#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, нацеленная на Украину, использует вредоносные SVG-файлы для развертывания вредоносного ПО Amatera Stealer и PureMiner с помощью атаки без файлов. Все начинается с электронных писем от имени Национальной полиции Украины, в которых используются срочные формулировки, побуждающие получателей открыть вложенные файлы. Первоначальный доступ осуществляется через CountLoader, который подключается к удаленному серверу для сбора системных данных, в то время как вредоносное ПО собирает конфиденциальную информацию из ключевых приложений, таких как Steam и Telegram, используя DLL Sideloading и выполнение в памяти, чтобы избежать обнаружения.
-----

Недавняя кампания по фишингу, нацеленная на Украину, использует вредоносные SVG-файлы для доставки вредоносного ПО Amatera Stealer и PureMiner через цепочку атак без файлов. Кампания начинается с электронных писем, Маскировка которых выдается за официальные сообщения Национальной полиции Украины, призывающие получателей открыть вложение, в котором утверждается, что оно относится к юридическому уведомлению. В электронных письмах используются формальные формулировки, чтобы создать ощущение срочности, побуждая жертв ознакомиться с содержанием.

Первоначальный доступ облегчается с помощью скрипта, известного как CountLoader, который подключается к удаленному серверу для получения дальнейших инструкций. После установления этого соединения вредоносное ПО собирает системную информацию и передает ее обратно злоумышленникам с помощью HTTP POST-запроса, закодированного с помощью XorBase64. Этот загрузчик также отвечает за отправку специально закодированного сообщения для получения дополнительных команд от сервера управления (C2).

После начальной полезной нагрузки создается ZIP-файл с именем ergosystem.zip загружается, содержащий исполняемый файл вместе с несколькими библиотеками динамической компоновки (DLL). В процессе выполнения используется DLL sideloading, использующая доверенное приложение для загрузки вредоносной библиотеки DLL. Полезная нагрузка разработана в .NET с использованием предварительной компиляции (AOT) для повышения эффективности выполнения.

Еще один ZIP-архив, smtpB.zip , содержит интерпретатор Python, необходимые модули и вредоносный скрипт на Python, предназначенный для выполнения в памяти. Этот скрипт позволяет избежать записи вредоносного ПО на диск, используя для операций загрузки проект PythonMemoryModule, размещенный на GitHub.

После разработки Amatera Stealer устанавливает мьютекс с жестко закодированными значениями и подключается к удаленному серверу для получения сведений о конфигурации, имеющих решающее значение для его функций сбора данных. Файл конфигурации подвергается декодированию в формате Base64 с последующей расшифровкой с использованием алгоритма RC4 перед обработкой для сбора данных.

Вредоносное ПО систематически извлекает различные типы системных данных и данных приложений. Он специально нацелен на файлы, относящиеся к приложениям на базе Gecko, с помощью конфигурации, которая определяет пути и каталоги. Аналогично, для приложений на базе Chromium параметры конфигурации определяют, какие браузеры и связанные с ними приложения следует тщательно проверять, а также охватывают расширения браузера и каталоги для сбора дополнительных данных.

Более того, Amatera Stealer оснащен предопределенными процедурами для извлечения данных из известных приложений, таких как Steam и Telegram. Что касается управления криптовалютными кошельками, вредоносное ПО может выполнять рекурсивный поиск файлов, если установлен определенный флаг, или создавать прямые пути к файлам на основе определенных целевых путей.

Эта кампания является примером инновационного использования SVG-файлов как средства инициирования цепочки заражения вредоносным ПО, в частности, путем сосредоточения внимания на украинских государственных структурах, использующих обманчивые электронные письма для распространения вложений в формате SVG, которые приводят к вредоносным загрузкам.

#ParsedReport #CompletenessMedium
26-09-2025

Potentially Unwanted Applications (PUAs) weaponized for covert delivery

https://fieldeffect.com/blog/potentially-unwanted-applications

Report completeness: Medium

Threats:
Tamperedchef
Imagelooker
Residential_proxy_technique
Credential_harvesting_technique
Seo_poisoning_technique

Victims:
Software users, Consumers

Industry:
E-commerce

CVEs:
CVE-2025-0411 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1553.002

IOCs:
File: 4
Domain: 3
Hash: 9

Soft:
Microsoft Defender, NeutralinoJS

Algorithms:
md5, exhibit, sha1, sha256

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
22 сентября 2025 года была выявлена кампания распространения вредоносного ПО, известная как кампания TamperedChef, использующая сложные тактики, такие как двоичные файлы с цифровой подписью, обманная упаковка программного обеспечения и захват браузера. Кампания, связанная с CROWN SKY LLC и напоминающая о Calendaromatic.exe , использует методы скрытого кодирования для обхода мер безопасности, маскируя вредоносное ПО под законные приложения, чтобы подорвать доверие пользователей и избежать обнаружения. Эта развивающаяся стратегия создает значительные риски для средств защиты от кибербезопасности.
-----

22 сентября 2025 года анализ потенциально нежелательного приложения (PUA), идентифицированного Microsoft Defender, выявил более масштабную кампанию распространения вредоносного ПО, в которой используются сложные тактики, такие как двоичные файлы с цифровой подписью, обманчивая упаковка и угонщики браузеров. Это расследование было сосредоточено вокруг двоичных файлов, связанных с CROWN SKY LLC, которая имеет историческую связь с Calendaromatic.exe , приложение, Маскировка под простой инструмент календаря.

Обнаруженная кампания, называемая кампанией TamperedChef, использует тактику манипулирования доверием пользователей и обхода мер безопасности конечных точек. Вовлеченные в это злоумышленники используют обманчивую упаковку программного обеспечения наряду с цифровым Подписью исполняемого кода, что позволяет им выдавать вредоносное ПО за законное программное обеспечение. Эти стратегии позволяют вредоносному ПО обходить обычные средства защиты, которые обычно защищают пользователей от вредоносного программного обеспечения.

Используя методы скрытого кодирования, эти злоумышленники еще больше повышают эффективность своих механизмов доставки. Способность маскировать вредоносное ПО под надежные приложения является значительным фактором риска, поскольку снижает бдительность пользователей и позволяет обойти как автоматическую, так и ручную оценку безопасности. Эволюционирующий характер этих тактических приемов подчеркивает необходимость постоянной бдительности и адаптации при защите от кибербезопасности.

#ParsedReport #CompletenessMedium
26-09-2025

HeartCrypt s wholesale impersonation effort

https://news.sophos.com/en-us/2025/09/26/heartcrypts-wholesale-impersonation-effort/

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Heartcrypt_tool
Dll_sideloading_technique
Lumma_stealer
Asyncrat
Rhadamanthys
Raspberry_robin
Av-killer
Ransomhub
Vmprotect_tool
Medusalocker

Geo:
Mexico, Korea, Ukraine, Brazil, Colombia, Argentina, France, Peru, Romania, Kazakhstan, Russia, Taiwan, Italian, Netherlands, Greece, Italy, Columbia

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1105, T1204.002, T1543.003, T1553.002, T1562.001, T1566.001, have more...

IOCs:
Path: 12
Hash: 19
Command: 2
File: 25
Url: 7
Registry: 2

Soft:
Dropbox

Algorithms:
sha1, sha256, zip, xor, des, md5

Functions:
CrowdStrike

Win API:
CreateProcessW, VirtualAlloc, GetThreadContext, CreateRemoteThread, NtCreateThreadEx, pie

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HeartCrypt - это универсальное вредоносное ПО, связанное с различными злоумышленниками, первоначально предполагалось, что оно связано с "Blind Spider", но позже было идентифицировано как вовлекающее несколько групп из-за различных методов атаки. Он использует такие методы, как DLL Sideloading, фишинг электронных писем на наличие вредоносного контента и адаптируемую полезную нагрузку, адаптированную для конкретных целей. Вредоносное ПО внедряет вредоносный код в легальные исполняемые файлы и использует метод антиэмуляции, при этом полезной нагрузкой обычно являются трояны удаленного доступа, похитители учетных данных и инструмент "AV killer", воздействии на возможности EDR.
-----

HeartCrypt стал заметным предложением вредоносного ПО, характеризующимся различными кампаниями по Имперсонации и фишингу. Это было связано с многочисленными злоумышленниками, поскольку расследования выявили различные методы и полезные нагрузки, нацеленные на разные страны. Первоначально предполагалось, что это работа группы, известной как "Blind Spider", но существенные различия в векторах атак привели аналитиков к выводу, что в ней задействован более широкий круг акторов.

В основе этих атак лежит исполняемый файл, изначально напоминающий подлинный компонент CCleaner, который был модифицирован для включения вредоносного кода. Это подчеркивает общую тенденцию, когда легальные приложения становятся невольным средством доставки вредоносного ПО. Цепочка заражения значительно варьируется в зависимости от кампании, что указывает на использование адаптируемых методов "вредоносное ПО как услуга" (MaaS), при которых злоумышленники могут легко настраивать полезную нагрузку для своих конкретных целей.

Среди наблюдаемых методов заражения одна примечательная тактика включает DLL Sideloading, когда программа чтения PDF загружает вредоносную DLL-библиотеку из своего собственного каталога. Другой метод использовал электронное письмо с фишингом для распространения вредоносного контента, размещенного на таких платформах, как Google Диск, для чего требовался пароль, включенный в сообщение. Кроме того, в одном случае пользователи в Италии использовали файлы ярлыков LNK, скрипты PowerShell и пакетные процессы, демонстрируя универсальность методов эксплуатации.

Технически HeartCrypt изменяет законные исполняемые файлы, внедряя вредоносный код в раздел .text и добавляя замаскированные переносимые исполняемые файлы (PE). Эти ресурсы маскируются под растровые файлы, но на самом деле содержат вредоносную полезную нагрузку. Метод антиэмуляции, напоминающий Raspberry Robin, используется для уклонения от обнаружения путем оценки адресов функций, которые встречаются только в эмуляторах.

Полезная нагрузка, связанная с HeartCrypt, в основном состоит из обычных троянов удаленного доступа (RATs) и похитителей учетных данных, но часто всплывает вызывающий беспокойство инструмент, идентифицированный как AV killer, связанный с продолжающимися атаками программ-вымогателей. Этот инструмент ставит под угрозу возможности обнаружения конечных точек и реагирования на них (EDR). Были отмечены взаимоотношения между различными противоборствующими группами, что позволяет предположить наличие среды сотрудничества в сфере эксплуатации.

#ParsedReport #CompletenessMedium
28-09-2025

Smash and Grab: Aggressive Akira Campaign Targets SonicWall VPNs, Deploys Ransomware in an Hour or Less

https://arcticwolf.com/resources/blog/smash-and-grab-aggressive-akira-campaign-targets-sonicwall-vpns/

Report completeness: Medium

Threats:
Akira_ransomware
Byovd_technique
Cloudflared_tool
Impacket_tool
Blackbasta
Wmiexec_tool
Nltest_tool
Sharpshares_tool
Netexec_tool
Bloodhound_tool
Ldapdomaindump_tool
Anydesk_tool
Teamviewer_tool
Rustdesk_tool
Splashtop_tool
Shadow_copies_delete_technique
Rclone_tool
Advanced-port-scanner_tool
Meshagent_tool
Atera_tool
Crackmapexec_tool
Krbrelayup_tool
Mobaxterm_tool
Cobalt_strike_tool
Winrm_tool
Softperfect_netscan_tool

Victims:
Organizations running sonicwall firewalls, Multiple sectors

Geo:
Georgian, Georgia, Uzbekistan, Estonia, Latvia, Moldova, Belarus, Ukrainian, Romanian, Azerbaijani, Russia, Tajikistan, Kazakhstan, Iranian, Ukraine, Asian, Turkmenistan, Kyrgyzstan, Armenia, Russian, Usa, Latvian, Lithuania, Belarusian, Azerbaijan

CVEs:
CVE-2024-40766 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 17

IOCs:
Command: 2
Path: 26
File: 22
Email: 1
Coin: 1
Registry: 3
IP: 43
Hash: 2

Soft:
Active Directory, SonicOS, SoftPerfect Network Scanner, MSSQL, PostgreSQL, MS SQL, OpenSSH, Windows Defender, Hyper-V, SysInternals, have more...

Algorithms:
zip, sha256, base64, sha1

Functions:
Get-ADUser, Get-ADComputer, Get-EncryptionSalt, Get-Date, Get-WmiObject, Remove-WmiObject, Set-MpPreference, ZwCreateFile, RtlCreateAcl, ZwSetSecurityObject, have more...

Win API:
GetSystemDefaultLocaleName

Win Services:
WebClient, MsMpEng, BITS

Languages:
powershell, python

Links:
https://github.com/xoreaxeaxeax/movfuscator
https://github.com/cloudflare/cloudflared

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С июля 2025 года Akira ransomware все чаще атакует сети брандмауэров SonicWall, используя вредоносные SSL-VPN-логины, которые обходят Многофакторную аутентификацию, чтобы получить быстрый доступ к корпоративной среде. Злоумышленники выполняют сканирование портов и внедряют программы-вымогатели в течение часа, используя такие инструменты, как Impacket и SoftPerfect Network Scanner для перемещения внутри компании и извлечения учетных данных. Вызывающим беспокойство фактором является использование CVE-2024-40766 для административных манипуляций, наряду с методами эксфильтрации данных с использованием таких инструментов, как rclone, после отключения параметров восстановления.
-----

С конца июля 2025 года наблюдается заметный рост числа атак Akira ransomware, специально нацеленных на сети межсетевого экрана SonicWall. Атаки включают вредоносные SSL-VPN-логины, которые обходят Многофакторную аутентификацию (MFA), позволяя злоумышленникам получить немедленный доступ к корпоративной среде. Получив доступ, злоумышленники выполняют серию быстрых маневров, включая сканирование портов и развертывание программ-вымогателей в течение часа или меньше. Была идентифицирована аномальная активность SMB, указывающая на перемещение внутри компании, часто с использованием Impacket для обнаружения.

Кампания продемонстрировала высокую степень автоматизации, при этом несколько входов в систему осуществлялись с использованием одного и того же IP-адреса, что позволяет предположить, что для использования скомпрометированных учетных записей могли использоваться скрипты. Первоначальный доступ, как правило, осуществляется с помощью инфраструктуры Виртуального выделенного сервера (VPS), в отличие от законных поставщиков широкополосных или управляемых услуг. Вызывающий беспокойство вектор атаки был связан с недавно раскрытым CVE-2024-40766, который позволял злоумышленникам манипулировать административными функциями в устройствах SonicWall.

Оказавшись внутри сети, злоумышленники незамедлительно приступают к внутреннему сканированию в течение нескольких минут, используя такие инструменты, как SoftPerfect Network Scanner, для перечисления объектов Active Directory (AD) и определения местоположения критически важных компонентов инфраструктуры. Они также выполнили сложные сценарии извлечения учетных данных, ориентированные на резервное копирование и репликацию Veeam. Эта возможность позволяет им скомпрометировать резервные учетные данные и создавать Доменные учетные записи, некоторые из которых имеют права администратора, используемые для дальнейшей эксплуатации и установки инструментов удаленного управления, таких как AnyDesk.

В попытке избежать обнаружения злоумышленники отключают существующие решения для удаленного управления и манипулируют Shadow Copy томов Windows, эффективно устраняя возможности восстановления с помощью резервного копирования данных. Методы эксфильтрации информации, используемые в этих атаках, включают использование инструмента rclone для передачи украденных данных из сети жертвы в места, размещенные на VPS.

Процессы шифрования программ-вымогателей характеризуются командами, которые идентифицируют подключенные сетевые ресурсы и нацеливаются на них. Быстрота этих атак подчеркивает важность механизмов раннего обнаружения, в частности мониторинга нетипичных входов в систему VPN и поведения при перемещении внутри компании. Организациям рекомендуется усилить меры безопасности и обеспечить всесторонний контроль как за внешней, так и за внутренней сетевой деятельностью, чтобы снизить риск подобных вторжений программ-вымогателей.

#ParsedReport #CompletenessMedium
25-09-2025

From Prompt to Payload: LAMEHUGs LLM-Driven Cyber Intrusion

https://www.splunk.com/en_us/blog/security/lamehug-ai-driven-malware-llm-cyber-intrusion-analysis.html

Report completeness: Medium

Threats:
Lamehug_tool
Spear-phishing_technique

Victims:
Windows users, Technology sector

Industry:
Government

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 12
Path: 2
Url: 1
Hash: 4

Soft:
Hugging Face, HuggingFace, Slack

Algorithms:
zip, base64

Functions:
LLM_QUERY_EX, Main, xlsx_open

Languages:
python

Links:
https://github.com/splunk/attack\_data/
https://github.com/splunk/security\_content

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LAMEHUG - это семейство сложных вредоносных ПО, обнаруженных CERT-UA в июле 2025 года, использующее большие языковые модели (LLM) для динамической генерации команд для таких задач, как разведка и кража данных. Доставляемый с помощью электронных писем с Целевым фишингом, предназначенных для систем Windows, он выполняет команды с правами администратора для сбора системной информации и эксфильтрации данных по SSH-каналу обратно на свой сервер управления. Его рабочие механизмы включают использование общих утилит Windows и специальных командных подсказок, генерируемых LLM.
-----

LAMEHUG - это сложное семейство вредоносных ПО, идентифицированное CERT-UA в июле 2025 года, отличающееся интеграцией больших языковых моделей (LLM) в свою операционную структуру. В отличие от традиционного вредоносного ПО, LAMEHUG использует LLM, размещенный на Hugging Face, для динамической генерации команд для таких задач, как разведка, кража данных и манипулирование системой. Вредоносное ПО обычно доставляется через электронные письма с Целевым фишингом, замаскированные под законные приложения, специально предназначенные для систем Windows. Примеры зараженных имен файлов включают "AI_generator_uncensored_Canvas_PRO_v0.9.exe " и "AI_image_generator_v0.95.exe ," указывая на его обманчивый характер.

После заражения LAMEHUG использует модель Qwen 2.5-Coder-32B-Instruct для генерации команд Windows, выполняемых с правами системного администратора. Эта стратегия работы позволяет вредоносному ПО осуществлять Изучение системы с помощью команд, которые используют утилиты Windows, такие как "systeminfo`, `wmic`, `whoami` и `dsquery`. Эти команды эффективно собирают критически важную системную информацию и облегчают кражу данных за счет использования `xcopy.exe ` для извлечения целевых документов из нескольких каталогов.

Механизм эксфильтрации, используемый LAMEHUG, включает канал управления (C2), который использует протокол SSH для отправки украденных данных обратно на сервер C2. Для этого процесса требуется аутентифицированное соединение, демонстрирующее, как вредоносное ПО обеспечивает передачу конфиденциальной информации. Анализ поведения вредоносного ПО выявил специфические командные запросы, генерируемые LLM, которые соотносятся с выполняемыми командами для сбора информации и эксфильтрации данных.

Для обнаружения крайне важно отслеживать использование Инструментария управления Windows(WMI) командной строки (WMIC) для обнаружения дисководов, поскольку такие команды, как "wmic diskdrive", могут использоваться как администраторами для выполнения законных задач, так и злоумышленниками в злонамеренных целях. Этот характер двойного назначения требует от аналитиков безопасности сохранять бдительность в отношении необычных действий WMIC, которые могут указывать на продолжающееся проникновение LAMEHUG.

#ParsedReport #CompletenessMedium
26-09-2025

APT35 plays the same music again

https://www.stormshield.com/news/apt35-plays-same-music-again/

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Irgc

Threats:
Typosquatting_technique

Victims:
Government, Military, Media, Academic, International organizations, Israel

Industry:
Military, Government

Geo:
Sweden, Middle east, Israel, Iranian

ChatGPT TTPs:
do not use without manual check
T1566, T1583.001, T1583.003, T1583.004

IOCs:
Domain: 68
IP: 4
Url: 5

Soft:
twitter

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, связанная с иранским IRGC, действует с 2015 года, занимаясь шпионажем против различных организаций по всему миру. Недавние открытия выявили два сервера, связанных с APT35, на которых размещено 112 доменов, в основном для фишинга, с тактикой, включающей typo-squatting, чтобы выдавать себя за службы видеоконференцсвязи. Текущие кампании по фишингу демонстрируют особое внимание израильским целям, что указывает на постоянный интерес группы к этому региону.
-----

APT35, также известная как Mint Sandstorm, Charming Kitten или Educated Manticore, - это APT группировка, связанная с Корпусом стражей Исламской революции (IRGC) Ирана. Действующая по меньшей мере с 2015 года, APT35 сосредоточилась на шпионаже и слежке, в первую очередь нацеливаясь на правительственные, военные, средства массовой информации, академические и международные организации по всей территории США, Ближнего Востока и Европы.

Недавно исследователи кибербезопасности из Stormshield обнаружили два сервера, подключенных к APT35, которые демонстрируют сходство с ранее идентифицированной инфраструктурой, используемой группой. Сервер, идентифицированный по IP-адресу 79.132.131.184, работает по крайней мере с 20 июля 2025 года и разрешает доступ к 49 доменам, в основном к домену верхнего уровня ".online". Эти домены в основном используются для проведения кампаний по фишингу, причем многие из них пытаются маскироваться под сервисы видеоконференцсвязи. Например, некоторые доменные имена включают "meet.go0gle.online" и "meet.video-connect.online", демонстрируя тактику, известную как typo-squatting, когда злоумышленники используют распространенные ошибки пользователей при вводе домена, чтобы обмануть цели.

Запросы Active directory выявили в общей сложности 112 доменов, связанных с APT35 на момент анализа. Однако не все из них напрямую связаны с операциями группы по фишингу. Продолжающаяся кампания указывает на то, что APT35 придерживается последовательного метода установления своих доменов для фишинга, облегчая правозащитникам усилия по мониторингу и выявлению их деятельности. Имеющиеся данные свидетельствуют о том, что цели этой кампании по фишингу по-прежнему сосредоточены на израильских организациях, что указывает на устойчивый интерес к этому региону со стороны злоумышленника.

#ParsedReport #CompletenessLow
25-09-2025

Trinity of Chaos: The LAPSUS$, ShinyHunters, and Scattered Spider Alliance Embarks on Global Cybercrime Spree

https://www.resecurity.com/blog/article/trinity-of-chaos-the-lapsus-shinyhunters-and-scattered-spider-alliance-embarks-on-global-cybercrime-spree

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Lapsus (motivation: cyber_criminal, information_theft, financially_motivated)
Shinyhunters (motivation: cyber_criminal, information_theft, financially_motivated)
Shiny_spider
Unc6040 (motivation: cyber_criminal, information_theft)
Unc6395 (motivation: cyber_criminal, information_theft)
Majornelson

Threats:
Conti
Sim_swapping_technique
Mfa_bombing_technique
Dragonforce_ransomware
Supply_chain_technique
Hellcat
Lumma_stealer
Azorult
Redline_stealer
Raccoon_stealer
Vidar_stealer

Victims:
Airlines, Retailers in the united kingdom, Telecoms, Law enforcement agencies, Salesforce users, Automotive manufacturer jaguar land rover, National credit information center of vietnam

Industry:
E-commerce, Telco, Software_development, Government, Aerospace, Retail, Logistic, Transport

Geo:
Italian, Canada, Vietnam, Russian, United kingdom, French, Turkey, France, German, Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1556.006, T1566, T1654, T1656, T1657

IOCs:
Domain: 2

Soft:
Salesforce, Telegram, ESXi

Crypto:
bitcoin

Functions:
Qantas

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, chats: 1, code: 1, table: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Три известные киберпреступные группировки, LAPSUS$, ShinyHunters и Scattered Spider, продемонстрировали совместное поведение и дублирующую тактику, сосредоточив атаки на таких секторах, как авиация и розничная торговля. Scattered Spider осуществлял атаки с использованием программ-вымогателей на авиакомпании и розничных продавцов Великобритании, в то время как обе группы использовали уязвимости в устаревших ИТ-системах и использовали методы социальной инженерии для эксфильтрации данных, в частности, нацеливаясь на среду Salesforce. Громкие инциденты включают значительные нарушения в Jaguar Land Rover и Национальном центре кредитной информации во Вьетнаме, что подчеркивает адаптивный характер их стратегий атак.
-----

В последнее время в сфере киберпреступности доминируют три известные группы: LAPSUS$, ShinyHunters и Scattered Spider. Несмотря на их индивидуальное происхождение и историю операций, эти организации демонстрируют все большее совпадение тактик и даже поведения в рамках сотрудничества, особенно очевидное в период с 2023 по середину 2025 года.

Значительным направлением их деятельности был авиационный сектор, где Scattered Spider проводил атаки с использованием программ-вымогателей, нацеленных на крупные авиакомпании, такие как WestJet, Hawaiian и Qantas, что приводило к сбоям в работе и утечке данных. Уязвимости, используемые этими группами, часто связаны с устаревшими ИТ-системами, что позволяет злоумышленникам получать доступ к конфиденциальным данным пассажиров и нарушать работу служб. Также всплыли другие атаки, включая инцидент в порту Сиэтла в 2024 году и проукраинский взлом "Аэрофлота", подчеркивающий разнообразие мотивов и целей в киберпространстве.

В сфере розничной торговли, начиная с апреля 2025 года, Scattered Spider начал кампании против различных британских ритейлеров, включая Marks & Spencer и Harrods, возможно, совместно с бандой DragonForce ransomware. Телекоммуникационная отрасль также не осталась в стороне; ShinyHunters ранее заявляли о нарушениях в отношении AT & T, в то время как другой актор, MajorNelson, всплыл с предполагаемыми украденными данными, связанными с более ранними нарушениями. Однако AT & T опровергла эти утверждения, подчеркнув продолжающиеся дебаты относительно подлинности таких нарушений.

Хотя у ShinyHunters и Scattered Spider нет истории прямых нападений на правоохранительные органы, недавние слухи предполагают потенциальные нарушения в таких агентствах, включая ФБР, хотя эти заявления остаются в значительной степени непроверенными. Кроме того, обе группы переключили внимание на эффективные атаки на среду Salesforce с помощью методов социальной инженерии, голосового фишинга (vishing) и злоупотребления токенами OAuth, что облегчает эксфильтрацию данных из многочисленных известных компаний.

Примечательный инцидент произошел с Jaguar Land Rover, который в 2025 году подвергся значительным кибератакам, приписываемым коллективным усилиям вышеупомянутых злоумышленников. Кроме того, тревожное нарушение, связанное с Национальным центром кредитной информации во Вьетнаме, может повлечь за собой кражу конфиденциальных данных, затрагивающих значительную часть населения, что свидетельствует о целенаправленных ударах по критически важным объектам инфраструктуры.

Совместный характер этих групп свидетельствует о растущей озабоченности специалистов по кибербезопасности. Правоохранительные органы начали признавать взаимодействие между LAPSUS$, ShinyHunters и Scattered Spider в своих рекомендациях, рассматривая их как часть более широкой адаптивной экосистемы киберпреступности. Такая ситуация требует от организаций по всему миру повышенной бдительности и защитных действий для эффективного противодействия этим угрозам. По мере развития их тактики, методов и процедур (TTP) необходимость усиления мер по кибербезопасности и информированности сотрудников никогда не была более важной для защиты от таких сложных целенаправленных угроз.