#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon - это спонсируемая китайским государством группа по борьбе с сложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности, которая с 2019 года занимается долгосрочным шпионажем против глобальной телекоммуникационной инфраструктуры. Группа использует передовые технологии для использования периферийных устройств сети, поддерживает закрепление в целевых объектах и извлекает конфиденциальные данные, включая конфигурации голосовой связи и профили абонентов. Оперативная тактика включает модульную систему регистрации доменов и привлечение фирм-подрядчиков, которые обеспечивают возможность отрицания и расширяют операционные возможности, в то время как их встроенное вредоносное ПО предназначено для последовательной эксфильтрации данных посредством замаскированных коммуникаций.
-----

Salt Typhoon - это спонсируемая китайским государством группа по борьбе с наисложнейшими целенаправленными угрозами, связанная с Министерством государственной безопасности (MSS), действующая по меньшей мере с 2019 года, специализирующаяся на шпионаже против глобальной телекоммуникационной инфраструктуры. Группа использует периферийные устройства сети для поддержания закрепления и извлечения конфиденциальных данных, таких как метаданные связи и профили абонентов, у поставщиков телекоммуникационных услуг. Salt Typhoon использует гибридную операционную модель, сочетающую цели, поставленные государством, с возможностями подрядчиков, повышая масштабируемость и возможность отрицания. Среди выявленных подрядчиков - Sichuan Juxinhe Network Technology и Beijing Huanyu Tianqiong Information Technology. Их тактика включает в себя развертывание модульной инфраструктуры регистрации доменов, регистрацию по меньшей мере 45 доменов в период с 2020 по 2025 год, часто используя американских персонажей, которые могут помешать их усилиям по установлению авторства. Группа использует SSL-сертификаты, подтвержденные доменом, от таких поставщиков, как GoDaddy и Sectigo, для легитимизации своей инфраструктуры, одновременно облегчая операции командования и контроля. Основными целями являются телекоммуникационные и военные сети, причем методы начинаются с использования периферийных устройств для постоянного доступа и генерации данных. Их вредоносное ПО демонстрирует такое поведение, как последовательное использование маяков и зашифрованные сообщения, замаскированные под законные обновления. Таким ключевым фигурам, как Инь Кэчэн и Чжоу Шуай, были предъявлены обвинения и применены санкции за их роль в кибероперациях, что подчеркивает интеграцию усилий государства и подрядчиков в кибершпионаже Китая. Их оперативные схемы и использование инфраструктуры предоставляют правозащитникам возможности отслеживать и пресекать деятельность.

#ParsedReport #CompletenessMedium
25-09-2025

Updated Bo Team grouping tools

https://securelist.ru/bo-team-upgrades-brockendoor-and-zeronetkit-backdoors/113536/

Report completeness: Medium

Actors/Campaigns:
Bo_team

Threats:
Brockendoor
Zeronetkit

Industry:
Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1566.001

IOCs:
File: 6
Command: 2
Hash: 13
Coin: 1
IP: 1
Domain: 7
Url: 5

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2025 года группа Bo Team активизировала свои кампании фишинга, распространяя вредоносное ПО с помощью вводящих в заблуждение информационных бюллетеней, касающихся расследований политики ДМС, что привело к появлению вредоносных вложений, таких как "The order_protokol.rar ." Они обновили свой бэкдор Broeckendoor на C#, улучшив его тактику запутывания, чтобы избежать обнаружения, сократив номенклатуру команд. Эта новая версия выступает в качестве загрузчика для Zeronetkit, бэкдора на базе Go, ориентированного на сетевое взаимодействие, что отражает стремление группы совершенствовать свои угрозы кибербезопасности.
-----

В сентябре 2025 года группа Bo Team запустила новую кампанию, использующую тактику фишинга для распространения вредоносного ПО. Анализ их недавней деятельности выявил использование вводящих в заблуждение информационных бюллетеней, утверждающих, что они связаны с официальным расследованием злоупотребления политикой ДМС, которые были разработаны с целью побудить пользователей открывать вредоносные вложения. Эти вложения обычно содержали защищенный паролем RAR-архив с именем "The order_protokol.rar ," с паролем, удобно указанным в тексте письма, чтобы избежать автоматической антивирусной проверки.

Примечательно, что Bo Team обновила свои инструменты для работы с вредоносным ПО, значительно обновив Backdoor. Broeckendoor Этот новый вариант был переписан на C#, но сохранил большую часть функциональности оригинала. Обновления бэкдора включают изменение номенклатуры командных опций; конкретные командные команды были сокращены до двух или трех символов, что помогает в запутывании. Например, такие команды, как "set_poll_interval", были сокращены до "spi", а "run_program" - до "rp", что может создавать дополнительные проблемы для методов обнаружения, которые полагаются на распознавание установленных структур команд.

Более того, обновленный Broeckendoor служит загрузчиком для бэкдора Zeronetkit, еще одной полезной нагрузки второго этапа, широко используемой в операциях Bo Team's. Zeronetkit, впервые обнаруженный в конце 2024 года, написан на Go и обладает ограниченным числом функций — всего четырьмя — предназначенных в первую очередь для сетевого взаимодействия. Его название происходит от ранних ссылок на "ZeroNet" от Vegas в предыдущих версиях, сигнализирующих о его расширяющихся возможностях по мере изменения ландшафта угроз.

Подводя итог, можно сказать, что группа Bo Team активно совершенствует свои киберинструменты и стратегии. Их последняя кампания отражает постоянное внимание к фишингу как первоначальному источнику заражения в сочетании с улучшенными возможностями вредоносного ПО, включающими недавно разработанный C# Broeckendoor и оперативное использование Zeronetkit, что свидетельствует об их постоянной адаптивности и угрозе кибербезопасности. Постоянный мониторинг их деятельности имеет решающее значение для понимания их меняющейся тактики и смягчения потенциальных воздействий.

#ParsedReport #CompletenessMedium
24-09-2025

Two Malicious Rust Crates Impersonate Popular Logger to Steal Wallet Keys

https://socket.dev/blog/two-malicious-rust-crates-impersonate-popular-logger-to-steal-wallet-keys

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Software developers, Open source ecosystem, Cryptocurrency users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 6

IOCs:
Url: 3
File: 10

Soft:
Outlook, Linux, macOS

Wallets:
mainnet

Crypto:
solana, ethereum

Algorithms:
base58

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены два вредоносных ящика Rust, выдающих себя за законный регистратор fast_log для кражи ключей кошельков Solana и Ethereum. Эти ящики, опубликованные под подозрительными учетными записями, содержат код эксфильтрации, который отправляет шаблоны ключей кошелька на конечную точку управления (C2), замаскированную под RPC-сервис блокчейна. Сопутствующий crate использует аналогичный метод для взаимодействия с тем же C2, что подчеркивает риск Компрометации цепочки поставок программного обеспечения.
-----

Были обнаружены два вредоносных ящика Rust, которые выдают себя за законный регистратор fast_log с целью кражи ключей кошельков Solana и Ethereum. Эти вредоносные пакеты, опубликованные под учетными записями rustguruman и dumbn на основе crates.io, используют стратегию, которая имитирует реальный регистратор fast_log, копируя его README и сохраняя функциональный код ведения журнала. Такая схема предназначена для того, чтобы избежать обнаружения при беглом просмотре.

Вредоносная функциональность встроена в код crates, который выводит шаблоны ключей кошелька на конечную точку command and control (C2). Конечная точка замаскирована под блокчейн-RPC-сервис, что делает ее похожей на стандартный трафик разработчиков, чтобы избежать проверки. Кроме того, сопутствующий crate async_println использует аналогичный метод эксфильтрации и взаимодействует с той же конечной точкой C2, хотя и с небольшими различиями в именах функций и обработке данных.

В ответ на эту угрозу команда безопасности Crates вмешалась и заблокировала учетные записи вредоносных издателей, чтобы предотвратить дальнейшее распространение этих ящиков. Инцидент иллюстрирует очевидную Компрометацию цепочки поставок, вписывающуюся в рамки MITRE ATT&CK в соответствии с методикой T1195.002. Это подчеркивает уязвимость supply chains программного обеспечения и необходимость строгого контроля за сторонними библиотеками для защиты от подобных угроз.

#ParsedReport #CompletenessLow
25-09-2025

Where Are my Keys?! Ransomware Group Steals AWS Keys to Advance

https://www.varonis.com/blog/aws-keys

Report completeness: Low

Actors/Campaigns:
0ktapus

Victims:
Cloud infrastructure, Aws environments, On premise infrastructure

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1526, T1550.001, T1588.003

Soft:
Pacu, GuardDuty, Twitter

Languages:
swift

Links:
https://github.com/RhinoSecurityLabs/pacu

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группы вымогателей все чаще нацеливаются на системы управления AWS, используя украденные ключи AWS, что расширяет возможности атак для организаций, которым может не хватать надлежащего мониторинга. Такие инструменты, как Pacu, хотя и предназначены для этического тестирования сред AWS, также могут быть использованы злоумышленниками в качестве оружия. Расследования показали, что скомпрометированные ключи связывают облачные угрозы с атаками программ-вымогателей на локальную инфраструктуру, что подчеркивает необходимость интегрированных стратегий безопасности в облачных и локальных системах.
-----

Группы вымогателей все чаще начинают нацеливаться на уровни управления облаком, в частности на уровень управления AWS, используя украденные ключи AWS. Этот сдвиг свидетельствует о значительном расширении возможностей для атак в организациях, особенно там, где возможности мониторинга и обнаружения могут быть не так развиты, как в традиционных локальных средах. Когда злоумышленники-вымогатели получают доступ к плоскости управления, они могут осуществлять больший контроль над облачными ресурсами, что делает эти атаки потенциально более опасными и результативными.

Важным инструментом в этом контексте является Pacu, законный инструмент, используемый для оценки среды AWS с помощью тестирования на проникновение. Хотя Pacu может служить этическим целям, его возможности также могут быть использованы злоумышленниками не по назначению для облегчения своих атак на облачную инфраструктуру. Идентификация и оценка этих угроз имеют решающее значение для эффективной кибербезопасности.

Следственные действия после обнаружения скомпрометированных ключей AWS включали использование таких инструментов, как Varonis, которые позволили идентифицировать конкретные действия API, выполняемые с использованием украденных ключей. Этот процесс включал отслеживание IP-адресов, связанных с вредоносными вызовами API, что позволило получить ценные индикаторы компрометации (IOCs). Такая информация имеет решающее значение для обнаружения и предотвращения дальнейших атак.

Расследование показало, что сервер Veeam выступал в качестве координатора использования скомпрометированных ключей, связывая облачную угрозу с продолжающейся атакой программ-вымогателей на локальную инфраструктуру. Это указывает на то, что злоумышленники не только нацелены на облачные системы, но и способны соединять атаки между облачной и локальной средами, подчеркивая необходимость согласованных стратегий безопасности в обеих областях.

Организации должны осознавать меняющийся ландшафт киберугроз и соответствующим образом адаптировать свои механизмы защиты. Внедрение надежных систем мониторинга и обнаружения в облачных средах, особенно на уровне управления, жизненно важно для защиты от такой изощренной тактики вымогателей.

#ParsedReport #CompletenessMedium
25-09-2025

XWorm Malware Analysis: SOC & IR Perspective on Persistence, C2, and Anti-Analysis Tactics

https://medium.com/@0xzyadelzyat/xworm-malware-analysis-soc-ir-perspective-on-persistence-c2-and-anti-analysis-tactics-ed41d335b2ce?source=rss-b460882b1cf8------2

Report completeness: Medium

Threats:
Xworm_rat

TTPs:
Tactics: 4
Technics: 6

IOCs:
Hash: 6
IP: 10
File: 3
Url: 1

Soft:
Telegram, VirtualBox

Algorithms:
md5, aes-cbc, sha1, cbc, aes, sha256

Links:
https://github.com/kant2002/de4dot

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm, троянец удаленного доступа на базе .NET (RAT) и бэкдор-вредоносное ПО, предназначенный как для предприятий, так и для частных лиц, обеспечивающий постоянный доступ и эксфильтрацию данных с помощью зашифрованных средств управления (C2). Он работает через децентрализованную инфраструктуру C2 с запутанными исполняемыми файлами, используя сложные методы запутывания и антианализа, чтобы избежать обнаружения. Вредоносное ПО использует шифрование AES для защиты трафика C2 и направляет телеметрические данные, включая идентификаторы версий, на такие каналы, как Telegram, что указывает на его сложность в управлении операциями.
-----

XWorm - это троян удаленного доступа (RAT) и бэкдор- вредоносное ПО, отличающееся универсальностью и уклончивостью, нацеленное как на предприятия, так и на отдельных пользователей. Разработанный в .NET, он продемонстрировал стабильную способность устанавливать постоянный доступ к зараженным системам, облегчать эксфильтрацию данных и использовать зашифрованные средства управления (C2). Недавний анализ вредоносного ПО включал изучение двух сильно запутанных .ЧИСТЫЕ исполняемые файлы.

Вредоносное ПО использует децентрализованную инфраструктуру C2, которая использует множество IP-адресов, доменов и даже каналов Telegram. Эта избыточность усложняет простые стратегии смягчения последствий, поскольку простые методы блокировки IP-адресов оказываются недостаточными для нарушения работы XWorm's. Кроме того, вредоносное ПО использует сложные методы обфускации, полагаясь на строковое шифрование и методы упаковки, чтобы эффективно избежать обнаружения с помощью мер безопасности, основанных на сигнатурах.

Для защиты своего трафика C2 XWorm использует алгоритм шифрования AES (в частности, управляемый Rijndael, работающий в режиме CBC), позволяющий скрывать конфиденциальные данные во время эксфильтрации. Сбор телеметрии с помощью XWorm направляется в Telegram и включает идентификаторы версий, такие как XWorm V5.0, который помогает злоумышленникам управлять и обновлять свои варианты вредоносного ПО.

Более того, XWorm использует ряд методов антианализа, предназначенных для того, чтобы помешать обратному проектированию и анализу со стороны специалистов по безопасности. Хотя конкретные стратегии не были детализированы, это свидетельствует о сложных методах, которые XWorm использует для поддержания своей операционной безопасности.

Понимание этих технических деталей подчеркивает важность постоянного мониторинга и передовых стратегий реагирования для противодействия воздействию XWorm и подобных угроз. Сложности, связанные с архитектурой C2 и механизмами запутывания, требуют многоуровневого подхода к защите от кибербезопасности, уделяя особое внимание как динамическому обнаружению, так и упреждающему поиску угроз.

#ParsedReport #CompletenessLow
25-09-2025

Hidden WordPress Backdoors Creating Admin Accounts

https://blog.sucuri.net/2025/09/hidden-wordpress-backdoors-creating-admin-accounts.html

Report completeness: Low

Victims:
Wordpress websites

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1041, T1059.007, T1071.001, T1105, T1136.001, T1190, T1505.003, T1564.001

IOCs:
File: 2
Url: 1

Soft:
WordPress

Algorithms:
base64

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Расследование взломанных сайтов WordPress выявило два Вредоносных файла, DebugMaster.php и wp-user.php , предназначенный для поддержания постоянного доступа злоумышленников путем манипулирования учетными записями администраторов. DebugMaster.php , замаскированный под законный плагин, создает учетную запись администратора с жестко закодированными учетными данными и скрывается, в то время как wp-user.php отслеживает учетные записи пользователей, чтобы удалить конкретного пользователя и воссоздать его заново с помощью пароля злоумышленника, обеспечивая постоянный доступ. Оба файла также содержат внешние скрипты, что усложняет усилия по восстановлению сайта, позволяя злоумышленникам отслеживать поведение пользователей или развертывать дальнейшие вредоносные действия.
-----

Недавние расследования взломанных сайтов WordPress выявили наличие двух Вредоносных файлов, разработанных специально для манипулирования учетными записями администраторов, что позволяет злоумышленникам сохранять постоянный доступ. Эти файлы, замаскированные под законные компоненты WordPress, представляют значительную угрозу безопасности, гарантируя, что даже в случае обнаружения злоумышленники смогут восстановить доступ.

Один примечательный файл, расположенный в каталоге plugins как DebugMaster.php , маскируется под законный плагин под названием "DebugMaster Pro". Вопреки своему внешнему виду, файл содержит сильно запутанный и вредоносный код. Его основная функциональность заключается в создании учетной записи администратора с жестко закодированными учетными данными, что позволяет злоумышленникам обходить стандартные меры аутентификации. Кроме того, этот плагин предназначен для скрытия себя из списков плагинов и может передавать украденную информацию на сервер удаленного командования и контроля (C2).

Вторичный вредоносный скрипт, wp-user.php , служит для усиления закрепления злоумышленника за счет активного мониторинга существующих учетных записей пользователей WordPress. Если он обнаруживает пользователя с именем "справка", он удаляет эту учетную запись и создает ее заново с предпочтительным паролем злоумышленника. Если учетная запись не найдена, вместо нее создается новая учетная запись администратора. Такой подход гарантирует, что злоумышленник сохранит доступ, даже если владелец сайта попытается удалить или изменить эти учетные записи.

Более того, эти компоненты вредоносного ПО также внедряют внешние скрипты на веб-сайт, воздействуя на всех посетителей, исключая администраторов или IP-адреса, внесенные вредоносным ПО в белый список. Это означает, что злоумышленники могут развертывать дальнейшие вредоносные действия или отслеживать поведение пользователя без немедленного обнаружения.

Воздействие этого вредоносного ПО является значительным, поскольку оно создает или воссоздает учетные записи уровня администратора, что усложняет усилия по восстановлению сайта. Даже после попыток очистки механизмы закрепления, используемые в этих файлах, могут привести к повторяющимся проблемам, если их эффективно не устранить.

Для эффективной очистки и защиты от этих угроз владельцы веб-сайтов должны немедленно удалить плагин DebugMaster и файл wp-user.php, провести аудит учетных записей пользователей, чтобы исключить несанкционированные, и сбросить все соответствующие пароли. Обновление ядра WordPress, плагинов и тем до последних версий имеет решающее значение для устранения уязвимостей. Кроме того, жизненно важен мониторинг исходящего трафика на предмет подозрительной активности, что требует тщательной проверки журналов сервера на предмет обнаружения любых подключений к неизвестным доменам.

Эти данные подчеркивают изощренные методы, используемые злоумышленниками для обеспечения надежного доступа через многоуровневые бэкдоры, что подчеркивает необходимость тщательного соблюдения правил безопасности в среде WordPress.

#ParsedReport #CompletenessLow
25-09-2025

New LockBit 5.0 Targets Windows, Linux, ESXi

https://www.trendmicro.com/en_us/research/25/i/lockbit-5-targets-windows-linux-esxi.html

Report completeness: Low

Threats:
Lockbit

Victims:
Enterprise networks, Virtualization infrastructure

Geo:
Russia, Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1059, T1059.003, T1106, T1140, T1486, T1622

IOCs:
Hash: 5

Soft:
Linux, ESXi, Windows Event Tracing

Algorithms:
exhibit, sha256

Win API:
EtwEventWrite, EvtClearLog

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit 5.0, последняя версия программы-вымогателя, обладает улучшенными методами запутывания и антианализа, а также кроссплатформенными возможностями, ориентированными на среды Windows, Linux и ESXi. Программа-вымогатель позволяет злоумышленникам настраивать стратегии шифрования и внедрила вариант ESXi, который может поставить под угрозу целые виртуальные инфраструктуры. Он сохраняет основные функциональные возможности LockBit 4.0, облегчая более широкие корпоративные атаки и одновременно усложняя обнаружение благодаря улучшенным методам уклонения.
-----

LockBit 5.0, последняя версия печально известной программы-вымогателя, демонстрирует значительный прогресс в своих технических возможностях, в частности, благодаря усовершенствованиям методов запутывания и антианализа, а также кроссплатформенной функциональности, ориентированной на среды Windows, Linux и ESXi. Эта версия представляет усовершенствованный пользовательский интерфейс для своего варианта Windows, использующий параметр -h для обеспечения удобного доступа пользователя к различным операционным командам. Злоумышленники могут настраивать свои стратегии шифрования, указывая целевые каталоги, используя такие режимы, как невидимый и подробный, и уточняя параметры шифрования. Такой уровень гибкости значительно повышает оперативную эффективность программы-вымогателя для злоумышленников.

Версия Linux воспроизводит тот же интерфейс командной строки и функциональность, что и в версии Windows, подчеркивая стремление LockBit предоставлять злоумышленникам единообразные инструменты для различных операционных систем. В качестве примечательной разработки LockBit 5.0 также представил выделенный вариант для серверов ESXi, которые являются критически важными компонентами в инфраструктурах виртуализации VMware. Такой целенаправленный подход позволяет злоумышленникам компрометировать не только отдельные машины, но и целые виртуальные среды, тем самым усиливая потенциальное воздействие успешных атак.

Сравнительный анализ между LockBit 4.0 и 5.0 показывает, что 5.0 - это эволюционное обновление, использующее большую часть базового кода своего предшественника, а не полный пересмотр. Обе версии используют идентичные алгоритмы хэширования для операций со строками, необходимые для таких задач, как разрешение API и идентификация сервиса. Такая преемственность в структуре кода, особенно в том, что касается Динамического разрешения API, предполагает итеративный подход к разработке, фокусирующийся на расширении существующих возможностей вместо создания заново.

Внедрение мультиплатформенных версий LockBit 5.0 усиливает стратегию программы-вымогателя по проведению более широких атак в корпоративных сетях — от рабочих станций пользователей до критически важных серверов. Вариант ESXi вызывает особое беспокойство, поскольку он потенциально может шифровать целые виртуализированные среды за одно выполнение, создавая серьезный риск для организаций, использующих VMware. Кроме того, усовершенствованные методы обфускации, используемые в этих новых вариантах, усложняют разработку эффективных сигнатур обнаружения, а такие усовершенствования, как удаление маркеров заражения и ускоренные процессы шифрования, значительно повышают уровень угрозы, создаваемой LockBit 5.0 по сравнению с его предшественниками.

#ParsedReport #CompletenessMedium
25-09-2025

NodeJS backdoors delivering proxyware and monetization schemes

https://medium.com/walmartglobaltech/nodejs-backdoors-delivering-proxyware-and-monetization-schemes-1562917ed107

Report completeness: Medium

Threats:
Obfuscator_io_tool

Victims:
Proxyware users

IOCs:
Hash: 9
File: 36
Registry: 3
Domain: 20
Url: 8
IP: 1
Command: 2
Coin: 1

Soft:
linux, sysctl, curl, Ubuntu, Node.JS, chrome

Algorithms:
zip, aes

Functions:
_0x24cdb4, s

Languages:
powershell, javascript, python

Platforms:
x64