CTT Report Hub
#ParsedReport #CompletenessLow 24-09-2025 Investigation Report on Jaguar Land Rover Cyberattack https://www.cyfirma.com/research/investigation-report-on-jaguar-land-rover-cyberattack/ Report completeness: Low Actors/Campaigns: Shinyhunters (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака на Jaguar Land Rover (JLR), произошедшая 2 сентября 2025 года, вызвала значительные сбои в работе глобальных ИТ-систем, что привело к остановке операций в критический период продаж. Связано с разбросанным Lapsus$ Hunters group, которая имеет связи с другими хакерскими коллективами, в результате взлома выявила уязвимости с задокументированной тактикой эксплуатации, согласованной с платформой MITRE ATT&CK. Хотя специфика атаки все еще расследуется, потенциальная возможность кражи учетных данных и раскрытия интеллектуальной собственности вызывает у JLR постоянные опасения по поводу безопасности.
-----
Кибератака 2 сентября 2025 года на Jaguar Land Rover (JLR) привела к масштабным сбоям в работе, затронувшим глобальные ИТ-системы и остановившим производство и розничную торговлю. Этот инцидент произошел в "День новых номерных знаков" в Великобритании, увеличив финансовые потери, поскольку дилеры не смогли зарегистрировать или доставить транспортные средства. Хотя JLR не раскрыла конкретные масштабы нарушения, оно является частью более широкой схемы продвинутых киберугроз, нацеленных на автомобильную промышленность. Более ранние инциденты в этом году включали атаки группы программ-вымогателей HELLCAT, которая ранее получала доступ к конфиденциальным данным сотрудников и внутренним документам с помощью украденных учетных данных.
Атака была связана с хакерским коллективом, известным как Scattered Lapsus$ Hunters, которые поделились скриншотами внутренних систем JLR, подчеркнув их технические возможности. Эта группа, состоящая из представителей нескольких известных хакерских коллективов, включая ShinyHunters и Lapsus$, имеет историю нападений на розничных продавцов в Великобритании. JLR еще предстоит подтвердить или детализировать характер атаки, но общие сведения предполагают, что в ее ИТ-технологиях и операционных системах существуют значительные уязвимости.
Аналитики по киберугрозам сопоставили потенциальные тактики, методы и процедуры (TTP), использованные в этом инциденте, с платформой MITRE ATT&CK, что указывает на то, что злоумышленники использовали передовые методы для использования уязвимостей в системах JLR. Мотивы атаки, по-видимому, включают не только финансовые стимулы, но и стремление к признанию и стратегическому влиянию в сообществе киберпреступников. Демонстрируя технические возможности с помощью утечки данных, группа стремится запугать JLR и потенциально использовать информацию для использования в будущем.
Воздействие нарушения оценивается как многомерное, приводящее к сбоям в работе и вызывающее опасения по поводу кражи учетных данных и уязвимости интеллектуальной собственности. Хотя ничто не подтверждает прямой компрометации клиентских данных, утечка внутренней информации создает постоянные риски. Дальнейшие судебно-медицинские исследования необходимы для полного понимания тактики, используемой злоумышленниками, и для достижения окончательной идентификации, хотя первоначальные оценки указывают на то, что за инцидентом может стоять коллектив ShinyHunters. По мере продвижения расследования специфика атаки и ее последствия для системы безопасности JLR остаются в центре внимания аналитиков по кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кибератака на Jaguar Land Rover (JLR), произошедшая 2 сентября 2025 года, вызвала значительные сбои в работе глобальных ИТ-систем, что привело к остановке операций в критический период продаж. Связано с разбросанным Lapsus$ Hunters group, которая имеет связи с другими хакерскими коллективами, в результате взлома выявила уязвимости с задокументированной тактикой эксплуатации, согласованной с платформой MITRE ATT&CK. Хотя специфика атаки все еще расследуется, потенциальная возможность кражи учетных данных и раскрытия интеллектуальной собственности вызывает у JLR постоянные опасения по поводу безопасности.
-----
Кибератака 2 сентября 2025 года на Jaguar Land Rover (JLR) привела к масштабным сбоям в работе, затронувшим глобальные ИТ-системы и остановившим производство и розничную торговлю. Этот инцидент произошел в "День новых номерных знаков" в Великобритании, увеличив финансовые потери, поскольку дилеры не смогли зарегистрировать или доставить транспортные средства. Хотя JLR не раскрыла конкретные масштабы нарушения, оно является частью более широкой схемы продвинутых киберугроз, нацеленных на автомобильную промышленность. Более ранние инциденты в этом году включали атаки группы программ-вымогателей HELLCAT, которая ранее получала доступ к конфиденциальным данным сотрудников и внутренним документам с помощью украденных учетных данных.
Атака была связана с хакерским коллективом, известным как Scattered Lapsus$ Hunters, которые поделились скриншотами внутренних систем JLR, подчеркнув их технические возможности. Эта группа, состоящая из представителей нескольких известных хакерских коллективов, включая ShinyHunters и Lapsus$, имеет историю нападений на розничных продавцов в Великобритании. JLR еще предстоит подтвердить или детализировать характер атаки, но общие сведения предполагают, что в ее ИТ-технологиях и операционных системах существуют значительные уязвимости.
Аналитики по киберугрозам сопоставили потенциальные тактики, методы и процедуры (TTP), использованные в этом инциденте, с платформой MITRE ATT&CK, что указывает на то, что злоумышленники использовали передовые методы для использования уязвимостей в системах JLR. Мотивы атаки, по-видимому, включают не только финансовые стимулы, но и стремление к признанию и стратегическому влиянию в сообществе киберпреступников. Демонстрируя технические возможности с помощью утечки данных, группа стремится запугать JLR и потенциально использовать информацию для использования в будущем.
Воздействие нарушения оценивается как многомерное, приводящее к сбоям в работе и вызывающее опасения по поводу кражи учетных данных и уязвимости интеллектуальной собственности. Хотя ничто не подтверждает прямой компрометации клиентских данных, утечка внутренней информации создает постоянные риски. Дальнейшие судебно-медицинские исследования необходимы для полного понимания тактики, используемой злоумышленниками, и для достижения окончательной идентификации, хотя первоначальные оценки указывают на то, что за инцидентом может стоять коллектив ShinyHunters. По мере продвижения расследования специфика атаки и ее последствия для системы безопасности JLR остаются в центре внимания аналитиков по кибербезопасности.
#ParsedReport #CompletenessMedium
24-09-2025
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/
Report completeness: Medium
Threats:
Lolbin_technique
Amsi_bypass_technique
Geo:
Israel
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1036, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...
IOCs:
File: 14
Registry: 1
Hash: 4
Soft:
Discord, Windows Event Tracing, Nuget, Dropbox
Algorithms:
base64, aes, zip
Functions:
function, Get-MultiPic
Win API:
EtwEventWrite, DllRegisterServer, AmsiScanBuffer, LoadLibraryA, GetProcAddress, WriteProcessMemory, WideCharToMultiByte
Languages:
powershell
24-09-2025
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/
Report completeness: Medium
Threats:
Lolbin_technique
Amsi_bypass_technique
Geo:
Israel
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1036, T1041, T1055, T1059.001, T1070.004, T1071.001, T1082, T1102, have more...
IOCs:
File: 14
Registry: 1
Hash: 4
Soft:
Discord, Windows Event Tracing, Nuget, Dropbox
Algorithms:
base64, aes, zip
Functions:
function, Get-MultiPic
Win API:
EtwEventWrite, DllRegisterServer, AmsiScanBuffer, LoadLibraryA, GetProcAddress, WriteProcessMemory, WideCharToMultiByte
Languages:
powershell
K7 Labs
From LNK to RAT: Deep Dive into the LNK Malware Infection Chain
Attackers keep availing the use of Windows shortcut (.LNK) files to deliver malware. These LNK files normally used as shortcuts […]
CTT Report Hub
#ParsedReport #CompletenessMedium 24-09-2025 From LNK to RAT: Deep Dive into the LNK Malware Infection Chain https://labs.k7computing.com/index.php/from-lnk-to-rat-deep-dive-into-the-lnk-malware-infection-chain/ Report completeness: Medium Threats: Lolbin_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил угрозу, исходящую от вредоносного ПО, доставляемого через файлы ярлыков Windows (.LNK), где взаимодействие с пользователем запускает команды PowerShell, выполняющие вредоносную полезную нагрузку. Атака использует скрытый экземпляр conhost.exe чтобы извлечь и открыть поддельный PDF-файл при удалении вредоносных библиотек DLL в папку "NuGet", включая Moq.dll , который использует методы, позволяющие избежать обнаружения путем исправления законных функций Windows. Вредоносное ПО работает как троян удаленного доступа, способный извлекать данные в облачное хранилище и поддерживать закрепление за счет регулярной связи с серверами управления.
-----
Текущие угрозы, создаваемые вредоносным ПО, доставляемым через файлы ярлыков Windows (.LNK), иллюстрируются недавним анализом цепочки заражения вредоносным ПО LNK, который иллюстрирует методы его выполнения и доставку вредоносной полезной нагрузки. Когда пользователи взаимодействуют с вредоносным файлом LNK, он якобы открывает поддельный PDF-файл при выполнении команд PowerShell, которые незаметно работают в фоновом режиме.
При выполнении LNK запускает скрипт PowerShell, который инициирует безголовый экземпляр conhost.exe чтобы избежать обнаружения пользователем. Он считывает его содержимое, чтобы найти и извлечь встроенный PDF-файл, который затем сохраняется на диске и открывается, чтобы ввести пользователя в заблуждение относительно безопасности файла LNK. Далее вредоносное ПО создает папку с именем "NuGet", из которой извлекает вредоносные библиотеки динамических ссылок (DLL-библиотеки) из ZIP-файла, впоследствии удаляя ZIP-файл, чтобы оставаться незаметным.
Суть этой атаки заключается в использовании odbcconf.exe — законного процесса Windows — в качестве метода запуска вредоносного Moq.dll . Эта библиотека DLL использует сложные методы для обхода функций безопасности. Он исправляет функцию AmsiScanBuffer для amsi.dll чтобы предотвратить обнаружение с помощью интерфейса проверки на наличие вредоносных программ Windows (AMSI) и дополнительно отключить отслеживание событий для ведения журнала Windows (ETW) с помощью аналогичного байтового исправления функции EtwEventWrite в ntdll.dll .
Библиотека DLL указывает на то, что она обладает мощными возможностями, действуя в основном как троян удаленного доступа (RAT). Он включает в себя методы для создания закрепления с помощью команд PowerShell, привязанных к explorer.exe , обеспечивая его выполнение при входе пользователя в систему, одновременно управляя его функциональностью управления (C2). Вредоносное ПО предназначено для хранения и кодирования команд таким образом, чтобы скрыть их истинные намерения, облегчая связь с инфраструктурой злоумышленника.
При первом запуске полезная нагрузка собирает критически важные системные данные, включая информацию об установленном антивирусном программном обеспечении и операционной системе, шифрует эти данные и передает их злоумышленнику. Для последующего выполнения вредоносное ПО переходит в командный цикл, регулярно связываясь с серверами C2 для получения дальнейших инструкций. Среди его вредоносных функций - функция загрузки в Dropbox, позволяющая осуществлять эксфильтрацию файлов со взломанного компьютера в учетную запись облачного хранилища, тем самым способствуя краже информации.
Этот случай демонстрирует, как киберпреступники используют, казалось бы, безобидные файлы для распространения сложного, многогранного вредоносного ПО, подчеркивая важность бдительности в отношении таких угроз и необходимость принятия надежных мер безопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ выявил угрозу, исходящую от вредоносного ПО, доставляемого через файлы ярлыков Windows (.LNK), где взаимодействие с пользователем запускает команды PowerShell, выполняющие вредоносную полезную нагрузку. Атака использует скрытый экземпляр conhost.exe чтобы извлечь и открыть поддельный PDF-файл при удалении вредоносных библиотек DLL в папку "NuGet", включая Moq.dll , который использует методы, позволяющие избежать обнаружения путем исправления законных функций Windows. Вредоносное ПО работает как троян удаленного доступа, способный извлекать данные в облачное хранилище и поддерживать закрепление за счет регулярной связи с серверами управления.
-----
Текущие угрозы, создаваемые вредоносным ПО, доставляемым через файлы ярлыков Windows (.LNK), иллюстрируются недавним анализом цепочки заражения вредоносным ПО LNK, который иллюстрирует методы его выполнения и доставку вредоносной полезной нагрузки. Когда пользователи взаимодействуют с вредоносным файлом LNK, он якобы открывает поддельный PDF-файл при выполнении команд PowerShell, которые незаметно работают в фоновом режиме.
При выполнении LNK запускает скрипт PowerShell, который инициирует безголовый экземпляр conhost.exe чтобы избежать обнаружения пользователем. Он считывает его содержимое, чтобы найти и извлечь встроенный PDF-файл, который затем сохраняется на диске и открывается, чтобы ввести пользователя в заблуждение относительно безопасности файла LNK. Далее вредоносное ПО создает папку с именем "NuGet", из которой извлекает вредоносные библиотеки динамических ссылок (DLL-библиотеки) из ZIP-файла, впоследствии удаляя ZIP-файл, чтобы оставаться незаметным.
Суть этой атаки заключается в использовании odbcconf.exe — законного процесса Windows — в качестве метода запуска вредоносного Moq.dll . Эта библиотека DLL использует сложные методы для обхода функций безопасности. Он исправляет функцию AmsiScanBuffer для amsi.dll чтобы предотвратить обнаружение с помощью интерфейса проверки на наличие вредоносных программ Windows (AMSI) и дополнительно отключить отслеживание событий для ведения журнала Windows (ETW) с помощью аналогичного байтового исправления функции EtwEventWrite в ntdll.dll .
Библиотека DLL указывает на то, что она обладает мощными возможностями, действуя в основном как троян удаленного доступа (RAT). Он включает в себя методы для создания закрепления с помощью команд PowerShell, привязанных к explorer.exe , обеспечивая его выполнение при входе пользователя в систему, одновременно управляя его функциональностью управления (C2). Вредоносное ПО предназначено для хранения и кодирования команд таким образом, чтобы скрыть их истинные намерения, облегчая связь с инфраструктурой злоумышленника.
При первом запуске полезная нагрузка собирает критически важные системные данные, включая информацию об установленном антивирусном программном обеспечении и операционной системе, шифрует эти данные и передает их злоумышленнику. Для последующего выполнения вредоносное ПО переходит в командный цикл, регулярно связываясь с серверами C2 для получения дальнейших инструкций. Среди его вредоносных функций - функция загрузки в Dropbox, позволяющая осуществлять эксфильтрацию файлов со взломанного компьютера в учетную запись облачного хранилища, тем самым способствуя краже информации.
Этот случай демонстрирует, как киберпреступники используют, казалось бы, безобидные файлы для распространения сложного, многогранного вредоносного ПО, подчеркивая важность бдительности в отношении таких угроз и необходимость принятия надежных мер безопасности.
#ParsedReport #CompletenessLow
24-09-2025
AI vs. AI: Detecting an AI-obfuscated phishing campaign
https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/
Report completeness: Low
Victims:
Email users
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 1
Domain: 1
Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Microsoft Edge, Twitter
Languages:
javascript
24-09-2025
AI vs. AI: Detecting an AI-obfuscated phishing campaign
https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/
Report completeness: Low
Victims:
Email users
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 1
Domain: 1
Soft:
Microsoft Defender, Office 365, Microsoft Exchange, Microsoft Edge, Twitter
Languages:
javascript
Microsoft News
AI vs. AI: Detecting an AI-obfuscated phishing campaign
Microsoft Threat Intelligence recently detected and blocked a credential phishing campaign that likely used AI-generated code to obfuscate its payload and evade traditional defenses, demonstrating a broader trend of attackers leveraging AI to increase the…
CTT Report Hub
#ParsedReport #CompletenessLow 24-09-2025 AI vs. AI: Detecting an AI-obfuscated phishing campaign https://www.microsoft.com/en-us/security/blog/2025/09/24/ai-vs-ai-detecting-an-ai-obfuscated-phishing-campaign/ Report completeness: Low Victims: Email users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Система анализа угроз Microsoft выявила кампанию фишинга с использованием учетных данных, сгенерированную искусственным интеллектом, внедренную в SVG-файл для сокрытия злонамеренных намерений. В атаке была задействована скомпрометированная Учетная запись эл. почты малого бизнеса, использующая электронные письма с самостоятельным адресом, чтобы избежать обнаружения и имитировать законные уведомления об обмене файлами, чтобы обманом заставить получателей поделиться учетными данными. Хотя была отмечена сложность полезных данных, генерируемых искусственным интеллектом, это существенно не меняет характеристик, на которые полагаются системы безопасности при обнаружении угроз фишинга.
-----
Microsoft Threat Intelligence недавно выявила и предотвратила кампанию фишинга учетных данных, в ходе которой использовались передовые методы, включающие код, сгенерированный искусственным интеллектом, для сокрытия вредоносной полезной нагрузки. Кампания использовала сложный подход, внедрив свое вредоносное поведение в SVG-файл, который был пропитан деловым жаргоном и синтетической структурой, предназначенной для маскировки ее истинных намерений. Анализ Microsoft Security Copilot определил, что сложность и многословие кода намекают на его происхождение от искусственного интеллекта, предполагая, что это не был типичный код, созданный человеком, из-за его сложного дизайна и ограниченной практической полезности.
Кампания по фишингу, обнаруженная 18 августа, включала использование скомпрометированной Учетной записи эл. почты малого бизнеса для рассылки фишингов электронных писем с credential-stealing. Примечательная тактика включала использование метода самоадресации электронной почты, при котором адреса отправителя и получателя были идентичны, в то время как фактические адреса адресатов были скрыты в поле BCC. Этот метод потенциально позволял злоумышленникам обходить основные меры обнаружения. Содержание этих электронных писем было сфабриковано таким образом, чтобы походить на законные уведомления об обмене файлами, тем самым повышая вероятность успешного обмана получателей с целью разглашения их учетных данных.
Хотя использование искусственного интеллекта для обфускации полезной нагрузки отражает заметный прогресс в изощренности злоумышленников, крайне важно признать, что искусственный интеллект принципиально не изменяет характеристики или поведение, от которых зависят системы безопасности при обнаружении угроз фишинга. Хотя код, сгенерированный искусственным интеллектом, может обладать повышенной сложностью и усовершенствованным синтаксисом, он по-прежнему функционирует в рамках тех же поведенческих рамок, что и традиционные атаки фишинга, созданные человеком. В результате меры безопасности остаются применимыми, несмотря на эти новые методы.
Microsoft Defender XDR предлагает широкий спектр возможностей обнаружения для мониторинга таких возникающих угроз и реагирования на них на различных платформах, включая конечные точки и приложения электронной почты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Система анализа угроз Microsoft выявила кампанию фишинга с использованием учетных данных, сгенерированную искусственным интеллектом, внедренную в SVG-файл для сокрытия злонамеренных намерений. В атаке была задействована скомпрометированная Учетная запись эл. почты малого бизнеса, использующая электронные письма с самостоятельным адресом, чтобы избежать обнаружения и имитировать законные уведомления об обмене файлами, чтобы обманом заставить получателей поделиться учетными данными. Хотя была отмечена сложность полезных данных, генерируемых искусственным интеллектом, это существенно не меняет характеристик, на которые полагаются системы безопасности при обнаружении угроз фишинга.
-----
Microsoft Threat Intelligence недавно выявила и предотвратила кампанию фишинга учетных данных, в ходе которой использовались передовые методы, включающие код, сгенерированный искусственным интеллектом, для сокрытия вредоносной полезной нагрузки. Кампания использовала сложный подход, внедрив свое вредоносное поведение в SVG-файл, который был пропитан деловым жаргоном и синтетической структурой, предназначенной для маскировки ее истинных намерений. Анализ Microsoft Security Copilot определил, что сложность и многословие кода намекают на его происхождение от искусственного интеллекта, предполагая, что это не был типичный код, созданный человеком, из-за его сложного дизайна и ограниченной практической полезности.
Кампания по фишингу, обнаруженная 18 августа, включала использование скомпрометированной Учетной записи эл. почты малого бизнеса для рассылки фишингов электронных писем с credential-stealing. Примечательная тактика включала использование метода самоадресации электронной почты, при котором адреса отправителя и получателя были идентичны, в то время как фактические адреса адресатов были скрыты в поле BCC. Этот метод потенциально позволял злоумышленникам обходить основные меры обнаружения. Содержание этих электронных писем было сфабриковано таким образом, чтобы походить на законные уведомления об обмене файлами, тем самым повышая вероятность успешного обмана получателей с целью разглашения их учетных данных.
Хотя использование искусственного интеллекта для обфускации полезной нагрузки отражает заметный прогресс в изощренности злоумышленников, крайне важно признать, что искусственный интеллект принципиально не изменяет характеристики или поведение, от которых зависят системы безопасности при обнаружении угроз фишинга. Хотя код, сгенерированный искусственным интеллектом, может обладать повышенной сложностью и усовершенствованным синтаксисом, он по-прежнему функционирует в рамках тех же поведенческих рамок, что и традиционные атаки фишинга, созданные человеком. В результате меры безопасности остаются применимыми, несмотря на эти новые методы.
Microsoft Defender XDR предлагает широкий спектр возможностей обнаружения для мониторинга таких возникающих угроз и реагирования на них на различных платформах, включая конечные точки и приложения электронной почты.
#ParsedReport #CompletenessMedium
24-09-2025
Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign
https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign
Report completeness: Medium
Actors/Campaigns:
Lone_none
Ducktail
Threats:
Pxa_stealer
Purelogs
Xworm_rat
Xenorat
Purehvnc_tool
Geo:
Korean, Chinese, French, German, Vietnamese
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 5
Command: 1
Path: 2
Url: 2
Coin: 8
Registry: 1
Soft:
Telegram, Microsoft Office, Dropbox, Windows registry
Wallets:
tron
Crypto:
bitcoin, dogecoin, ethereum, litecoin, primecoin, ripple, tezos, solana
Algorithms:
aes, base64
Languages:
python
24-09-2025
Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign
https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign
Report completeness: Medium
Actors/Campaigns:
Lone_none
Ducktail
Threats:
Pxa_stealer
Purelogs
Xworm_rat
Xenorat
Purehvnc_tool
Geo:
Korean, Chinese, French, German, Vietnamese
TTPs:
Tactics: 1
Technics: 0
IOCs:
Domain: 4
File: 5
Command: 1
Path: 2
Url: 2
Coin: 8
Registry: 1
Soft:
Telegram, Microsoft Office, Dropbox, Windows registry
Wallets:
tron
Crypto:
bitcoin, dogecoin, ethereum, litecoin, primecoin, ripple, tezos, solana
Algorithms:
aes, base64
Languages:
python
Cofense
Inside Lone None’s Evolving Copyright Takedown Phishing
Explore how the Vietnamese threat group Lone None uses spoofed copyright notices and Telegram-based stealers to launch complex phishing attacks.
CTT Report Hub
#ParsedReport #CompletenessMedium 24-09-2025 Inside Vietnamese Threat Actor Lone Nones Copyright Takedown-Spoofing Campaign https://cofense.com/blog/inside-vietnamese-threat-actor-lone-none-s-copyright-takedown-spoofing-campaign Report completeness: Medium…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, которые используют социальную инженерию для распространения вредоносного ПО, в частности, Lone None Stealer (PXA Stealer), который нацелен на кражу криптовалюты с помощью манипуляций с буфером обмена. Их техническая доставка включает в себя вредоносные ссылки по электронной почте, ведущие к архивным файлам в файлообменных сервисах, содержащим как законные документы, так и замаскированные Вредоносные файлы, включая библиотеку DLL, которая расшифровывает дополнительные полезные нагрузки. Вредоносное ПО заменяет скопированные криптовалютные адреса кошельком злоумышленника и использует Telegram-бота для уведомления, что указывает на стратегическую эволюцию тактики, направленную на максимизацию потенциала кражи.
-----
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, используя тактику социальной инженерии для обмана юридических фирм и распространения вредоносного ПО, специально нацеленного на пользователей с заявлениями о нарушении авторских прав. Одним из заметных вредоносных ПО, появляющихся в результате этих кампаний, является Lone None Stealer, также известный как PXA Stealer, который предназначен для кражи криптовалюты с помощью манипуляций с буфером обмена. Электронные письма актора часто содержат уведомления об удалении, которые, по-видимому, исходят от законных юридических лиц, но эти заявления сфабрикованы, ссылаются на реальные аккаунты Facebook, принадлежащие целевым получателям, и распространяются по меньшей мере на десяти разных языках.
Технический механизм доставки кампаний Lone None включает встроенные ссылки в электронные письма, ведущие к архивным файлам, размещенным на популярных файлообменных сервисах, таких как Dropbox и MediaFire. Эти архивные файлы содержат смесь законных документов (PDF-файлы и форматы Office) и замаскированных Вредоносных файлов, включая библиотеку DLL, которая функционирует как установщик Python. Эта вредоносная библиотека DLL использует утилиту Windows certutil.exe для расшифровки дальнейшей вредоносной полезной нагрузки, замаскированной несоответствиями расширений файлов, что облегчает конечную доставку и выполнение полезной нагрузки.
В Lone None Stealer есть функциональность, направленная на замену адресов криптовалюты, скопированных в буфер обмена, адресом кошелька злоумышленника, тем самым облегчая кражу средств. Он использует регулярные выражения для идентификации криптовалютных адресов и информирует злоумышленника через Telegram-бота, как только происходит замена. Эта тактика отражает эволюционирующую изощренность поведения вредоносного ПО по мере того, как кампании продолжают развиваться.
Несмотря на технологический прогресс в области доставки и функциональности вредоносного ПО, тактика социальной инженерии, используемая с помощью электронных писем, остается в основном неизменной. Продолжающееся использование подмены юридических фирм и соответствующих личных ссылок, по-видимому, повышает эффективность атак. Зависимость кампании от Telegram для связи командования и контроля (C2) и растущая сложность методов использования вредоносного ПО предполагают постоянную угрозу со стороны этого актора, нацеленного на уклонение от обнаружения и максимизацию потенциала кражи с помощью целенаправленных методов социальной инженерии. Это свидетельствует о резкой эволюции их тактики, потенциально указывающей на стратегический сдвиг в сторону более продвинутых и адаптированных методов распространения вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, которые используют социальную инженерию для распространения вредоносного ПО, в частности, Lone None Stealer (PXA Stealer), который нацелен на кражу криптовалюты с помощью манипуляций с буфером обмена. Их техническая доставка включает в себя вредоносные ссылки по электронной почте, ведущие к архивным файлам в файлообменных сервисах, содержащим как законные документы, так и замаскированные Вредоносные файлы, включая библиотеку DLL, которая расшифровывает дополнительные полезные нагрузки. Вредоносное ПО заменяет скопированные криптовалютные адреса кошельком злоумышленника и использует Telegram-бота для уведомления, что указывает на стратегическую эволюцию тактики, направленную на максимизацию потенциала кражи.
-----
Хакерская группировка Lone None проводит сложные кампании на тему авторских прав, используя тактику социальной инженерии для обмана юридических фирм и распространения вредоносного ПО, специально нацеленного на пользователей с заявлениями о нарушении авторских прав. Одним из заметных вредоносных ПО, появляющихся в результате этих кампаний, является Lone None Stealer, также известный как PXA Stealer, который предназначен для кражи криптовалюты с помощью манипуляций с буфером обмена. Электронные письма актора часто содержат уведомления об удалении, которые, по-видимому, исходят от законных юридических лиц, но эти заявления сфабрикованы, ссылаются на реальные аккаунты Facebook, принадлежащие целевым получателям, и распространяются по меньшей мере на десяти разных языках.
Технический механизм доставки кампаний Lone None включает встроенные ссылки в электронные письма, ведущие к архивным файлам, размещенным на популярных файлообменных сервисах, таких как Dropbox и MediaFire. Эти архивные файлы содержат смесь законных документов (PDF-файлы и форматы Office) и замаскированных Вредоносных файлов, включая библиотеку DLL, которая функционирует как установщик Python. Эта вредоносная библиотека DLL использует утилиту Windows certutil.exe для расшифровки дальнейшей вредоносной полезной нагрузки, замаскированной несоответствиями расширений файлов, что облегчает конечную доставку и выполнение полезной нагрузки.
В Lone None Stealer есть функциональность, направленная на замену адресов криптовалюты, скопированных в буфер обмена, адресом кошелька злоумышленника, тем самым облегчая кражу средств. Он использует регулярные выражения для идентификации криптовалютных адресов и информирует злоумышленника через Telegram-бота, как только происходит замена. Эта тактика отражает эволюционирующую изощренность поведения вредоносного ПО по мере того, как кампании продолжают развиваться.
Несмотря на технологический прогресс в области доставки и функциональности вредоносного ПО, тактика социальной инженерии, используемая с помощью электронных писем, остается в основном неизменной. Продолжающееся использование подмены юридических фирм и соответствующих личных ссылок, по-видимому, повышает эффективность атак. Зависимость кампании от Telegram для связи командования и контроля (C2) и растущая сложность методов использования вредоносного ПО предполагают постоянную угрозу со стороны этого актора, нацеленного на уклонение от обнаружения и максимизацию потенциала кражи с помощью целенаправленных методов социальной инженерии. Это свидетельствует о резкой эволюции их тактики, потенциально указывающей на стратегический сдвиг в сторону более продвинутых и адаптированных методов распространения вредоносного ПО.
#ParsedReport #CompletenessLow
24-09-2025
Securing LLM Superpowers: The Invisible Backdoors in MCP
https://www.netskope.com/blog/securing-llm-superpowers-the-invisible-backdoors-in-mcp
Report completeness: Low
Victims:
Customer service operations, Security operations, Mcp tool ecosystem
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1195, T1204, T1213, T1565.001, T1566.002
IOCs:
File: 1
Algorithms:
base64
Platforms:
intel
24-09-2025
Securing LLM Superpowers: The Invisible Backdoors in MCP
https://www.netskope.com/blog/securing-llm-superpowers-the-invisible-backdoors-in-mcp
Report completeness: Low
Victims:
Customer service operations, Security operations, Mcp tool ecosystem
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1195, T1204, T1213, T1565.001, T1566.002
IOCs:
File: 1
Algorithms:
base64
Platforms:
intel
Netskope
Securing LLM Superpowers: The Invisible Backdoors in MCP
Summary In the first two parts (1, 2) of this series, we broke down how the Model Context Protocol (MCP) works and explored attacks like tool poisoning
CTT Report Hub
#ParsedReport #CompletenessLow 24-09-2025 Securing LLM Superpowers: The Invisible Backdoors in MCP https://www.netskope.com/blog/securing-llm-superpowers-the-invisible-backdoors-in-mcp Report completeness: Low Victims: Customer service operations, Security…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ландшафт угроз для инструментов командной платформы машинного обучения (MCP) эволюционировал благодаря новым методам атак, таким как косвенное быстрое внедрение и атаки с использованием ковра. Косвенное быстрое внедрение встраивает вредоносные команды в безопасные данные, что приводит к непреднамеренному выполнению агентами MCP, создавая такие риски, как утечка данных. Атаки с использованием "ковриков" предполагают замену надежных инструментов скомпрометированными версиями, что позволяет злоумышленникам манипулировать обновлениями и функциональными возможностями бэкдора без прямого ущерба для базовой модели.
-----
Ландшафт угроз, связанных с инструментами командной платформы машинного обучения (MCP), все чаще документируется с появлением новых направлений атак, таких как косвенное быстрое внедрение и "подтягивание". Косвенное оперативное внедрение представляет собой особенно коварный метод, при котором злоумышленники внедряют вредоносные инструкции в кажущиеся безобидными данные, которые обрабатываются этими инструментами, в отличие от методов прямого оперативного внедрения, при которых злоумышленники непосредственно вводят вредоносные команды в систему. Сложность этой атаки заключается в том, как она использует источники данных, которые обрабатывает Large Language Model (LLM), без прямого взаимодействия с самой моделью.
В типичном сценарии злоумышленник может отправить убедительно составленное электронное письмо в службу поддержки клиентов, внедрив вредоносные инструкции в текст электронного письма, Маскировку под законное сообщение. Когда MCP-агент службы получает это электронное письмо через свое промежуточное программное обеспечение, система невольно выполняет встроенные вредоносные команды. Это может привести к серьезным последствиям, включая утечку данных или несанкционированные действия, как инструменты MCP называют скрытые инструкции, что создает проблемы для мониторинга и обеспечения безопасности.
Для снижения рисков, связанных с непрямым оперативным внедрением, было предложено несколько стратегий защиты. Одной из эффективных мер является удаление несущественного внешнего текста из контекстных окон, которые сохраняются с течением времени. Кроме того, выделение внешних входных данных в буферы с коротким сроком службы может предотвратить задержку потенциально опасной полезной нагрузки при выполнении различных запросов. Применение "контекстного TTL" (time-to-live) также может автоматически аннулировать срок действия любых введенных данных после их немедленного использования, снижая вероятность использования в последующих взаимодействиях.
Кроме того, в отчете освещаются атаки с использованием поддельных данных, при которых надежные инструменты могут быть заменены скомпрометированными версиями путем манипулирования механизмами обновления или реестрами. Этот метод позволяет злоумышленникам скрытно превращать надежные решения в средства для вредоносной деятельности без ущерба для базовой модели. В этом случае даже обычная функция инструмента, такая как сканирование файла на наличие вредоносного ПО, может быть нарушена, если инструмент был обновлен до бэкдорной версии.
Общая проблема, связанная с этими векторами атак, заключается в том, что они позволяют злоумышленникам влиять на поведение LLMS и инструментов MCP, манипулируя входными данными и инфраструктурой, которая их поддерживает, вместо того, чтобы напрямую компрометировать модели. Следовательно, любой источник данных — электронные письма, документы, веб—сайты или сообщения в чате - потенциально может содержать вредоносные инструкции, которые LLM может выполнять без проверки, что делает необходимым совершенствование методов обеспечения безопасности в ответ на эти сложные угрозы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Ландшафт угроз для инструментов командной платформы машинного обучения (MCP) эволюционировал благодаря новым методам атак, таким как косвенное быстрое внедрение и атаки с использованием ковра. Косвенное быстрое внедрение встраивает вредоносные команды в безопасные данные, что приводит к непреднамеренному выполнению агентами MCP, создавая такие риски, как утечка данных. Атаки с использованием "ковриков" предполагают замену надежных инструментов скомпрометированными версиями, что позволяет злоумышленникам манипулировать обновлениями и функциональными возможностями бэкдора без прямого ущерба для базовой модели.
-----
Ландшафт угроз, связанных с инструментами командной платформы машинного обучения (MCP), все чаще документируется с появлением новых направлений атак, таких как косвенное быстрое внедрение и "подтягивание". Косвенное оперативное внедрение представляет собой особенно коварный метод, при котором злоумышленники внедряют вредоносные инструкции в кажущиеся безобидными данные, которые обрабатываются этими инструментами, в отличие от методов прямого оперативного внедрения, при которых злоумышленники непосредственно вводят вредоносные команды в систему. Сложность этой атаки заключается в том, как она использует источники данных, которые обрабатывает Large Language Model (LLM), без прямого взаимодействия с самой моделью.
В типичном сценарии злоумышленник может отправить убедительно составленное электронное письмо в службу поддержки клиентов, внедрив вредоносные инструкции в текст электронного письма, Маскировку под законное сообщение. Когда MCP-агент службы получает это электронное письмо через свое промежуточное программное обеспечение, система невольно выполняет встроенные вредоносные команды. Это может привести к серьезным последствиям, включая утечку данных или несанкционированные действия, как инструменты MCP называют скрытые инструкции, что создает проблемы для мониторинга и обеспечения безопасности.
Для снижения рисков, связанных с непрямым оперативным внедрением, было предложено несколько стратегий защиты. Одной из эффективных мер является удаление несущественного внешнего текста из контекстных окон, которые сохраняются с течением времени. Кроме того, выделение внешних входных данных в буферы с коротким сроком службы может предотвратить задержку потенциально опасной полезной нагрузки при выполнении различных запросов. Применение "контекстного TTL" (time-to-live) также может автоматически аннулировать срок действия любых введенных данных после их немедленного использования, снижая вероятность использования в последующих взаимодействиях.
Кроме того, в отчете освещаются атаки с использованием поддельных данных, при которых надежные инструменты могут быть заменены скомпрометированными версиями путем манипулирования механизмами обновления или реестрами. Этот метод позволяет злоумышленникам скрытно превращать надежные решения в средства для вредоносной деятельности без ущерба для базовой модели. В этом случае даже обычная функция инструмента, такая как сканирование файла на наличие вредоносного ПО, может быть нарушена, если инструмент был обновлен до бэкдорной версии.
Общая проблема, связанная с этими векторами атак, заключается в том, что они позволяют злоумышленникам влиять на поведение LLMS и инструментов MCP, манипулируя входными данными и инфраструктурой, которая их поддерживает, вместо того, чтобы напрямую компрометировать модели. Следовательно, любой источник данных — электронные письма, документы, веб—сайты или сообщения в чате - потенциально может содержать вредоносные инструкции, которые LLM может выполнять без проверки, что делает необходимым совершенствование методов обеспечения безопасности в ответ на эти сложные угрозы.
#ParsedReport #CompletenessHigh
24-09-2025
The Evolution of RomCom
https://www.attackiq.com/wp-content/uploads/2025/09/romcom-report.pdf
Report completeness: High
Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)
Threats:
Romcom_rat
Underground_ransomware
Cuba_ransomware
Meltingclaw
Shadyhammock
Spear-phishing_technique
Damascened_peacock
Com_hijacking_technique
Peapod
Snipbot
Credential_harvesting_technique
Emotet
Pid_spoofing_technique
Nltest_tool
Shadow_copies_delete_technique
Hancitor
Proxyshell_vuln
Cobalt_strike_tool
Mimikatz_tool
Netstat_tool
Vmprotect_tool
Victims:
Government, Defense, Humanitarian, Healthcare, Finance, Telecommunications, Technology, Political figures, Military personnel, Nato members, have more...
Industry:
Healthcare, Telco, Government, E-commerce, Military, Financial
Geo:
Russian, United kingdom, Ukrainian, Russia, Russian federation, Hungarian, Montenegro, Poland, Canada, Hungary, Ukraine
TTPs:
Tactics: 5
Technics: 32
IOCs:
File: 13
Registry: 4
Hash: 7
Email: 1
Soft:
Component Object Model, Windows COM, Microsoft Edge, Active Directory, Microsoft Exchange, PsExec, Windows Registry
Algorithms:
salsa20, 3des, zip, rsa-1024
Functions:
Windows, Get-Volume
Win API:
SeDebugPrivilege, IsDebuggerPresent, NtQuerySystemInformation, GetUserDefaultLCID, GetLocaleInfoW, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, FindFirstFileW, FindNextFileW, have more...
Languages:
powershell, rust, lua
Platforms:
cross-platform
24-09-2025
The Evolution of RomCom
https://www.attackiq.com/wp-content/uploads/2025/09/romcom-report.pdf
Report completeness: High
Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage, financially_motivated)
Threats:
Romcom_rat
Underground_ransomware
Cuba_ransomware
Meltingclaw
Shadyhammock
Spear-phishing_technique
Damascened_peacock
Com_hijacking_technique
Peapod
Snipbot
Credential_harvesting_technique
Emotet
Pid_spoofing_technique
Nltest_tool
Shadow_copies_delete_technique
Hancitor
Proxyshell_vuln
Cobalt_strike_tool
Mimikatz_tool
Netstat_tool
Vmprotect_tool
Victims:
Government, Defense, Humanitarian, Healthcare, Finance, Telecommunications, Technology, Political figures, Military personnel, Nato members, have more...
Industry:
Healthcare, Telco, Government, E-commerce, Military, Financial
Geo:
Russian, United kingdom, Ukrainian, Russia, Russian federation, Hungarian, Montenegro, Poland, Canada, Hungary, Ukraine
TTPs:
Tactics: 5
Technics: 32
IOCs:
File: 13
Registry: 4
Hash: 7
Email: 1
Soft:
Component Object Model, Windows COM, Microsoft Edge, Active Directory, Microsoft Exchange, PsExec, Windows Registry
Algorithms:
salsa20, 3des, zip, rsa-1024
Functions:
Windows, Get-Volume
Win API:
SeDebugPrivilege, IsDebuggerPresent, NtQuerySystemInformation, GetUserDefaultLCID, GetLocaleInfoW, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW, FindFirstFileW, FindNextFileW, have more...
Languages:
powershell, rust, lua
Platforms:
cross-platform
CTT Report Hub
#ParsedReport #CompletenessHigh 24-09-2025 The Evolution of RomCom https://www.attackiq.com/wp-content/uploads/2025/09/romcom-report.pdf Report completeness: High Actors/Campaigns: Void_rabisu (motivation: cyber_espionage, financially_motivated) Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RomCom - это сложный троян удаленного доступа и программа-вымогатель, приписываемая российскому злоумышленнику UAT-5647, нацеленный на организации, вовлеченные в конфликт на Украине, и критически важные сектора национальной безопасности. Для закрепления он использует перехват COM-модели объектов (COM) и эволюционировал в нескольких версиях, расширяя свои шпионские возможности и интегрируясь с группами программ-вымогателей для тактики двойного вымогательства. Вредоносное ПО инициирует атаки с помощью spearphishing или поврежденных MSI-файлов, используя такие методы, как Передача инструментов из внешней сети для доставки полезной нагрузки и разведки, а также внедряя надежное шифрование, удаляя shadow copies томов и изменяя конфигурации сервера, чтобы затруднить восстановление.
-----
RomCom - это сложное семейство троянов удаленного доступа (RAT) и программ-вымогателей, которое постоянно развивается с момента своего появления в мае 2022 года. Вредоносное ПО, приписываемое российскому злоумышленнику, известному как UAT-5647 или Storm-0978, имеет историю атак на правительственные учреждения, военный персонал и гуманитарные организации, вовлеченные в конфликт на Украине, а также сектора, критически важные для национальной безопасности, включая оборону и технологии. Ландшафт угроз RomCom подчеркивает его универсальность как в отношении спонсируемого государством шпионажа, так и в отношении киберпреступности, мотивированной финансовыми соображениями.
Управляемый RomCom team, RAT в первую очередь использует перехват объектной COM-модели (COM) для обеспечения закрепления. Этот метод позволяет вредоносному ПО использовать COM-инфраструктуру Windows, перенаправляя законные процессы для выполнения своей полезной нагрузки. RAT претерпел различные модификации — по меньшей мере пять различных версий, каждая из которых повышала его модульность, изощренность и шпионские возможности. Примечательно, что она расширяет свою деятельность за счет интеграции с такими группами вымогателей, как Cuba и Industrial Spy, которые использовали тактику двойного вымогательства.
RomCom был задействован в более широких атаках, таких как "кампания AstraChat", которая включала внедрение вредоносных компонентов в легальные версии программного обеспечения для скрытой компрометации систем. Начальные стадии таких атак часто включают загрузку полезных данных с помощью таких средств, как электронные письма с spearphishing или поврежденные файлы MSI, за которыми следуют действия по разведке, которые собирают системную и сетевую информацию для эксфильтрации данных.
Технические подробности RomCom иллюстрируют его способность продолжать адаптировать свои методы. Например, на этапах своей эксплуатации RomCom использует тактику, методы и процедуры (TTP), такие как Передача инструментов из внешней сети для управления доставкой полезной нагрузки и выполнения команд разведки для сбора важных подробных системных данных. Кроме того, процедуры шифрования вредоносного ПО используют надежные алгоритмы, и оно способно удалять shadow copies томов и изменять конфигурации серверов, чтобы расширить свое воздействие, препятствуя при этом усилиям по восстановлению после атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RomCom - это сложный троян удаленного доступа и программа-вымогатель, приписываемая российскому злоумышленнику UAT-5647, нацеленный на организации, вовлеченные в конфликт на Украине, и критически важные сектора национальной безопасности. Для закрепления он использует перехват COM-модели объектов (COM) и эволюционировал в нескольких версиях, расширяя свои шпионские возможности и интегрируясь с группами программ-вымогателей для тактики двойного вымогательства. Вредоносное ПО инициирует атаки с помощью spearphishing или поврежденных MSI-файлов, используя такие методы, как Передача инструментов из внешней сети для доставки полезной нагрузки и разведки, а также внедряя надежное шифрование, удаляя shadow copies томов и изменяя конфигурации сервера, чтобы затруднить восстановление.
-----
RomCom - это сложное семейство троянов удаленного доступа (RAT) и программ-вымогателей, которое постоянно развивается с момента своего появления в мае 2022 года. Вредоносное ПО, приписываемое российскому злоумышленнику, известному как UAT-5647 или Storm-0978, имеет историю атак на правительственные учреждения, военный персонал и гуманитарные организации, вовлеченные в конфликт на Украине, а также сектора, критически важные для национальной безопасности, включая оборону и технологии. Ландшафт угроз RomCom подчеркивает его универсальность как в отношении спонсируемого государством шпионажа, так и в отношении киберпреступности, мотивированной финансовыми соображениями.
Управляемый RomCom team, RAT в первую очередь использует перехват объектной COM-модели (COM) для обеспечения закрепления. Этот метод позволяет вредоносному ПО использовать COM-инфраструктуру Windows, перенаправляя законные процессы для выполнения своей полезной нагрузки. RAT претерпел различные модификации — по меньшей мере пять различных версий, каждая из которых повышала его модульность, изощренность и шпионские возможности. Примечательно, что она расширяет свою деятельность за счет интеграции с такими группами вымогателей, как Cuba и Industrial Spy, которые использовали тактику двойного вымогательства.
RomCom был задействован в более широких атаках, таких как "кампания AstraChat", которая включала внедрение вредоносных компонентов в легальные версии программного обеспечения для скрытой компрометации систем. Начальные стадии таких атак часто включают загрузку полезных данных с помощью таких средств, как электронные письма с spearphishing или поврежденные файлы MSI, за которыми следуют действия по разведке, которые собирают системную и сетевую информацию для эксфильтрации данных.
Технические подробности RomCom иллюстрируют его способность продолжать адаптировать свои методы. Например, на этапах своей эксплуатации RomCom использует тактику, методы и процедуры (TTP), такие как Передача инструментов из внешней сети для управления доставкой полезной нагрузки и выполнения команд разведки для сбора важных подробных системных данных. Кроме того, процедуры шифрования вредоносного ПО используют надежные алгоритмы, и оно способно удалять shadow copies томов и изменять конфигурации серверов, чтобы расширить свое воздействие, препятствуя при этом усилиям по восстановлению после атаки.
#ParsedReport #CompletenessMedium
25-09-2025
Botnet Loader-as-a-Service Infrastructure Distributing RondoDoX and Mirai Payloads
https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads
Report completeness: Medium
Threats:
Rondodox
Mirai
Supply_chain_technique
Victims:
Soho routers, Iot devices, Enterprise applications, Enterprises, Corporate networks, Edge devices
Industry:
Iot
CVEs:
CVE-2019-17574 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2019-16759 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 3
IP: 13
Hash: 592
Soft:
WebLogic, WordPress, vBulletin, busybox, Linux, curl
Algorithms:
sha256
Functions:
Monitor
Platforms:
x86
25-09-2025
Botnet Loader-as-a-Service Infrastructure Distributing RondoDoX and Mirai Payloads
https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads
Report completeness: Medium
Threats:
Rondodox
Mirai
Supply_chain_technique
Victims:
Soho routers, Iot devices, Enterprise applications, Enterprises, Corporate networks, Edge devices
Industry:
Iot
CVEs:
CVE-2019-17574 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2019-16759 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 5
Technics: 8
IOCs:
File: 3
IP: 13
Hash: 592
Soft:
WebLogic, WordPress, vBulletin, busybox, Linux, curl
Algorithms:
sha256
Functions:
Monitor
Platforms:
x86
Cloudsek
Botnet Loader-as-a-Service Infrastructure Distributing RondoDoX and Mirai Payloads | CloudSEK
CloudSEK uncovered a large-scale Loader-as-a-Service botnet distributing RondoDoX, Mirai, and Morte payloads through SOHO routers, IoT devices, and enterprise apps. Exploiting weak credentials, unsanitized inputs, and old CVEs, the campaign surged 230% in…