#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Zloader, модульный троянец, эволюционировавший от Zeus, превратился из банковского вредоносного ПО в инструмент первоначального доступа для программ-вымогателей, который появится в сентябре 2023 года с расширенными возможностями. Ключевые обновления в версиях 2.11.6.0 и 2.13.7.0 включают улучшенную защиту от запутывания, гибкий подход к именам файлов, пересмотренные конфигурации управления и расширенные возможности обнаружения сети. Примечательно, что Zloader отказался от использования Алгоритмов генерирования доменных имен для DNS tunneling, теперь используя кодировку Base32 в сочетании с пользовательским шифрованием и WebSockets для улучшения связи со своей инфраструктурой C2.
-----

Zloader, модульный троян, созданный на основе исходного кода Zeus, первоначально появился как банковское вредоносное ПО в 2015 году, но с тех пор превратился в инструмент первоначального доступа для развертывания программ-вымогателей. После почти двухлетнего перерыва вредоносное ПО вновь появилось в сентябре 2023 года со значительными улучшениями в его операционных возможностях. Последние версии, в частности версии 2.11.6.0 и 2.13.7.0, демонстрируют улучшенные методы запутывания, усовершенствованный алгоритм генерации домена (DGA) и продвинутые стратегии защиты от анализа.

Ключевым изменением в функциональности Zloader's является гибкость, внесенная в требования к именам файлов. Раньше в Zloader были жестко закодированы имена файлов, необходимые для выполнения, что ограничивало его развертывание в различных средах и упрощало автоматическое обнаружение. В последней версии Zloader позволяет использовать два новых общих имени файлов, Updater.exe и Updater.dll , повышая его потенциал для уклонения от автоматизированного анализа вредоносного ПО, обычно проводимого в изолированных средах.

Статическая конфигурация троянца также была скорректирована, в частности, в отношении коммуникаций управления (C2). Сервер указания имен TLS (SNI) и сервер имен DNS были перемещены для оптимизации доменного раздела C2 с целью улучшения управления трафиком и операционной безопасности. Наряду с этими изменениями была обновлена интерактивная оболочка Zloader's, предлагающая новые функции LDAP для лучшего обнаружения сети и перемещения внутри компании, что позволяет более точно нацеливаться при атаках. Эта функциональность включает в себя возможности для выполнения команд, развертывания дополнительных полезных нагрузок вредоносного ПО и извлечения конфиденциальных данных.

Примечательно, что Zloader претерпел значительные изменения в своих сетевых коммуникационных протоколах. Прежняя зависимость от DGA была полностью устранена в пользу улучшенных механизмов DNS tunneling. Протокол теперь использует кодировку Base32, наложенную поверх пользовательского алгоритма шифрования, заменяя предыдущее шифрование TLS, используемое в DNS-запросах и ответах. Кроме того, в последних версиях Zloader появилась поддержка WebSockets, позволяющая использовать обновленные HTTP-соединения, которые могут улучшить связь между вредоносным ПО и его инфраструктурой C2.

#ParsedReport #CompletenessHigh
22-09-2025

Nimbus Manticore Deploys New Malware Targeting Europe

https://research.checkpoint.com/2025/nimbus-manticore-deploys-new-malware-targeting-europe/

Report completeness: High

Actors/Campaigns:
Tortoiseshell (motivation: cyber_espionage)
Iranian_dream_job
Dream_job
Irgc

Threats:
Minijunk
Minibrowse
Spear-phishing_technique
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Minibike
Junk_code_technique
Dll_hijacking_technique

Victims:
Defense manufacturing, Telecommunications, Aviation, Aerospace, Defense contractors, Airlines, Satellite providers

Industry:
Aerospace, Telco

Geo:
Denmark, Middle east, Portugal, Iran, Sweden, Iranian, Israel

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1071.001, T1105, T1106, T1553.002, T1555.003, T1566.001, T1566.002, T1574.001, have more...

IOCs:
File: 7
Hash: 33
Domain: 132
Path: 2

Soft:
Windows Defender, Chrome, OLLVM, Azure App Service, Outlook

Wallets:
harmony_wallet

Algorithms:
xor, zip, exhibit

Functions:
NT, GetModuleHandle

Win API:
RtlCreateProcessParameters, RtlCreateUserProcess, ExitProcess

Links:
https://github.com/prodaft/malware-ioc/tree/master/SubtleSnail

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 1, code: 7, chats: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Nimbus Manticore, иранский злоумышленник, связанный с UNC1549, активизировал операции кибершпионажа, нацеленные на оборонный, телекоммуникационный и авиационный секторы в Западной Европе, в частности в Дании, Швеции и Португалии. Их тактика включает в себя атаки с Целевым фишингом, которые приводят к созданию специализированных поддельных порталов вакансий, развертыванию многоэтапного вредоносного ПО, использующего DLL Sideloading и методы обфускации, чтобы избежать обнаружения. Набор инструментов для защиты от вредоносного ПО включает в себя бэкдор MiniJunk и средство для перехвата мини-браузеров со сложными операциями командования и контроля, использующими закодированные HTTPS-сообщения и законные службы подписи кода для скрытности.
-----

Нимбус Мантикора - иранский злоумышленник, связанный с группой UNC1549 или Smoke Sandstorm, специализирующейся на кибершпионаже против критически важных секторов в Западной Европе. Недавние атаки с использованием Целевого фишинга, которые выдают себя за аэрокосмические и оборонные организации, произошли в Дании, Швеции и Португалии. Фишинг напрямую связывает жертв с поддельными порталами вакансий, каждый из которых имеет уникальные URL-адреса. Вредоносное ПО использует многоступенчатую технологию DLL sideloading, инициируемую с помощью загруженных вредоносных архивов, замаскированных под законное программное обеспечение. Ключевые компоненты включают в себя бэкдор MiniJunk и Stealer. MiniJunk использует передовые методы запутывания, включая пользовательские проходы LLVM, чтобы избежать обнаружения. Операции командования и контроля включают в себя несколько жестко закодированных адресов серверов с бэкдорной связью по протоколу HTTPS с использованием закодированных строк. Компонент MiniBrowse извлекает учетные данные из таких браузеров, как Chrome и Edge. В настоящее время группа использует законные службы подписи кода для уменьшения обнаружения и использует сильную запутанность и завышенные размеры файлов, чтобы избежать обнаружения конечных точек. Оперативная тактика и инфраструктура эволюционировали, что свидетельствует об адаптивности и сосредоточении внимания на телекоммуникациях и оборонных заказах.

#ParsedReport #CompletenessHigh
23-09-2025

GUNRA RANSOMWARE: What You DontKnow!

https://theravenfile.com/2025/09/23/gunra-ransomware-what-you-dont-know/

Report completeness: High

Actors/Campaigns:
Donot
Lazarus

Threats:
Gunra
Screenconnect_tool
Lumma_stealer
Conti
Akira_ransomware
Shadow_copies_delete_technique
Lockbit
Vanhelsing
Monti
Siggen
Remoteadmin_tool
Eldorado_ransomware
Trojan.win32.multiinjector.dd
Phobos
Credential_dumping_technique
Process_injection_technique
Dll_sideloading_technique

Victims:
Manufacturing, Industrial equipment

Industry:
Financial, Healthcare

Geo:
Colombian, Japan, Asia, Korea, Columbia, Canada, Spanish, Brazil, Croatia, Panama, Egypt, Italy, Nicaragua

TTPs:
Tactics: 16
Technics: 29

IOCs:
IP: 1
File: 9
Path: 1
Hash: 9

Soft:
Linux, WhatsApp, Slack, Office 365, Ubuntu, nginx, Debian, Visual Studio, Tor Browser, Twitter, have more...

Algorithms:
exhibit, base64, murmur2, xor, chacha20, salsa20, md5

Win API:
decompress

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gunra - это группа программ двойного вымогательства, действующая с апреля 2025 года и нацеленная исключительно на жертв в Азии и Европе, избегая Соединенных Штатов. Он использует сложную операционную структуру, включая переговорный портал, имитирующий WhatsApp, и использует высокоскоростные методы шифрования, такие как Salsa20 и ChaCha20, со скоростью до 52 МБ/с. Атаки Gunra's включают многоэтапные методы с использованием загрузчика DoNoT и демонстрируют поведение, подобное троянскому, с требованиями выкупа, которые могут достигать 20 миллионов долларов, хотя они часто соглашаются на меньшие суммы.
-----

Программа-вымогатель Gunra - это программа двойного вымогательства, которая заметно отличается от других злоумышленников тем, что избегает целей исключительно в Соединенных Штатах. С момента своего появления 23 апреля 2025 года Gunra в первую очередь ориентировалась на жертв из Азии и Европы, причем Канада была ее единственной англоязычной целью. Группа разработала как Windows, так и вариант Linux, отражающий их постоянную эволюцию и возможности.

Инфраструктура, окружающая Gunra, включает в себя переговорный портал, разработанный по подобию WhatsApp, а их сайт утечки данных (DLS) работает в домене TOR версии 3, используя Apache и PHP для хостинга. На данный момент группа успешно продемонстрировала возможности высокоскоростного шифрования, применив потоковые шифры Salsa20 или ChaCha20 для шифрования данных со скоростью 52 МБ/с, что, как сообщается, позволяет зашифровать до 9 ТБ данных в течение двух дней.

Что касается методов работы, Gunra использовала загрузчик DoNoT в сочетании со своей программой-вымогателем, что свидетельствует о сложных многоэтапных атаках. Их требования о выкупе значительно различаются, причем первоначальные запросы некоторых жертв достигают 20 миллионов долларов, хотя они часто соглашаются на меньшие суммы, например, на 70 000 долларов от одного колумбийского объекта.

Уведомления о выкупе доставляются с именем файла "R3ADM3.txt ", соглашение об именовании, ранее связанное с группой Conti Ransomware, предполагающее возможное влияние или общую тактику в экосистеме программ-вымогателей. Кроме того, обнаружение вредоносного ПО Gunra's различными поставщиками выявило поведение, подобное троянскому, которое включает в себя специфические методы ввода полезной нагрузки, связанные с общими сигнатурами вредоносного ПО, что подчеркивает вредоносные характеристики угрозы.

Текущий анализ показывает, что Gunra распространила шесть различных образцов вредоносного ПО с момента своего создания. Примечательно, что самый ранний из них датирован 10 апреля 2025 года, что указывает на относительно короткий промежуток времени для их разработки. Отказ группы нацеливаться на американские организации поднимает вопросы о том, базируются ли они на территории США или стратегически избегают таких целей.

Наконец, обращает на себя внимание отсутствие жертв из США в их журналах, поскольку США, как правило, находятся на переднем крае атак программ-вымогателей, что указывает либо на просчитанное стратегическое направление, либо на уникальное оперативное ограничение для группы Gunra.

#ParsedReport #CompletenessHigh
23-09-2025

ShadowV2: An emerging DDoS for hire botnet

https://www.darktrace.com/blog/shadowv2-an-emerging-ddos-for-hire-botnet

Report completeness: High

Threats:
Shadowv2
Httpflood_technique
Fasthttp_tool
Chromedp_tool

Victims:
Cloud workloads, Container orchestration, Api services

Geo:
Canada, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.006, T1071.001, T1105, T1204, T1498.001, T1583.006, T1608.006

IOCs:
IP: 2
Url: 1
Domain: 2
Hash: 3
File: 3

Soft:
Docker, GitHub CodeSpaces, Pydantic, Ubuntu, unix, WordPress, Chrome

Algorithms:
sha256

Languages:
javascript, python

YARA: Found

Links:
https://github.com/chromedp/chromedp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это сложный ботнет для DDoS-for-hire, который сочетает в себе традиционное вредоносное ПО с практиками DevOps, используя Python и вредоносное ПО на основе Go в контейнерах Docker. Злоумышленники используют передовые методы, такие как атаки с быстрым сбросом HTTP/2 и крупномасштабные HTTP floods, с первоначальным доступом, полученным с помощью скрипта на Python в кодовых пространствах GitHub. Двоичный файл ELF, написанный вредоносным ПО на Go, работает в контейнере Docker и взаимодействует с сервером управления, скрытым Cloudflare, демонстрируя значительную эволюцию инструментов и методологий борьбы с киберпреступностью.
-----

Darktrace сообщила о появлении ShadowV2, сложного DDoS-ботнет (распределенный отказ в обслуживании) по найму, который объединяет традиционные методы защиты от вредоносного ПО с современными практиками DevOps. В этой кампании используется вредоносное ПО на основе Python и Go, а также Docker для контейнеризации, наряду с удобным интерфейсом работы. Его возможности включают функции DDoS-атак как услуги, модульные API-интерфейсы и передовые методы уклонения, подчеркивающие необходимость в средствах защиты, специально предназначенных для мониторинга облачных рабочих нагрузок, оркестровки контейнеров и действий API.

Злоумышленники, стоящие за ShadowV2, используют передовые методы DDoS-атак, такие как методы быстрого сброса HTTP /2, обход режима атаки Cloudflare (UAM) и выполнение крупномасштабных HTTP floods. Такое сочетание демонстрирует их способность не только проводить масштабные атаки типа "отказ в обслуживании", но и эффективно воздействовать на конкретные уязвимости.

Первоначальный доступ к системе инициируется с помощью скрипта на Python, доступного на GitHub CodeSpaces, что указывает на нетрадиционную точку входа для злоумышленников. Конкретные индикаторы включают определенные HTTP-заголовки, наблюдаемые во время атаки, указывающие на этот метод компрометации.

Вредоносное ПО работает в контейнере Docker, который инкапсулирует двоичный файл ELF, написанный на Go. Примечательно, что этот двоичный файл не разделен, что облегчает анализ благодаря сохраненной отладочной информации. Связь с сервером command and control (C2) осуществляется через HTTP, и хотя сервер скрыт за Cloudflare, чтобы скрыть его фактическое местоположение и затруднить прямой анализ, предполагается, что C2 также размещен в кодовых пространствах GitHub.

Общая картина, нарисованная кампанией ShadowV2, подчеркивает значительную эволюцию в предложениях "киберпреступность как услуга", где злоумышленники могут использовать модульные функции и доступный API для эффективной организации DDoS-атак. Сочетание контейнеризации и структурированных API позволяет этим злоумышленникам работать с высокой степенью изощренности, что вызывает настоятельную необходимость в надежном мониторинге и защитных мерах, адаптированных к этим развивающимся угрозам.

#ParsedReport #CompletenessMedium
23-09-2025

Operation Rewrite: Chinese-Speaking Threat Actors Deploy BadIIS in a Wide Scale SEO Poisoning Campaign

https://unit42.paloaltonetworks.com/operation-rewrite-seo-poisoning-campaign/

Report completeness: Medium

Actors/Campaigns:
Rewrite (motivation: financially_motivated)
Dragonrank

Threats:
Seo_poisoning_technique
Badiis
Cloaking_technique

Victims:
Websites, Digital ecosystem of vietnam

Industry:
Government, Media

Geo:
Asia, Vietnamese, Vietnam, Chinese

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1190, T1505.004

IOCs:
Url: 30
Domain: 7
Hash: 30

Soft:
ASP.NET, coccoc

Algorithms:
zip, sha256, xor

Functions:
SetRequestNotifications, Page_Load, RegisterModule

Languages:
javascript, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В марте 2025 года злоумышленник, говорящий по-китайски, обозначенный как CL-UNK-1037, провел "Операцию переписывания", кампанию по Отравлению поисковой оптимизации (SEO) с использованием вредоносного ПО BadIIS, которое интегрируется в веб-серверы IIS для изменения результатов Поисковой системы. Атака разворачивается в два этапа: сначала она отравляет Поисковые системы контентом, наполненным ключевыми словами, с скомпрометированных авторитетных сайтов, а затем перенаправляет пользователей на мошеннические веб-сайты на основе заголовков их запросов. Варианты BadIIS, в том числе для ASP.NET и PHP, расширяют возможности актора, предполагая связи с ранее выявленными китайскими хакерскими группировками.
-----

В марте 2025 года была выявлена кампания по Отравлению поисковой оптимизации (SEO), получившая название "Операция переписывание", приписываемая китайскоязычному злоумышленнику, известному как CL-UNK-1037. Эта кампания использует вредоносное ПО, известное как BadIIS — вредоносные модули собственных информационных служб Интернета (IIS), которые легко интегрируются в конвейер запросов веб-сервера, предоставляя им широкие привилегии для манипулирования процессами и выполнения различных вредоносных действий.

Вредоносное ПО BadIIS используется для изменения результатов Поисковой системы путем компрометации законных веб-сайтов с хорошей репутацией домена, а не для создания новых сайтов с нуля, что обычно намного сложнее и отнимает много времени. Атака проводится в два этапа: первый включает в себя "отравление" Поисковых систем путем перехвата запросов от сканеров и предоставления специализированного контента, наполненного ключевыми словами, направленного на повышение индексируемой релевантности скомпрометированного сайта. На втором этапе, когда пользователь нажимает на ошибочный результат, вредоносное ПО проверяет заголовки, чтобы определить, исходит ли запрос от жертвы, и перенаправляет пользователя на мошеннический веб-сайт, эффективно перехватывая административный контроль над исходной веб-страницей.

Анализ вредоносного ПО и его инфраструктуры выявил дополнительные возможности, включая развертывание Веб-шеллов на скомпрометированных серверах, создание удаленных запланированных задач для перемещения внутри компании в сетях и сбор данных разведки с целевых компьютеров. Определенный вариант BadIIS назван "chongxiede", производное от пиньинь, что означает "переписывать" или "перезаписывать заново", что означает сосредоточенность актора на манипулировании веб-контентом.

Было отмечено несколько вариантов BadIIS, в том числе ASP.NET обработчик страниц, использующий основанные на скриптах методы Отравления поисковой оптимизации (SEO), управляемый .Модуль NET IIS для обработки запросов и скрипт на основе PHP, который управляет перенаправлением пользователей, используя динамические стратегии SEO. Каждый вариант адаптирует основные функциональные возможности BadIIS к различным архитектурам Веб-служб.

Собранные доказательства убедительно указывают на злоумышленника, говорящего на китайском языке, с лингвистическими подсказками и анализом инфраструктуры, связывающими эти атаки с ранее зарегистрированными группами. Шаблоны в дизайне кода совпадают с теми, которые приписываются группе 9, а дополнительные черты предполагают возможные ассоциации с кампанией DragonRank, также связанной с китайскоязычными акторами.

#cti #webimar

«Код Безопасности» и «Технологии киберугроз» проведут вебинар по TI и моделированию угроз на его основе.
 
30 сентября в 11:00 (МСК) эксперты «Кода Безопасности» и «Технологии киберугроз» проведут вебинар на тему «Моделирование угроз безопасности и Threat Intelligence». Участники узнают, как интегрировать разведывательные данные в практические модели для предотвращения современных кибератак.
Ключевые вопросы вебинара:
 
- текущий ландшафт киберугроз и основные тренды;
- необходимость моделирования угроз и доступные методики;
- практическое использование данных из отчетов TI для построения моделей угроз.
 
Участники: эксперты «Кода Безопасности» и «Технологии киберугроз».
Как подключиться: для участия в вебинаре необходимо зарегистрироваться по ссылке.
Когда: 30 сентября, 11:00 (МСК).

Регистрация здесь

#ParsedReport #CompletenessHigh
24-09-2025

Another BRICKSTORM: Stealthy Backdoor Enabling Espionage into Tech and Legal Sectors

https://cloud.google.com/blog/topics/threat-intelligence/brickstorm-espionage-campaign/

Report completeness: High

Actors/Campaigns:
Unc5221
Hafnium
Apt29

Threats:
Brickstorm
Garble_tool
Bricksteal
Slaystyle

Victims:
Legal services, Software as a service providers, Business process outsourcers, Technology sector, United states

Industry:
Bp_outsourcing

Geo:
China

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1021.004, T1056.004, T1059.004, T1078, T1078.004, T1098, T1114.002, T1136.001, T1190, have more...

IOCs:
File: 25
Path: 3
Hash: 2

Soft:
Linux, ESXi, Apache Tomcat, Active Directory, Active Directory Domain Services, systemd, Windows Explorer, sudo, Outlook

Algorithms:
zip, md5

Win API:
decompress, copyFile, DeleteFile

Languages:
java, powershell

Platforms:
cross-platform

YARA: Found

Links:
https://github.com/burrowers/garble
https://github.com/mandiant/brickstorm-scanner
https://github.com/denandz/SecretServerSecretStealer
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BRICKSTORM - это написанное на ходу бэкдорное вредоносное ПО, нацеленное на юридический, технологический и SaaS-секторы в США, облегчающее постоянный доступ для шпионажа и потенциальное создание эксплойтов zero-day. Он работает на устройствах Linux и BSD, в частности на хостах VMware vCenter и ESXi, путем кражи учетных данных и установки вредоносного фильтра Java-сервлетов BRICKSTEAL для сбора учетных данных HTTP-запросов. Злоумышленники адаптируют тактику для использования скомпрометированных систем, извлекая конфиденциальные данные через приложения Microsoft Entra ID, одновременно используя административный доступ для повышения привилегий.
-----

Вредоносное ПО BRICKSTORM, отслеживаемое группой Google по анализу угроз, стало серьезной киберугрозой, деятельность которой с марта 2025 года в основном направлена против юридического, технологического и SaaS-секторов в Соединенных Штатах. Mandiant Consulting обнаружила, что это вредоносное ПО используется злоумышленниками для получения постоянного доступа к целевым организациям, использования их сетей для шпионажа и, возможно, для содействия разработке эксплойтов zero-day.

BRICKSTORM работает как бэкдор с возможностями SOCKS-прокси и написан на Go, обеспечивая кроссплатформенную функциональность, которая позволяет его развертывать в различных системах устройств, особенно в тех, где отсутствуют традиционные средства обнаружения конечных точек и реагирования (EDR). Это вредоносное ПО, в частности, обнаруживается на устройствах на базе Linux и BSD, причем часто целевой инфраструктурой являются хосты VMware vCenter и ESXi. Злоумышленники обычно используют эти системы, захватывая действительные учетные данные либо с помощью предыдущего доступа, либо изменяя критически важные системные файлы, чтобы гарантировать запуск бэкдора при перезагрузке устройства.

Один из выделенных механизмов работы BRICKSTORM включает установку вредоносного фильтра Java-сервлетов, называемого BRICKSTEAL, в веб-интерфейсе Apache Tomcat сервера vCenter. Этот фильтр скрытно перехватывает учетные данные из HTTP-запросов, особенно в средах, где используется проверка подлинности Active Directory, что создает серьезный риск повышения привилегий, поскольку пользователи, входящие в vCenter, часто имеют значительный доступ к сети организации.

Злоумышленник, вероятно, стремится перемещаться по сетям, используя скомпрометированные устройства и ранее захваченные учетные данные, что позволяет ему устанавливать BRICKSTORM на критически важные системы. Кроме того, они часто адаптируют свою тактику для использования ресурсов, получения доступа к Учетным записям эл. почты ключевых сотрудников и извлечения конфиденциальной информации с помощью приложений Microsoft Entra ID с более широкими возможностями доступа к почте.

Учитывая наблюдаемую сложность эксплуатации, Mandiant подчеркивает необходимость принятия подхода к поиску угроз, основанного на TTP, вместо того, чтобы полагаться исключительно на традиционные индикаторы компрометации (IOCs), которые могут оказаться неэффективными против динамической операционной модели BRICKSTORM's. Для усиления защиты организациям рекомендуется вести подробный учет активов, особенно устройств, которые могут быть пропущены стандартными протоколами безопасности, и тщательно отслеживать необычную сетевую активность или схемы несанкционированного доступа.

Наконец, руководящие принципы ужесточения предполагают ограничение доступа к Интернету для устройств и обеспечение того, чтобы системы не имели ненужных возможностей внутренней сетевой связи. Основное внимание по-прежнему уделяется смягчению различных угроз, связанных с операциями BRICKSTORM, которые варьируются от геополитического шпионажа до попыток кражи интеллектуальной собственности, что подчеркивает острую необходимость для организаций в уязвимых секторах активно укреплять свои системы безопасности.

#ParsedReport #CompletenessHigh
24-09-2025

COLDRIVER Updates Arsenal with BAITSWITCH and SIMPLEFIX

https://www.zscaler.com/blogs/security-research/coldriver-updates-arsenal-baitswitch-and-simplefix

Report completeness: High

Actors/Campaigns:
Seaborgium

Threats:
Baitswitch
Simplefix
Clickfix_technique
Netstat_tool
Lostkeys
Clickflix_technique

Victims:
Civil society, Ngos, Think tanks, Journalists, Human rights defenders, Dissidents and their supporters

Industry:
Ngo

Geo:
Russian, Russia

TTPs:
Tactics: 8
Technics: 27

IOCs:
File: 4
Email: 1
Registry: 5
Domain: 4
Url: 13
Hash: 3
Command: 2

Soft:
Cloudflare Turnstile, Windows registry

Algorithms:
base64, aes

Win Services:
WebClient

Languages:
powershell, javascript