#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет Fezbox npm, замаскированный под утилиту JavaScript и TypeScript, использует QR-коды для Стеганографии, чтобы нарушить безопасность браузера и извлечь конфиденциальную информацию. Этот метод использует Компрометацию цепочки поставок, выполнение команд с помощью JavaScript и эксфильтрацию данных Сессионных куки. Злоумышленники используют методы для маскировки своих действий, включая виртуальные проверки и стратегии уклонения, основанные на времени, что иллюстрирует изощренный подход к проникновению в целевые системы.
-----

Вредоносный пакет npm, известный как Fezbox, замаскированный под служебную библиотеку для JavaScript и TypeScript, использует инновационную технологию с использованием QR-кодов для Стеганографии, чтобы поставить под угрозу безопасность браузера. Рекламируемый на упрощенном китайском языке, этот пакет призван предлагать общие вспомогательные функции, но вместо этого включает в себя гнусные функции, предназначенные для извлечения конфиденциальной информации у пользователей.

Fezbox использует QR-коды в качестве скрытого средства для внедрения вредоносных полезных данных. Этот метод особенно примечателен, поскольку он представляет собой творческое использование Стеганографии, позволяющее злоумышленникам скрывать свои вредоносные действия в том, что кажется обычными данными. QR-коды обычно направляют пользователей на веб-сайты; однако в данном случае они функционируют как средство для извлечения паролей браузера, хранящихся в файлах cookie.

Атака использует несколько тактик, описанных в рамках MITRE ATT&CK framework. В частности, он подпадает под категорию Компрометации цепочки поставок (T1195.002), иллюстрируя, как можно манипулировать supply Chains программного обеспечения для вставки вредоносных компонентов. Действия, связанные с выполнением команд, выполняются с помощью JavaScript (T1059.007), в то время как злоумышленники передают инструменты для доступа к данным (T1105) и Кражи сессионных куки (T1539) во время операции. Техника Стеганографии, используемая для обфускации (T1001.002), демонстрирует сложный метод сокрытия вредоносных намерений QR-кодов в программном обеспечении. Кроме того, злоумышленники могут уклоняться от обнаружения с помощью виртуальных проверок (T1497.001) и использовать стратегии уклонения, основанные на времени (T1497.003), повышая свои шансы на успешное проникновение в целевые системы без предупреждения.

Этот случай подчеркивает эволюционирующий ландшафт киберугроз, где множество обфускаций и инновационных методов могут значительно усилить риски, связанные с уязвимостями supply chain программного обеспечения. Использование QR-кодов для таких стеганографических целей знаменует собой заметный сдвиг в методах, используемых злоумышленниками, что требует повышенной бдительности как разработчиков, так и пользователей в отношении управления зависимостями и целостности программных пакетов.

#ParsedReport #CompletenessLow
23-09-2025

A new attack using Phantomrshell backdor

https://habr.com/ru/companies/pt/articles/947258/

Report completeness: Low

Actors/Campaigns:
Phantomcore

Threats:
Phantomrshell
Polyglot_technique
Proxyshell_vuln
Proxylogon_exploit
Phantomcore

Victims:
Defense sector, Industrial sector, Banking sector, Russian organizations

Industry:
Financial

Geo:
Russian

CVEs:
CVE-2022-41080 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-41082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1071.003, T1566.002

IOCs:
File: 6
Hash: 2
IP: 5
Path: 1

Soft:
Outlook

Wallets:
harmony_wallet

Algorithms:
curve25519, sha256, zip

Win Services:
bits

Links:
https://gist.github.com/EvanMcBroom/ace2a9af19fb5e7b2451b1cd4c07bf96

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 2, dump: 3, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе кибератака с использованием бэкдора Phantomrshell была направлена против российского оборонного, промышленного и банковского секторов, первоначально ошибочно идентифицированная как массовый фишинг. Злоумышленники использовали скомпрометированную инфраструктуру электронной почты законного отправителя, используя электронные письма со структурой polyglot file, которая объединяла форматы DLL, PDF и ZIP, чтобы избежать традиционных методов обнаружения. Поведенческий анализ показал, что вредоносные электронные письма передавались внутри компании, что позволяло злоумышленникам обходить протоколы безопасности и повышать успешность проникновения.
-----

В августе аналитики по безопасности выявили сложную кибератаку с использованием нового вредоносного ПО, известного как бэкдор Phantomrshell, нацеленную на российский оборонный, промышленный секторы и банковские организации. Первоначально это считалось массовым фишингом из-за появления скомпрометированных серверов, но позже выяснилось, что злоумышленники использовали законного отправителя, инфраструктура электронной почты которого была взломана.

Атака была обнаружена с помощью методов поведенческого анализа, примененных в PT Sandbox, которые выявили вредоносную активность 24 августа, что совпало с началом атак на идентифицированные секторы. Электронные письма, использованные в этой операции, не обладали типичными характеристиками фишинга, что потенциально позволяло им обходить обычные меры безопасности электронной почты.

Вредоносные вложения, содержащиеся в этих электронных письмах, были замаскированы в структуре polyglot file. Этот инновационный подход включал объединение трех различных типов файлов: файла библиотеки динамических ссылок (DLL), файла в формате переносимого документа (PDF) и ZIP-архива. Этот метод объединения нескольких типов файлов в одно вложение создает уникальные проблемы для обнаружения, поскольку каждый компонент сам по себе может восприниматься как безобидный.

При дальнейшем расследовании данные из заголовков электронных писем выявили путь маршрутизации скомпрометированного отправителя через различные почтовые серверы, что указывает на то, что вредоносное электронное письмо было ретранслировано внутри сети жертвы перед отправкой предполагаемым получателям. Такое тщательное сопоставление позволило злоумышленникам обойти определенные протоколы безопасности, используя обычные корпоративные каналы связи, что повысило вероятность успешного проникновения.

#ParsedReport #CompletenessHigh
23-09-2025

Kawa4096 ransomware targets branding through imitation.

https://asec.ahnlab.com/ko/90189/

Report completeness: High

Actors/Campaigns:
Kawa4095

Threats:
Kawalocker
Qilin_ransomware
Qtox_tool
Shadow_copies_delete_technique
Ransomware/win.kawacrypt.c5774792
Ransomware/win.kawacrypt.c5783637
Ransom/mdp.command.m1026
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1785
Akira_ransomware

Victims:
Multinational organizations, Finance, Education, Services

Industry:
Education, Financial

Geo:
Japan

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1204, T1486

IOCs:
File: 7
Command: 1
Hash: 3

Soft:
firefox, outlook, wordpad

Algorithms:
md5, salsa20

Win API:
MiniDumpWriteDump, CreateMutexA, LoadResource, FindResourceW

Win Services:
sqlservr, powerpnt

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Kawa4096 появилась в июне 2025 года, нацелившись на многонациональные организации в различных секторах, таких как финансы и образование, в таких странах, как Япония и США. Он использует тактику двойного вымогательства, шифрования и кражи данных, используя сайт на базе Tor для раскрытия информации о жертвах и личные URL-адреса для переговоров о выкупе. Технически программа-вымогатель может повторно запустить себя с определенным аргументом, чтобы обеспечить всестороннее шифрование файлов, демонстрируя структурированный подход к своим операциям.
-----

Группа вымогателей Kawa4096 появилась в июне 2025 года, сосредоточившись на атаках на многонациональные организации в таких странах, как Япония и Соединенные Штаты. Его целевой подход эклектичен и затрагивает различные секторы, включая финансы, образование и сферу услуг. Хотя компания не подтвердила какую-либо деятельность по распространению программ-вымогателей как услуги (RaaS) или партнерские отношения с другими киберпреступными группами, ее быстрая серия атак во многих странах свидетельствует о растущей угрозе.

Kawa4096 использует оперативные методы, которые раскрывают структурированную и организованную структуру для выполнения атак. Одной из его ключевых функций является сайт эксфильтрации данных на основе Tor, где группа раскрывает информацию о скомпрометированных жертвах. Эта группа использует тактику двойного вымогательства, что означает, что они не только шифруют данные жертв, но и steal it, тем самым увеличивая свои рычаги влияния при переговорах о выкупе. Каждой жертве предоставляется специальный URL-адрес для получения своих данных, что свидетельствует о тщательном контроле за процессом вымогательства. Однако подробности, касающиеся требований о выкупе или методов ведения переговоров, пока не обнародованы.

С точки зрения технического исполнения программа-вымогатель Kawa4096 демонстрирует четкие поведенческие паттерны. Если программа-вымогатель запускается без каких-либо аргументов командной строки, у нее есть встроенная функция, которая предлагает ей повторно выполнить саму себя с аргументом “-all”. Эта функциональность обеспечивает всестороннее шифрование всех целевых файлов, тем самым максимизируя воздействие атаки до того, как потенциальная жертва отреагирует.

Анализ раздела ресурсов программы-вымогателя выявил 17 полей, из которых подмножество из пяти содержит ключевые эксплуатационные характеристики. Однако конкретные технические подробности об этих областях не были полностью раскрыты в доступных данных, и для более глубокого понимания внутренней работы вредоносного ПО необходимо дальнейшее изучение. В целом, Kawa4096 представляет собой формирующийся ландшафт угроз, характеризующийся систематической тактикой вымогательства и изощренными методами исполнения.

#ParsedReport #CompletenessLow
23-09-2025

From MUSE to Manual: Cyberattack Analysis on European Airport Operations

https://www.cyfirma.com/research/from-muse-to-manual-cyberattack-analysis-on-european-airport-operations/

Report completeness: Low

Actors/Campaigns:
Rhysida (motivation: financially_motivated)
0ktapus
Alixsec (motivation: hacktivism, politically_motivated)
Fancy_bear
Apt33
Lazarus (motivation: financially_motivated, cyber_espionage)

Threats:
Supply_chain_technique
Babuk
Rhysida
Spear-phishing_technique

Victims:
Airports, Aviation sector, Critical infrastructure

Industry:
Financial, Transport, Critical_infrastructure, Energy, Aerospace, Government

Geo:
Iranian, Russia, Iran, London, Russian, North korea, North korean, Berlin

TTPs:
Tactics: 7
Technics: 13

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на систему регистрации MUSE компании Collins Aerospace нарушила работу крупных европейских аэропортов, вынудив перейти на ручные процедуры и вызвав многочисленные отмены и задержки рейсов. Хотя ни одна группировка не взяла на себя ответственность, Alixsec и группа вымогателей Rhysida являются ключевыми подозреваемыми, причем последняя ранее проводила значительные атаки на авиационные системы. Этот инцидент высвечивает уязвимости сторонних поставщиков услуг в критически важной инфраструктуре, подчеркивая необходимость проявлять бдительность в отношении таких угроз.
-----

19-20 сентября 2025 года кибератака на систему регистрации и посадки MUSE компании Collins Aerospace привела к значительным сбоям в работе крупнейших европейских аэропортов, включая лондонский Хитроу, Брюссель и Берлин-Бранденбург. Атака скомпрометировала автоматизированные системы регистрации и посадки на борт с самообслуживанием, вынудив аэропорты, подвергшиеся воздействию, вернуться к ручным процедурам. Этот маневр привел к резкому увеличению числа отмен и задержек рейсов, причем только аэропорт Брюсселя сообщал о многочисленных сбоях в работе.

Несмотря на отсутствие официальных заявлений об ответственности, несколько злоумышленников подозреваются на основании их предыдущей деятельности и возможностей. Примечательно, что Alixsec, пропалестинская хактивистская группа, уже неоднократно заявляла о намерениях нанести удар по критически важной инфраструктуре, включая транспортные системы. Несмотря на то, что в декабре 2024 года они публично угрожали авиационному сектору, их фактическая способность выполнять эффективные операции остается неясной. И наоборот, группа программ-вымогателей Rhysida продемонстрировала способность к значительным кибератакам на авиационную среду, о чем свидетельствует инцидент с высоким уровнем воздействия в международном аэропорту Сиэтл-Такома в 2024 году, в результате которого персонал на длительный период был вынужден прибегать к ручным процедурам.

Атака служит напоминанием об уязвимостях, присущих сторонним поставщикам услуг, особенно тем, которые поддерживают критически важные операционные системы аэропортов. Это подчеркивает необходимость усовершенствованных стратегий киберзащиты, постоянного мониторинга потенциальных угроз и трансграничных совместных усилий по устранению рисков, создаваемых выявленными злоумышленниками. Эти события подчеркивают тревожную тенденцию к тому, что противники нацеливаются на операционные узлы в критически важной инфраструктуре, что гарантирует повышенную бдительность и готовность к будущим инцидентам.

#ParsedReport #CompletenessMedium
23-09-2025

Bearlyfy: Evolution of a new group of extortionists and its connection with Phantomcore

https://www.f6.ru/blog/bearlyfy/

Report completeness: Medium

Actors/Campaigns:
Bearlyfy
Phantomcore

Threats:
Phantomcore
Lockbit
Babuk
Sipper
Psexec_tool
Zerologon_vuln
Winrm_tool
Psmapexec_tol
Cloudflared_tool
Winsw_tool
Impacket_tool
Shinysocks_tool
Meshagent_tool
Meshcentral_tool

Victims:
Oil sector, Consulting sector

Industry:
Petroleum

Geo:
Ukraine, Belarusian, Moscow, Russian

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.002, T1021.006, T1068, T1210, T1486

IOCs:
Hash: 23
File: 22
IP: 8
Domain: 6

Soft:
Telegram, ESXI, ESXcli, Psexec, Bitrix, Active Directory, Windows Defender, systemd

Algorithms:
sha1

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С начала 2025 года группа Bearlyfy стала значительным злоумышленником в области кибервымогательства, используя семейства программ-вымогателей, такие как Lockbit 3 (Black) и Babuk, изменяя методы своих атак. Первоначальные атаки включали уникальные расширения файлов и были нацелены на конкретные инфраструктуры, такие как развертывание Lockbit в Windows и Babuk в гипервизорах. Они использовали уязвимости, особенно Bitrix и Zerologon, для первоначального доступа и повышения привилегий, что указывает на предпочтение оппортунистических атак с минимальной разведкой перед атакой.
-----

Группа Bearlyfy стала заметным злоумышленником в сфере кибермогательства с момента ее первых зарегистрированных атак в начале 2025 года. Эта группа использует хорошо известные семейства программ-вымогателей, в частности Lockbit 3 (Black) и Babuk, но отличается уникальными методологиями и тактикой атак, о чем свидетельствуют ее операционные схемы.

Первоначальная деятельность группы включала использование Lockbit 3 (черного цвета) с измененным расширением файла (".Fhxvysiem"), обнаруженного во время сеансов мониторинга. Этот образец был обнаружен в январе 2025 года, что указывает на то, что группа начала использовать существующее вредоносное ПО, изменяя определенное поведение. К апрелю 2025 года Bearlyfy расширила свою деятельность, охватив крупные предприятия, включая российскую нефтяную компанию. Во время этого инцидента они использовали Lockbit 3 (черный) для шифрования данных в ОС Windows и развернули Babuk для шифрования данных на гипервизорах, продемонстрировав свою способность адаптировать тактику на основе инфраструктуры цели.

Отдельная атака на консалтинговую фирму в июне 2025 года была связана с использованием уязвимой версии Bitrix в качестве вектора первоначального доступа. Атака также использовала уязвимость Zerologon для получения повышенных привилегий и проникновения во внутреннюю сеть. В дополнение к традиционным методам, таким как RDP, злоумышленники интегрировали WinRM и PsExec, инструменты, способствующие перемещению внутри компании в средах Windows. В наблюдаемых атаках также использовались утилиты с открытым исходным кодом, предполагающие сочетание модифицированных и ранее существовавших инструментов для выполнения своих операций.

Расследования IP-адресов и других признаков компрометации выявили дублирование инфраструктуры с другим злоумышленником, Phantomcore. Тем не менее, анализ тактики, методов и процедур (TTP) отчетливо идентифицирует операционный стиль Bearlyfy, который контрастирует с более сложными, многоэтапными кампаниями по сложной целенаправленной атаке, проводимыми Phantomcore. В то время как Phantomcore широко использует методы фишинга и социальной инженерии в начале атаки, Bearlyfy, похоже, предпочитает быстрые, оппортунистические атаки с минимальной разведкой перед атакой, уделяя особое внимание быстрому шифрованию и прямой передаче информации о выкупе.

Таким образом, Bearlyfy определяет себя как динамичную угрозу на арене кибервымогательства, в значительной степени опираясь на известные семейства программ-вымогателей и инновационно изменяя тактику для оптимизации эффективности своих атак. Их быстрый, адаптивный стиль и связи с инфраструктурой указывают на растущую сложность операций по борьбе с киберпреступностью.

#ParsedReport #CompletenessLow
22-09-2025

Technical Analysis of Zloader Updates

https://www.zscaler.com/blogs/security-research/technical-analysis-zloader-updates

Report completeness: Low

Threats:
Z_loader
Zeus
Dns_tunneling_technique

Victims:
Corporate environments, Ransomware victims

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1071.001, T1071.004, T1087.002, T1105, T1132, T1480.001, T1482, have more...

IOCs:
File: 6
Hash: 2

Algorithms:
deflate, xor, rc4, gzip, base32, sha256

Win API:
ldap_bind_s, ldap_err2string, ldap_first_attribute, ldap_first_entry, ldap_get_values, ldap_init, ldap_memfree, ldap_next_attribute, ldap_next_entry, ldap_search_s, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Zloader, модульный троянец, эволюционировавший от Zeus, превратился из банковского вредоносного ПО в инструмент первоначального доступа для программ-вымогателей, который появится в сентябре 2023 года с расширенными возможностями. Ключевые обновления в версиях 2.11.6.0 и 2.13.7.0 включают улучшенную защиту от запутывания, гибкий подход к именам файлов, пересмотренные конфигурации управления и расширенные возможности обнаружения сети. Примечательно, что Zloader отказался от использования Алгоритмов генерирования доменных имен для DNS tunneling, теперь используя кодировку Base32 в сочетании с пользовательским шифрованием и WebSockets для улучшения связи со своей инфраструктурой C2.
-----

Zloader, модульный троян, созданный на основе исходного кода Zeus, первоначально появился как банковское вредоносное ПО в 2015 году, но с тех пор превратился в инструмент первоначального доступа для развертывания программ-вымогателей. После почти двухлетнего перерыва вредоносное ПО вновь появилось в сентябре 2023 года со значительными улучшениями в его операционных возможностях. Последние версии, в частности версии 2.11.6.0 и 2.13.7.0, демонстрируют улучшенные методы запутывания, усовершенствованный алгоритм генерации домена (DGA) и продвинутые стратегии защиты от анализа.

Ключевым изменением в функциональности Zloader's является гибкость, внесенная в требования к именам файлов. Раньше в Zloader были жестко закодированы имена файлов, необходимые для выполнения, что ограничивало его развертывание в различных средах и упрощало автоматическое обнаружение. В последней версии Zloader позволяет использовать два новых общих имени файлов, Updater.exe и Updater.dll , повышая его потенциал для уклонения от автоматизированного анализа вредоносного ПО, обычно проводимого в изолированных средах.

Статическая конфигурация троянца также была скорректирована, в частности, в отношении коммуникаций управления (C2). Сервер указания имен TLS (SNI) и сервер имен DNS были перемещены для оптимизации доменного раздела C2 с целью улучшения управления трафиком и операционной безопасности. Наряду с этими изменениями была обновлена интерактивная оболочка Zloader's, предлагающая новые функции LDAP для лучшего обнаружения сети и перемещения внутри компании, что позволяет более точно нацеливаться при атаках. Эта функциональность включает в себя возможности для выполнения команд, развертывания дополнительных полезных нагрузок вредоносного ПО и извлечения конфиденциальных данных.

Примечательно, что Zloader претерпел значительные изменения в своих сетевых коммуникационных протоколах. Прежняя зависимость от DGA была полностью устранена в пользу улучшенных механизмов DNS tunneling. Протокол теперь использует кодировку Base32, наложенную поверх пользовательского алгоритма шифрования, заменяя предыдущее шифрование TLS, используемое в DNS-запросах и ответах. Кроме того, в последних версиях Zloader появилась поддержка WebSockets, позволяющая использовать обновленные HTTP-соединения, которые могут улучшить связь между вредоносным ПО и его инфраструктурой C2.

#ParsedReport #CompletenessHigh
22-09-2025

Nimbus Manticore Deploys New Malware Targeting Europe

https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Iranian_dream_job
Dream_job
Irgc

Threats:
Minijunk
Minibrowse
Spear-phishing_technique
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Minibike
Junk_code_technique
Dll_hijacking_technique

Victims:
Defense manufacturing, Telecommunications, Aviation, Aerospace, Defense contractors, Airlines, Satellite providers

Industry:
Aerospace, Telco

Geo:
Denmark, Middle east, Portugal, Iran, Sweden, Iranian, Israel

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1071.001, T1105, T1106, T1553.002, T1555.003, T1566.001, T1566.002, T1574.001, have more...

IOCs:
File: 7
Hash: 33
Domain: 132
Path: 2

Soft:
Windows Defender, Chrome, OLLVM, Azure App Service, Outlook

Wallets:
harmony_wallet

Algorithms:
xor, zip, exhibit

Functions:
NT, GetModuleHandle

Win API:
RtlCreateProcessParameters, RtlCreateUserProcess, ExitProcess

Links:
https://github.com/prodaft/malware-ioc/tree/master/SubtleSnail

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 7, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4