#ParsedReport #CompletenessLow
23-09-2025

BlockBlasters: Infected Steam game downloads malware disguised as patch

https://www.gdatasoftware.com/blog/2025/09/38265-steam-blockblasters-game-downloads-malware

Report completeness: Low

Actors/Campaigns:
Encrypthub

Threats:
Stealc

Victims:
Gamers, Steam users

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.003, T1059.005, T1082, T1105, T1204.002, T1518, T1555, T1562.001, have more...

IOCs:
Url: 3
File: 3
Hash: 9

Soft:
BlockBlasters, Steam, BlockBlaster, SteamDB, Windows Defender, Microsoft Defender, Google Chrome, Microsoft Edge

Algorithms:
rc4, sha256, exhibit

Win Services:
bits

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
2D-платформер BlockBlasters был взломан с целью распространения вредоносного ПО, которое извлекает конфиденциальные пользовательские данные, включая информацию о кошельке криптовалюты. Атака инициируется с помощью пакетного файла "game2.bat", в котором собираются такие данные, как IP-адреса и учетные данные Steam, которые затем отправляются на сервер управления. Дополнительные скрипты еще больше облегчают атаку, уклоняясь от обнаружения антивирусом и внедряя бэкдоры и средства кражи данных, что создает значительные риски для безопасности игроков.
-----

2D-платформер BlockBlasters, получивший патч 30 августа, был идентифицирован как источник распространения вредоносного ПО. Во время игрового процесса взломанная игра извлекает конфиденциальные данные с компьютера пользователя, включая информацию о криптовалютном кошельке, что потенциально затрагивает сотни игроков.

Начальный этап атаки выполняется с помощью пакетного файла с именем "game2.bat". Этот скрипт выполняет несколько вредоносных действий, которые нетипичны для легальной игры. Он собирает IP-адрес и местоположение пользователя, запрашивая такие сервисы, как "ipinfo.io ," выполняет поиск запущенных процессов, связанных с антивирусным программным обеспечением, и собирает учетные данные для входа в Steam, которые он сохраняет для дальнейшего использования. Собранная информация загружается на сервер командования и контроля (C2) по адресу "hxxp://203.188.171.156:30815/upload". Кроме того, он запускает скрипты VBS с именами "launch1.vbs" и "test.vbs", которые, вероятно, облегчают дальнейшие вредоносные операции.

Пакетный файл "test.bat" также используется для извлечения сведений о расширениях браузера и криптовалютных кошельках, отправляя эту информацию на тот же сервер C2. Процесс расширяется с помощью "1.bat", который освобождает путь установки игры от проверки антивирусом Microsoft Defender, позволяя вредоносным исполняемым файлам оставаться незамеченными. Этот файл распаковывает защищенный паролем архив с именем "v3.zip " (SHA256: 58a97ab524b704172a8f68fda92daa802b706e397adede410b6475a4eb229c9b) и выполняет файлы внутри него, специально нацеливаясь на исполняемый файл игры, чтобы замаскировать истинную природу атаки.

Извлеченные полезные грузы включают в себя два особенно вредных компонента: "Client-built2.exe , "который функционирует как черный ход, и "Block1.exe ," который действует как Stealer. Наблюдения по данным телеметрии указывают на минимальное количество активных пользователей (1-4) и более 100 загрузок с момента установки вредоносного исправления.

В ответ на эти открытия игра была помечена как "подозрительная" на таких платформах, как SteamDB, и впоследствии удалена из Steam. Этот инцидент подчеркивает ощутимые риски, связанные с распространением вредоносного ПО через, казалось бы, безобидные источники, такие как видеоигры, подчеркивая важность бдительности в области безопасности в цифровой среде.

#ParsedReport #CompletenessLow
22-09-2025

Malicious fezbox npm Package Steals Browser Passwords from Cookies via Innovative QR Code Steganographic Technique

https://socket.dev/blog/malicious-fezbox-npm-package-steals-browser-passwords-from-cookies-via-innovative-qr-code

Report completeness: Low

Threats:
Steganography_technique
Supply_chain_technique

Victims:
Npm ecosystem users, Software developers

Industry:
Transport

Geo:
Chinese

TTPs:
Tactics: 1
Technics: 9

IOCs:
File: 28
Url: 2

Soft:
Outlook

Functions:
setTimeout

Languages:
javascript, typescript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет Fezbox npm, замаскированный под утилиту JavaScript и TypeScript, использует QR-коды для Стеганографии, чтобы нарушить безопасность браузера и извлечь конфиденциальную информацию. Этот метод использует Компрометацию цепочки поставок, выполнение команд с помощью JavaScript и эксфильтрацию данных Сессионных куки. Злоумышленники используют методы для маскировки своих действий, включая виртуальные проверки и стратегии уклонения, основанные на времени, что иллюстрирует изощренный подход к проникновению в целевые системы.
-----

Вредоносный пакет npm, известный как Fezbox, замаскированный под служебную библиотеку для JavaScript и TypeScript, использует инновационную технологию с использованием QR-кодов для Стеганографии, чтобы поставить под угрозу безопасность браузера. Рекламируемый на упрощенном китайском языке, этот пакет призван предлагать общие вспомогательные функции, но вместо этого включает в себя гнусные функции, предназначенные для извлечения конфиденциальной информации у пользователей.

Fezbox использует QR-коды в качестве скрытого средства для внедрения вредоносных полезных данных. Этот метод особенно примечателен, поскольку он представляет собой творческое использование Стеганографии, позволяющее злоумышленникам скрывать свои вредоносные действия в том, что кажется обычными данными. QR-коды обычно направляют пользователей на веб-сайты; однако в данном случае они функционируют как средство для извлечения паролей браузера, хранящихся в файлах cookie.

Атака использует несколько тактик, описанных в рамках MITRE ATT&CK framework. В частности, он подпадает под категорию Компрометации цепочки поставок (T1195.002), иллюстрируя, как можно манипулировать supply Chains программного обеспечения для вставки вредоносных компонентов. Действия, связанные с выполнением команд, выполняются с помощью JavaScript (T1059.007), в то время как злоумышленники передают инструменты для доступа к данным (T1105) и Кражи сессионных куки (T1539) во время операции. Техника Стеганографии, используемая для обфускации (T1001.002), демонстрирует сложный метод сокрытия вредоносных намерений QR-кодов в программном обеспечении. Кроме того, злоумышленники могут уклоняться от обнаружения с помощью виртуальных проверок (T1497.001) и использовать стратегии уклонения, основанные на времени (T1497.003), повышая свои шансы на успешное проникновение в целевые системы без предупреждения.

Этот случай подчеркивает эволюционирующий ландшафт киберугроз, где множество обфускаций и инновационных методов могут значительно усилить риски, связанные с уязвимостями supply chain программного обеспечения. Использование QR-кодов для таких стеганографических целей знаменует собой заметный сдвиг в методах, используемых злоумышленниками, что требует повышенной бдительности как разработчиков, так и пользователей в отношении управления зависимостями и целостности программных пакетов.

#ParsedReport #CompletenessLow
23-09-2025

A new attack using Phantomrshell backdor

https://habr.com/ru/companies/pt/articles/947258/

Report completeness: Low

Actors/Campaigns:
Phantomcore

Threats:
Phantomrshell
Polyglot_technique
Proxyshell_vuln
Proxylogon_exploit
Phantomcore

Victims:
Defense sector, Industrial sector, Banking sector, Russian organizations

Industry:
Financial

Geo:
Russian

CVEs:
CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.003, T1566.002

IOCs:
File: 6
Hash: 2
IP: 5
Path: 1

Soft:
Outlook

Wallets:
harmony_wallet

Algorithms:
curve25519, sha256, zip

Win Services:
bits

Links:
https://gist.github.com/EvanMcBroom/ace2a9af19fb5e7b2451b1cd4c07bf96

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе кибератака с использованием бэкдора Phantomrshell была направлена против российского оборонного, промышленного и банковского секторов, первоначально ошибочно идентифицированная как массовый фишинг. Злоумышленники использовали скомпрометированную инфраструктуру электронной почты законного отправителя, используя электронные письма со структурой polyglot file, которая объединяла форматы DLL, PDF и ZIP, чтобы избежать традиционных методов обнаружения. Поведенческий анализ показал, что вредоносные электронные письма передавались внутри компании, что позволяло злоумышленникам обходить протоколы безопасности и повышать успешность проникновения.
-----

В августе аналитики по безопасности выявили сложную кибератаку с использованием нового вредоносного ПО, известного как бэкдор Phantomrshell, нацеленную на российский оборонный, промышленный секторы и банковские организации. Первоначально это считалось массовым фишингом из-за появления скомпрометированных серверов, но позже выяснилось, что злоумышленники использовали законного отправителя, инфраструктура электронной почты которого была взломана.

Атака была обнаружена с помощью методов поведенческого анализа, примененных в PT Sandbox, которые выявили вредоносную активность 24 августа, что совпало с началом атак на идентифицированные секторы. Электронные письма, использованные в этой операции, не обладали типичными характеристиками фишинга, что потенциально позволяло им обходить обычные меры безопасности электронной почты.

Вредоносные вложения, содержащиеся в этих электронных письмах, были замаскированы в структуре polyglot file. Этот инновационный подход включал объединение трех различных типов файлов: файла библиотеки динамических ссылок (DLL), файла в формате переносимого документа (PDF) и ZIP-архива. Этот метод объединения нескольких типов файлов в одно вложение создает уникальные проблемы для обнаружения, поскольку каждый компонент сам по себе может восприниматься как безобидный.

При дальнейшем расследовании данные из заголовков электронных писем выявили путь маршрутизации скомпрометированного отправителя через различные почтовые серверы, что указывает на то, что вредоносное электронное письмо было ретранслировано внутри сети жертвы перед отправкой предполагаемым получателям. Такое тщательное сопоставление позволило злоумышленникам обойти определенные протоколы безопасности, используя обычные корпоративные каналы связи, что повысило вероятность успешного проникновения.

#ParsedReport #CompletenessHigh
23-09-2025

Kawa4096 ransomware targets branding through imitation.

https://asec.ahnlab.com/ko/90189/

Report completeness: High

Actors/Campaigns:
Kawa4095

Threats:
Kawalocker
Qilin_ransomware
Qtox_tool
Shadow_copies_delete_technique
Ransomware/win.kawacrypt.c5774792
Ransomware/win.kawacrypt.c5783637
Ransom/mdp.command.m1026
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Akira_ransomware

Victims:
Multinational organizations, Finance, Education, Services

Industry:
Education, Financial

Geo:
Japan

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1204, T1486

IOCs:
File: 7
Command: 1
Hash: 3

Soft:
firefox, outlook, wordpad

Algorithms:
md5, salsa20

Win API:
MiniDumpWriteDump, CreateMutexA, LoadResource, FindResourceW

Win Services:
sqlservr, powerpnt

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Kawa4096 появилась в июне 2025 года, нацелившись на многонациональные организации в различных секторах, таких как финансы и образование, в таких странах, как Япония и США. Он использует тактику двойного вымогательства, шифрования и кражи данных, используя сайт на базе Tor для раскрытия информации о жертвах и личные URL-адреса для переговоров о выкупе. Технически программа-вымогатель может повторно запустить себя с определенным аргументом, чтобы обеспечить всестороннее шифрование файлов, демонстрируя структурированный подход к своим операциям.
-----

Группа вымогателей Kawa4096 появилась в июне 2025 года, сосредоточившись на атаках на многонациональные организации в таких странах, как Япония и Соединенные Штаты. Его целевой подход эклектичен и затрагивает различные секторы, включая финансы, образование и сферу услуг. Хотя компания не подтвердила какую-либо деятельность по распространению программ-вымогателей как услуги (RaaS) или партнерские отношения с другими киберпреступными группами, ее быстрая серия атак во многих странах свидетельствует о растущей угрозе.

Kawa4096 использует оперативные методы, которые раскрывают структурированную и организованную структуру для выполнения атак. Одной из его ключевых функций является сайт эксфильтрации данных на основе Tor, где группа раскрывает информацию о скомпрометированных жертвах. Эта группа использует тактику двойного вымогательства, что означает, что они не только шифруют данные жертв, но и steal it, тем самым увеличивая свои рычаги влияния при переговорах о выкупе. Каждой жертве предоставляется специальный URL-адрес для получения своих данных, что свидетельствует о тщательном контроле за процессом вымогательства. Однако подробности, касающиеся требований о выкупе или методов ведения переговоров, пока не обнародованы.

С точки зрения технического исполнения программа-вымогатель Kawa4096 демонстрирует четкие поведенческие паттерны. Если программа-вымогатель запускается без каких-либо аргументов командной строки, у нее есть встроенная функция, которая предлагает ей повторно выполнить саму себя с аргументом “-all”. Эта функциональность обеспечивает всестороннее шифрование всех целевых файлов, тем самым максимизируя воздействие атаки до того, как потенциальная жертва отреагирует.

Анализ раздела ресурсов программы-вымогателя выявил 17 полей, из которых подмножество из пяти содержит ключевые эксплуатационные характеристики. Однако конкретные технические подробности об этих областях не были полностью раскрыты в доступных данных, и для более глубокого понимания внутренней работы вредоносного ПО необходимо дальнейшее изучение. В целом, Kawa4096 представляет собой формирующийся ландшафт угроз, характеризующийся систематической тактикой вымогательства и изощренными методами исполнения.

#ParsedReport #CompletenessLow
23-09-2025

From MUSE to Manual: Cyberattack Analysis on European Airport Operations

https://www.cyfirma.com/research/from-muse-to-manual-cyberattack-analysis-on-european-airport-operations/

Report completeness: Low

Actors/Campaigns:
Rhysida (motivation: financially_motivated)
0ktapus
Alixsec (motivation: hacktivism, politically_motivated)
Fancy_bear
Apt33
Lazarus (motivation: financially_motivated, cyber_espionage)

Threats:
Supply_chain_technique
Babuk
Rhysida
Spear-phishing_technique

Victims:
Airports, Aviation sector, Critical infrastructure

Industry:
Financial, Transport, Critical_infrastructure, Energy, Aerospace, Government

Geo:
Iranian, Russia, Iran, London, Russian, North korea, North korean, Berlin

TTPs:
Tactics: 7
Technics: 13

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на систему регистрации MUSE компании Collins Aerospace нарушила работу крупных европейских аэропортов, вынудив перейти на ручные процедуры и вызвав многочисленные отмены и задержки рейсов. Хотя ни одна группировка не взяла на себя ответственность, Alixsec и группа вымогателей Rhysida являются ключевыми подозреваемыми, причем последняя ранее проводила значительные атаки на авиационные системы. Этот инцидент высвечивает уязвимости сторонних поставщиков услуг в критически важной инфраструктуре, подчеркивая необходимость проявлять бдительность в отношении таких угроз.
-----

19-20 сентября 2025 года кибератака на систему регистрации и посадки MUSE компании Collins Aerospace привела к значительным сбоям в работе крупнейших европейских аэропортов, включая лондонский Хитроу, Брюссель и Берлин-Бранденбург. Атака скомпрометировала автоматизированные системы регистрации и посадки на борт с самообслуживанием, вынудив аэропорты, подвергшиеся воздействию, вернуться к ручным процедурам. Этот маневр привел к резкому увеличению числа отмен и задержек рейсов, причем только аэропорт Брюсселя сообщал о многочисленных сбоях в работе.

Несмотря на отсутствие официальных заявлений об ответственности, несколько злоумышленников подозреваются на основании их предыдущей деятельности и возможностей. Примечательно, что Alixsec, пропалестинская хактивистская группа, уже неоднократно заявляла о намерениях нанести удар по критически важной инфраструктуре, включая транспортные системы. Несмотря на то, что в декабре 2024 года они публично угрожали авиационному сектору, их фактическая способность выполнять эффективные операции остается неясной. И наоборот, группа программ-вымогателей Rhysida продемонстрировала способность к значительным кибератакам на авиационную среду, о чем свидетельствует инцидент с высоким уровнем воздействия в международном аэропорту Сиэтл-Такома в 2024 году, в результате которого персонал на длительный период был вынужден прибегать к ручным процедурам.

Атака служит напоминанием об уязвимостях, присущих сторонним поставщикам услуг, особенно тем, которые поддерживают критически важные операционные системы аэропортов. Это подчеркивает необходимость усовершенствованных стратегий киберзащиты, постоянного мониторинга потенциальных угроз и трансграничных совместных усилий по устранению рисков, создаваемых выявленными злоумышленниками. Эти события подчеркивают тревожную тенденцию к тому, что противники нацеливаются на операционные узлы в критически важной инфраструктуре, что гарантирует повышенную бдительность и готовность к будущим инцидентам.

#ParsedReport #CompletenessMedium
23-09-2025

Bearlyfy: Evolution of a new group of extortionists and its connection with Phantomcore

https://www.f6.ru/blog/bearlyfy/

Report completeness: Medium

Actors/Campaigns:
Bearlyfy
Phantomcore

Threats:
Phantomcore
Lockbit
Babuk
Sipper
Psexec_tool
Zerologon_vuln
Winrm_tool
Psmapexec_tol
Cloudflared_tool
Winsw_tool
Impacket_tool
Shinysocks_tool
Meshagent_tool
Meshcentral_tool

Victims:
Oil sector, Consulting sector

Industry:
Petroleum

Geo:
Ukraine, Belarusian, Moscow, Russian

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1021.006, T1068, T1210, T1486

IOCs:
Hash: 23
File: 22
IP: 8
Domain: 6

Soft:
Telegram, ESXI, ESXcli, Psexec, Bitrix, Active Directory, Windows Defender, systemd

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С начала 2025 года группа Bearlyfy стала значительным злоумышленником в области кибервымогательства, используя семейства программ-вымогателей, такие как Lockbit 3 (Black) и Babuk, изменяя методы своих атак. Первоначальные атаки включали уникальные расширения файлов и были нацелены на конкретные инфраструктуры, такие как развертывание Lockbit в Windows и Babuk в гипервизорах. Они использовали уязвимости, особенно Bitrix и Zerologon, для первоначального доступа и повышения привилегий, что указывает на предпочтение оппортунистических атак с минимальной разведкой перед атакой.
-----

Группа Bearlyfy стала заметным злоумышленником в сфере кибермогательства с момента ее первых зарегистрированных атак в начале 2025 года. Эта группа использует хорошо известные семейства программ-вымогателей, в частности Lockbit 3 (Black) и Babuk, но отличается уникальными методологиями и тактикой атак, о чем свидетельствуют ее операционные схемы.

Первоначальная деятельность группы включала использование Lockbit 3 (черного цвета) с измененным расширением файла (".Fhxvysiem"), обнаруженного во время сеансов мониторинга. Этот образец был обнаружен в январе 2025 года, что указывает на то, что группа начала использовать существующее вредоносное ПО, изменяя определенное поведение. К апрелю 2025 года Bearlyfy расширила свою деятельность, охватив крупные предприятия, включая российскую нефтяную компанию. Во время этого инцидента они использовали Lockbit 3 (черный) для шифрования данных в ОС Windows и развернули Babuk для шифрования данных на гипервизорах, продемонстрировав свою способность адаптировать тактику на основе инфраструктуры цели.

Отдельная атака на консалтинговую фирму в июне 2025 года была связана с использованием уязвимой версии Bitrix в качестве вектора первоначального доступа. Атака также использовала уязвимость Zerologon для получения повышенных привилегий и проникновения во внутреннюю сеть. В дополнение к традиционным методам, таким как RDP, злоумышленники интегрировали WinRM и PsExec, инструменты, способствующие перемещению внутри компании в средах Windows. В наблюдаемых атаках также использовались утилиты с открытым исходным кодом, предполагающие сочетание модифицированных и ранее существовавших инструментов для выполнения своих операций.

Расследования IP-адресов и других признаков компрометации выявили дублирование инфраструктуры с другим злоумышленником, Phantomcore. Тем не менее, анализ тактики, методов и процедур (TTP) отчетливо идентифицирует операционный стиль Bearlyfy, который контрастирует с более сложными, многоэтапными кампаниями по сложной целенаправленной атаке, проводимыми Phantomcore. В то время как Phantomcore широко использует методы фишинга и социальной инженерии в начале атаки, Bearlyfy, похоже, предпочитает быстрые, оппортунистические атаки с минимальной разведкой перед атакой, уделяя особое внимание быстрому шифрованию и прямой передаче информации о выкупе.

Таким образом, Bearlyfy определяет себя как динамичную угрозу на арене кибервымогательства, в значительной степени опираясь на известные семейства программ-вымогателей и инновационно изменяя тактику для оптимизации эффективности своих атак. Их быстрый, адаптивный стиль и связи с инфраструктурой указывают на растущую сложность операций по борьбе с киберпреступностью.

#ParsedReport #CompletenessLow
22-09-2025

Technical Analysis of Zloader Updates

https://www.zscaler.com/blogs/security-research/technical-analysis-zloader-updates

Report completeness: Low

Threats:
Z_loader
Zeus
Dns_tunneling_technique

Victims:
Corporate environments, Ransomware victims

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1071.001, T1071.004, T1087.002, T1105, T1132, T1480.001, T1482, have more...

IOCs:
File: 6
Hash: 2

Algorithms:
deflate, xor, rc4, gzip, base32, sha256

Win API:
ldap_bind_s, ldap_err2string, ldap_first_attribute, ldap_first_entry, ldap_get_values, ldap_init, ldap_memfree, ldap_next_attribute, ldap_next_entry, ldap_search_s, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4