, подтверждающие подключения к инфраструктуре, контролируемой злоумышленниками, с использованием шаблонов домена, таких как "get*js" и "*analytics". Постоянный характер этих кампаний был подчеркнут выявлением различных связанных доменов, которые демонстрировали текущую активность на протяжении более года.
-----

Недавние расследования кампаний Magecart выявили сложный подход к внедрению вредоносного JavaScript, направленный на сбор платежных данных со взломанных веб-сайтов электронной коммерции. Анализ начался с первоначального наблюдения из одного твита, в котором говорилось о потенциальном участии в операции в стиле Magecart-style, специально нацеленной на cc-analytics.com . Это побудило к дальнейшему изучению методов, используемых злоумышленниками.

Ключом к пониманию техники атаки была деобфускация вредоносных скриптов. Аналитики использовали метод отладки, добавляя к сценарию префикс "debugger;" и выполняя его в инструментах разработчика браузера. Кроме того, они использовали Python для декодирования запутанных строк, в которых использовались шестнадцатеричные значения и представления \x, тем самым упрощая извлечение соответствующего содержимого.

Расследование показало, что вредоносный JavaScript был внедрен по меньшей мере в две различные области на скомпрометированных платформах электронной коммерции. Используя такие инструменты, как UrlScan, исследователи подтвердили, что эти скрипты указывали на инфраструктуру, контролируемую злоумышленниками. Примечательно, что анализ выявил закономерность в номенклатуре используемых доменов, которая часто включала такие термины, как "get*js" и "*analytics". Такая переработка инфраструктуры типична для злоумышленников, которые поддерживают текущие операции, избегая обнаружения.

Дальнейший анализ с помощью Passive DNS и инструментов управления инфраструктурой выявил более широкий спектр связанных доменов, которые, вероятно, были частью операционной системы, поддерживающей кампании Magecart. Эти домены демонстрировали устойчивую активность в течение года, подчеркивая долговечность и закрепление злоумышленников за кулисами.

Таким образом, полученные результаты подчеркивают важность небольших общественных сигналов, таких как активность в Социальных сетях, для выявления более масштабных киберугроз. Расследование продемонстрировало, что бесплатные инструменты, включая UrlScan, PublicWWW и WHOIS, могут успешно помогать в выявлении инфраструктуры злоумышленников, предлагая потенциал для более глубокого анализа угроз и расширенные возможности для поиска угроз.

#cyberthreattech

Все обновления, касающиеся наших продуктов, теперь будут публиковаться в отдельном канале (больше каналов богу ТГ каналов):

https://t.iss.one/cyberthreattech

Летом и в начале сентября (пока все отдыхали) наша команда активно работала, т.ч. в новой группе уже размещена пачка обновлений.

#ParsedReport #CompletenessMedium
19-09-2025

Suspected APT-C-00 (OceanLotus) delivering the Havoc Trojan

https://www.ctfiot.com/271395.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus (motivation: government_sponsored)

Threats:
Havoc
Dll_sideloading_technique

Victims:
Businesses, Government agencies

Industry:
Government

Geo:
Asia

TTPs:
Tactics: 1
Technics: 2

IOCs:
Hash: 7
Registry: 1
File: 1
IP: 2

Soft:
WeChat

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-00, известная как OceanLotus, является спонсируемой государством хакерской группой, нацеленной на правительственные и коммерческие организации в Восточной Азии. Они внедряют троянца Havoc, сложное вредоносное ПО, которое проникает в сети, извлекает конфиденциальные данные и поддерживает закрепление. Их методология атаки основана на скрытности, использовании кампаний Целевого фишинга для доставки троянца, который устанавливает удаленный доступ для дальнейшей эксфильтрации данных и эксплуатации.
-----

APT-C-00, также известная как OceanLotus, идентифицируется как спонсируемая государством хакерская группировка, которая действует преимущественно в Восточной Азии, нацеливаясь как на правительственные, так и на коммерческие организации. Недавние действия показали, что эта группа внедряет троянца Havoc в рамках своей стратегии атаки. Троянец Havoc - это сложное вредоносное ПО, предназначенное для проникновения в целевые сети, извлечения конфиденциальной информации и поддержания закрепления в скомпрометированных системах.

Методы, используемые OceanLotus, делают упор на скрытность и обман, позволяя группе избегать обнаружения при сборе разведданных. Точная методология доставки троянца Havoc часто включает в себя кампании Целевого фишинга, которые используют тщательно подготовленные электронные письма или вредоносные вложения, чтобы заманить потенциальных жертв к исполнению. Оказавшись внутри сети, Havoc способен обеспечить удаленный доступ для злоумышленников, облегчая дальнейшую эксфильтрацию данных и эксплуатацию ресурсов жертвы.

Как следствие, организациям в Восточной Азии следует усилить бдительность в области кибербезопасности в отношении тактики и методов этой группы, особенно в связи с попытками социальной инженерии, которые могут привести к установке Havoc Trojan. Постоянный мониторинг сетевой активности и внедрение надежных протоколов безопасности могли бы помочь снизить риски, связанные с операциями OceanLotus's.

#ParsedReport #CompletenessMedium
19-09-2025

Dark Web Profile: Dire Wolf Ransomware

https://socradar.io/dark-web-profile-dire-wolf-ransomware/

Report completeness: Medium

Threats:
Dire_wolf
Vssadmin_tool
Wevtutil_tool
Spear-phishing_technique
Shadow_copies_delete_technique

Victims:
Organizations with high downtime sensitivity

Industry:
Foodtech, Healthcare

Geo:
Australia, Thailand, Brazil, Canada, Asia-pacific, Singapore, Taiwan, Asia, New york, America, United kingdom

ChatGPT TTPs:
do not use without manual check
T1027, T1047, T1070, T1070.001, T1486, T1489, T1490, T1562.001

IOCs:
File: 1

Soft:
bcdedit, MSSQL, Outlook

Algorithms:
chacha20, sha256, curve25519

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Dire Wolf - это финансово мотивированная группа вымогателей, которая появилась в мае 2025 года и в первую очередь нацелена на организации в Азии с агрессивной тактикой. Программа-вымогатель имеет продвинутые элементы дизайна, такие как защита от многократного выполнения, отключение параметров восстановления Windows и использование гибридного криптографического подхода с использованием Curve25519 и ChaCha20 для шифрования. Его операции также включают в себя превентивное завершение ключевых процессов применения корпоративных приложений, чтобы максимально увеличить сбои в работе и давление на жертв с целью выплаты выкупа.
-----

Dire Wolf - это финансово мотивированная группа вымогателей, которая впервые появилась в мае 2025 года, быстро установив свое присутствие с помощью агрессивных атак и сайта утечки информации из Dark Web для общения с жертвами. Его деятельность особенно ориентирована на организации в различных отраслях промышленности, с заметной концентрацией в Азии, где он использует среды, наиболее подверженные простоям в работе и потенциальному доступу к данным. Для этой группы характерен профессиональный подход, ориентированный исключительно на получение прибыли, отличающий ее от политически мотивированных злоумышленников.

Операционная методология Dire Wolf отражает передовую тактику программ-вымогателей. Он использует комбинацию саботажа и эффективного шифрования, чтобы оказать максимальное давление на жертв и заставить их заплатить выкуп. Технический дизайн программы-вымогателя демонстрирует тщательное планирование, обеспечивающее защиту от многократного выполнения в одной и той же системе. Это достигается с помощью файла маркера и проверки мьютекса, которая приводит к самоудалению, если вредоносное ПО обнаруживает предыдущие запуски. Кроме того, Dire Wolf активно отключает параметры восстановления, отключая службу журнала событий Windows и удаляя shadow copies, используя встроенные инструменты, такие как vssadmin и wevtutil, чтобы стереть любые доказательства своей деятельности.

Dire Wolf's использует язык Go для своей полезной нагрузки и UPX для упаковки, что обеспечивает кросс-платформенную гибкость и запутывание, препятствующее статическому анализу и обнаружению. Программа-вымогатель имеет обширный "список уничтожения", который завершает процессы ключевых корпоративных приложений, включая серверы баз данных, платформы электронной почты и решения для резервного копирования, перед запуском шифрования. Это тщательное превентивное действие гарантирует, что ит-отдел сможет выполнять шифрование без помех, нарушая операции по принуждению жертв к соблюдению требований.

Что касается шифрования, Dire Wolf использует гибридный криптографический подход, используя Curve25519 для обмена ключами и ChaCha20 для шифрования файлов, а также реализуя SHA-256 для получения ключей. Этот подход обеспечивает быстрое шифрование за счет полного шифрования файлов меньшего размера и частичного шифрования файлов большего размера. Как только шифрование завершено, в каждый затронутый каталог помещается уведомление о выкупе с подробным описанием учетных данных для доступа конкретной жертвы к порталу переговоров в Tor и указанием крайних сроков оплаты, а также растущими угрозами утечки украденных данных.

Чтобы защититься от Dire Wolf, организации должны принять многоуровневую стратегию защиты из-за сложных методов, используемых группой, которая включает отключение резервных копий и устранение возможностей ведения журнала перед шифрованием. Планирование восстановления должно быть упреждающим и многогранным, учитывая способность группы сделать традиционные усилия по восстановлению неэффективными.

#ParsedReport #CompletenessMedium
19-09-2025

False communications regarding the Milan Polytechnic used to spread FormBook

https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/

Report completeness: Medium

Threats:
Formbook

Victims:
Construction industry operators

Industry:
Education

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001

IOCs:
Domain: 4
Url: 6
Hash: 3

Algorithms:
zip

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID выявила кампанию, распространяющую вредоносное ПО для FormBook с помощью вводящих в заблуждение электронных писем, нацеленных на строительную отрасль. Эти электронные письма составлены таким образом, чтобы они напоминали законные корпоративные сообщения, что повышает их достоверность и увеличивает вероятность инициирования. FormBook умеет извлекать конфиденциальную информацию из зараженных систем, что делает строительные фирмы главными мишенями для этих атак, основанных на социальной инженерии.
-----

Недавние наблюдения CERT-AGID выявили кампанию, направленную на распространение вредоносного ПО FormBook через электронные письма, адресованные частным лицам в строительной отрасли. В этой операции используется стратегия обмана, чтобы повысить доверие к своим сообщениям, повышая вероятность того, что получатели станут жертвами атаки.

Злоумышленники создали электронные письма, имитирующие подлинные корпоративные сообщения, такие как приглашения к участию в проектах или предложения о коммерческом сотрудничестве. Этот подход использует знакомую корпоративную динамику, чтобы уменьшить естественный скептицизм, который получатели могут испытывать по отношению к незапрашиваемым электронным письмам. Дизайн кампании подчеркивает, что, хотя технические аспекты могут быть не особенно продвинутыми, эффективность атаки зависит от ее способности соответствовать ожиданиям и контексту получателя. Имитируя законную переписку, злоумышленники значительно увеличивают шансы на то, что прикрепленные документы будут открыты, что приводит к активации вредоносного ПО FormBook.

Это вредоносное ПО известно своей способностью захватывать конфиденциальную информацию из зараженных систем, что еще больше увеличивает риски, связанные с такими методами социальной инженерии. Поскольку организации строительного сектора могут обладать ценными корпоративными данными, они становятся главными мишенями для подобных стратегических кампаний фишинга. Описанные угрозы подчеркивают важность тщательного изучения электронной почты и повышения осведомленности пользователей, чтобы снизить риск стать жертвой подобной тактики распространения вредоносного ПО, основанной на обмане.

#ParsedReport #CompletenessLow
19-09-2025

Malware campaign abuse of legitimate RMM tools by false sharing documents

https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/

Report completeness: Low

Threats:
Pdq_connect_tool
Action1_tool

Victims:
General users

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204, T1219, T1566

IOCs:
Hash: 3
Domain: 3
Url: 5

Soft:
Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания использует надежные инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного ПО с помощью обманного обмена документами, что знаменует собой отход от предыдущей тактики, связанной с мошенническими исправлениями цифровой подписи. Злоумышленники используют методы социальной инженерии, чтобы заманить жертв сообщениями на английском языке, создавая ложное чувство легитимности. Хотя конкретные действия вредоносного ПО остаются нераскрытыми, кампания, вероятно, направлена на использование уязвимостей или выполнение несанкционированных команд для получения контроля над скомпрометированными системами.
-----

Недавние наблюдения выявили вредоносную кампанию, которая использует законные инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного ПО посредством обмена поддельными документами. Эта кампания, по-видимому, является развитием предыдущей тактики, когда злоумышленники распространяли мошеннические исправления для цифровых подписей. В текущей версии злоумышленники используют сообщения, написанные на английском языке, чтобы заманить потенциальных жертв к загрузке вредоносных документов.

Выбор в пользу инструментов RMM указывает на изощренный подход злоумышленников, поскольку пользователи обычно доверяют этим инструментам для удаленного доступа к файлам и управления системой. Злоупотребляя этими инструментами, злоумышленники могут создать ложное ощущение легитимности, повышая вероятность того, что пользователи будут взаимодействовать с общими документами. Эта тактика согласуется с более широкой тенденцией злоумышленников маскировать вредоносные действия под безобидные, чтобы избежать обнаружения и увеличить вероятность успеха своих атак.

Хотя конкретные детали, касающиеся поведения и функциональных возможностей вредоносного ПО, широко не раскрываются, использование кампанией социальной инженерии посредством обмена документами позволяет предположить, что полезная нагрузка, скорее всего, предназначена для использования уязвимостей или выполнения команд, которые могут привести к несанкционированному доступу и контролю над зараженными системами. Пользователям рекомендуется проявлять осторожность при обмене документами, особенно если контекст кажется подозрительным или источник непроверен.

#ParsedReport #CompletenessMedium
19-09-2025

Prompts as Code & Embedded Keys \| The Hunt for LLM-Enabled Malware

https://www.sentinelone.com/labs/prompts-as-code-embedded-keys-the-hunt-for-llm-enabled-malware/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Wormgpt_tool
Fraudgpt_tool
Promptlock
Lamehug_tool

Industry:
Software_development, Education

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059, T1071.001

IOCs:
File: 3
IP: 1
Path: 1
Hash: 39

Soft:
ChatGPT, OpenAI, Linux, curl, HuggingFace, Deepseek, Ollama, Android

Algorithms:
base64

Languages:
python, lua, golang

Platforms:
x64, arm

Links:
https://github.com/DX2PM/AITROJAN-malware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО с поддержкой LLM, такое как MalTerminal и APT28's LameHug (PROMPTSTEAL), создает проблемы при обнаружении киберугроз за счет динамической генерации вредоносного поведения во время выполнения. Это вредоносное ПО использует передовые технологии, включающие большие языковые модели (LLM), для выполнения системных команд и эксфильтрации данных, используя модуль Paramiko SSH для передачи файлов. Стратегии обнаружения эволюционировали, сосредоточившись на выявлении уникальных артефактов, таких как ключи API и структуры подсказок, что ознаменовало значительный сдвиг в методологиях поиска угроз.
-----

Вредоносное ПО с поддержкой LLM создает значительные проблемы для обнаружения киберугроз и реагирования на них из-за его способности динамически генерировать вредоносное поведение во время выполнения, а не полагаться исключительно на предварительно внедренный код. Недавнее исследование, проведенное SentinelLabs, выявило этот тип вредоносного ПО с помощью сопоставления шаблонов для обнаружения встроенных ключей API и специфических структур запросов в вредоносном программном обеспечении. Ключевым открытием является ранний пример такого вредоносного ПО под названием MalTerminal, наряду с множеством других вредоносных приложений LLMs, которые включают инструменты, предназначенные для оценки red team и внедрения уязвимостей в код.

Поскольку противники используют большие языковые модели (LLM), взаимосвязь между этими передовыми инструментами искусственного интеллекта и вредоносным ПО иллюстрирует разнообразное и гибкое использование вредоносных программ. Примечательным среди них является LameHug от APT28's, также известный как PROMPTSTEAL, который включает в себя LLMS для создания и выполнения команд системной оболочки, облегчая сбор конфиденциальной информации. Это вредоносное ПО использует модуль Paramiko SSH на Python, используя жестко закодированный IP-адрес для передачи украденных файлов.

Для защитников внедрение возможностей LLM во вредоносное программное обеспечение сопряжено с конкретными операционными последствиями. В отличие от традиционного вредоносного ПО, которое может быть запутано или замаскировано, присущие LLM требования к доступу и оперативному вводу данных приводят к обнаруживаемым зависимостям. Исследователи разработали правила YARA для обнаружения API-ключей от авторитетных поставщиков LLM, таких как OpenAI и Anthropic, используя уникальные шаблоны идентификаторов, такие как те, которые содержатся в структурах ключей API, и подстроки в кодировке Base64, присутствующие в ключах OpenAI.

Поиск подсказок стал еще одним важным методом обнаружения, позволяющим аналитикам безопасности выполнять поиск жестко закодированных структур подсказок в скриптах и двоичных файлах. Эти подсказки не только указывают на интеграцию возможностей LLM, но и часто раскрывают предполагаемое операционное поведение авторов вредоносного ПО. Этот подход знаменует собой сдвиг в стратегиях поиска угроз: от создания сигнатур конкретного кода к идентификации определенных подсказок, характерных для вредоносного ПО с расширением LLM.

В исследовании подчеркивается, что появление вредоносного ПО с поддержкой LLM представляет собой качественную трансформацию тактики противостояния, усложняющую существующий ландшафт для защитников. Однако это одновременно создает новые возможности для поиска угроз, фокусируясь на уникальных артефактах, таких как встроенные ключи API и подсказки. С помощью этих методов SentinelLabs смогла обнаружить незарегистрированные образцы вредоносного ПО с поддержкой LLM, что указывает на более широкие последствия для практики кибербезопасности в условиях меняющейся среды угроз.

#ParsedReport #CompletenessMedium
19-09-2025

Banker Trojan Targeting Indonesian and Vietnamese Android Users

https://dti.domaintools.com/banker-trojan-targeting-indonesian-and-vietnamese-android-users/

Report completeness: Medium

Threats:
Anubis_stealer

Victims:
Android users, Banking customers

Industry:
Telco, Financial, Government

Geo:
Indonesian, Vietnamese, Asia, Portuguese

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1204.002, T1566.002, T1583.001, T1583.004, T1588.004, T1608.004

IOCs:
Domain: 11
File: 6
Hash: 19
Url: 1

Soft:
Android, Google Play, nginx

Algorithms:
sha256, exhibit

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4