#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа по атаке наисложнейшими целенаправленными атаками "Pseudo Hunter" использует файлы vhdx в фишингов -атаках для первоначальной компрометации и эволюционировала для распространения зашифрованных полезных данных через репозиторий GitHub, усиливая запутывание и усложняя обнаружение. Этот метод позволяет им отдавать команды и доставлять вредоносное ПО, смешиваясь с легальными сервисами, что отражает тревожную тенденцию к усложнению тактики сложных целенаправленных атак и выявляет проблемы для механизмов обнаружения безопасности.
-----

В августе 2025 года разведывательная лаборатория DeepView выявила группу сложных целенаправленных атак (Сложные целенаправленные атаки APT), известную как "Pseudo Hunter", использующую файлы vhdx для фишинга. Эти файлы vhdx послужили исходным вектором для компрометации, позволив злоумышленникам получить доступ к целевым средам. В ходе дальнейшей эволюции своей тактики Pseudo Hunter использовал репозиторий GitHub для распространения зашифрованных полезных данных в рамках своих операций. Использование зашифрованных полезных данных означает попытку скрыть вредоносный контент, что усложняет задачу обнаружения и анализа для специалистов по безопасности.

Оперативное развертывание этих полезных нагрузок предполагает методичный подход к шпионажу, при котором злоумышленники могли бы отдавать команды и доставлять свое вредоносное ПО, оставаясь скрытыми в рамках законных служб хостинга хранилища. Этот метод не только облегчает распространение вредоносного кода, но и использует, казалось бы, безобидные платформы для распространения продвинутых угроз, тем самым повышая вероятность успешного проникновения в целевые сети. Интеграция этих тактических приемов указывает на тревожную тенденцию к усложнению сложных целенаправленных атак, подчеркивая необходимость усовершенствованных стратегий обнаружения угроз и устранения неполадок.

#ParsedReport #CompletenessHigh
24-09-2025

Inside Salt Typhoon: Chinas State-Corporate Advanced Persistent Threat

https://dti.domaintools.com/inside-salt-typhoon-chinas-state-corporate-advanced-persistent-threat/

Report completeness: High

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, cyber_criminal, financially_motivated, information_theft)
I-soon_leak (motivation: cyber_espionage)
Coldface (motivation: cyber_espionage)
Unc4841
0ktapus
Emissary_panda

Threats:
Lolbin_technique
Credential_harvesting_technique
Plugx_rat
Demodex_tool
Chinachopper
Credential_dumping_technique
Netstat_tool
Wevtutil_tool

Victims:
Telecommunications providers, Defense contractors, Government entities, Think tanks, Internet service providers, Military networks, Critical infrastructure sectors, Technology firms, Foreign ministries, Religious sector, have more...

Industry:
Software_development, Logistic, Foodtech, Transport, Military, Critical_infrastructure, Government, Telco

Geo:
Asian, France, Taiwan, United kingdom, Germany, Los angeles, Asia, China, Chinese, American, Chinas, Netherlands

CVEs:
CVE-2023-20198 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-3400 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-35082 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 21

IOCs:
Domain: 11
IP: 4
Email: 2
Hash: 1
File: 1

Soft:
Protonmail, Ivanti, PAN-OS

Algorithms:
exhibit, md5, sha256

Win API:
SeDebugPrivilege

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon - это спонсируемая китайским государством группа по борьбе с сложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности, которая с 2019 года занимается долгосрочным шпионажем против глобальной телекоммуникационной инфраструктуры. Группа использует передовые технологии для использования периферийных устройств сети, поддерживает закрепление в целевых объектах и извлекает конфиденциальные данные, включая конфигурации голосовой связи и профили абонентов. Оперативная тактика включает модульную систему регистрации доменов и привлечение фирм-подрядчиков, которые обеспечивают возможность отрицания и расширяют операционные возможности, в то время как их встроенное вредоносное ПО предназначено для последовательной эксфильтрации данных посредством замаскированных коммуникаций.
-----

Salt Typhoon - это спонсируемая китайским государством группа по борьбе с наисложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности (MSS), действующая по меньшей мере с 2019 года, специализирующаяся на шпионаже против глобальной телекоммуникационной инфраструктуры. Группа использует периферийные устройства сети для поддержания закрепления и извлечения конфиденциальных данных, таких как метаданные связи и профили абонентов, у поставщиков телекоммуникационных услуг. Salt Typhoon использует гибридную операционную модель, сочетающую цели, поставленные государством, с возможностями подрядчиков, повышая масштабируемость и возможность отрицания. Среди выявленных подрядчиков - Sichuan Juxinhe Network Technology и Beijing Huanyu Tianqiong Information Technology. Их тактика включает в себя развертывание модульной инфраструктуры регистрации доменов, регистрацию по меньшей мере 45 доменов в период с 2020 по 2025 год, часто используя американских персонажей, которые могут помешать их усилиям по установлению авторства. Группа использует SSL-сертификаты, подтвержденные доменом, от таких поставщиков, как GoDaddy и Sectigo, для легитимизации своей инфраструктуры, одновременно облегчая операции командования и контроля. Основными целями являются телекоммуникационные и военные сети, причем методы начинаются с использования периферийных устройств для постоянного доступа и генерации данных. Их вредоносное ПО демонстрирует такое поведение, как последовательное использование маяков и зашифрованные сообщения, замаскированные под законные обновления. Таким ключевым фигурам, как Инь Кэчэн и Чжоу Шуай, были предъявлены обвинения и применены санкции за их роль в кибероперациях, что подчеркивает интеграцию усилий государства и подрядчиков в кибершпионаже Китая. Их оперативные схемы и использование инфраструктуры предоставляют правозащитникам возможности отслеживать и пресекать деятельность.

#ParsedReport #CompletenessMedium
25-09-2025

Updated Bo Team grouping tools

https://securelist.ru/bo-team-upgrades-brockendoor-and-zeronetkit-backdoors/113536/

Report completeness: Medium

Actors/Campaigns:
Bo_team

Threats:
Brockendoor
Zeronetkit

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1566.001

IOCs:
File: 6
Command: 2
Hash: 13
Coin: 1
IP: 1
Domain: 7
Url: 5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года группа Bo Team активизировала свои кампании фишинга, распространяя вредоносное ПО с помощью вводящих в заблуждение информационных бюллетеней, касающихся расследований политики ДМС, что привело к появлению вредоносных вложений, таких как "The order_protokol.rar ." Они обновили свой бэкдор Broeckendoor на C#, улучшив его тактику запутывания, чтобы избежать обнаружения, сократив номенклатуру команд. Эта новая версия выступает в качестве загрузчика для Zeronetkit, бэкдора на базе Go, ориентированного на сетевое взаимодействие, что отражает стремление группы совершенствовать свои угрозы кибербезопасности.
-----

В сентябре 2025 года группа Bo Team запустила новую кампанию, использующую тактику фишинга для распространения вредоносного ПО. Анализ их недавней деятельности выявил использование вводящих в заблуждение информационных бюллетеней, утверждающих, что они связаны с официальным расследованием злоупотребления политикой ДМС, которые были разработаны с целью побудить пользователей открывать вредоносные вложения. Эти вложения обычно содержали защищенный паролем RAR-архив с именем "The order_protokol.rar ," с паролем, удобно указанным в тексте письма, чтобы избежать автоматической антивирусной проверки.

Примечательно, что Bo Team обновила свои инструменты для работы с вредоносным ПО, значительно обновив Backdoor. Broeckendoor Этот новый вариант был переписан на C#, но сохранил большую часть функциональности оригинала. Обновления бэкдора включают изменение номенклатуры командных опций; конкретные командные команды были сокращены до двух или трех символов, что помогает в запутывании. Например, такие команды, как "set_poll_interval", были сокращены до "spi", а "run_program" - до "rp", что может создавать дополнительные проблемы для методов обнаружения, которые полагаются на распознавание установленных структур команд.

Более того, обновленный Broeckendoor служит загрузчиком для бэкдора Zeronetkit, еще одной полезной нагрузки второго этапа, широко используемой в операциях Bo Team's. Zeronetkit, впервые обнаруженный в конце 2024 года, написан на Go и обладает ограниченным числом функций — всего четырьмя — предназначенных в первую очередь для сетевого взаимодействия. Его название происходит от ранних ссылок на "ZeroNet" от Vegas в предыдущих версиях, сигнализирующих о его расширяющихся возможностях по мере изменения ландшафта угроз.

Подводя итог, можно сказать, что группа Bo Team активно совершенствует свои киберинструменты и стратегии. Их последняя кампания отражает постоянное внимание к фишингу как первоначальному источнику заражения в сочетании с улучшенными возможностями вредоносного ПО, включающими недавно разработанный C# Broeckendoor и оперативное использование Zeronetkit, что свидетельствует об их постоянной адаптивности и угрозе кибербезопасности. Постоянный мониторинг их деятельности имеет решающее значение для понимания их меняющейся тактики и смягчения потенциальных воздействий.

#ParsedReport #CompletenessMedium
24-09-2025

Two Malicious Rust Crates Impersonate Popular Logger to Steal Wallet Keys

https://socket.dev/blog/two-malicious-rust-crates-impersonate-popular-logger-to-steal-wallet-keys

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Software developers, Open source ecosystem, Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 6

IOCs:
Url: 3
File: 10

Soft:
Outlook, Linux, macOS

Wallets:
mainnet

Crypto:
solana, ethereum

Algorithms:
base58

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены два вредоносных ящика Rust, выдающих себя за законный регистратор fast_log для кражи ключей кошельков Solana и Ethereum. Эти ящики, опубликованные под подозрительными учетными записями, содержат код эксфильтрации, который отправляет шаблоны ключей кошелька на конечную точку управления (C2), замаскированную под RPC-сервис блокчейна. Сопутствующий crate использует аналогичный метод для взаимодействия с тем же C2, что подчеркивает риск Компрометации цепочки поставок программного обеспечения.
-----

Были обнаружены два вредоносных ящика Rust, которые выдают себя за законный регистратор fast_log с целью кражи ключей кошельков Solana и Ethereum. Эти вредоносные пакеты, опубликованные под учетными записями rustguruman и dumbn на основе crates.io, используют стратегию, которая имитирует реальный регистратор fast_log, копируя его README и сохраняя функциональный код ведения журнала. Такая схема предназначена для того, чтобы избежать обнаружения при беглом просмотре.

Вредоносная функциональность встроена в код crates, который выводит шаблоны ключей кошелька на конечную точку command and control (C2). Конечная точка замаскирована под блокчейн-RPC-сервис, что делает ее похожей на стандартный трафик разработчиков, чтобы избежать проверки. Кроме того, сопутствующий crate async_println использует аналогичный метод эксфильтрации и взаимодействует с той же конечной точкой C2, хотя и с небольшими различиями в именах функций и обработке данных.

В ответ на эту угрозу команда безопасности Crates вмешалась и заблокировала учетные записи вредоносных издателей, чтобы предотвратить дальнейшее распространение этих ящиков. Инцидент иллюстрирует очевидную Компрометацию цепочки поставок, вписывающуюся в рамки MITRE ATT&CK в соответствии с методикой T1195.002. Это подчеркивает уязвимость supply chains программного обеспечения и необходимость строгого контроля за сторонними библиотеками для защиты от подобных угроз.

#ParsedReport #CompletenessLow
25-09-2025

Where Are my Keys?! Ransomware Group Steals AWS Keys to Advance

https://www.varonis.com/blog/aws-keys

Report completeness: Low

Actors/Campaigns:
0ktapus

Victims:
Cloud infrastructure, Aws environments, On premise infrastructure

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1526, T1550.001, T1588.003

Soft:
Pacu, GuardDuty, Twitter

Languages:
swift

Links:
https://github.com/RhinoSecurityLabs/pacu

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группы вымогателей все чаще нацеливаются на системы управления AWS, используя украденные ключи AWS, что расширяет возможности атак для организаций, которым может не хватать надлежащего мониторинга. Такие инструменты, как Pacu, хотя и предназначены для этического тестирования сред AWS, также могут быть использованы злоумышленниками в качестве оружия. Расследования показали, что скомпрометированные ключи связывают облачные угрозы с атаками программ-вымогателей на локальную инфраструктуру, что подчеркивает необходимость интегрированных стратегий безопасности в облачных и локальных системах.
-----

Группы вымогателей все чаще начинают нацеливаться на уровни управления облаком, в частности на уровень управления AWS, используя украденные ключи AWS. Этот сдвиг свидетельствует о значительном расширении возможностей для атак в организациях, особенно там, где возможности мониторинга и обнаружения могут быть не так развиты, как в традиционных локальных средах. Когда злоумышленники-вымогатели получают доступ к плоскости управления, они могут осуществлять больший контроль над облачными ресурсами, что делает эти атаки потенциально более опасными и результативными.

Важным инструментом в этом контексте является Pacu, законный инструмент, используемый для оценки среды AWS с помощью тестирования на проникновение. Хотя Pacu может служить этическим целям, его возможности также могут быть использованы злоумышленниками не по назначению для облегчения своих атак на облачную инфраструктуру. Идентификация и оценка этих угроз имеют решающее значение для эффективной кибербезопасности.

Следственные действия после обнаружения скомпрометированных ключей AWS включали использование таких инструментов, как Varonis, которые позволили идентифицировать конкретные действия API, выполняемые с использованием украденных ключей. Этот процесс включал отслеживание IP-адресов, связанных с вредоносными вызовами API, что позволило получить ценные индикаторы компрометации (IOCs). Такая информация имеет решающее значение для обнаружения и предотвращения дальнейших атак.

Расследование показало, что сервер Veeam выступал в качестве координатора использования скомпрометированных ключей, связывая облачную угрозу с продолжающейся атакой программ-вымогателей на локальную инфраструктуру. Это указывает на то, что злоумышленники не только нацелены на облачные системы, но и способны соединять атаки между облачной и локальной средами, подчеркивая необходимость согласованных стратегий безопасности в обеих областях.

Организации должны осознавать меняющийся ландшафт киберугроз и соответствующим образом адаптировать свои механизмы защиты. Внедрение надежных систем мониторинга и обнаружения в облачных средах, особенно на уровне управления, жизненно важно для защиты от такой изощренной тактики вымогателей.

#ParsedReport #CompletenessMedium
25-09-2025

XWorm Malware Analysis: SOC & IR Perspective on Persistence, C2, and Anti-Analysis Tactics

https://medium.com/@0xzyadelzyat/xworm-malware-analysis-soc-ir-perspective-on-persistence-c2-and-anti-analysis-tactics-ed41d335b2ce?source=rss-b460882b1cf8------2

Report completeness: Medium

Threats:
Xworm_rat

TTPs:
Tactics: 4
Technics: 6

IOCs:
Hash: 6
IP: 10
File: 3
Url: 1

Soft:
Telegram, VirtualBox

Algorithms:
md5, aes-cbc, sha1, cbc, aes, sha256

Links:
https://github.com/kant2002/de4dot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm, троянец удаленного доступа на базе .NET (RAT) и бэкдор-вредоносное ПО, предназначенный как для предприятий, так и для частных лиц, обеспечивающий постоянный доступ и эксфильтрацию данных с помощью зашифрованных средств управления (C2). Он работает через децентрализованную инфраструктуру C2 с запутанными исполняемыми файлами, используя сложные методы запутывания и антианализа, чтобы избежать обнаружения. Вредоносное ПО использует шифрование AES для защиты трафика C2 и направляет телеметрические данные, включая идентификаторы версий, на такие каналы, как Telegram, что указывает на его сложность в управлении операциями.
-----

XWorm - это троян удаленного доступа (RAT) и бэкдор- вредоносное ПО, отличающееся универсальностью и уклончивостью, нацеленное как на предприятия, так и на отдельных пользователей. Разработанный в .NET, он продемонстрировал стабильную способность устанавливать постоянный доступ к зараженным системам, облегчать эксфильтрацию данных и использовать зашифрованные средства управления (C2). Недавний анализ вредоносного ПО включал изучение двух сильно запутанных .ЧИСТЫЕ исполняемые файлы.

Вредоносное ПО использует децентрализованную инфраструктуру C2, которая использует множество IP-адресов, доменов и даже каналов Telegram. Эта избыточность усложняет простые стратегии смягчения последствий, поскольку простые методы блокировки IP-адресов оказываются недостаточными для нарушения работы XWorm's. Кроме того, вредоносное ПО использует сложные методы обфускации, полагаясь на строковое шифрование и методы упаковки, чтобы эффективно избежать обнаружения с помощью мер безопасности, основанных на сигнатурах.

Для защиты своего трафика C2 XWorm использует алгоритм шифрования AES (в частности, управляемый Rijndael, работающий в режиме CBC), позволяющий скрывать конфиденциальные данные во время эксфильтрации. Сбор телеметрии с помощью XWorm направляется в Telegram и включает идентификаторы версий, такие как XWorm V5.0, который помогает злоумышленникам управлять и обновлять свои варианты вредоносного ПО.

Более того, XWorm использует ряд методов антианализа, предназначенных для того, чтобы помешать обратному проектированию и анализу со стороны специалистов по безопасности. Хотя конкретные стратегии не были детализированы, это свидетельствует о сложных методах, которые XWorm использует для поддержания своей операционной безопасности.

Понимание этих технических деталей подчеркивает важность постоянного мониторинга и передовых стратегий реагирования для противодействия воздействию XWorm и подобных угроз. Сложности, связанные с архитектурой C2 и механизмами запутывания, требуют многоуровневого подхода к защите от кибербезопасности, уделяя особое внимание как динамическому обнаружению, так и упреждающему поиску угроз.

#ParsedReport #CompletenessLow
25-09-2025

Hidden WordPress Backdoors Creating Admin Accounts

https://blog.sucuri.net/2025/09/hidden-wordpress-backdoors-creating-admin-accounts.html

Report completeness: Low

Victims:
Wordpress websites

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1059.007, T1071.001, T1105, T1136.001, T1190, T1505.003, T1564.001

IOCs:
File: 2
Url: 1

Soft:
WordPress

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование взломанных сайтов WordPress выявило два Вредоносных файла, DebugMaster.php и wp-user.php , предназначенный для поддержания постоянного доступа злоумышленников путем манипулирования учетными записями администраторов. DebugMaster.php , замаскированный под законный плагин, создает учетную запись администратора с жестко закодированными учетными данными и скрывается, в то время как wp-user.php отслеживает учетные записи пользователей, чтобы удалить конкретного пользователя и воссоздать его заново с помощью пароля злоумышленника, обеспечивая постоянный доступ. Оба файла также содержат внешние скрипты, что усложняет усилия по восстановлению сайта, позволяя злоумышленникам отслеживать поведение пользователей или развертывать дальнейшие вредоносные действия.
-----

Недавние расследования взломанных сайтов WordPress выявили наличие двух Вредоносных файлов, разработанных специально для манипулирования учетными записями администраторов, что позволяет злоумышленникам сохранять постоянный доступ. Эти файлы, замаскированные под законные компоненты WordPress, представляют значительную угрозу безопасности, гарантируя, что даже в случае обнаружения злоумышленники смогут восстановить доступ.

Один примечательный файл, расположенный в каталоге plugins как DebugMaster.php , маскируется под законный плагин под названием "DebugMaster Pro". Вопреки своему внешнему виду, файл содержит сильно запутанный и вредоносный код. Его основная функциональность заключается в создании учетной записи администратора с жестко закодированными учетными данными, что позволяет злоумышленникам обходить стандартные меры аутентификации. Кроме того, этот плагин предназначен для скрытия себя из списков плагинов и может передавать украденную информацию на сервер удаленного командования и контроля (C2).

Вторичный вредоносный скрипт, wp-user.php , служит для усиления закрепления злоумышленника за счет активного мониторинга существующих учетных записей пользователей WordPress. Если он обнаруживает пользователя с именем "справка", он удаляет эту учетную запись и создает ее заново с предпочтительным паролем злоумышленника. Если учетная запись не найдена, вместо нее создается новая учетная запись администратора. Такой подход гарантирует, что злоумышленник сохранит доступ, даже если владелец сайта попытается удалить или изменить эти учетные записи.

Более того, эти компоненты вредоносного ПО также внедряют внешние скрипты на веб-сайт, воздействуя на всех посетителей, исключая администраторов или IP-адреса, внесенные вредоносным ПО в белый список. Это означает, что злоумышленники могут развертывать дальнейшие вредоносные действия или отслеживать поведение пользователя без немедленного обнаружения.

Воздействие этого вредоносного ПО является значительным, поскольку оно создает или воссоздает учетные записи уровня администратора, что усложняет усилия по восстановлению сайта. Даже после попыток очистки механизмы закрепления, используемые в этих файлах, могут привести к повторяющимся проблемам, если их эффективно не устранить.

Для эффективной очистки и защиты от этих угроз владельцы веб-сайтов должны немедленно удалить плагин DebugMaster и файл wp-user.php, провести аудит учетных записей пользователей, чтобы исключить несанкционированные, и сбросить все соответствующие пароли. Обновление ядра WordPress, плагинов и тем до последних версий имеет решающее значение для устранения уязвимостей. Кроме того, жизненно важен мониторинг исходящего трафика на предмет подозрительной активности, что требует тщательной проверки журналов сервера на предмет обнаружения любых подключений к неизвестным доменам.

Эти данные подчеркивают изощренные методы, используемые злоумышленниками для обеспечения надежного доступа через многоуровневые бэкдоры, что подчеркивает необходимость тщательного соблюдения правил безопасности в среде WordPress.