#ParsedReport #CompletenessLow
29-09-2025

XiebroC2 identified in MS-SQL server attack cases

https://asec.ahnlab.com/ko/90326/

Report completeness: Low

Threats:
Xiebroc2_tool
Cobalt_strike_tool
Juicypotato_tool
Potato_tool

ChatGPT TTPs:
do not use without manual check
T1082, T1102, T1588.001

IOCs:
IP: 2
Hash: 2
Url: 1

Soft:
MS-SQL, Linux, macOS

Algorithms:
md5

Languages:
powershell

Links:
https://github.com/INotGreen/XiebroC2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность аналитического центра безопасности AhnLab свидетельствует об увеличении числа атак на неправильно сконфигурированные серверы Microsoft SQL с использованием платформы управления XiebroC2. Общедоступный набор инструментов XiebroC2 позволяет злоумышленникам осуществлять сбор информации, поддерживать удаленный доступ и уклоняться от обнаружения, используя уязвимости, связанные с неправильными конфигурациями и отсутствием аутентификации или управления исправлениями. Эта тенденция подчеркивает способность злоумышленников адаптироваться к использованию доступных фреймворков C2 для вредоносных действий.
-----

Аналитический центр безопасности AhnLab (ASEC) обнаружил всплеск атак, нацеленных на неправильно сконфигурированные серверы Microsoft SQL (MS-SQL), в частности, подчеркнув использование платформы управления XiebroC2 (C2). XiebroC2 примечателен тем, что является общедоступным инструментарием, который используется для вредоносных действий, аналогичных тем, которые выполняет Cobalt Strike. Эта платформа обладает функциональными возможностями, которые позволяют злоумышленникам заниматься сбором информации, поддерживать удаленный контроль над скомпрометированными системами и внедрять стратегии, позволяющие избежать обнаружения.

Появление XiebroC2 в этих атаках указывает на растущую тенденцию использования доступных фреймворков C2 для использования уязвимостей в неправильно управляемых серверах баз данных. Эти уязвимости могут быть вызваны неправильными конфигурациями, недостаточными мерами аутентификации или отсутствием надлежащего управления исправлениями. Используя эти слабые места, злоумышленники могут получить значительный контроль над серверами, что приводит к потенциальным утечкам данных или дальнейшему проникновению в сетевую среду.

Использование фреймворка C2, такого как XiebroC2, выявляет универсальность и адаптивность злоумышленников при использовании различных методов организации атак. Поскольку сообщество безопасности продолжает отслеживать эти инциденты, необходимость в надежных методах обеспечения безопасности, включая надлежащую конфигурацию сервера и постоянную оценку уязвимостей, становится все более важной для защиты от таких угроз.

#ParsedReport #CompletenessLow
22-09-2025

zerodayx1: Hacktivist groups turning to ransomware operations

https://outpost24.com/blog/zerodayx1-hacktivist-ransomware-operations/

Report completeness: Low

Actors/Campaigns:
Zerodayx (motivation: hacktivism, propaganda, financially_motivated, cyber_criminal)
Lulzsec (motivation: hacktivism)
R00tk1t (motivation: hacktivism)

Threats:
Bqtlock
Doubleface
Azzasec
Credential_stealing_technique

Victims:
Organizations supporting israel, Corporate email users

Industry:
Petroleum, Financial

Geo:
Lebanon, Italy, Kuwait, Canada, Israeli, Middle east, Jordan, Israel, America, Egyptian, Syria, Germany, Bangladesh, Belgium

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1486, T1499, T1567.002, T1583.006, T1585.001, T1587.001, T1588.002, T1589.003, T1591.002, have more...

IOCs:
Url: 19
Coin: 2
Domain: 1
Email: 1

Soft:
Twitter, Telegram, Linux, Instagram

Crypto:
monero, bitcoin

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года хактивистская группа zerodayx1 перешла на модель "Программа-вымогатель как услуга" (RaaS), сочетающую финансовые мотивы с идеологической активностью на фоне растущей геополитической напряженности. Они используют сложные методы, включая внедрение программ-вымогателей, эксфильтрацию данных, компрометацию электронной почты, DDoS-атаки и дефейс веб-сайтов, нацеливаясь на организации в странах, поддерживающих Израиль. Их деятельность означает эволюцию в сторону операций, ориентированных на получение прибыли, при сохранении акцента на идеологические цели, что потенциально увеличивает их спектр угроз, насколько позволяют условия.
-----

В июле 2025 года пропалестинская хактивистская группа, известная как zerodayx1, запустила операцию "Программа-вымогатель как услуга" (RaaS), что ознаменовало значительный сдвиг в их методах работы. Эта группа отражает более широкую тенденцию, когда коллективы хактивистов сочетают идеологические мотивы с финансовой выгодой, эволюционируя в сторону гибридных моделей, которые включают в себя программы, ориентированные на получение прибыли, наряду с активизмом. Рост геополитической напряженности, особенно в контексте израильско-палестинского конфликта, стимулирует этот всплеск хактивистской активности под влиянием оперативных стратегий и альянсов, сформированных пророссийскими акторами.

Zerodayx1 использует более изощренную тактику, исторически связанную с финансово мотивированными киберпреступниками. Они интегрировали такие методы, как внедрение программ-вымогателей и эксфильтрация данных, в свою операционную систему, тем самым расширив свой потенциал воздействия и монетизации. Их деятельность иллюстрирует тенденцию, в соответствии с которой хактивистские группы больше не просто сосредотачиваются на идеологических сообщениях, но и занимаются незаконными финансовыми операциями. Информационно-пропагандистская деятельность группы осуществляется преимущественно через основные платформы, такие как X (ранее Twitter) и Telegram, где они координируют деятельность, распространяют пропаганду и создают альянсы.

Образ действий zerodayx1 был выведен в первую очередь из их активности в Социальных сетях. Сообщается, что они занимаются взломом электронной почты, вероятно, используя украденные учетные данные для доступа к корпоративным системам электронной почты. Также были опубликованы доказательства распределенных атак типа "Отказ в обслуживании" (DDoS) и дефейса веб-сайтов, причем цели охватывали различные регионы, включая Европу, Ближний Восток и Северную Америку. Утечки данных, связанные с конфиденциальной информацией, такой как учетные данные пользователей и базы данных, распространяются как по основным каналам, так и через подпольные форумы.

Zerodayx1's внедрила методы вымогательства, что стало очевидным из их ссылок на DoubleFace в августе 2024 года, после чего они заявили, что к апрелю 2025 года начнут свои собственные операции с программами-вымогателями. Сообщается, что их первоначальный вирус-вымогатель был взят из скомпрометированной Учетной записи эл.почты компании, базирующейся в Тель-Авиве, хотя подробности о конкретном варианте программы-вымогателя, который был внедрен, остаются неуказанными.

Определив набор своих целей, zerodayx1 направляет свои усилия на организации в странах, которые поддерживают Израиль, согласовывая свои кибероперации с идеологическими убеждениями. Несмотря на их сосредоточенность на хактивизме, операционные характеристики группы указывают на продолжающуюся эволюцию, отражающую стратегии известных акторов-вымогателей, включая использование методов двойного вымогательства. Ожидается, что их влияние сохранится и, возможно, усилится, поскольку социально-политические условия продолжают способствовать появлению новых злоумышленников в пространстве хактивистов.

#ParsedReport #CompletenessHigh
29-09-2025

Crypto24 Ransomware Uncovered: Stealth, Persistence, and Enterprise-Scale Impact

https://www.picussecurity.com/resource/blog/crypto24-ransomware-uncovered-stealth-persistence-and-enterprise-scale-impact

Report completeness: High

Threats:
Crypto24
Lolbin_technique
Realblindingedr_tool
Blackcat
Lockbit
Netuser_tool
Vmprotect_tool

Victims:
Large enterprises, Enterprise organizations

Industry:
Financial, Entertainment

Geo:
Usa, Asia

TTPs:
Tactics: 7
Technics: 0

IOCs:
Hash: 3
File: 25
Command: 7
Path: 15
Registry: 4

Soft:
ChatGPT, PsExec, Windows Defender, Windows Firewall, Windows service, WinINet API, Dropbox, Microsoft OneDrive

Algorithms:
sha256

Win API:
GetLastError, ntdll_imagebase, NtClose, RtlInitUnicodeString, NtAllocateVirtualMemory, RtlCreateHeap, RtlAllocateHeap, RtlFreeHeap, RtlNtStatusToDosErrorNoTeb, RtlAcquirePebLock, have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Crypto24, обнаруженная в конце 2023 года, представляет серьезную угрозу для крупных предприятий по всей Азии, Европе и США. Ее сложные методы включают поддержание привилегированного доступа посредством Манипуляций с учетными записями, создание запланированных задач для закрепления и использование PsExec для перемещения внутри компании и повышения привилегий. Примечательно, что он использует специализированный инструмент для обхода решений по обнаружению конечных точек и реагированию на них, захватывает учетные данные с помощью кейлоггера и использует меры антианализа, чтобы скрыть свое поведение, в конечном счете шифруя файлы и требуя выкуп.
-----

Программа-вымогатель Crypto24 появилась в конце 2023 года и нацелена на крупные предприятия в Азии, Европе и США. Она использует сложные методы скрытности и закрепления. Акторы-вымогатели манипулируют учетными записями для поддержания привилегированного доступа и закрепления за ними с помощью запланированных задач, вредоносных служб и добавления учетных записей пользователей в группы администраторов и пользователей удаленных рабочих столов.

Запланированные задачи в каталоге %ProgramData% используются для периодического выполнения вредоносных полезных нагрузок. Повышение привилегий достигается с помощью пакетных сценариев, PsExec и runas.exe для полного доступа к системе. PsExec облегчает общение под видом законных процессов.

Crypto24 включает в себя инструмент обхода защиты, который обходит решения EDR, динамически запрашивая метаданные для отключения средств защиты от крупных поставщиков систем безопасности, таких как Kaspersky и McAfee. Перемещение внутри компании включает в себя изменения в реестре и правилах брандмауэра для доступа по протоколу RDP, обеспечивая графический удаленный доступ к скомпрометированным системам.

Злоумышленники захватывают учетные данные с помощью установленного кейлоггера, который регистрируется как Служба Windows и регистрирует нажатия клавиш, при этом эксфильтрация данных осуществляется через API Google Диска для снижения рисков обнаружения. Компонент программы-вымогателя MSRuntime использует меры защиты от анализа, включая хэширование API и контекстные проверки, чтобы скрыть свое поведение, и шифрует файлы в пользовательских и критических каталогах перед выдачей уведомления о выкупе.

Вредоносное ПО обеспечивает самоудаление после выполнения с помощью пакетных сценариев, которые удаляют следы его активности. Crypto24 в первую очередь нацелен на критически важные отрасли инфраструктуры, подчеркивая растущую изощренность злоумышленников.

#ParsedReport #CompletenessLow
29-09-2025

Dont Sweat the *Fix Techniques

https://www.huntress.com/blog/dont-sweat-clickfix-techniques

Report completeness: Low

Threats:
Clickfix_technique
Filefix_technique
Terminalfix_technique
Downloadfix_technique
Seo_poisoning_technique

Industry:
Military

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.001, T1059.003, T1071.001, T1105, T1189, T1204.001, T1204.002, T1566, T1608.004, have more...

IOCs:
File: 14
IP: 3
Url: 5
Domain: 3

Soft:
macOS, Linux, curl, Windows File Explorer, Google Chrome, Windows Explorer, trycloudflare, chrome

Functions:
getElementById, createElement, setTimeout, writeText, setClipboardCopyData, removeChild, removeEventListener, createObjectURL

Languages:
powershell, javascript

Links:
https://gist.github.com/tyler-bohlmann/87cc53d1ca2c4dcf222b604aab6f4dfd/raw/c72af203c96fbe8624e0f47afacd51541fcb1f8b/downloadfix\_fake\_download.js
have more...
https://github.com
https://gist.github.com/tyler-bohlmann/87cc53d1ca2c4dcf222b604aab6f4dfd#file-downloadfix\_fake\_download-js

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, chats: 1, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология ClickFix, используемая злоумышленниками для первоначального доступа, основана на социальной инженерии, позволяющей манипулировать пользователями в обход мер безопасности. Все начинается с телеметрии процесса, включающей explorer.exe , который порождает conhost.exe и curl.exe для загрузки вторичной полезной нагрузки с вредоносных веб-сайтов, которые перехватывают функциональность буфера обмена. Такие варианты, как FileFix и TerminalFix, используют аналогичные методы, используя пользовательские подсказки для выполнения команд, подчеркивая необходимость взаимодействия с пользователем для облегчения этих атак.
-----

Технология ClickFix стала распространенной среди злоумышленников в качестве средства первоначального доступа, использующего поведение человека для обхода средств защиты и работы на нескольких платформах. Этот метод может быть основан на двух основных факторах: просмотр веб-страниц, который включает в себя Вредоносную рекламу, скомпрометированные веб-сайты и Отравление поисковой оптимизации(SEO), а также фишинг электронной почты. Он умело манипулирует пользователями, используя в своих интересах их склонность искать немедленные решения предполагаемых проблем, что часто приводит к тому, что они пренебрегают привлечением ИТ-специалистов или групп по кибербезопасности.

Анализ методологии ClickFix начинается с телеметрии процесса, где цепочка заражения обычно начинается с explorer.exe , используя окно запуска Windows для выполнения кода. Этот процесс порождает дочерний процесс, conhost.exe , который используется для прокси-сервера cmd.exe казнь. Впоследствии, curl.exe выполняется для загрузки и запуска дополнительной полезной нагрузки. Первоначальному компрометированию способствует злонамеренно разработанный веб-сайт, который перехватывает функциональность пользовательского буфера обмена, часто дополняемый поддельными вставками Cloudflare, чтобы скрыть попытки фишинга и повысить вовлеченность пользователей.

Механизм заманивания точно отражает ClickFix, но подчеркивает взаимодействие с пользователем посредством приглашения открыть проводник Windows. Это действие запускает собственное приложение навигации по файлам операционной системы, побуждая пользователей неосознанно инициировать процессы, которые приводят к атаке. Такие варианты, как FileFix и TerminalFix, следуют аналогичным процессам выполнения. FileFix имеет более простую структуру, которую можно увидеть, когда chrome.exe вызывает команду PowerShell, которая запрашивает файл из туннеля Cloudflare для немедленного выполнения. TerminalFix оптимизирован еще больше, работая исключительно с помощью единого процесса PowerShell, который использует пользовательский ввод для выполнения команд, генерируя минимальную телеметрию, хотя могут возникать вариации в зависимости от конкретных команд, предоставляемых злоумышленником.

Для того чтобы эти методы были эффективными, необходимы три основных условия: наличие вредоносного веб-сайта, взаимодействие с пользователем, подтверждающее личность человека, и выполнение предоставленного кода конечным пользователем. Варианты в основном отличаются тем, как они убеждают пользователя выполнить эти команды. Стратегии обнаружения таких атак должны быть сосредоточены на первоначальных полезных нагрузках, которые вызывают интерпретаторы сценариев для выполнения вредоносного кода, с особым упором на мониторинг процессов, исходящих из explorer.exe или веб-браузеров, и защиту исходящих сетевых подключений для выявления вторичных полезных нагрузок, размещенных удаленно.

#ParsedReport #CompletenessHigh
25-09-2025

Olymp Loader: A new Malware-as-a-Service written in Assembly

https://outpost24.com/blog/olymp-loader-a-new-malware-as-a-service/

Report completeness: High

Actors/Campaigns:
Olympo

Threats:
Olymp_loader
Lumma_stealer
Stealc
Code_cave_technique
Olymp_botnet
Amadey
Putty_tool
Webrat
Salatstealer
Quasar_rat
Raccoon_stealer
Kleenscan_tool
Brsteal
Browsersnatch
Olymp_crypter
Uac_bypass_technique
Process_injection_technique
Snatch_ransomware
Ultrasurf_tool

Victims:
Software developers, General users downloading legitimate software, Cryptocurrency users

Geo:
Russian

TTPs:
Tactics: 10
Technics: 15

IOCs:
Domain: 1
File: 6
Hash: 24
Url: 4

Soft:
Telegram, Windows Defender, Node.js, OpenSSL, Zoom, Capcut, SumatraPDF, Nuitka, Chrome, 7Star, have more...

Wallets:
electrum, wassabi, bitcoincore

Crypto:
monero

Algorithms:
zip, xor

Languages:
powershell, java, javascript, python, php

Platforms:
intel, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Olymp Loader - это недавно идентифицированное вредоносное ПО "как услуга" (MaaS), разработанное группой "OLYMPO", написанное на языке ассемблера и продаваемое как полностью необнаруживаемое. Методы распространения включают двоичные файлы, замаскированные под легальное программное обеспечение на таких платформах, как GitHub, и доставку через вредоносное ПО Amadey. После развертывания он предоставляет средства сбора информации об учетных данных и ПО для удаленного доступа, часто отключающие защитника Windows, и предлагает пользовательские модули для операций по краже, что делает его доступным для менее опытных злоумышленников.
-----

Olymp Loader - это новое вредоносное ПО "как услуга" (MaaS), появившееся с июня 2025 года и продаваемое группой, известной как "OLYMPO", на подпольных форумах и платформах, таких как Telegram. Код вредоносного ПО полностью написан на языке ассемблера и рекламируется как полностью необнаруживаемый (FUD). Точное число его активных пользователей неясно, но наблюдается заметная популярность: почти сотня подписчиков в его Telegram-канале предлагают обзоры и обсуждения.

Методы распространения Olymp Loader остаются несколько неоднозначными из-за его недавнего появления, но были выявлены способы заражения. Например, на GitHub были обнаружены два двоичных файла с Olymp Loader, Маскировки под легальное программное обеспечение, такое как Node.js . Такая тактика, скорее всего, введет в заблуждение разработчиков, которые ищут законную загрузку. Загрузчик иногда поставляется в качестве дополнительной полезной нагрузки с помощью вредоносного ПО Amadey, что намекает на возможную модель доставки с оплатой за установку (PPI) его клиентами.

При развертывании Olymp Loader в первую очередь служит для внедрения в скомпрометированные системы средства обработки учетных данных и ПО для удаленного доступа. Исследования показали, что различные образцы часто предназначены для отключения защитника Windows перед выполнением их полезной нагрузки. Наиболее распространенными инструментами постинфицирования вредоносного ПО являются LummaC2, WebRAT, QasarRAT и Raccoon, демонстрирующие четкую стратегию максимального увеличения кражи данных и компрометации системы.

Несколько итераций Olymp Loader уже были загружены для тестирования на VirusTotal, раскрывая такие методы, как запуск процесса из командной строки, копирование в каталог AppData и выполнение оттуда. В его последних обновлениях функциональность, связанная с ботнете, была удалена, а полезные нагрузки более тесно интегрированы и выполняются сразу после победы над защитником Windows.

Создатели Olymp Loader также внедрили пользовательские модули для клиентов, которые могут взаимодействовать через выделенный API. Эти модули способны выполнять различные операции по краже, включая модуль Telegram stealer, браузер stealer и криптокошелек stealer, нацеленный на несколько криптовалютных платформ. Такая гибкость позволяет даже менее опытным злоумышленникам эффективно использовать вредоносное ПО, одновременно увеличивая потенциал для широкомасштабного использования.

#ParsedReport #CompletenessLow
25-09-2025

First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails

https://www.koi.security/blog/postmark-mcp-npm-malicious-backdoor-email-theft

Report completeness: Low

Actors/Campaigns:
Postmark-mcp

Victims:
Software development, Email users

Industry:
Financial

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1114, T1195, T1199, T1204, T1546, T1553

IOCs:
Domain: 1
File: 1
Email: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Бэкдор Postmark, вредоносная модификация пакета postmark-mcp, продемонстрировал серьезные уязвимости в управлении зависимостями программного обеспечения, затронув многочисленные среды разработчиков с более чем 1500 еженедельными загрузками. Представленный в версии 1.0.16, он использовал простую модификацию кода для передачи конфиденциальной информации, такой как сброс пароля и внутренние заметки, на сервер злоумышленника, подчеркивая, как доверенные зависимости могут быть использованы в злонамеренных целях. Этот инцидент выявляет риски в экосистеме управляемых облачных пакетов, подчеркивая важность тщательной оценки безопасности программного обеспечения сторонних производителей.
-----

Появление бэкдора Postmark, идентифицированного как вредоносная модификация пакета postmark-mcp, выявило значительные уязвимости в управлении зависимостями программного обеспечения в средах разработчиков. Благодаря более чем 1500 загрузкам в неделю этот пакет был интегрирован в многочисленные рабочие процессы. Ключевое изменение произошло с выходом версии 1.0.16, в которой появилось подозрительное поведение, которое потребовало расследования с помощью механизма управления рисками в Koi. После анализа исследователи обнаружили, что модифицированный пакет незаметно передавал электронные письма, включая конфиденциальную информацию, такую как сброс пароля, счета-фактуры и внутренние заметки, на персональный сервер, контролируемый злоумышленником.

Используемый метод атаки отличается особой простотой, но эффективен, демонстрируя, как одна строка кода может превратить законный инструмент в средство для кражи тысяч конфиденциальных электронных писем. Этот инцидент подчеркивает тревожную тенденцию, при которой законное программное обеспечение становится скомпрометированным только после завоевания широкого доверия и интеграции в производственные среды. Бэкдор не был активирован случайным образом; вместо этого он использовал установившуюся зависимость пользователей от пакета, эффективно превращая доверенную зависимость в носителя вредоносного ПО.

Последствия этой атаки выходят за рамки конкретного экземпляра postmark-mcp, поднимая вопросы о более широкой устойчивости и безопасности экосистемы MCP (управляемых облачных пакетов). Архитектура таких систем, в которой внешние пакеты и зависимости используются автоматически без тщательной проверки во время выполнения, создает среду, пригодную для эксплуатации. Злоумышленники могут манипулировать этими рабочими процессами, внедряя вредоносный код в популярные пакеты, тем самым подрывая доверие к методам разработки программного обеспечения.

Этот инцидент служит важным напоминанием о необходимости тщательной оценки безопасности сторонних пакетов, даже тех, которые кажутся безвредными и широко используемыми. Зависимость от автоматизации без надлежащего надзора может привести к значительным рискам для безопасности, как продемонстрировал случай с postmark-mcp. Бэкдор postmark демонстрирует, как легко интегрированные инструменты могут превратиться в источники значительных утечек данных, подчеркивая необходимость повышенной бдительности при управлении зависимостями программного обеспечения.

#ParsedReport #CompletenessLow
29-09-2025

The Fake Bureau of Investigation: How Cybercriminals Are Impersonating Government Pages

https://www.varonis.com/blog/fbi-phishing-website

Report completeness: Low

Threats:
Seo_poisoning_technique
Spear-phishing_technique

Industry:
Financial, Government

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.001, T1566.002, T1583.001, T1584.001, T1608.006, T1647, T1659

IOCs:
Domain: 31

Soft:
Twitter

#ParsedReport #GeneratedSchema
Generated with GPT-4