#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайскоязычная группа по борьбе с киберпреступностью UAT-8099 специализируется на SEO-мошенничестве, нацеленном на дорогостоящие серверы Интернет-информационных служб (IIS) по всему миру. Они используют небезопасные конфигурации загрузки файлов, используя Cobalt Strike в качестве бэкдора, используя DLL Sideloading и запланированные задачи для закрепления. Их деятельность подкрепляется недавно выявленными вариантами вредоносного ПО BadIIS, которые содержат продвинутые обработчики HTTP-запросов, облегчающие манипулирование SEO, особенно использование запросов, имитирующих поисковые роботы.
-----

Китайскоязычная группа киберпреступников UAT-8099 была идентифицирована как в основном занимающаяся мошенничеством с поисковой оптимизацией (SEO), в частности, нацеленная на серверы дорогостоящих интернет-информационных служб (IIS) в различных странах, включая Индию, Таиланд, Вьетнам, Канаду и Бразилию. Затронутые серверы IIS принадлежат целому ряду организаций, таких как университеты и телекоммуникационные провайдеры. Их операции включают перенаправление пользователей с этих скомпрометированных серверов на несанкционированную рекламу или нелегальные сайты азартных игр, что свидетельствует о стратегической ориентации на платформы с высокой репутацией для манипулирования результатами поисковых систем.

UAT-8099 использует уязвимости в конфигурациях веб-серверов, в частности, нацелен на небезопасные параметры загрузки файлов. Их цепочка атак обычно включает в себя развертывание сценариев автоматизации, которые облегчают постоянный контроль над зараженными серверами и способствуют усилиям по SEO-манипуляциям. Эти сценарии автоматизируют задачи и обеспечивают закрепление путем изменения конфигураций IIS для обеспечения непрерывной эксплуатации.

Группа использует Cobalt Strike в качестве бэкдора, используя такие методы, как DLL sideloading для начальной загрузки и настройки запланированных задач для поддержания доступа. Их деятельность поддерживается недавно выявленными вариантами вредоносного ПО BadIIS, которые претерпели структурные изменения, чтобы повысить их шансы избежать обнаружения антивирусным программным обеспечением. Были обнаружены два кластера этого вредоносного ПО, оба с обработчиками, которые обрабатывают входящие HTTP-запросы на основе определенных критериев, уделяя особое внимание тем, которые имитируют поисковые роботы, такие как Googlebot.

Первый кластер вредоносного ПО BadIIS включает в себя обработчики с именами "CHttpModule::onBeginRequest" и "CHttpModule::OnSendResponse", которые используют HTTP-заголовки для определения выполняемого вредоносного действия. Например, когда кажется, что запросы исходят от робота Googlebot, они запускают функции прокси-сервера или инжектора, которые облегчают мошенничество с SEO путем пересылки пользовательских запросов через скомпрометированную инфраструктуру. Этот кластер подчеркивает способность вредоносного ПО кодировать адреса серверов командования и контроля (C2), тем самым расширяя его функциональность и избегая обнаружения.

Второй кластер аналогично использует те же имена обработчиков, но добавляет сложности за счет включения точек принятия решения до того, как произойдет интенсивная обработка, и обеспечения жесткого контроля изменений выходных данных для предотвращения обнаружения другими модулями. Этот кластер работает под эгидой режима SEO-мошенничества, который включает в себя несколько вариантов работы, разработанных для различных сценариев эксплуатации. В целом, UAT-8099 означает изощренный подход к мошенничеству с SI, использующий передовые технологии вредоносного ПО и целевые уязвимости на серверах IIS.

#ParsedReport #CompletenessLow
02-10-2025

Salesforce breaches impact multiple companies, cybercrime in Italy, new state-sponsored operations

https://www.telsy.com/violazioni-salesforce-impattano-molteplici-aziende-cybercrime-in-italia-nuove-operazioni-state-sponsored/

Report completeness: Low

Actors/Campaigns:
Unc6395
Dragonforce
Void_manticore

Threats:
Spear-phishing_technique
Mintsloader
Smishing_technique
Everest_ransomware
Safepay

Victims:
Salesforce customers, Government sector, Diplomatic sector, Multilateral organizations, Law firms, Architectural services

Industry:
Financial, Government

Geo:
Middle east, Asia, Iran, Africa, Austrian, Iranian, Americas, Oman, Italy

ChatGPT TTPs:
do not use without manual check
T1056.003, T1059.005, T1078, T1114.002, T1204.002, T1528, T1530, T1566, T1566.001, T1566.002, have more...

IOCs:
File: 1

Soft:
Salesforce, Salesloft Drift, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC6395 взломала инстансы Salesforce более 700 организаций, используя скомпрометированные токены OAuth, связанные с чат-агентом Salesloft Drift AI, что позволило получить несанкционированный доступ к конфиденциальным данным CRM. В Италии кампания по фишингу маскируется под официальные уведомления Налоговой службы для доставки вредоносного ПО, в то время как MintsLoader используется через взломанные почтовые ящики PEC. В глобальном масштабе спонсируемая иранским государством операция spear phishing использовала вредоносное ПО под названием sysProcUpdate для нацеливания на дипломатические активы с помощью вредоносных документов Word, что указывает на серьезную угрозу правительственной инфраструктуре.
-----

Недавние киберинциденты высветили значительные угрозы, затрагивающие как корпоративные, так и правительственные системы. Атаки, приписываемые группе UNC6395, привели к масштабному нарушению инстансов Salesforce, воздействие на которые оказало более 700 организаций. В результате взлома были использованы скомпрометированные токены OAuth, привязанные к чат-агенту Salesloft Drift AI, что привело к несанкционированному доступу к конфиденциальным данным управления взаимоотношениями с клиентами, включая контакты и заявки в службу поддержки. В то время как основные продукты и внутренние сети этих компаний, по-видимому, не пострадали, скомпрометированные данные вызывают опасения по поводу потенциальных атак spear phishing и перемещения внутри компании внутри организационных сетей.

В Италии был задокументирован всплеск киберпреступной деятельности, включая кампанию фишинга, имитирующую официальные уведомления Налоговой службы. Эта кампания включает электронные письма, которые пытаются обманом заставить получателей загрузить Вредоносные файлы, замаскированные под налоговые документы, причем поддельные сообщения, как представляется, приходят с законного государственного домена. Кроме того, вновь появилось распространение вредоносного ПО MintsLoader, использующее скомпрометированные почтовые ящики PEC для развертывания угроз. Одновременно кампания по smishing использует INPS (Национальный институт социального обеспечения) с целью сбора личной и финансовой информации от жертв. Также усилилась угроза вымогательства: команда DragonForce, как сообщается, скомпрометировала Ordine dei Giornalisti del Lazio, а команда Everest заявила, что получила доступ к юридической фирме Cordeiro Guerra & Associati.

В глобальном масштабе инициатива spear phishing, связанная с деятельностью, спонсируемой иранским государством, была нацелена на дипломатические и правительственные активы с использованием вредоносного ПО под названием sysProcUpdate. Эта операция включала отправку вводящих в заблуждение электронных писем со взломанной учетной записи посольства Омана различным правительственным чиновникам по всему миру, содержащих вредоносные документы Word, предназначенные для использования макро-уязвимостей. Масштабы этой кампании обширны: было использовано более 100 уникальных Учетных записей эл. почты, чтобы скрыть ее происхождение и эффективно воздействовать на широкий круг учреждений, включая посольства и многосторонние организации, такие как ООН. Кроме того, Федеральное министерство внутренних дел Австрии сообщило об аномалиях в своих ИТ-системах, при этом, как сообщается, пострадала значительная часть его Учетных записей эл. почты, что указывает на серьезный компромисс в правительственной инфраструктуре. Такие инциденты подчеркивают меняющийся ландшафт угроз, в котором как корпоративные, так и государственные структуры остаются главными мишенями для киберпреступников.

#ParsedReport #CompletenessMedium
01-10-2025

Silent Smishing : The Hidden Abuse of Cellular Router APIs

https://blog.sekoia.io/silent-smishing-the-hidden-abuse-of-cellular-router-apis/

Report completeness: Medium

Actors/Campaigns:
Csam_ebox
Grooza

Threats:
Smishing_technique
Typosquatting_technique

Victims:
Telecommunications, Postal services, Social security, Banking, Government digital services, Milesight industrial cellular routers users

Industry:
Healthcare, Government, Telco, E-commerce, Financial, Ics

Geo:
Italian, French, Swedish, Turkey, Australia, Sweden, Russian, Danish, France, Spain, Denmark, Thailand, Dutch, Belgium

CVEs:
CVE-2023-43261 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.007, T1078, T1190, T1204.001, T1210, T1566.002, T1589, T1593, T1596.001

IOCs:
IP: 6
File: 6
Url: 128
Domain: 23
Hash: 2

Soft:
Telegram

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Тот Sekoia.io команда сообщила о целенаправленных атаках, использующих уязвимости в промышленных маршрутизаторах сотовой связи Milesight, в частности CVE-2023-43261, которые позволяют получить несанкционированный доступ к конфиденциальным файлам журнала. Злоумышленники используют действительные файлы cookie для аутентификации для отправки SMS-сообщений с этих маршрутизаторов, и более 19 000 уязвимых устройств находятся в сети, главным образом в Австралии и Франции. Кампании smishing, связанные с этими уязвимостями, основаны на тактике социальной инженерии и фишинга, использующей домены, связанные с мошенническими действиями.
-----

Недавние наблюдения, сделанные Sekoia.io Группа по обнаружению угроз и исследованию выявила целенаправленную киберугрозу, использующую уязвимости в промышленных сотовых маршрутизаторах Milesight. Анализ выявил структуру запросов POST, направленных на конечную точку маршрутизаторов /cgi, использующих данные в формате JSON, связанные с функциями SMS-сообщений. Похоже, что злоумышленники используют файл cookie аутентификации для выполнения этих запросов, предполагая, что они обладают действительными учетными данными для доступа.

Заметная уязвимость, обозначенная как CVE-2023-43261, затрагивает несколько моделей маршрутизаторов Milesight, включая UR5X и UR32, предоставляя доступ к конфиденциальным файлам журналов по протоколу HTTP без проверки подлинности. Эта ошибка позволяет потенциальным злоумышленникам более эффективно использовать маршрутизаторы. Анализ показывает, что злоумышленники, скорее всего, проверяют, может ли маршрутизатор отправлять SMS-сообщения, пытаясь доставить сообщения на номер телефона, который они контролируют, подтверждая возможности устройства.

Было выявлено значительное число уязвимых устройств, более 19 000 из которых имеют доступ к общедоступному Интернету, со значительной концентрацией в Австралии и Франции. Исторические данные показывают, что использование этих уязвимостей для smishing-кампаний относится к началу 2022 года. Бельгия становится основной мишенью этих кампаний, которые обычно выдают себя за официальные службы, в то время как Франция демонстрирует широкий спектр имитируемых служб в своих усилиях по smishing.

В проанализированных кампаниях использовались различные домены для фишинга, в частности те, которые имитируют сервисы eBox и CSAM. В URL-адресах фишинга, полученных в ходе анализа, был обнаружен файл JavaScript, который проверяет, получают ли пользователи доступ к странице с мобильных устройств, скорее всего, предназначенный для повышения вовлеченности пользователей с помощью специальной тактики фишинга. Такое поведение, возможно, служит механизмом отслеживания, определяющим, когда пользователи взаимодействуют с мошенническими сайтами.

Кроме того, два домена, в частности jnsi.xyz, были привязаны к нескольким smishing-кампаниям, сосредоточенным на проблемах с платежами в разных регионах. Этот домен был зарегистрирован незадолго до этих кампаний и ссылается на относительно новую российскую автономную систему. Расследования в отношении домена выявляют вредоносные классификации с помощью URLScan.io , подтверждающий его использование в мошеннических действиях.

Эволюционирующий характер smishing, в частности его таргетинг с помощью SMS для целей цифрового мошенничества, демонстрирует постоянную угрозу, которую он представляет для финансовой безопасности. Методология атаки основана на методах социальной инженерии, которые используют доверие, что делает такую тактику доступной для неквалифицированных злоумышленников. Несмотря на свою простоту, smishing остается мощным средством для киберпреступников, движимых легкодоступными наборами и сервисами для фишинга.

#ParsedReport #CompletenessLow
03-10-2025

We Say You Want a Revolution PRISONBREAK - An AI-Enabled Influence Operation Aimed at Overthrowing the Iranian Regime

https://citizenlab.ca/2025/10/ai-enabled-io-aimed-at-overthrowing-iranian-regime/

Report completeness: Low

Actors/Campaigns:
Prisonbreak (motivation: disinformation)

Victims:
Iranian population, Media outlets

Industry:
Petroleum, Government, Financial, Critical_infrastructure, Energy, Education, Military

Geo:
Iranians, Israel, Qatar, Middle east, Tehran, Iran, Israeli, Iranian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1585, T1601.003, T1646, T1647

IOCs:
Url: 4

Soft:
Twitter, Gmail, Outlook, Chrome, Instagram, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция влияния "PRISONBREAK" включает в себя сеть из более чем 50 поддельных профилей на X, направленную на подстрекательство к восстанию против иранского режима, особенно после военных действий Армии обороны Израиля. Операция использует контент, созданный искусственным интеллектом, методы глубокой подделки и Имперсонацию законных новостных агентств, чтобы исказить повествования и усилить распространение сообщений о протестах. Свидетельства использования методов искусственного усиления указывают на попытку манипулировать общественным дискурсом, при этом происхождение и принадлежность сети остаются неясными, что наводит на мысль о возможных связях с израильскими организациями.
-----

Операция влияния "PRISONBREAK" включает в себя скоординированную сеть из более чем 50 недостоверных профилей в X (ранее Twitter), предназначенную для подстрекательства иранской аудитории к восстанию против Исламской Республики. Считается, что на эту операцию, которая в основном набирала обороты, начиная с января 2025 года, повлияли военные действия, проводимые Силами обороны Израиля (ЦАХАЛ) против иранских объектов, особенно во время так называемой "Двенадцатидневной войны", которая началась 13 июня 2025 года. Время проведения операции по PRISONBREAK предполагает синхронизацию с этими военными действиями, в частности, со взрывами в тюрьме Эвин 23 июня 2025 года, причем сообщения об операции появляются почти сразу после событий.

Факты указывают на то, что деятельность в рамках этой кампании характеризовалась широким использованием Искусственного интеллекта (ИИ), включая создание контента, предназначенного для искажения повествований о протестах и восстаниях. Например, сеть PRISONBREAK использовала методы глубокой подделки в сочетании с обработанным звуком из популярных песен протеста, чтобы улучшить свои сообщения. Кроме того, стратегия сети включала в себя выдачу себя за законные новостные агентства, такие как BBC Persian, чтобы придать достоверность их ложным рассказам. Видео и изображения часто перерабатывались или редактировались, чтобы ввести аудиторию в заблуждение относительно реальных событий, демонстрируя преднамеренную попытку создать путаницу и усилить призыв к восстанию.

Операция "PRISONBREAK" продемонстрировала методы искусственного усиления путем распространения контента в целевых онлайн-сообществах, которые уже предрасположены к антирежимным настроениям. Сеть использовала такую тактику, как взаимный обмен своими собственными постами и пометка основных средств массовой информации, чтобы еще больше повысить видимость и вовлеченность. Общий уровень вовлеченности постов был низким, вероятно, из-за их недостоверного характера, но сеть стремилась использовать общественные обсуждения и манипулировать ими для усиления своего влияния.

Принадлежность сети PRISONBREAK остается неопределенной, имеются признаки, указывающие на возможную связь с израильскими правительственными структурами или подрядчиками, хотя окончательные связи установить невозможно из-за отсутствия идентифицируемых профилей и метаданных. Анонимность операторов также подтверждается выбором ими изображений профиля и доменов электронной почты, которые не соответствуют обычно используемым сервисам.

Эта операция является примером той роли, которую операции по оказанию влияния могут играть в геополитических конфликтах, особенно в манипулировании информацией как средстве достижения более широких стратегических целей.

#ParsedReport #CompletenessLow
02-10-2025

Scam Facebook groups send malicious Android malware to seniors

https://www.malwarebytes.com/blog/news/2025/10/scam-facebook-groups-send-malicious-android-malware-to-seniors

Report completeness: Low

Actors/Campaigns:
Active_seniors
Zombinder

Threats:
Datzbro

Victims:
Seniors

Industry:
Financial

Geo:
Malaysia, Canada, South africa, Singapore, Australia, China

ChatGPT TTPs:
do not use without manual check
T1409, T1411, T1412, T1475, T1566.003

IOCs:
Domain: 1
File: 2

Soft:
Android, WhatsApp

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Datzbro - вредоносное ПО для Android, нацеленное на пожилых людей через группы в Facebook, функционирующее как инфокрад и банковский Trojan. Он извлекает финансовую информацию и может перехватывать транзакции для опустошения банковских счетов, демонстрируя поведение, подобное шпионскому ПО, которое отслеживает активность пользователей. Двойные возможности вредоносного ПО повышают риск для уязвимых лиц, которые могут взаимодействовать с этими потенциально опасными группами.
-----

Была выявлена новая киберугроза, связанная с распространением вредоносного ПО для Android, известного как Datzbro, через группы Facebook, ориентированные на пожилых людей. Это вредоносное ПО функционирует как инфокрад и банковский троян, специально разработанный для извлечения конфиденциальной финансовой информации и опустошения банковских счетов жертв.

Datzbro обладает возможностями, обычно присущими шпионским программам, что позволяет ему отслеживать активность пользователей и собирать конфиденциальные данные. Функции банковского трояна позволяют ему перехватывать финансовые транзакции и потенциально выводить средства непосредственно со взломанных счетов. Такая двойственная природа вредоносного ПО увеличивает риск для отдельных лиц, которые могут непреднамеренно присоединиться к этим группам Facebook и ознакомиться с потенциально вредоносным контентом.

Чтобы снизить риски, связанные с этими вредоносными действиями, пользователям рекомендуется проявлять осторожность при взаимодействии с группами Facebook, особенно с теми, которые были созданы недавно или не имеют установленной истории. Хотя может оказаться невозможным определить возраст группы до вступления, пользователи могут оценить доверие к группе, изучив даты исторических и закрепленных сообщений. Важным предупреждающим знаком является переход по ссылкам или установка приложений, рекомендованных в этих группах, или отправленных через личные сообщения из незнакомых источников. Крайне важно поддерживать актуальную защиту от вредоносного ПО в режиме реального времени на мобильных устройствах и сохранять бдительность в отношении групп, обещающих подозрительные или нереалистичные предложения. Кроме того, оценка профессионализма описания и правил группы может служить полезным показателем легитимности и потенциальных угроз.

#ParsedReport #CompletenessHigh
02-10-2025

Operation SouthNet: SideWinder Expands Phishing and Malware Operations in South Asia

https://hunt.io/blog/operation-southnet-sidewinder-south-asia-maritime-phishing

Report completeness: High

Actors/Campaigns:
Southnet (motivation: cyber_espionage)
Sidewinder (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique

Victims:
Government, Defense, Finance ministry, Central bank, Space agency, Airports authority, Board of investment, National assembly, Power utility, Telecom, have more...

Industry:
Aerospace, Telco, Military, Financial, Maritime, Government

Geo:
Bangladesh, Pakistan, Asian, Asia, China, Turkey, Myanmar, Pakistani, Sri lanka, Singapore, Turkish, Nepal

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002, T1583.006, T1584.004

IOCs:
Domain: 23
IP: 9
Url: 61
File: 9
Hash: 14

Soft:
Zimbra, Android, Outlook

Algorithms:
md5, base64

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 15, chats: 1, schema: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Operation SouthNet, проведенная злоумышленником SideWinder, включала в себя обширную деятельность по фишингу и вредоносному ПО по всей Южной Азии, используя более 50 вредоносных доменов для сбора учетных данных через поддельные порталы Outlook и Zimbra. Эта операция была нацелена на правительственные и оборонные организации с использованием методов, включающих использование в качестве оружия документов, посвященных правительственным делам, и утилизацию инфраструктуры, которая была связана с историческими средствами командования и контроля. Ключевыми целями были Министерство обороны Бангладеш, Министерство финансов Непала и Центральный банк Мьянмы, что подчеркивало стратегическую направленность на ценные учреждения.
-----

Operation SouthNet, приписываемая злоумышленнику SideWinder, стала свидетелем масштабной эскалации фишинга и вредоносного ПО по всей Южной Азии. Анализ выявил более 50 вредоносных доменов, используемых для размещения поддельных порталов Outlook и Zimbra, нацеленных на сбор учетных записей. Кампания была диверсифицирована в пяти странах, причем примерно 40% идентифицированных доменов приходится на Пакистан. Используемые методы включают распространение документов, связанных с правительственными делами, с использованием оружия, что подчеркивает нацеленность на чувствительные секторы.

Операция была введена в действие в августе 2025 года и была конкретно нацелена на правительственные и оборонные организации по всему Непалу, Бангладеш и Турции. SideWinder использовал бесплатные хостинговые платформы, такие как Netlify и pages.разработчик для развертывания своей инфраструктуры фишинга. Примечательно, что инфраструктура имела общую связь с историческими активами SideWinder's command and control (C2), подтверждая модель утилизации инфраструктуры на протяжении многих лет. С точки зрения исполнения, страницы фишинга использовали прямые запросы POST для перехвата введенных учетных данных без перенаправлений, чтобы избежать обнаружения.

Действия по фишингу были нацелены на различные учреждения: в Бангладеш схемы Имперсонации были направлены против Министерства обороны; в Непале были совершены атаки на Министерство финансов с использованием поддельных порталов Outlook; в то время как Центральный банк Мьянмы был атакован мошенническими страницами входа в Zimbra, предназначенными для извлечения учетных данных пользователей.

В Пакистане кампания, в частности, угрожала различным учреждениям, включая Комиссию по исследованию космоса и верхних Atmosphere (SUPARCO) и другие в аэрокосмическом и телекоммуникационном секторах. Домены для фишинга выдавали себя за законные правительственные службы электронной почты, что еще раз подчеркивает комплексный характер операций SideWinder's, нацеленных на ценные учреждения.

Для снижения подверженности угрозам рекомендуются упреждающие меры, включая мониторинг бесплатных хостинговых платформ на предмет активности фишинга, постоянную корреляцию показателей компрометации (IOCs) с системами безопасности и обучение персонала выявлению приманок для фишинга. Региональное сотрудничество между подразделениями по кибербезопасности Южной Азии также рекомендуется, учитывая трансграничный характер деятельности SideWinder's. Эта операция является примером стойких и адаптивных возможностей акторов сложных целенаправленных угроз (APT), использующих быстрый отток доменов, стратегические приманки и кроссплатформенное вредоносное ПО для поддержки долгосрочных кампаний шпионажа.

#ParsedReport #CompletenessMedium
30-09-2025

Klopatra: exposing a new Android banking trojan operation with roots in Turkey

https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey

Report completeness: Medium

Threats:
Klopatra
Virbox_tool
Hvnc_tool
Vmprotect_tool

Victims:
Financial institutions, Banking customers, Mobile users

Industry:
Financial, Media

Geo:
Spain, Italy, Georgia, Italian, Qatar, Chinese, Turkish, Germany, Lithuania, Spanish, Turkey, Kuwait

ChatGPT TTPs:
do not use without manual check
T1406, T1407, T1409, T1411, T1412, T1432, T1433, T1435, T1636

IOCs:
Domain: 3
IP: 5
File: 2
Hash: 30

Soft:
Android, Google Play

Algorithms:
base64, sha256

Languages:
java, kotlin

#ParsedReport #ExtractedSchema

Classified images:
code: 8, chart: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Klopatra - это усовершенствованный троян для удаленного доступа к Android (RAT), обнаруженный в августе 2025 года, управляемый тюркоязычной преступной группировкой, который скомпрометировал более 3000 устройств в рамках финансовых кампаний, особенно в Испании и Италии. Он маскируется под IPTV-приложение для развертывания вредоносного дроппера, используя службы специальных возможностей Android для получения расширенных разрешений, и реализует передовые методы обхода, включая собственные библиотеки и защиту Virbox. Вредоносное ПО может проводить оверлейные атаки с целью кражи учетных данных и автономно изменять системные настройки для закрепления, что указывает на непрерывную эволюцию и значительный риск для безопасности мобильного банкинга.
-----

Klopatra - это недавно обнаруженный троян удаленного доступа для Android (RAT), идентифицированный Cleafy в конце августа 2025 года, отличающийся высокой изощренностью и отсутствием связей с известными семействами вредоносных ПО. Этот банковский троянец в основном управляется тюркоязычной преступной группировкой и активно компрометирует более 3000 устройств, особенно в финансовых кампаниях, нацеленных на пользователей в Испании и Италии.

Вредоносное ПО выполняет атаки с использованием приманки социальной инженерии, замаскированной под IPTV-приложение, заманивая пользователей к установке вредоносного Dropper. После установки Klopatra использует службы специальных возможностей Android для получения обширных разрешений, что позволяет ей получить полный контроль над зараженными устройствами. Его усовершенствованный дизайн включает в себя сложную стратегию уклонения с использованием собственных библиотек и коммерческого пакета защиты кода Virbox, что значительно повышает его скрытность и устойчивость к обнаружению.

Klopatra обладает мощными возможностями, функционируя как комплексный банковский троян с функциями, позволяющими осуществлять удаленное управление и кражу учетных данных посредством оверлейных атак. Функциональные возможности RAT позволяют операторам активно отслеживать зараженные устройства и манипулировать ими. Вредоносное ПО создает оверлеи, которые могут обманом заставить пользователей предоставить конфиденциальную информацию для входа в финансовые приложения и криптовалютные системы, накладывая на них законные экраны.

Чтобы обеспечить свое закрепление, Klopatra может автономно предоставлять себе дополнительные разрешения, перемещаться по системным настройкам и добавлять себя в списки исключений для оптимизации заряда батареи, таким образом избегая завершения работы операционной системы. Операционная инфраструктура включает выделенные серверы командования и контроля (C2), которые затемняются с помощью Cloudflare, чтобы скрыть их истинные IP-адреса. Анализ показывает, что авторы находятся в непрерывном цикле разработки, часто совершенствуя вредоносное ПО и методы его обхода.

Ознакомление с профилем оператора Klopatra's указывает на сплоченную группу, говорящую по-турецки, что видно из языка, используемого в коде, и различных оперативных примечаний. Этот анализ не только подчеркивает технический прогресс Klopatra's, но и выявляет угрозу, которая является гибкой, постоянной и эволюционирующей, что представляет значительный риск для финансовых учреждений и пользователей мобильной связи в Европе. Расследование подчеркивает необходимость усиления мер защиты и бдительности в отношении таких сложных мобильных угроз.