#ParsedReport #CompletenessLow
18-09-2025

From Abstract Terms to Acumen: SEO Poisoning

https://medium.com/@cyb3r-hawk/from-abstract-terms-to-acumen-seo-poisoning-b4152ee21594

Report completeness: Low

Threats:
Seo_poisoning_technique
Cloaking_technique

Victims:
Ecommerce users

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1071.001, T1189, T1204.001, T1204.003

IOCs:
Domain: 1
File: 1
Url: 28

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SEO poisoning - это метод кибератаки, при котором злоумышленники создают "страницы doorway", оптимизированные для Поисковых систем, чтобы ввести пользователей в заблуждение и заставить их посещать вредоносные сайты. Эти страницы содержат HTML-код, напоминающий легальный контент для электронной коммерции, эффективно индексируемый благодаря стратегическому использованию ключевых слов. Пользователи, ищущие товары, могут переходить по этим ссылкам только для того, чтобы быть перенаправленными с помощью команд JavaScript на мошеннические веб-сайты, подвергая их таким рискам, как кража данных или установка вредоносного ПО.
-----

SEO poisoning - это метод кибератаки, при котором злоумышленники манипулируют поисковой оптимизацией, чтобы направлять пользователей на вредоносные сайты. Важным используемым методом является создание "страниц doorway", которые предназначены для высокого рейтинга в результатах поиска благодаря стратегическому использованию ключевых слов.

В основе этих страниц doorway лежит HTML-код, содержащий полный код легального магазина электронной коммерции, в комплекте с меню, категориями товаров и популярными ключевыми словами. Эта настройка позволяет поисковым системам, таким как Google, эффективно индексировать контент, поскольку они обычно не выполняют перенаправления JavaScript (JS) во время процесса индексации. В результате эти страницы могут обеспечить высокую видимость в результатах поиска, даже если они предназначены для введения пользователей в заблуждение.

Типичный путь пользователя начинается с того, что он ищет конкретные товары, такие как "Сумки Louis Vuitton в продаже". Страница doorway появляется в результатах поиска благодаря богатому содержанию ключевых слов. Как только пользователь нажимает на ссылку, его обманывают, заставляя поверить, что он найдет привлекательное предложение. Однако, прежде чем будет представлен какой-либо контент, связанный с поддельным магазином, команда JavaScript, в частности "location.replace()", запускает перенаправление на другой веб-сайт (например, www.vapormax-plus.us ), который является мошенническим по своей природе. Этот быстрый переход эффективно скрывает вредоносную цель атаки, застигая пользователей врасплох и потенциально подвергая их дальнейшим угрозам, таким как кража данных или установка вредоносного ПО.

#ParsedReport #CompletenessHigh
18-09-2025

Tracking AsyncRAT via Trojanized ScreenConnect and Open Directories

https://hunt.io/blog/asyncrat-screenconnect-open-directory-campaigns

Report completeness: High

Threats:
Asyncrat
Screenconnect_tool
Supply_chain_technique
Clickonce
Chainverb
Amsi_bypass_technique
Process_injection_technique
Opendir_technique

Victims:
Us based organizations

Industry:
Telco

Geo:
Turkey, Germany

CVEs:
CVE-2025-3935 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1053.005, T1055, T1059.001, T1059.005, T1071.001, T1078, T1102, T1105, have more...

IOCs:
IP: 13
Domain: 6
File: 20
Url: 13
Path: 3
Hash: 19

Soft:
Windows Task Scheduler, Zoom

Algorithms:
md5, sha256

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 12, chart: 1, code: 6, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье анализируется AsyncRAT, троян удаленного доступа, используемый в многоэтапных атаках с использованием троянских установщиков ScreenConnect. Злоумышленники используют загрузчики ClickOnce для динамической доставки полезных данных с использованием WScript.Оболочка для выполнения через дроппер (Ab.vbs) и поддержания закрепления с помощью запланированных задач. Вредоносное ПО работает с использованием общих портов, таких как 21, 80 и 443, часто зашифрованных с помощью TLS, в то время как полезные нагрузки демонстрируют низкие показатели обнаружения в VirusTotal, что указывает на передовые методы обфускации.
-----

В статье обсуждается отслеживание AsyncRAT, троянца удаленного доступа (RAT), используемого наряду с троянскими установщиками ScreenConnect в многоэтапной атаке. Злоумышленники развертывают AsyncRAT и пользовательский PowerShell RAT с помощью загрузчиков ClickOnce, которые динамически извлекают полезные данные во время выполнения, повышая скрытность и усложняя обнаружение. Анализ выявил по меньшей мере восемь IP-адресов, связанных с этой вредоносной инфраструктурой, включая 176.65.139.119 и 45.74.16.71, которые были идентифицированы через открытые каталоги, содержащие пакеты вредоносного ПО.

Наблюдаемый процесс заражения обычно инициируется с помощью капельницы (Ab.vbs), использующей WScript.Оболочка для выполнения файла ярлыков Microsoft (.lnk), настроенного для вызова PowerShell с обходом политик выполнения. Это приводит к выполнению другого скрипта, Skype.ps1, из общедоступной папки. Закрепление атаки достигается за счет частых запланированных задач, таких как SystemInstallTask, которые выполняются с агрессивными интервалами, что предполагает продуманную стратегию сохранения доступа, даже если первоначальные переносчики заражения уничтожены.

AsyncRAT использует общие коммуникационные порты, включая 21, 80 и 443, и использует широкий спектр временных портов, часто обернутых в TLS для шифрования. Платформа attack framework демонстрирует изощренное использование тактик эксплуатации, включая встроенное внедрение и выполнение в памяти для обхода традиционных мер безопасности. Примечательно, что наблюдаемые полезные нагрузки имели низкие показатели обнаружения в VirusTotal, что указывает на то, что они могут быть недавно созданы или запутаны, чтобы обойти защиту на основе сигнатур.

Чтобы смягчить такие угрозы, в статье предлагается несколько стратегий: введение строгого списка разрешений для установщиков, мониторинг URL-адресов ClickOnce на сетевых контрольных точках, развертывание поведенческого обнаружения методов выполнения в памяти и ограничение выполнения скриптов из общедоступных каталогов, доступных для записи. Кроме того, организациям следует проводить упреждающий поиск угроз для выявления индикаторов компрометации (IOC), связанных с этой тактикой, использовать Многофакторную аутентификацию и регулярно проверять доступ поставщиков к критически важным системам.

Этот анализ освещает передовую тактику и мастерство злоумышленников, подчеркивая необходимость многоуровневой стратегии защиты, которая выходит за рамки простого обнаружения хэша и включает анализ на основе поведения и сетевые телеметрические данные для эффективного противодействия меняющемуся ландшафту киберугроз.

#ParsedReport #CompletenessLow
18-09-2025

Could The Belsen Group Be Associated With ZeroSevenGroup?

https://www.kelacyber.com/blog/could-the-belsen-group-be-associated-with-zerosevengroup/

Report completeness: Low

Actors/Campaigns:
Belsen (motivation: cyber_criminal)
Zerosevengroup (motivation: cyber_criminal)
Zerox296

Threats:
Medusa_ransomware

Victims:
Fortinet fortigate device users, Toyota us branch, Companies

Industry:
Government

Geo:
Brazil, Usa, Asia, Russia, Africa, Israel, Yemen, Japan, Italian, Poland

CVEs:
CVE-2022-406841 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1567.002, T1585.001, T1589, T1593, T1597

Soft:
Telegram, Twitter

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Belsen, действующая с января 2025 года, допустила утечку 1,6 ГБ данных с более чем 15 000 уязвимых устройств Fortinet из-за CVE-2022-406841, что указывает на постоянный доступ до взлома. Сначала они предлагали данные для проверки достоверности, а затем попытались монетизировать доступ. Между тем, с середины 2024 года ZeroSevenGroup атаковала различные компании, в частности, американское отделение Toyota, и их общая тактика с Belsen, включая схожие стили общения, предполагают потенциальное сотрудничество в киберпреступной деятельности.
-----

Расследование деятельности Belsen Group и ее потенциальной связи с ZeroSevenGroup выявило меняющийся ландшафт киберпреступной деятельности, связанной с Йеменом. Группа компаний Belsen появилась в январе 2025 года и попала в заголовки газет главным образом благодаря утечке 1,6 ГБ конфиденциальных данных с более чем 15 000 уязвимых устройств Fortinet FortiGate. Этот эксплойт был реализован с использованием CVE-2022-406841, критической уязвимости для обхода аутентификации в брандмауэрах Fortinet, которая предполагает, что группа Belsen, возможно, имела постоянный доступ к этим устройствам в течение длительного времени, прежде чем инициировать утечку данных.

Начальный этап деятельности Belsen Group включал в себя бесплатное предоставление утечек данных для установления доверия, за которым последовали попытки монетизировать доступ к скомпрометированным сетям в различных регионах, включая Африку, США и Азию. Однако по-прежнему нет никаких доказательств, подтверждающих, что доступ к сети, который они якобы продали, был успешно использован или получен третьими лицами. Коммуникационная стратегия группы включала использование таких платформ, как Tox, XMPP, Telegram и Социальные сети, для поддержания контактов с потенциальными клиентами или аудиториями, что было дополнено созданием сайта onion, на котором подробно описывалась их деятельность.

С другой стороны, ZeroSevenGroup, которая работает с середины 2024 года, имеет опыт эксплуатации многочисленных компаний и монетизации украденных данных. Эта группа идентифицирована как активная на нескольких платформах, включая NulledTo и BreachForums, где они нацелены на фирмы на ключевых международных рынках, таких как Польша, Израиль и США. Их деятельность достигла заметного пика после взлома американского филиала Toyota, где произошла утечка внушительных 240 ГБ конфиденциальной информации. Этот инцидент стал примером их тактики первоначального предоставления бесплатных данных, прежде чем перейти к продаже больших наборов данных, которые часто размещались в Облачных сервисах, таких как Terabox и Mega, для распространения.

Тщательный анализ показывает, что обе группы демонстрируют поразительное сходство в форматировании постов и стилях общения, а в их соответствующих постах на форумах по киберпреступности наблюдаются свидетельства общей тактики. В частности, обе группы использовали идентичные форматы заголовков в своих сообщениях, используя квадратные скобки и согласованную формулировку, а также схожую стратегию использования хэштегов на таких платформах, как Twitter. Эти показатели потенциально указывают на совместное поведение или, по крайней мере, скоординированный подход к их киберпреступной деятельности, что требует дальнейшего изучения их операционных структур и взаимосвязей в рамках более широкого ландшафта киберугроз.

#ParsedReport #CompletenessLow
19-09-2025

New Phishing Attack Targets Facebook Users to Steal Login Credentials

https://cybersecuritynews.com/new-phishing-attack-targets-facebook-users/

Report completeness: Low

Victims:
Facebook users

Geo:
Spanish, German, Korean

ChatGPT TTPs:
do not use without manual check
T1204.001, T1556.003, T1566.002

IOCs:
Url: 9

Soft:
twitter

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по фишингу нацелена на пользователей Facebook, которые рассылают тщательно подготовленные электронные письма, предназначенные для кражи учетных данных для входа с помощью социальной инженерии. В атаке используется механизм перенаправления, который использует систему предупреждения URL-адресов Facebook, заманивая жертв переходить по Вредоносным ссылкам, ведущим на поддельные страницы входа в Facebook. Такой подход манипулирует доверием пользователей к Facebook, облегчая злоумышленникам сбор конфиденциальной информации без немедленного распознавания угрозы.
-----

Недавняя изощренная кампания по фишингу специально нацелена на пользователей Facebook с целью кражи их учетных данных для входа в систему с помощью тщательно подготовленных электронных писем. Этот тип атак использует методы социальной инженерии для манипулирования пользователями с целью раскрытия конфиденциальной информации.

Схема фишинга использует механизм заражения на основе перенаправления, который использует преимущества системы предупреждения о внешних URL-адресах, используемой Facebook. Умело оформляя контент таким образом, чтобы он выглядел законным, злоумышленникам удается заманить жертв к переходу по Вредоносным ссылкам. Этот инновационный подход использует доверие пользователей к установленным протоколам Facebook, облегчая злоумышленникам обход типичных средств защиты.

Как только целевые пользователи переходят по предоставленным ссылкам, они перенаправляются на сайты фишинга, созданные для имитации законной страницы входа в Facebook. Именно в этот момент жертвам предлагается ввести свои учетные данные, неосознанно передавая их злоумышленникам. Дизайн кампании гарантирует, что пользователи могут не сразу распознать враждебные намерения, поскольку сообщение, по-видимому, исходит из надежного источника.

Зависимость от тщательно составленных электронных писем и кажущихся законными целевых страниц подчеркивает острую необходимость в расширенном обучении пользователей методам выявления попыток фишинга. Пользователям рекомендуется сохранять бдительность, внимательно изучая неожиданные сообщения, особенно те, которые запрашивают конфиденциальную информацию или предписывают им вводить учетные данные на незнакомых сайтах.

#ParsedReport #CompletenessHigh
17-09-2025

Modus Operandi of Subtle Snail

https://catalyst.prodaft.com/public/report/modus-operandi-of-subtle-snail/overview

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Charming_kitten

Threats:
Minibike
Dll_sideloading_technique
Process_hollowing_technique
Spear-phishing_technique
Dllsearchorder_hijacking_technique

Victims:
Telecommunications

Industry:
Telco, Financial, Aerospace, Critical_infrastructure

Geo:
Iran, Dutch

TTPs:
Tactics: 13
Technics: 22

IOCs:
File: 20
Path: 1
Domain: 4
Hash: 10
Registry: 1
Command: 1

Soft:
Chrome, Microsoft Edge, Google Chrome, Windows Hello, Outlook, Active Directory

Algorithms:
xor, exhibit, zip

Win API:
GetComputerNameExW, GetUserNameW, CopyFile2, QueryPerformanceCounter

Win Services:
BITS

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Иранская группа кибершпионажа UNC1549 нацелена на телекоммуникационные сети, используя сложные инструменты, включая бэкдор, который загружает дополнительные библиотеки DLL и взаимодействует с сервером управления с помощью шифрования на основе XOR. Их методология включает в себя обширную разведку, социальную инженерию с помощью поддельных предложений о работе и DLL Sideloading для первоначального доступа. После установки бэкдор обеспечивает закрепление и эксфильтрацию данных за счет скрытой обработки конфиденциальной информации при сохранении постоянного доступа к критически важным системам.
-----

UNC1549 - иранская группа кибершпионажа, специализирующаяся на телекоммуникационных сетях.

Их инструментарий включает в себя основной бэкдор для загрузки библиотек динамической компоновки (DLL-файлов) в скомпрометированные системы.

Бэкдор взаимодействует с сервером управления (C2), используя алгоритм на основе XOR для расшифровки строк во время выполнения.

Группа использует кейлоггер, реализованный с помощью библиотеки DLL, для расшифровки которого используются методы линейного конгруэнтного генератора и процедуры обфускации.

Они также развертывают средство перехвата данных браузера для сбора данных браузера и средство перехвата Outlook/Winlogon для извлечения учетных данных Windows и Outlook.

UNC1549 проводит разведку с целью выявления персонала с высоким уровнем доступа, используя общедоступные источники, такие как LinkedIn.

Они используют поддельные учетные записи HR, чтобы заманивать цели сфабрикованными предложениями о работе, что приводит к эксплуатации с помощью вредоносной DLL sideloading в подписанные двоичные файлы.

Бэкдор предназначен для сохранения при запуске системы, поддерживая доступ в разных сеансах.

Повышение привилегий достигается путем использования законных двоичных файлов с повышенными привилегиями.

Инфраструктура C2 размещена в Azure, что позволяет маскировать вредоносный трафик в рамках законных коммуникаций.

Стратегии эксфильтрации данных включают автоматическую идентификацию конфиденциальной информации и загрузку фрагментами, чтобы избежать обнаружения при мониторинге полосы пропускания.

Операции UNC1549's позволяют им поддерживать долгосрочный доступ при скрытном извлечении конфиденциальных данных.

Их деятельность сопряжена со значительными рисками утечки данных и уязвимостей в целевых компаниях.

#ParsedReport #CompletenessHigh
15-09-2025

Threat Actor Profile: APT27

https://www.dexpose.io/threat-actor-profile-apt27/

Report completeness: High

Actors/Campaigns:
Emissary_panda (motivation: hacktivism, cyber_espionage, information_theft, financially_motivated)
Stealthytrident
Akira_ransomware
I-soon_leak (motivation: information_theft)
Coldface
Winnti

Threats:
Proxylogon_exploit
Hyperbro
Supply_chain_technique
Sysupdate
Polar_ransomware
Drbcontrol
Plugx_rat
Devman
Akira_ransomware
Spear-phishing_technique
Watering_hole_technique
Zxshell
Gh0st_rat
Httpbrowser
Aspxspy_shell
Chinachopper
Credential_dumping_technique
Mimikatz_tool
Gsecdump
Pandora
Fscan_tool
Owaauth
Shadowpad
Proxyshell_vuln
Log4shell_vuln
Tmanger
Dll_sideloading_technique
Antak
Pwdump_tool
Nbtscan_tool
Impacket_tool
Psexec_tool
Smbexec_tool
Eternalblue_vuln
Godzilla_webshell
Nglite
Kdcsponge_stealer
Rshell
Cobalt_strike_tool
Lazagne_tool
Iox_tool
Credential_harvesting_technique
Lolbin_technique
Adfind_tool
Secretsdump_tool
Passworddumper_tool
Kekeo_tool
Twoface
Dll_hijacking_technique
Shadow_copies_delete_technique
Process_injection_technique
Screen_shotting_technique
Process_hollowing_technique

Victims:
Government, Telecommunications, Multinational electronics manufacturer, State legislature, Healthcare, Defense, Energy, Technology, Education, Higher education, have more...

Industry:
Energy, Government, Aerospace, Telco, Military, Education, Healthcare, Transport, Entertainment, Foodtech

Geo:
America, Middle east, Germany, German, Hong kong, Afghanistan, Chinese, Philippines, Asian, China, Pakistan, Lithuania, Taiwan, Mongolia, Singapore, Asia, Iran, India, Taiwanese

CVEs:
CVE-2021-45105 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44228 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-40539 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0213 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0798 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2014-6324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-0604 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0144 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-44077 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 12
Technics: 45

IOCs:
File: 20
IP: 1
Url: 1
Hash: 18

Soft:
Microsoft Exchange, Linux, BitLocker, Twitter, ASP.NET, Apache Tomcat, Outlook, psexec, Microsoft Exchange Server, macOS, have more...

Algorithms:
des, exhibit, shikata_ga_nai

Functions:
CreateMedia, CreateTsMediaAdm

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT27, спонсируемая китайским государством группа кибершпионажа, действующая по меньшей мере с 2010 года, нацелена на широкий круг организаций, включая правительства и критически важные отрасли промышленности, для сбора разведывательных данных. Они используют множество уязвимостей, в частности, в Microsoft Exchange и Zoho ManageEngine, используя сложное вредоносное ПО, такое как HyperBro и SysUpdate, а также стратегии долгосрочного доступа. Недавние операции выявили двойную направленность на шпионаж и потенциальную финансовую выгоду, проявившуюся во время таких событий, как операция StealthyTrident и внедрение программ-вымогателей Polar.
-----

APT27, также известная как Emissary Panda, Iron Tiger и LuckyMouse, является спонсируемой китайским государством группой кибершпионажа, которая действует как минимум с 2010 года. Группа известна тем, что нацелена на широкий круг организаций, включая правительства и важнейшие отрасли промышленности, с целью получения политической, экономической и технологической информации. APT27 использует разнообразный набор методов и специально разработанное вредоносное ПО, делая упор на долгосрочное проникновение и постоянный доступ к своим целям.

Злоумышленник активно использует уязвимости в широко используемых приложениях для получения первоначального доступа. Известные эксплойты включают уязвимости ProxyLogon Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) и уязвимость Zoho ManageEngine ADSelfService Plus (CVE-2021-40539). Например, APT27 нацелился на три сервера SharePoint на Ближнем Востоке, используя CVE-2019-0604, развернув Веб-шеллы, включая Antak версии 0.5.0, для обеспечения доступа.

Для APT27 характерно использование сложного инструментария для защиты от вредоносного ПО, включающего проприетарные бэкдоры, такие как HyperBro и SysUpdate, а также облегченные Веб-шеллы и средства кражи учетных данных, предназначенные для поддержания контроля над скомпрометированными средами. Группа продемонстрировала свою адаптивность в ходе различных кампаний в разных регионах, включая Северную Америку, Европу и Азию. Недавняя активность включает атаки на телекоммуникационные организации на Ближнем Востоке и правительства азиатских стран, с использованием нового варианта Backdoor. SysUpdate

В конкретных операциях APT27 усовершенствовала свои методологии. "Операция StealthyTrident" включала в себя компрометацию supply-chain, в ходе которой троянские установщики приложения для чата использовались для доставки вредоносного ПО, подчеркивая сосредоточенность группы на социальной инженерии и эксплуатации. В течение 2021 и 2022 годов APT27 проводила крупномасштабные шпионские кампании, что привело к нарушениям в таких секторах, как здравоохранение, оборона и технологии. В 2023 году они обновили свое вредоносное ПО, указав на продолжающиеся усовершенствования, позволяющие избежать обнаружения.

С точки зрения коллективной угрозы, операции APT27's демонстрируют широкое сотрудничество внутри акторов, связанных с Китаем. Инциденты, связанные с группой, привели к действиям правоохранительных органов, включая предъявление обвинений гражданам Китая, причастным к кибератакам. Более того, тактика группы выходит за рамки шпионажа; в таких инцидентах, как внедрение программы-вымогателя Polar, они не только сохраняли доступ к системе, но и пытались монетизировать ее, демонстрируя двойной интерес как к разведданным, так и к финансовой выгоде.

APT27 остается значительной и развивающейся угрозой в глобальном киберпространстве, о чем свидетельствуют недавние рекомендации и продолжающийся мониторинг со стороны организаций, занимающихся кибербезопасностью. Их способность использовать известные уязвимости и быстро адаптироваться подчеркивает необходимость принятия бдительных мер защиты в целевых секторах.

#ParsedReport #CompletenessLow
23-09-2025

The Phantom Extension: Backdooring chrome through uncharted pathways

https://www.synacktiv.com/en/publications/the-phantom-extension-backdooring-chrome-through-uncharted-pathways.html

Report completeness: Low

Threats:
Chromeloader
Cursedchrome_tool

Victims:
Enterprise organizations, Windows domain environments

ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1112

IOCs:
File: 11
Path: 1
Registry: 3

Soft:
chrome, Chromium, Microsoft Edge, Active Directory, Twitter

Algorithms:
zip, sha256, base64, hmac

Functions:
GetFlags, value, size

Languages:
python, javascript

Platforms:
cross-platform

Links:
https://github.com/mandatoryprogrammer/CursedChrome
https://github.com/Pica4x6/SecurePreferencesFile/blob/main/Seed.py#L60

#ParsedReport #GeneratedSchema
Generated with GPT-4