#ParsedReport #CompletenessMedium
25-09-2025

Botnet Loader-as-a-Service Infrastructure Distributing RondoDoX and Mirai Payloads

https://www.cloudsek.com/blog/botnet-loader-as-a-service-infrastructure-distributing-rondodox-and-mirai-payloads

Report completeness: Medium

Threats:
Rondodox
Mirai
Supply_chain_technique

Victims:
Soho routers, Iot devices, Enterprise applications, Enterprises, Corporate networks, Edge devices

Industry:
Iot

CVEs:
CVE-2019-17574 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-16759 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 3
IP: 13
Hash: 592

Soft:
WebLogic, WordPress, vBulletin, busybox, Linux, curl

Algorithms:
sha256

Functions:
Monitor

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет "Загрузчик как услуга" распространяет вредоносное ПО RondoDoX, Mirai и Morte в основном через маршрутизаторы SOHO, устройства интернета вещей и корпоративные приложения, используя слабые учетные данные и устаревшие CVE. Кампания показала рост активности на 230%, используя передовые оперативные тактики, такие как уязвимости для внедрения команд с помощью неубранных параметров сообщений, приведенных в соответствие с методами MITRE ATT&CK T1190 и T1059. Воздействие ботнет включает серьезные сбои в надежности сети, потенциальную эксфильтрацию данных и риски, связанные с уязвимостями supply chain.
-----

Недавнее расследование CloudSEK выявило ботнет "Загрузчик как услуга", который распространял вредоносное ПО RondoDoX, Mirai и Morte в основном через маршрутизаторы SOHO, устройства Интернета вещей и корпоративные приложения. Эта кампания использует различные уязвимости, включая слабые учетные данные, не обработанные входные данные и устаревшие распространенные уязвимости и воздействия (CVE). Примечательно, что наблюдался значительный всплеск активности, причем в период с июля по август 2025 года наблюдался рост на 230%, что указывает на быструю эскалацию усилий по вооружению криптомайнинга, распределенных атак типа "Отказ в обслуживании" (DDoS) и вторжений в корпоративные сети.

Ботнет использует сложную инфраструктуру командования и контроля, демонстрируя передовую оперативную тактику. Злоумышленники используют уязвимости при внедрении команд, в частности, с помощью не обработанных параметров POST в веб-приложениях. Методы, описанные в MITRE ATT&CK framework, в частности T1190 (использование общедоступных приложений) и T1059 (Интерпретатор командной строки и сценариев - sh), используются там, где злоумышленники вводят команды оболочки для выполнения загрузок непосредственно на устройства. Аналитики рекомендуют поискать в журналах веб-серверов и прокси-серверов подозрительные записи, которые могут указывать на такое использование.

Примечательно, что эта кампания использует ранее использовавшиеся CVE, что указывает на тенденцию, когда различные ботнет последовательно атакуют аналогичные уязвимости. Факты указывают на агрессивную кампанию с быстрыми изменениями в инфраструктуре, что усложняет усилия по обнаружению и смягчению последствий. В связи со значительным увеличением числа атак есть все основания ожидать, что злоумышленники расширят сферу своей деятельности в отношении уязвимых устройств в течение следующих шести месяцев.

Операционное воздействие такого ботнет является серьезным, влияя как на отдельные предприятия, так и на надежность сети в целом. Скомпрометированные устройства не только потребляют значительную пропускную способность сети, но и способны участвовать в DDoS-атаках, серьезно нарушая бизнес-операции. Дополнительные риски связаны с потенциальной эксфильтрацией данных и перемещением внутри компании в корпоративных сетях, что может привести к краже интеллектуальной собственности и внедрению Ransomware. Существуют также опасения по поводу уязвимостей supply chain, особенно в результате систематической эксплуатации маршрутизаторов и атак с использованием NTP-серверов, которые могут поставить под угрозу важные по времени операции на предприятиях. В целом, этот меняющийся ландшафт угроз требует повышенной бдительности и упреждающих мер безопасности для противодействия растущей сложности операций ботнет.

#ParsedReport #CompletenessLow
25-09-2025

Massive npm infection: the Shai-Hulud worm and patient zero

https://securelist.com/shai-hulud-worm-infects-500-npm-packages-in-a-supply-chain-attack/117547/

Report completeness: Low

Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool

Victims:
Software development, Open source ecosystem, Npm packages, Crowdstrike libraries

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1059.007, T1105, T1195, T1204.002, T1526, T1552

IOCs:
File: 6
Hash: 2

Soft:
Linux, macOS, Node.js

Algorithms:
base64

Languages:
javascript

Platforms:
apple

Links:
have more...
https://docs.github.com/en/actions/concepts/workflows-and-actions/workflows
https://docs.github.com/en/repositories/creating-and-managing-repositories/duplicating-a-repository
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Shai-Hulud нацелен на экосистему npm, распространяясь через зараженные пакеты, которые выполняют вредоносный код при установке. Он извлекает конфиденциальную информацию, используя скомпрометированные токены доступа GitHub, генерирует bash-скрипт для извлечения секретов с помощью таких инструментов, как TruffleHog, и модифицирует package.json для обеспечения саморепликации с помощью вредоносных команд postinstall. Червь оказал воздействие на более чем 500 популярных пакетов, подчеркивая его обширный охват и риски, которые он представляет для разработки программного обеспечения.
-----

Червь Shai-Hulud представляет значительную угрозу в мире разработки программного обеспечения, особенно в отношении npm (Node.js менеджер пакетов) экосистема. Этот червь распространяется через зараженные пакеты npm, выполняя вредоносный код во время процесса установки. Как только пакет скомпрометирован, Shai-Hulud публикует зараженные версии в любых других пакетах, на обновление которых у жертвы есть разрешение, тем самым способствуя быстрому распространению инфекции по многочисленным приложениям.

Вредоносное ПО предназначено для извлечения конфиденциальной информации, используя токены доступа, связанные с текущим пользователем GitHub. При активации он генерирует временный исполняемый скрипт bash, который выполняет извлечение секретов из среды жертвы. Используемый метод предполагает использование TruffleHog, инструмента, который сканирует хранилища на наличие секретов, загружая его последнюю версию, адаптированную к используемой операционной системе.

Ключевой аспект саморепликации Shai-Hulud заключается в модификации зараженного файла package.json. Он добавляет вредоносную команду postinstall, которая выполняет скомпрометированный скрипт, в частности "node bundle.js ". В данном конкретном случае необычная команда предварительной установки, обнаруженная в пакете ngx-bootstrap версии 18.1.4, послужила вектором запуска для распространения червя, позволив ему выполняться до этапа установки, тем самым инициируя процесс заражения.

Масштабы заражения Shai-Hulud вызывают тревогу, поскольку оно затронуло более 500 популярных пакетов, включая некоторые, связанные с CrowdStrike, что указывает на обширный охват и потенциальное воздействие на различные организации и разработчиков, которые полагаются на эти библиотеки в своих проектах. Этот ситуационный контекст подчеркивает настоятельную необходимость в надежных решениях для мониторинга для защиты от подобных атак в supply chain.

Для снижения рисков, связанных с подобными угрозами, крайне важно использовать специализированные инструменты для мониторинга компонентов с открытым исходным кодом и ограничения доступа и разрешений сторонних модулей. Осведомленность и упреждающие меры безопасности необходимы для защиты целостности методов разработки программного обеспечения от возникающих угроз кибербезопасности.

#ParsedReport #CompletenessHigh
25-09-2025

Cavalry Werewolf attacks Russia through trusting relations between states

https://bi.zone/expertise/blog/cavalry-werewolf-atakuet-rossiyu-cherez-doveritelnye-otnosheniya-mezhdu-gosudarstvami/

Report completeness: High

Threats:
Foalshell
Stallionrat
Netstat_tool
Asyncrat
Spear-phishing_technique

Victims:
Government sector

Industry:
Energy, Government

Geo:
Russia, Middle east, Kyrgyzstan, Russian, Tajikistan, Russian federation

TTPs:
Tactics: 7
Technics: 0

IOCs:
Path: 16
File: 15
Command: 1
Registry: 1
IP: 12
Hash: 9

Soft:
Telegram, Outlook

Algorithms:
base64

Functions:
getUpdates

Win API:
VirtualAlloc, ZwResumeThread

Languages:
powershell, c_language, rust, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кавалерийский оборотень, хакерская группировка, осуществляющая кибератаки, нацеливается на российские государственные структуры с помощью социальной инженерии, выдавая себя за чиновников, чтобы использовать установившееся доверие. Их атаки основаны на создании законно выглядящих сообщений, что свидетельствует о глубоком понимании организационных структур. Хотя конкретное используемое вредоносное ПО не детализировано, их методы, вероятно, включают тактику фишинга для доставки полезной нагрузки, подчеркивая необходимость осведомленности об уязвимостях, основанных на доверии, в кибербезопасности.
-----

Cavalry Werewolf, изощренная хакерская группировка, осуществляющая целенаправленные атаки против российских организаций, используя доверительные отношения, установленные между различными государственными организациями. Эта группа использует методы социальной инженерии, выдавая себя за правительственных чиновников, чтобы получить доверенный доступ к своим целям. Используя эти доверенные соединения, злоумышленники могут выполнять свои операции с большей эффективностью, значительно повышая шансы избежать обнаружения.

Принцип работы Cavalry Werewolf основан на обмане. Злоумышленники создают переписку и сообщения, которые неотличимы от законных сообщений, создавая видимость, побуждающую целевых пользователей взаимодействовать с их вредоносным контентом. Такой уровень сложности предполагает глубокое понимание как структуры организации, так и отдельных ролей в ней, что облегчает индивидуальный подход к каждой атаке.

Хотя конкретные сведения о вредоносном ПО, использованном в этих атаках, не приводятся, акцент на Имперсонации указывает на то, что группа, вероятно, использует различные тактики фишинга для доставки своих полезных данных. Стратегическое использование социальной инженерии является отличительной чертой их деятельности, указывая на необходимость повышения осведомленности и обучения потенциальных целей распознаванию таких угроз и надлежащему реагированию на них.

Такой подход не только подчеркивает сложности, связанные с финансируемыми государством кибероперациями, но и подчеркивает потенциальную уязвимость, проистекающую из основанных на доверии отношений между нациями. Эффективность тактики Cavalry Werewolf служит напоминанием о критической важности бдительности и скептицизма в области кибербезопасности, особенно в условиях, когда официальные коммуникации являются обычным делом. Поскольку угрозы продолжают развиваться, организации должны оставаться гибкими в своей обороне, постоянно обновляя свои стратегии для противодействия передовым схемам социальной инженерии, подобным тем, которые использует Cavalry Werewolf.

#ParsedReport #CompletenessMedium
25-09-2025

Bookworm to Stately Taurus Using the Unit 42 Attribution Framework

https://unit42.paloaltonetworks.com/bookworm-to-stately-taurus/

Report completeness: Medium

Actors/Campaigns:
Red_delta (motivation: cyber_espionage)

Threats:
Bookworm
Toneshell
Dll_sideloading_technique
Spear-phishing_technique
Impacket_tool
Pubload

Victims:
Government entities, Critical infrastructure

Industry:
Government, Critical_infrastructure

Geo:
Asia, Asian, Chinese

TTPs:

ChatGPT TTPs:
do not use without manual check
T1021, T1027, T1046, T1105, T1566.001, T1570, T1583.001

IOCs:
Path: 1
IP: 2
Domain: 3

Algorithms:
exhibit, base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Bookworm, связанное с группой Stately Taurus, представляет собой продвинутую программу RAT, обеспечивающую значительный контроль над скомпрометированными системами и использующую Целевой фишинг для доступа. Анализ показывает схемы работы Bookworm's, включая общие инструменты, такие как ToneShell, и конкретные пути PDB, что указывает на тесную связь с Stately Taurus. Нацеливание в первую очередь на правительственные структуры Юго-Восточной Азии соответствует историческим интересам этой группы, что свидетельствует о постоянной приспособляемости Bookworm's к кибершпионажу.
-----

При анализе семейства вредоносных ПО Bookworm и его связи с хакерской группировкой, известной как Stately Taurus, используется система атрибуции Unit 42, в которой основное внимание уделяется техническим характеристикам и операционному поведению, а не субъективным оценкам. Bookworm, первоначально идентифицированный в 2015 году, классифицируется как продвинутый троян удаленного доступа (RAT), который обеспечивает своим операторам значительный контроль над скомпрометированными системами, тесно согласуясь с известными тактиками, методами и процедурами (TTP) Stately Taurus.

Процесс определения авторства показывает, что Bookworm часто использует индивидуальные кампании Целевого фишинга для получения первоначального доступа - метод, характерный для Stately Taurus. Кроме того, вредоносное ПО работает в средах, где присутствуют другие отличные инструменты, такие как ToneShell, которые используются исключительно Stately Taurus, подчеркивая связь через общие операционные возможности. Кроме того, анализ выявил специфический путь PDB, обнаруженный в образцах как Bookworm, так и ToneShell, что указывает на последовательные операционные шаблоны безопасности, которые помогают в установлении авторства.

Анализ сетевой инфраструктуры показывает, что общие элементы между Bookworm и Stately Taurus имеют различную степень аналитической значимости, причем постоянные URL-адреса или домены являются более ценными для атрибуции, чем временные IPv4-адреса. Модели таргетинга также тесно совпадают, поскольку Bookworm в основном затронул правительственные учреждения и критически важную инфраструктуру в Юго-Восточной Азии, отражая исторические интересы Stately Taurus.

Временной анализ кампаний показывает, что активность Bookworm совпадает с периодами известных мероприятий Stately Taurus, в частности, их направленность на правительственные учреждения Юго-Восточной Азии. Развивающиеся возможности вредоносного ПО, которые позволяют ему адаптироваться и изменять методы своей работы с течением времени, способствуют его постоянной актуальности в усилиях по кибершпионажу.

#ParsedReport #CompletenessMedium
25-09-2025

[Advanced Threat Hunting (APT)\] In-depth Analysis of the Encrypted Payloads in the Pseudo Hunter Github Repository

https://mp.weixin.qq.com/s/A1UhFfqnGRLsEZywvaQA4A

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Dll_hijacking_technique

Victims:
Espionage targets

Industry:
Military, Education

Geo:
Korean, Singapore, Asian, Japan, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1102, T1105, T1566

IOCs:
IP: 1
File: 31
Path: 22
Registry: 1
Command: 1
Email: 2
Hash: 21

Soft:
Internet Explorer

Algorithms:
base64, xor, rc4

Functions:
CreateProcessWCreateEventW

Win API:
GetTickCount, LoadLibraryW, ReadFile, WriteFile, DeleteFileW, CreateDirectoryW, CreateFileW, CreateFileMappingA, MapViewOfFile, CloseHandle, have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 20, windows: 5, dump: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа по атаке наисложнейшими целенаправленными атаками "Pseudo Hunter" использует файлы vhdx в фишингов -атаках для первоначальной компрометации и эволюционировала для распространения зашифрованных полезных данных через репозиторий GitHub, усиливая запутывание и усложняя обнаружение. Этот метод позволяет им отдавать команды и доставлять вредоносное ПО, смешиваясь с легальными сервисами, что отражает тревожную тенденцию к усложнению тактики сложных целенаправленных атак и выявляет проблемы для механизмов обнаружения безопасности.
-----

В августе 2025 года разведывательная лаборатория DeepView выявила группу сложных целенаправленных атак (Сложные целенаправленные атаки APT), известную как "Pseudo Hunter", использующую файлы vhdx для фишинга. Эти файлы vhdx послужили исходным вектором для компрометации, позволив злоумышленникам получить доступ к целевым средам. В ходе дальнейшей эволюции своей тактики Pseudo Hunter использовал репозиторий GitHub для распространения зашифрованных полезных данных в рамках своих операций. Использование зашифрованных полезных данных означает попытку скрыть вредоносный контент, что усложняет задачу обнаружения и анализа для специалистов по безопасности.

Оперативное развертывание этих полезных нагрузок предполагает методичный подход к шпионажу, при котором злоумышленники могли бы отдавать команды и доставлять свое вредоносное ПО, оставаясь скрытыми в рамках законных служб хостинга хранилища. Этот метод не только облегчает распространение вредоносного кода, но и использует, казалось бы, безобидные платформы для распространения продвинутых угроз, тем самым повышая вероятность успешного проникновения в целевые сети. Интеграция этих тактических приемов указывает на тревожную тенденцию к усложнению сложных целенаправленных атак, подчеркивая необходимость усовершенствованных стратегий обнаружения угроз и устранения неполадок.

#ParsedReport #CompletenessHigh
24-09-2025

Inside Salt Typhoon: Chinas State-Corporate Advanced Persistent Threat

https://dti.domaintools.com/inside-salt-typhoon-chinas-state-corporate-advanced-persistent-threat/

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, cyber_criminal, financially_motivated, information_theft)
I-soon_leak (motivation: cyber_espionage)
Coldface (motivation: cyber_espionage)
Unc4841
0ktapus
Emissary_panda

Threats:
Lolbin_technique
Credential_harvesting_technique
Plugx_rat
Demodex_tool
Chinachopper
Credential_dumping_technique
Netstat_tool
Wevtutil_tool

Victims:
Telecommunications providers, Defense contractors, Government entities, Think tanks, Internet service providers, Military networks, Critical infrastructure sectors, Technology firms, Foreign ministries, Religious sector, have more...

Industry:
Software_development, Logistic, Foodtech, Transport, Military, Critical_infrastructure, Government, Telco

Geo:
Asian, France, Taiwan, United kingdom, Germany, Los angeles, Asia, China, Chinese, American, Chinas, Netherlands

CVEs:
CVE-2023-20198 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3400 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-35082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 21

IOCs:
Domain: 11
IP: 4
Email: 2
Hash: 1
File: 1

Soft:
Protonmail, Ivanti, PAN-OS

Algorithms:
exhibit, md5, sha256

Win API:
SeDebugPrivilege

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon - это спонсируемая китайским государством группа по борьбе с сложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности, которая с 2019 года занимается долгосрочным шпионажем против глобальной телекоммуникационной инфраструктуры. Группа использует передовые технологии для использования периферийных устройств сети, поддерживает закрепление в целевых объектах и извлекает конфиденциальные данные, включая конфигурации голосовой связи и профили абонентов. Оперативная тактика включает модульную систему регистрации доменов и привлечение фирм-подрядчиков, которые обеспечивают возможность отрицания и расширяют операционные возможности, в то время как их встроенное вредоносное ПО предназначено для последовательной эксфильтрации данных посредством замаскированных коммуникаций.
-----

Salt Typhoon - это спонсируемая китайским государством группа по борьбе с наисложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности (MSS), действующая по меньшей мере с 2019 года, специализирующаяся на шпионаже против глобальной телекоммуникационной инфраструктуры. Группа использует периферийные устройства сети для поддержания закрепления и извлечения конфиденциальных данных, таких как метаданные связи и профили абонентов, у поставщиков телекоммуникационных услуг. Salt Typhoon использует гибридную операционную модель, сочетающую цели, поставленные государством, с возможностями подрядчиков, повышая масштабируемость и возможность отрицания. Среди выявленных подрядчиков - Sichuan Juxinhe Network Technology и Beijing Huanyu Tianqiong Information Technology. Их тактика включает в себя развертывание модульной инфраструктуры регистрации доменов, регистрацию по меньшей мере 45 доменов в период с 2020 по 2025 год, часто используя американских персонажей, которые могут помешать их усилиям по установлению авторства. Группа использует SSL-сертификаты, подтвержденные доменом, от таких поставщиков, как GoDaddy и Sectigo, для легитимизации своей инфраструктуры, одновременно облегчая операции командования и контроля. Основными целями являются телекоммуникационные и военные сети, причем методы начинаются с использования периферийных устройств для постоянного доступа и генерации данных. Их вредоносное ПО демонстрирует такое поведение, как последовательное использование маяков и зашифрованные сообщения, замаскированные под законные обновления. Таким ключевым фигурам, как Инь Кэчэн и Чжоу Шуай, были предъявлены обвинения и применены санкции за их роль в кибероперациях, что подчеркивает интеграцию усилий государства и подрядчиков в кибершпионаже Китая. Их оперативные схемы и использование инфраструктуры предоставляют правозащитникам возможности отслеживать и пресекать деятельность.