#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Dire Wolf - это финансово мотивированная группа вымогателей, которая появилась в мае 2025 года и в первую очередь нацелена на организации в Азии с агрессивной тактикой. Программа-вымогатель имеет продвинутые элементы дизайна, такие как защита от многократного выполнения, отключение параметров восстановления Windows и использование гибридного криптографического подхода с использованием Curve25519 и ChaCha20 для шифрования. Его операции также включают в себя превентивное завершение ключевых процессов применения корпоративных приложений, чтобы максимально увеличить сбои в работе и давление на жертв с целью выплаты выкупа.
-----

Dire Wolf - это финансово мотивированная группа вымогателей, которая впервые появилась в мае 2025 года, быстро установив свое присутствие с помощью агрессивных атак и сайта утечки информации из Dark Web для общения с жертвами. Его деятельность особенно ориентирована на организации в различных отраслях промышленности, с заметной концентрацией в Азии, где он использует среды, наиболее подверженные простоям в работе и потенциальному доступу к данным. Для этой группы характерен профессиональный подход, ориентированный исключительно на получение прибыли, отличающий ее от политически мотивированных злоумышленников.

Операционная методология Dire Wolf отражает передовую тактику программ-вымогателей. Он использует комбинацию саботажа и эффективного шифрования, чтобы оказать максимальное давление на жертв и заставить их заплатить выкуп. Технический дизайн программы-вымогателя демонстрирует тщательное планирование, обеспечивающее защиту от многократного выполнения в одной и той же системе. Это достигается с помощью файла маркера и проверки мьютекса, которая приводит к самоудалению, если вредоносное ПО обнаруживает предыдущие запуски. Кроме того, Dire Wolf активно отключает параметры восстановления, отключая службу журнала событий Windows и удаляя shadow copies, используя встроенные инструменты, такие как vssadmin и wevtutil, чтобы стереть любые доказательства своей деятельности.

Dire Wolf's использует язык Go для своей полезной нагрузки и UPX для упаковки, что обеспечивает кросс-платформенную гибкость и запутывание, препятствующее статическому анализу и обнаружению. Программа-вымогатель имеет обширный "список уничтожения", который завершает процессы ключевых корпоративных приложений, включая серверы баз данных, платформы электронной почты и решения для резервного копирования, перед запуском шифрования. Это тщательное превентивное действие гарантирует, что ит-отдел сможет выполнять шифрование без помех, нарушая операции по принуждению жертв к соблюдению требований.

Что касается шифрования, Dire Wolf использует гибридный криптографический подход, используя Curve25519 для обмена ключами и ChaCha20 для шифрования файлов, а также реализуя SHA-256 для получения ключей. Этот подход обеспечивает быстрое шифрование за счет полного шифрования файлов меньшего размера и частичного шифрования файлов большего размера. Как только шифрование завершено, в каждый затронутый каталог помещается уведомление о выкупе с подробным описанием учетных данных для доступа конкретной жертвы к порталу переговоров в Tor и указанием крайних сроков оплаты, а также растущими угрозами утечки украденных данных.

Чтобы защититься от Dire Wolf, организации должны принять многоуровневую стратегию защиты из-за сложных методов, используемых группой, которая включает отключение резервных копий и устранение возможностей ведения журнала перед шифрованием. Планирование восстановления должно быть упреждающим и многогранным, учитывая способность группы сделать традиционные усилия по восстановлению неэффективными.

#ParsedReport #CompletenessMedium
19-09-2025

False communications regarding the Milan Polytechnic used to spread FormBook

https://cert-agid.gov.it/news/false-comunicazioni-riguardanti-il-politecnico-di-milano-usate-per-veicolare-formbook/

Report completeness: Medium

Threats:
Formbook

Victims:
Construction industry operators

Industry:
Education

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001

IOCs:
Domain: 4
Url: 6
Hash: 3

Algorithms:
zip

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT-AGID выявила кампанию, распространяющую вредоносное ПО для FormBook с помощью вводящих в заблуждение электронных писем, нацеленных на строительную отрасль. Эти электронные письма составлены таким образом, чтобы они напоминали законные корпоративные сообщения, что повышает их достоверность и увеличивает вероятность инициирования. FormBook умеет извлекать конфиденциальную информацию из зараженных систем, что делает строительные фирмы главными мишенями для этих атак, основанных на социальной инженерии.
-----

Недавние наблюдения CERT-AGID выявили кампанию, направленную на распространение вредоносного ПО FormBook через электронные письма, адресованные частным лицам в строительной отрасли. В этой операции используется стратегия обмана, чтобы повысить доверие к своим сообщениям, повышая вероятность того, что получатели станут жертвами атаки.

Злоумышленники создали электронные письма, имитирующие подлинные корпоративные сообщения, такие как приглашения к участию в проектах или предложения о коммерческом сотрудничестве. Этот подход использует знакомую корпоративную динамику, чтобы уменьшить естественный скептицизм, который получатели могут испытывать по отношению к незапрашиваемым электронным письмам. Дизайн кампании подчеркивает, что, хотя технические аспекты могут быть не особенно продвинутыми, эффективность атаки зависит от ее способности соответствовать ожиданиям и контексту получателя. Имитируя законную переписку, злоумышленники значительно увеличивают шансы на то, что прикрепленные документы будут открыты, что приводит к активации вредоносного ПО FormBook.

Это вредоносное ПО известно своей способностью захватывать конфиденциальную информацию из зараженных систем, что еще больше увеличивает риски, связанные с такими методами социальной инженерии. Поскольку организации строительного сектора могут обладать ценными корпоративными данными, они становятся главными мишенями для подобных стратегических кампаний фишинга. Описанные угрозы подчеркивают важность тщательного изучения электронной почты и повышения осведомленности пользователей, чтобы снизить риск стать жертвой подобной тактики распространения вредоносного ПО, основанной на обмане.

#ParsedReport #CompletenessLow
19-09-2025

Malware campaign abuse of legitimate RMM tools by false sharing documents

https://cert-agid.gov.it/news/campagna-malware-abusa-di-strumenti-di-rmm-legittimi-tramite-falsa-condivisione-di-documenti/

Report completeness: Low

Threats:
Pdq_connect_tool
Action1_tool

Victims:
General users

Geo:
Italy

ChatGPT TTPs:
do not use without manual check
T1204, T1219, T1566

IOCs:
Hash: 3
Domain: 3
Url: 5

Soft:
Microsoft Outlook

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя вредоносная кампания использует надежные инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного ПО с помощью обманного обмена документами, что знаменует собой отход от предыдущей тактики, связанной с мошенническими исправлениями цифровой подписи. Злоумышленники используют методы социальной инженерии, чтобы заманить жертв сообщениями на английском языке, создавая ложное чувство легитимности. Хотя конкретные действия вредоносного ПО остаются нераскрытыми, кампания, вероятно, направлена на использование уязвимостей или выполнение несанкционированных команд для получения контроля над скомпрометированными системами.
-----

Недавние наблюдения выявили вредоносную кампанию, которая использует законные инструменты удаленного мониторинга и управления (RMM) для распространения вредоносного ПО посредством обмена поддельными документами. Эта кампания, по-видимому, является развитием предыдущей тактики, когда злоумышленники распространяли мошеннические исправления для цифровых подписей. В текущей версии злоумышленники используют сообщения, написанные на английском языке, чтобы заманить потенциальных жертв к загрузке вредоносных документов.

Выбор в пользу инструментов RMM указывает на изощренный подход злоумышленников, поскольку пользователи обычно доверяют этим инструментам для удаленного доступа к файлам и управления системой. Злоупотребляя этими инструментами, злоумышленники могут создать ложное ощущение легитимности, повышая вероятность того, что пользователи будут взаимодействовать с общими документами. Эта тактика согласуется с более широкой тенденцией злоумышленников маскировать вредоносные действия под безобидные, чтобы избежать обнаружения и увеличить вероятность успеха своих атак.

Хотя конкретные детали, касающиеся поведения и функциональных возможностей вредоносного ПО, широко не раскрываются, использование кампанией социальной инженерии посредством обмена документами позволяет предположить, что полезная нагрузка, скорее всего, предназначена для использования уязвимостей или выполнения команд, которые могут привести к несанкционированному доступу и контролю над зараженными системами. Пользователям рекомендуется проявлять осторожность при обмене документами, особенно если контекст кажется подозрительным или источник непроверен.

#ParsedReport #CompletenessMedium
19-09-2025

Prompts as Code & Embedded Keys \| The Hunt for LLM-Enabled Malware

https://www.sentinelone.com/labs/prompts-as-code-embedded-keys-the-hunt-for-llm-enabled-malware/

Report completeness: Medium

Actors/Campaigns:
Fancy_bear

Threats:
Wormgpt_tool
Fraudgpt_tool
Promptlock
Lamehug_tool

Industry:
Software_development, Education

ChatGPT TTPs:
do not use without manual check
T1021.004, T1059, T1071.001

IOCs:
File: 3
IP: 1
Path: 1
Hash: 39

Soft:
ChatGPT, OpenAI, Linux, curl, HuggingFace, Deepseek, Ollama, Android

Algorithms:
base64

Languages:
python, lua, golang

Platforms:
x64, arm

Links:
https://github.com/DX2PM/AITROJAN-malware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО с поддержкой LLM, такое как MalTerminal и APT28's LameHug (PROMPTSTEAL), создает проблемы при обнаружении киберугроз за счет динамической генерации вредоносного поведения во время выполнения. Это вредоносное ПО использует передовые технологии, включающие большие языковые модели (LLM), для выполнения системных команд и эксфильтрации данных, используя модуль Paramiko SSH для передачи файлов. Стратегии обнаружения эволюционировали, сосредоточившись на выявлении уникальных артефактов, таких как ключи API и структуры подсказок, что ознаменовало значительный сдвиг в методологиях поиска угроз.
-----

Вредоносное ПО с поддержкой LLM создает значительные проблемы для обнаружения киберугроз и реагирования на них из-за его способности динамически генерировать вредоносное поведение во время выполнения, а не полагаться исключительно на предварительно внедренный код. Недавнее исследование, проведенное SentinelLabs, выявило этот тип вредоносного ПО с помощью сопоставления шаблонов для обнаружения встроенных ключей API и специфических структур запросов в вредоносном программном обеспечении. Ключевым открытием является ранний пример такого вредоносного ПО под названием MalTerminal, наряду с множеством других вредоносных приложений LLMs, которые включают инструменты, предназначенные для оценки red team и внедрения уязвимостей в код.

Поскольку противники используют большие языковые модели (LLM), взаимосвязь между этими передовыми инструментами искусственного интеллекта и вредоносным ПО иллюстрирует разнообразное и гибкое использование вредоносных программ. Примечательным среди них является LameHug от APT28's, также известный как PROMPTSTEAL, который включает в себя LLMS для создания и выполнения команд системной оболочки, облегчая сбор конфиденциальной информации. Это вредоносное ПО использует модуль Paramiko SSH на Python, используя жестко закодированный IP-адрес для передачи украденных файлов.

Для защитников внедрение возможностей LLM во вредоносное программное обеспечение сопряжено с конкретными операционными последствиями. В отличие от традиционного вредоносного ПО, которое может быть запутано или замаскировано, присущие LLM требования к доступу и оперативному вводу данных приводят к обнаруживаемым зависимостям. Исследователи разработали правила YARA для обнаружения API-ключей от авторитетных поставщиков LLM, таких как OpenAI и Anthropic, используя уникальные шаблоны идентификаторов, такие как те, которые содержатся в структурах ключей API, и подстроки в кодировке Base64, присутствующие в ключах OpenAI.

Поиск подсказок стал еще одним важным методом обнаружения, позволяющим аналитикам безопасности выполнять поиск жестко закодированных структур подсказок в скриптах и двоичных файлах. Эти подсказки не только указывают на интеграцию возможностей LLM, но и часто раскрывают предполагаемое операционное поведение авторов вредоносного ПО. Этот подход знаменует собой сдвиг в стратегиях поиска угроз: от создания сигнатур конкретного кода к идентификации определенных подсказок, характерных для вредоносного ПО с расширением LLM.

В исследовании подчеркивается, что появление вредоносного ПО с поддержкой LLM представляет собой качественную трансформацию тактики противостояния, усложняющую существующий ландшафт для защитников. Однако это одновременно создает новые возможности для поиска угроз, фокусируясь на уникальных артефактах, таких как встроенные ключи API и подсказки. С помощью этих методов SentinelLabs смогла обнаружить незарегистрированные образцы вредоносного ПО с поддержкой LLM, что указывает на более широкие последствия для практики кибербезопасности в условиях меняющейся среды угроз.

#ParsedReport #CompletenessMedium
19-09-2025

Banker Trojan Targeting Indonesian and Vietnamese Android Users

https://dti.domaintools.com/banker-trojan-targeting-indonesian-and-vietnamese-android-users/

Report completeness: Medium

Threats:
Anubis_stealer

Victims:
Android users, Banking customers

Industry:
Telco, Financial, Government

Geo:
Indonesian, Vietnamese, Asia, Portuguese

ChatGPT TTPs:
do not use without manual check
T1036.005, T1071.001, T1204.002, T1566.002, T1583.001, T1583.004, T1588.004, T1608.004

IOCs:
Domain: 11
File: 6
Hash: 19
Url: 1

Soft:
Android, Google Play, nginx

Algorithms:
sha256, exhibit

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С августа 2024 года хакерская группировка нацелена на пользователей Android в Индонезии и Вьетнаме с помощью банковских троянов, замаскированных под законные приложения. Вредоносное ПО использует отличительные схемы регистрации доменов, повторно использует сертификаты TLS и работает в основном в дневное время в Восточной Азии, используя инфраструктуру, связанную с интернет-провайдером Alibaba и Cloudflare. Кампания, отражающая особенности финансово мотивированных групп, включает манипулирование магазином Google Play и обход мер сетевой безопасности, что указывает на скоординированные усилия, а не на случайные атаки.
-----

С августа 2024 года хакерская группировка активно атакует пользователей Android в Индонезии и Вьетнаме с помощью банковских троянов, замаскированных под законные приложения, включая платежные системы и государственные службы идентификации. Эти трояны используют различные схемы регистрации доменов, при этом злоумышленники часто повторно используют сертификаты TLS и объединяют домены для доступа к общим IP-адресам. Их деятельность, по-видимому, сосредоточена преимущественно в дневные часы в Восточной Азии, что предполагает индивидуальный подход к максимальному вовлечению местных жителей.

Операция была раскрыта в результате мониторинга подозрительных элементов, связанных с Google Play Store, что указывало на потенциальные поддельные веб-сайты, используемые для доставки вредоносного ПО. Ключевые технические детали включают использование интернет-провайдера Alibaba и Cloudflare с особым акцентом на регионы SG и ID. Вредоносное ПО работает под такими известными названиями, как “Identitas Kependudukan Digital", демонстрируя намеренную имитацию законных приложений. Кроме того, злоумышленники используют сервер типа nginx и зарегистрировали свои домены на Gname.com Пте. Ооо. Похоже, они используют серверы имен из share-dns.net и Cloudflare, создавая узнаваемую инфраструктуру.

Злоумышленники внедрили стратегии обхода мер сетевой безопасности, которые могли бы предотвратить прямую загрузку или избежать обнаружения сканерами безопасности статических URL-адресов. Однако некоторым браузерам удается помечать эти загрузки как подозрительные, подчеркивая жизненно важные механизмы защиты пользователей от подобных угроз. Кампания демонстрирует характеристики, обычно присущие менее изощренным, финансово мотивированным группам, такие как манипулирование Google Play Store для доставки своего вредоносного ПО. Тем не менее, согласованность в использовании ими конкретных интернет-провайдеров, регистраторов и серверов имен в рамках операций свидетельствует о более скоординированных усилиях, чем можно было бы ожидать от злоумышленников низкого уровня.

Наличие смешанного языкового кода на некоторых поддельных сайтах в сочетании с общей финансовой мотивацией кампании позволяет предположить, что злоумышленники, скорее всего, действуют на региональном уровне. Такой организованный подход к распространению вредоносного ПО и использование общей тактики сигнализируют о растущей угрозе для пользователей в целевых регионах, что требует постоянной бдительности и принятия ответных мер для противодействия таким киберугрозам, обусловленным финансами.

#ParsedReport #CompletenessLow
19-09-2025

How AI-Native Development Platforms Enable Fake Captcha Pages

https://www.trendmicro.com/en_us/research/25/i/ai-development-platforms-enable-fake-captcha-pages.html

Report completeness: Low

Threats:
Fakecaptcha_technique
Credential_harvesting_technique

Victims:
Email users, Online service users

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566.002, T1584.006

IOCs:
Domain: 10

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют платформы разработки на базе искусственного интеллекта, такие как Vercel, Netlify и Lovable, для создания вводящих в заблуждение страниц с капчей для фишингов -кампаний. Эта тактика усилилась с января, используя простоту использования платформ и заслуживающий доверия брендинг, чтобы ввести пользователей в заблуждение. Фишинг обычно начинается со спам-писем, побуждающих к взаимодействию с fake CAPTCHAs, в то время как автоматические сканеры безопасности могут идентифицировать только видимую капчу, пропуская фактический сайт фишинга, стоящий за ней, где собираются учетные данные.
-----

Киберпреступники все чаще используют платформы разработки на базе искусственного интеллекта, такие как Vercel, Netlify и Lovable, для создания и размещения вводящих в заблуждение страниц с капчей, предназначенных для кампаний фишинга. Trend Micro сообщает о заметном росте применения этой тактики с января, поскольку злоумышленники используют простоту развертывания, недорогие варианты хостинга и заслуживающий доверия бренд, связанный с этими платформами, чтобы ввести пользователей в заблуждение и обойти системы обнаружения.

Стратегия фишинга обычно начинается со спам-писем, которые содержат срочные предупреждения, такие как "Требуется сброс пароля" или "Уведомление USPS об изменении адреса". Эти сообщения побуждают цели использовать интерфейс fake captcha, создавая ощущение срочности и снижая их защиту. Важно отметить, что автоматические сканеры безопасности могут обнаруживать только видимую капчу, не распознавая лежащую в основе перенаправления на фактический веб-сайт фишинга, на котором собираются учетные данные пользователя.

Злоумышленникам легко создавать убедительные сайты с fake captcha благодаря удобным интерфейсам таких платформ, как Lovable, где они могут использовать "вибрационное кодирование" для создания вводящего в заблуждение контента. Netlify и Vercel облегчают включение помощников по кодированию с использованием искусственного интеллекта в свои процессы непрерывной интеграции и непрерывного развертывания (CI/CD), что позволяет киберпреступникам быстро создавать и развертывать эти страницы для фишинга. Кроме того, наличие бесплатных уровней на этих платформах значительно снижает финансовые барьеры для запуска таких операций. Доверие, связанное с такими доменами, как *.vercel.app и *.netlify.app, также придает этим страницам видимость легитимности, еще больше вводя в заблуждение ничего не подозревающих пользователей.

Рост числа случаев фишинга с помощью fake captcha свидетельствует о тревожном прогрессе в тактике социальной инженерии, позволяющей злоумышленникам использовать современные технологические инструменты для злонамеренных целей. Защитникам настоятельно рекомендуется принимать многоуровневые меры безопасности, информировать сотрудников о фишинге на основе captcha и постоянно отслеживать злоупотребления доменами доверенного хостинга, стремясь таким образом снизить риски, связанные с этими развивающимися угрозами.

#ParsedReport #CompletenessMedium
19-09-2025

DeerStealer Malware Campaign: Stealth, Persistence, and Rootkit-Like Capabilities

https://www.cyfirma.com/research/deerstealer-malware-campaign-stealth-persistence-and-rootkit-like-capabilities/

Report completeness: Medium

Actors/Campaigns:
Luciferxfiles

Threats:
Deerstealer
Xfiles_stealer
Icmluautil_tool
Uac_bypass_technique

Geo:
Chinese

TTPs:
Tactics: 9
Technics: 20

IOCs:
File: 11
Path: 9
Domain: 3
Hash: 12
IP: 3

Soft:
Telegram

Algorithms:
md5, zip, sha256

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, code: 4, table: 2, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DeerStealer - это сложное вредоносное ПО, нацеленное на конфиденциальную информацию с помощью передовых методов уклонения и многоэтапного процесса заражения. Он распространяется через ZIP-архивы, содержащие PE-файлы, используя доверенный COM-объект для bypass UAC и выполнения его полезных функций, включая Grid-Electr.exe для сбора данных. Вредоносное ПО обеспечивает закрепление за запланированными задачами и может адаптироваться путем смены серверов управления, функционируя скрытно, чтобы избежать обнаружения средствами безопасности.
-----

DeerStealer - это сложное вредоносное ПО, специально разработанное для кражи конфиденциальной информации из зараженных систем. Активно продвигаемый на форумах dark-web и через Telegram-каналы, DeerStealer использует передовые методы, чтобы избежать обнаружения и постоянно работать в скомпрометированных средах. Его архитектура позволяет ему маскироваться под законное программное обеспечение, обманывая пользователей и заставляя их запускать вредоносное ПО, в то время как он тайно собирает различные формы конфиденциальных данных, включая личные и финансовые данные.

Механизм доставки вредоносного ПО включает упаковку его полезной нагрузки в ZIP-архив, содержащий PE-файлы и дополнительные компоненты. После установки DeerStealer использует доверенный COM-объект с автоматическим повышением уровня (ICMLuaUtil) с помощью DllHost.exe чтобы запустить его установочный файл, Reader_en_install.exe , обходя запросы контроля учетных записей пользователей (UAC) с помощью установленных методов, предназначенных для предотвращения обнаружения. Пользовательское действие, вызываемое msiexec.exe впоследствии выполняет другую полезную нагрузку, Grid-Electr.exe , который выполняет основные вредоносные операции.

DeerStealer демонстрирует многоэтапную функциональность, которая включает в себя использование подписанных исполняемых файлов и законных библиотек динамической компоновки (DLL) для дальнейшего противодействия мерам безопасности. Чтобы обеспечить закрепление, вредоносное ПО создает несколько записей о запланированных задачах, которые позволяют ему автоматически активироваться после перезагрузки системы и поддерживать постоянную связь с серверами управления (C2). Собранные данные отфильтровываются на назначенные серверы C2, такие как сервер, указанный по адресу telluricaphelion.com .

Вредоносное ПО известно своей адаптивностью, ему удается переключать серверы C2, чтобы избежать обнаружения. Эта адаптивность сочетается с возможностями, подобными руткиту, что позволяет ему работать незамеченным даже под пристальным вниманием инструментов пользовательского режима и программного обеспечения безопасности. В целом, DeerStealer обладает заметной широтой возможностей, которые позиционируют его как серьезную угрозу для отдельных лиц и организаций, поскольку он угрожает скомпрометировать широкий спектр конфиденциальных данных, оставаясь скрытым в течение длительного времени.