#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT35, связанная с иранским IRGC, действует с 2015 года, занимаясь шпионажем против различных организаций по всему миру. Недавние открытия выявили два сервера, связанных с APT35, на которых размещено 112 доменов, в основном для фишинга, с тактикой, включающей typo-squatting, чтобы выдавать себя за службы видеоконференцсвязи. Текущие кампании по фишингу демонстрируют особое внимание израильским целям, что указывает на постоянный интерес группы к этому региону.
-----

APT35, также известная как Mint Sandstorm, Charming Kitten или Educated Manticore, - это APT группировка, связанная с Корпусом стражей Исламской революции (IRGC) Ирана. Действующая по меньшей мере с 2015 года, APT35 сосредоточилась на шпионаже и слежке, в первую очередь нацеливаясь на правительственные, военные, средства массовой информации, академические и международные организации по всей территории США, Ближнего Востока и Европы.

Недавно исследователи кибербезопасности из Stormshield обнаружили два сервера, подключенных к APT35, которые демонстрируют сходство с ранее идентифицированной инфраструктурой, используемой группой. Сервер, идентифицированный по IP-адресу 79.132.131.184, работает по крайней мере с 20 июля 2025 года и разрешает доступ к 49 доменам, в основном к домену верхнего уровня ".online". Эти домены в основном используются для проведения кампаний по фишингу, причем многие из них пытаются маскироваться под сервисы видеоконференцсвязи. Например, некоторые доменные имена включают "meet.go0gle.online" и "meet.video-connect.online", демонстрируя тактику, известную как typo-squatting, когда злоумышленники используют распространенные ошибки пользователей при вводе домена, чтобы обмануть цели.

Запросы Active directory выявили в общей сложности 112 доменов, связанных с APT35 на момент анализа. Однако не все из них напрямую связаны с операциями группы по фишингу. Продолжающаяся кампания указывает на то, что APT35 придерживается последовательного метода установления своих доменов для фишинга, облегчая правозащитникам усилия по мониторингу и выявлению их деятельности. Имеющиеся данные свидетельствуют о том, что цели этой кампании по фишингу по-прежнему сосредоточены на израильских организациях, что указывает на устойчивый интерес к этому региону со стороны злоумышленника.

#ParsedReport #CompletenessLow
25-09-2025

Trinity of Chaos: The LAPSUS$, ShinyHunters, and Scattered Spider Alliance Embarks on Global Cybercrime Spree

https://www.resecurity.com/blog/article/trinity-of-chaos-the-lapsus-shinyhunters-and-scattered-spider-alliance-embarks-on-global-cybercrime-spree

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft, financially_motivated)
Lapsus (motivation: cyber_criminal, information_theft, financially_motivated)
Shinyhunters (motivation: cyber_criminal, information_theft, financially_motivated)
Shiny_spider
Unc6040 (motivation: cyber_criminal, information_theft)
Unc6395 (motivation: cyber_criminal, information_theft)
Majornelson

Threats:
Conti
Sim_swapping_technique
Mfa_bombing_technique
Dragonforce_ransomware
Supply_chain_technique
Hellcat
Lumma_stealer
Azorult
Redline_stealer
Raccoon_stealer
Vidar_stealer

Victims:
Airlines, Retailers in the united kingdom, Telecoms, Law enforcement agencies, Salesforce users, Automotive manufacturer jaguar land rover, National credit information center of vietnam

Industry:
E-commerce, Telco, Software_development, Government, Aerospace, Retail, Logistic, Transport

Geo:
Italian, Canada, Vietnam, Russian, United kingdom, French, Turkey, France, German, Belarus, Russia

ChatGPT TTPs:
do not use without manual check
T1486, T1556.006, T1566, T1654, T1656, T1657

IOCs:
Domain: 2

Soft:
Salesforce, Telegram, ESXi

Crypto:
bitcoin

Functions:
Qantas

#ParsedReport #ExtractedSchema

Classified images:
windows: 13, chats: 1, code: 1, table: 1, schema: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Три известные киберпреступные группировки, LAPSUS$, ShinyHunters и Scattered Spider, продемонстрировали совместное поведение и дублирующую тактику, сосредоточив атаки на таких секторах, как авиация и розничная торговля. Scattered Spider осуществлял атаки с использованием программ-вымогателей на авиакомпании и розничных продавцов Великобритании, в то время как обе группы использовали уязвимости в устаревших ИТ-системах и использовали методы социальной инженерии для эксфильтрации данных, в частности, нацеливаясь на среду Salesforce. Громкие инциденты включают значительные нарушения в Jaguar Land Rover и Национальном центре кредитной информации во Вьетнаме, что подчеркивает адаптивный характер их стратегий атак.
-----

В последнее время в сфере киберпреступности доминируют три известные группы: LAPSUS$, ShinyHunters и Scattered Spider. Несмотря на их индивидуальное происхождение и историю операций, эти организации демонстрируют все большее совпадение тактик и даже поведения в рамках сотрудничества, особенно очевидное в период с 2023 по середину 2025 года.

Значительным направлением их деятельности был авиационный сектор, где Scattered Spider проводил атаки с использованием программ-вымогателей, нацеленных на крупные авиакомпании, такие как WestJet, Hawaiian и Qantas, что приводило к сбоям в работе и утечке данных. Уязвимости, используемые этими группами, часто связаны с устаревшими ИТ-системами, что позволяет злоумышленникам получать доступ к конфиденциальным данным пассажиров и нарушать работу служб. Также всплыли другие атаки, включая инцидент в порту Сиэтла в 2024 году и проукраинский взлом "Аэрофлота", подчеркивающий разнообразие мотивов и целей в киберпространстве.

В сфере розничной торговли, начиная с апреля 2025 года, Scattered Spider начал кампании против различных британских ритейлеров, включая Marks & Spencer и Harrods, возможно, совместно с бандой DragonForce ransomware. Телекоммуникационная отрасль также не осталась в стороне; ShinyHunters ранее заявляли о нарушениях в отношении AT & T, в то время как другой актор, MajorNelson, всплыл с предполагаемыми украденными данными, связанными с более ранними нарушениями. Однако AT & T опровергла эти утверждения, подчеркнув продолжающиеся дебаты относительно подлинности таких нарушений.

Хотя у ShinyHunters и Scattered Spider нет истории прямых нападений на правоохранительные органы, недавние слухи предполагают потенциальные нарушения в таких агентствах, включая ФБР, хотя эти заявления остаются в значительной степени непроверенными. Кроме того, обе группы переключили внимание на эффективные атаки на среду Salesforce с помощью методов социальной инженерии, голосового фишинга (vishing) и злоупотребления токенами OAuth, что облегчает эксфильтрацию данных из многочисленных известных компаний.

Примечательный инцидент произошел с Jaguar Land Rover, который в 2025 году подвергся значительным кибератакам, приписываемым коллективным усилиям вышеупомянутых злоумышленников. Кроме того, тревожное нарушение, связанное с Национальным центром кредитной информации во Вьетнаме, может повлечь за собой кражу конфиденциальных данных, затрагивающих значительную часть населения, что свидетельствует о целенаправленных ударах по критически важным объектам инфраструктуры.

Совместный характер этих групп свидетельствует о растущей озабоченности специалистов по кибербезопасности. Правоохранительные органы начали признавать взаимодействие между LAPSUS$, ShinyHunters и Scattered Spider в своих рекомендациях, рассматривая их как часть более широкой адаптивной экосистемы киберпреступности. Такая ситуация требует от организаций по всему миру повышенной бдительности и защитных действий для эффективного противодействия этим угрозам. По мере развития их тактики, методов и процедур (TTP) необходимость усиления мер по кибербезопасности и информированности сотрудников никогда не была более важной для защиты от таких сложных целенаправленных угроз.

Уже завтра в 11:00 наш совместный с Код Безопасности вебминар
https://t.iss.one/aptreports/22286

#ParsedReport #CompletenessLow
29-09-2025

She Sells Web Shells by the Seashore (Part I)

https://www.truesec.com/hub/blog/she-sells-web-shells-by-the-seashore-part-1

Report completeness: Low

Actors/Campaigns:
Hafnium

Threats:
Proxyshell_vuln

ChatGPT TTPs:
do not use without manual check
T1059, T1059.006, T1505.003

IOCs:
Domain: 2

Soft:
Microsoft Exchange, Microsoft Exchange server, Microsoft SharePoint

Algorithms:
base64

Functions:
eval, shell_exec, gzuncompress, str_rot13, base64_decode

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
На взломанном веб-сервере была обнаружена Веб-шелл, использующая исполняемый файл PHP-CGI для выполнения системных команд, указывающих на действия по разведке. Инцидент произошел из-за неправильно настроенного файлового менеджера PHP, позволившего злоумышленнику загрузить вредоносный PHP-файл, что привело к развертыванию Веб-шелла. Уязвимости в таких приложениях, как Microsoft Exchange и SharePoint, в том числе те, которые используются злоумышленниками, такими как HAFNIUM, способствовали подобным атакам, демонстрируя риски, связанные с выполнением команд на PHP.
-----

Анализ сосредоточен вокруг обнаружения Веб-шелла на скомпрометированном веб-сервере, в частности, с помощью исполняемого файла PHP-CGI, который выполнял системные команды, указывающие на действия по разведке. Веб-шелл определяется как скрипт, запущенный на веб-сервере, который может напрямую взаимодействовать с базовой операционной системой, впоследствии передавая выходные данные обратно пользователю. Эти скрипты обычно позволяют злоумышленникам выдавать команды, получая доступ к определенной странице (Веб-шеллу) и предоставляя параметры, которые указывают, какие команды выполнять, часто используя языки сценариев, такие как PHP, или исполняемые файлы через интерфейс Common Gateway (CGI).

В PHP выполнение команд облегчается с помощью таких функций, как `shell_exec()`, которые позволяют выполнять команды в операционной системе. Выделенный инцидент был связан с неправильно настроенным файловым менеджером PHP, который позволил злоумышленнику загрузить PHP-файл на сервер, что привело к развертыванию вредоносной Веб-шелл. Это подчеркивает значительные уязвимости, присутствующие в веб-приложениях, особенно на популярных платформах, таких как Microsoft Exchange и SharePoint, которые ранее использовались для развертывания Веб-шеллов. Примечательно, что уязвимости, помеченные как "ProxyShell", использовались в 2022 году, а другие предыдущие эксплойты злоумышленников, таких как HAFNIUM, были связаны с аналогичными атаками на серверы Microsoft Exchange.

В статье подробно рассказывается о том, как PHP, будучи интерпретируемым языком, обрабатывает командные строки в исполняемый код. Это облегчило манипулирование выполнением кода и взаимодействием с операционной системой, что является основной особенностью, делающей Веб-шеллы опасными для безопасности веб-сервера. Кроме того, статья намекает на эволюцию методов развертывания Веб-шелла, подчеркивая сохраняющуюся потребность в надежных методах обеспечения безопасности для снижения таких рисков в уязвимых программных средах.

#ParsedReport #CompletenessLow
29-09-2025

XiebroC2 identified in MS-SQL server attack cases

https://asec.ahnlab.com/ko/90326/

Report completeness: Low

Threats:
Xiebroc2_tool
Cobalt_strike_tool
Juicypotato_tool
Potato_tool

ChatGPT TTPs:
do not use without manual check
T1082, T1102, T1588.001

IOCs:
IP: 2
Hash: 2
Url: 1

Soft:
MS-SQL, Linux, macOS

Algorithms:
md5

Languages:
powershell

Links:
https://github.com/INotGreen/XiebroC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность аналитического центра безопасности AhnLab свидетельствует об увеличении числа атак на неправильно сконфигурированные серверы Microsoft SQL с использованием платформы управления XiebroC2. Общедоступный набор инструментов XiebroC2 позволяет злоумышленникам осуществлять сбор информации, поддерживать удаленный доступ и уклоняться от обнаружения, используя уязвимости, связанные с неправильными конфигурациями и отсутствием аутентификации или управления исправлениями. Эта тенденция подчеркивает способность злоумышленников адаптироваться к использованию доступных фреймворков C2 для вредоносных действий.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил всплеск атак, нацеленных на неправильно сконфигурированные серверы Microsoft SQL (MS-SQL), в частности, подчеркнув использование платформы управления XiebroC2 (C2). XiebroC2 примечателен тем, что является общедоступным инструментарием, который используется для вредоносных действий, аналогичных тем, которые выполняет Cobalt Strike. Эта платформа обладает функциональными возможностями, которые позволяют злоумышленникам заниматься сбором информации, поддерживать удаленный контроль над скомпрометированными системами и внедрять стратегии, позволяющие избежать обнаружения.

Появление XiebroC2 в этих атаках указывает на растущую тенденцию использования доступных фреймворков C2 для использования уязвимостей в неправильно управляемых серверах баз данных. Эти уязвимости могут быть вызваны неправильными конфигурациями, недостаточными мерами аутентификации или отсутствием надлежащего управления исправлениями. Используя эти слабые места, злоумышленники могут получить значительный контроль над серверами, что приводит к потенциальным утечкам данных или дальнейшему проникновению в сетевую среду.

Использование фреймворка C2, такого как XiebroC2, выявляет универсальность и адаптивность злоумышленников при использовании различных методов организации атак. Поскольку сообщество безопасности продолжает отслеживать эти инциденты, необходимость в надежных методах обеспечения безопасности, включая надлежащую конфигурацию сервера и постоянную оценку уязвимостей, становится все более важной для защиты от таких угроз.

#ParsedReport #CompletenessLow
22-09-2025

zerodayx1: Hacktivist groups turning to ransomware operations

https://outpost24.com/blog/zerodayx1-hacktivist-ransomware-operations/

Report completeness: Low

Actors/Campaigns:
Zerodayx (motivation: hacktivism, propaganda, financially_motivated, cyber_criminal)
Lulzsec (motivation: hacktivism)
R00tk1t (motivation: hacktivism)

Threats:
Bqtlock
Doubleface
Azzasec
Credential_stealing_technique

Victims:
Organizations supporting israel, Corporate email users

Industry:
Petroleum, Financial

Geo:
Lebanon, Italy, Kuwait, Canada, Israeli, Middle east, Jordan, Israel, America, Egyptian, Syria, Germany, Bangladesh, Belgium

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1499, T1567.002, T1583.006, T1585.001, T1587.001, T1588.002, T1589.003, T1591.002, have more...

IOCs:
Url: 19
Coin: 2
Domain: 1
Email: 1

Soft:
Twitter, Telegram, Linux, Instagram

Crypto:
monero, bitcoin

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хактивистская группа zerodayx1 перешла на модель "Программа-вымогатель как услуга" (RaaS), сочетающую финансовые мотивы с идеологической активностью на фоне растущей геополитической напряженности. Они используют сложные методы, включая внедрение программ-вымогателей, эксфильтрацию данных, компрометацию электронной почты, DDoS-атаки и дефейс веб-сайтов, нацеливаясь на организации в странах, поддерживающих Израиль. Их деятельность означает эволюцию в сторону операций, ориентированных на получение прибыли, при сохранении акцента на идеологические цели, что потенциально увеличивает их спектр угроз, насколько позволяют условия.
-----

В июле 2025 года пропалестинская хактивистская группа, известная как zerodayx1, запустила операцию "Программа-вымогатель как услуга" (RaaS), что ознаменовало значительный сдвиг в их методах работы. Эта группа отражает более широкую тенденцию, когда коллективы хактивистов сочетают идеологические мотивы с финансовой выгодой, эволюционируя в сторону гибридных моделей, которые включают в себя программы, ориентированные на получение прибыли, наряду с активизмом. Рост геополитической напряженности, особенно в контексте израильско-палестинского конфликта, стимулирует этот всплеск хактивистской активности под влиянием оперативных стратегий и альянсов, сформированных пророссийскими акторами.

Zerodayx1 использует более изощренную тактику, исторически связанную с финансово мотивированными киберпреступниками. Они интегрировали такие методы, как внедрение программ-вымогателей и эксфильтрация данных, в свою операционную систему, тем самым расширив свой потенциал воздействия и монетизации. Их деятельность иллюстрирует тенденцию, в соответствии с которой хактивистские группы больше не просто сосредотачиваются на идеологических сообщениях, но и занимаются незаконными финансовыми операциями. Информационно-пропагандистская деятельность группы осуществляется преимущественно через основные платформы, такие как X (ранее Twitter) и Telegram, где они координируют деятельность, распространяют пропаганду и создают альянсы.

Образ действий zerodayx1 был выведен в первую очередь из их активности в Социальных сетях. Сообщается, что они занимаются взломом электронной почты, вероятно, используя украденные учетные данные для доступа к корпоративным системам электронной почты. Также были опубликованы доказательства распределенных атак типа "Отказ в обслуживании" (DDoS) и дефейса веб-сайтов, причем цели охватывали различные регионы, включая Европу, Ближний Восток и Северную Америку. Утечки данных, связанные с конфиденциальной информацией, такой как учетные данные пользователей и базы данных, распространяются как по основным каналам, так и через подпольные форумы.

Zerodayx1's внедрила методы вымогательства, что стало очевидным из их ссылок на DoubleFace в августе 2024 года, после чего они заявили, что к апрелю 2025 года начнут свои собственные операции с программами-вымогателями. Сообщается, что их первоначальный вирус-вымогатель был взят из скомпрометированной Учетной записи эл.почты компании, базирующейся в Тель-Авиве, хотя подробности о конкретном варианте программы-вымогателя, который был внедрен, остаются неуказанными.

Определив набор своих целей, zerodayx1 направляет свои усилия на организации в странах, которые поддерживают Израиль, согласовывая свои кибероперации с идеологическими убеждениями. Несмотря на их сосредоточенность на хактивизме, операционные характеристики группы указывают на продолжающуюся эволюцию, отражающую стратегии известных акторов-вымогателей, включая использование методов двойного вымогательства. Ожидается, что их влияние сохранится и, возможно, усилится, поскольку социально-политические условия продолжают способствовать появлению новых злоумышленников в пространстве хактивистов.

#ParsedReport #CompletenessHigh
29-09-2025

Crypto24 Ransomware Uncovered: Stealth, Persistence, and Enterprise-Scale Impact

https://www.picussecurity.com/resource/blog/crypto24-ransomware-uncovered-stealth-persistence-and-enterprise-scale-impact

Report completeness: High

Threats:
Crypto24
Lolbin_technique
Realblindingedr_tool
Blackcat
Lockbit
Netuser_tool
Vmprotect_tool

Victims:
Large enterprises, Enterprise organizations

Industry:
Financial, Entertainment

Geo:
Usa, Asia

TTPs:
Tactics: 7
Technics: 0

IOCs:
Hash: 3
File: 25
Command: 7
Path: 15
Registry: 4

Soft:
ChatGPT, PsExec, Windows Defender, Windows Firewall, Windows service, WinINet API, Dropbox, Microsoft OneDrive

Algorithms:
sha256

Win API:
GetLastError, ntdll_imagebase, NtClose, RtlInitUnicodeString, NtAllocateVirtualMemory, RtlCreateHeap, RtlAllocateHeap, RtlFreeHeap, RtlNtStatusToDosErrorNoTeb, RtlAcquirePebLock, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Crypto24, обнаруженная в конце 2023 года, представляет серьезную угрозу для крупных предприятий по всей Азии, Европе и США. Ее сложные методы включают поддержание привилегированного доступа посредством Манипуляций с учетными записями, создание запланированных задач для закрепления и использование PsExec для перемещения внутри компании и повышения привилегий. Примечательно, что он использует специализированный инструмент для обхода решений по обнаружению конечных точек и реагированию на них, захватывает учетные данные с помощью кейлоггера и использует меры антианализа, чтобы скрыть свое поведение, в конечном счете шифруя файлы и требуя выкуп.
-----

Программа-вымогатель Crypto24 появилась в конце 2023 года и нацелена на крупные предприятия в Азии, Европе и США. Она использует сложные методы скрытности и закрепления. Акторы-вымогатели манипулируют учетными записями для поддержания привилегированного доступа и закрепления за ними с помощью запланированных задач, вредоносных служб и добавления учетных записей пользователей в группы администраторов и пользователей удаленных рабочих столов.

Запланированные задачи в каталоге %ProgramData% используются для периодического выполнения вредоносных полезных нагрузок. Повышение привилегий достигается с помощью пакетных сценариев, PsExec и runas.exe для полного доступа к системе. PsExec облегчает общение под видом законных процессов.

Crypto24 включает в себя инструмент обхода защиты, который обходит решения EDR, динамически запрашивая метаданные для отключения средств защиты от крупных поставщиков систем безопасности, таких как Kaspersky и McAfee. Перемещение внутри компании включает в себя изменения в реестре и правилах брандмауэра для доступа по протоколу RDP, обеспечивая графический удаленный доступ к скомпрометированным системам.

Злоумышленники захватывают учетные данные с помощью установленного кейлоггера, который регистрируется как Служба Windows и регистрирует нажатия клавиш, при этом эксфильтрация данных осуществляется через API Google Диска для снижения рисков обнаружения. Компонент программы-вымогателя MSRuntime использует меры защиты от анализа, включая хэширование API и контекстные проверки, чтобы скрыть свое поведение, и шифрует файлы в пользовательских и критических каталогах перед выдачей уведомления о выкупе.

Вредоносное ПО обеспечивает самоудаление после выполнения с помощью пакетных сценариев, которые удаляют следы его активности. Crypto24 в первую очередь нацелен на критически важные отрасли инфраструктуры, подчеркивая растущую изощренность злоумышленников.

#ParsedReport #CompletenessLow
29-09-2025

Dont Sweat the *Fix Techniques

https://www.huntress.com/blog/dont-sweat-clickfix-techniques

Report completeness: Low

Threats:
Clickfix_technique
Filefix_technique
Terminalfix_technique
Downloadfix_technique
Seo_poisoning_technique

Industry:
Military

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1059.003, T1071.001, T1105, T1189, T1204.001, T1204.002, T1566, T1608.004, have more...

IOCs:
File: 14
IP: 3
Url: 5
Domain: 3

Soft:
macOS, Linux, curl, Windows File Explorer, Google Chrome, Windows Explorer, trycloudflare, chrome

Functions:
getElementById, createElement, setTimeout, writeText, setClipboardCopyData, removeChild, removeEventListener, createObjectURL

Languages:
powershell, javascript

Links:
https://gist.github.com/tyler-bohlmann/87cc53d1ca2c4dcf222b604aab6f4dfd/raw/c72af203c96fbe8624e0f47afacd51541fcb1f8b/downloadfix\_fake\_download.js
have more...
https://github.com
https://gist.github.com/tyler-bohlmann/87cc53d1ca2c4dcf222b604aab6f4dfd#file-downloadfix\_fake\_download-js

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, chats: 1, schema: 2, code: 2