#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Klopatra - это усовершенствованный троян для удаленного доступа к Android (RAT), обнаруженный в августе 2025 года, управляемый тюркоязычной преступной группировкой, который скомпрометировал более 3000 устройств в рамках финансовых кампаний, особенно в Испании и Италии. Он маскируется под IPTV-приложение для развертывания вредоносного дроппера, используя службы специальных возможностей Android для получения расширенных разрешений, и реализует передовые методы обхода, включая собственные библиотеки и защиту Virbox. Вредоносное ПО может проводить оверлейные атаки с целью кражи учетных данных и автономно изменять системные настройки для закрепления, что указывает на непрерывную эволюцию и значительный риск для безопасности мобильного банкинга.
-----

Klopatra - это недавно обнаруженный троян удаленного доступа для Android (RAT), идентифицированный Cleafy в конце августа 2025 года, отличающийся высокой изощренностью и отсутствием связей с известными семействами вредоносных ПО. Этот банковский троянец в основном управляется тюркоязычной преступной группировкой и активно компрометирует более 3000 устройств, особенно в финансовых кампаниях, нацеленных на пользователей в Испании и Италии.

Вредоносное ПО выполняет атаки с использованием приманки социальной инженерии, замаскированной под IPTV-приложение, заманивая пользователей к установке вредоносного Dropper. После установки Klopatra использует службы специальных возможностей Android для получения обширных разрешений, что позволяет ей получить полный контроль над зараженными устройствами. Его усовершенствованный дизайн включает в себя сложную стратегию уклонения с использованием собственных библиотек и коммерческого пакета защиты кода Virbox, что значительно повышает его скрытность и устойчивость к обнаружению.

Klopatra обладает мощными возможностями, функционируя как комплексный банковский троян с функциями, позволяющими осуществлять удаленное управление и кражу учетных данных посредством оверлейных атак. Функциональные возможности RAT позволяют операторам активно отслеживать зараженные устройства и манипулировать ими. Вредоносное ПО создает оверлеи, которые могут обманом заставить пользователей предоставить конфиденциальную информацию для входа в финансовые приложения и криптовалютные системы, накладывая на них законные экраны.

Чтобы обеспечить свое закрепление, Klopatra может автономно предоставлять себе дополнительные разрешения, перемещаться по системным настройкам и добавлять себя в списки исключений для оптимизации заряда батареи, таким образом избегая завершения работы операционной системы. Операционная инфраструктура включает выделенные серверы командования и контроля (C2), которые затемняются с помощью Cloudflare, чтобы скрыть их истинные IP-адреса. Анализ показывает, что авторы находятся в непрерывном цикле разработки, часто совершенствуя вредоносное ПО и методы его обхода.

Ознакомление с профилем оператора Klopatra's указывает на сплоченную группу, говорящую по-турецки, что видно из языка, используемого в коде, и различных оперативных примечаний. Этот анализ не только подчеркивает технический прогресс Klopatra's, но и выявляет угрозу, которая является гибкой, постоянной и эволюционирующей, что представляет значительный риск для финансовых учреждений и пользователей мобильной связи в Европе. Расследование подчеркивает необходимость усиления мер защиты и бдительности в отношении таких сложных мобильных угроз.

#ParsedReport #CompletenessLow
03-10-2025

Red Hat Breach: Crimson Collective Claims Massive Theft of Private Repositories

https://socradar.io/red-hat-breach-crimson-collective-theft-repositories/

Report completeness: Low

Actors/Campaigns:
Crimson_collective

Victims:
Red hat, Telecommunications

Industry:
Telco, Government, Energy, Healthcare, E-commerce, Financial

Geo:
Colombia

CVEs:
CVE-2025-10725 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1589, T1658, T1659

Soft:
Telegram, Salesforce

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Crimson Collective, недавно созданная группа вымогателей, взяла на себя ответственность за взлом частных хранилищ Red Hat после аналогичных действий против Claro Colombia. Они используют Telegram для освещения своей деятельности и оказания давления с помощью доказательств своих утверждений. Утверждается, что в атаке на Red Hat использовались нераскрытые уязвимости, и, хотя группа сообщила о своих опасениях Red Hat, они получили неадекватный ответ, подчеркивающий потенциальные недостатки в практике реагирования организации на инциденты.
-----

1 октября 2025 года Crimson Collective, недавно созданная группа вымогателей в Telegram, взяла на себя ответственность за значительное нарушение работы частных репозиториев Red Hat. Эта группа привлекла внимание своими предыдущими претензиями, включая сообщение о взломе Claro Colombia, где они утверждали о краже более 50 миллионов клиентских счетов-фактур и конфиденциальных внутренних файлов.

Crimson Collective, по-видимому, использует Telegram в качестве платформы для обмена доказательствами своих действий и участия в вымогательстве. Несмотря на то, что они были созданы всего за неделю до инцидента с Red Hat, они быстро обзавелись последователями, демонстрируя свое намерение извлечь выгоду из нарушений кибербезопасности. Их подход включает в себя заявления о нападениях и демонстрацию предполагаемых доказательств для установления доверия и оказания давления на целевые организации.

В случае с Red Hat группа заявила, что пыталась связаться с ними по официальным каналам, но получила общий ответ о раскрытии уязвимости, который они сочли неадекватным. Они предоставили скриншоты, свидетельствующие о том, что несколько сотрудников Red Hat участвовали в обработке их запроса, который в конечном итоге остался без ответа. Это утверждение подчеркивает потенциальную слабость методов реагирования на инциденты и коммуникации Red Hat.

Red Hat заявила, что нарушение не связано с недавно раскрытой уязвимостью OpenShift AI, идентифицированной как CVE-2025-10725, что указывает на то, что атака может использовать другие слабые места, которые еще не были публично выявлены или раскрыты. Детали, касающиеся точных методов или техник, использованных Crimson Collective для осуществления взлома, остаются непроверенными, и потенциальное воздействие любых украденных данных еще предстоит полностью оценить. Инцидент свидетельствует о сохраняющихся уязвимостях в известных организациях и растущей наглости злоумышленников, использующих общедоступные каналы для вымогательства и кражи данных.

#ParsedReport #CompletenessLow
02-10-2025

VMware CVE-2025-41244 Exploited: What You Need to Know About the Latest Flaws

https://socradar.io/vmware-cve-2025-41244-exploited/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Screenconnect_tool

Victims:
Enterprise environments, Hybrid cloud environments

Industry:
Government, Ngo

Geo:
Chinese

CVEs:
CVE-2025-41245 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41251 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41246 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41252 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41250 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1587.001

Soft:
BIG-IP, Linux

Functions:
get_version

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость CVE-2025-41244 в VMware позволяет злоумышленникам получать root-доступ к виртуальным машинам с помощью локальной ошибки повышения привилегий, связанной с китайской группой сложных целенаправленных угроз UNC5174. Этот недостаток, возникающий в результате проблемы с регулярным выражением в функции get_version(), создает риски эксплуатации, позволяя выполнять двоичные файлы из небезопасных каталогов. Сложность UNC5174, работающего в качестве посредника первоначального доступа, вызывает тревогу по поводу потенциальных дальнейших атак на ценные корпоративные среды.
-----

Недавняя аналитика по кибербезопасности выявила активное использование критической уязвимости в VMware, идентифицированной как CVE-2025-41244, которая позволяет злоумышленникам получать доступ корневого уровня к виртуальным машинам. Это местное повышение привилегий недостаток, оценили с CVSS оценка 7,8, влияет как функция VMware Ария и VMware инструменты, в частности, отнести к китайской сложная целенаправленная угроза группа UNC5174. Сообщается, что эта эксплуатация осуществляется с конца 2024 года, и изощренность злоумышленника еще больше подчеркивает срочность устранения этой уязвимости.

CVE-2025-41244 возникает из-за проблемы с регулярным выражением в функции get_version(), используемой во время обнаружения службы. Неправильная обработка входных данных означает, что функция может без ограничений использовать символы, не содержащие пробелов, что позволяет запускать двоичные файлы из любого каталога, включая небезопасные пути, такие как /tmp. Исследователи успешно опубликовали доказательство концепции (PoC), демонстрирующее, насколько просто использовать эту уязвимость.

Группа UNC5174 действует как посредник первоначального доступа, используя такие уязвимости для проникновения в ценные среды и эксплуатации корпоративного программного обеспечения. Их операции сосредоточены на важных целях, что вызывает серьезные опасения относительно возможности дальнейших взломов и атак на чувствительные системы.

Чтобы обнаружить потенциальную эксплуатацию, специалистам по безопасности рекомендуется искать конкретные индикаторы компрометации (IOCs), связанные с использованием CVE-2025-41244. Для организаций крайне важно применять последние исправления безопасности, рекомендованные в рекомендациях Broadcom для устранения этой уязвимости, наряду с сохранением бдительности в отношении других связанных уязвимостей, исправленных в продуктах VMware, включая Aria Operations, NSX и vCenter. Организациям также следует провести аудит конфигурации своих виртуальных машин, чтобы убедиться в том, что применяются методы безопасного обнаружения служб и что привилегии пользователей, не являющихся администраторами, ограничены везде, где это возможно.

Учитывая серьезность CVE-2025-41244 и его последствия для гибридных облачных и корпоративных сред, необходимо усилить меры защиты, особенно для подключенных к Интернету или не прошедших проверку подлинности компонентов VMware. Постоянный мониторинг необычной активности процессов и потенциальных эксплойтов будет иметь решающее значение для защиты от дальнейших попыток со стороны изощренных злоумышленников, таких как UNC5174.

#ParsedReport #CompletenessLow
03-10-2025

Hackers Demand $50 Million in Mass Extortion Attack Targeting Unpatched Systems

https://www.secureblink.com/cyber-security-news/hackers-demand-50-million-in-mass-extortion-attack-targeting-unpatched-systems

Report completeness: Low

Actors/Campaigns:
Cl0p
Fin11

Threats:
Clop

Victims:
Oracle ebs users

Industry:
Financial

Geo:
America

CVEs:
CVE-2025-30745 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30743 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30746 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-50107 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-30744 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1657, T1659

Soft:
MOVEit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группа Clop инициировала массовую кампанию вымогательства, направленную против Oracle E-Business Suite, используя несколько незащищенных уязвимостей, включая CVE-2025-30746 и CVE-2025-30745, впервые выявленные в июле 2025 года. Требуя доступа к конфиденциальным данным, они оказывают давление на организации, требуя соблюдения требований о выкупе в размере 50 миллионов долларов. Атака подчеркивает риски, связанные с незащищенными общедоступными системами, и подчеркивает важность устранения критических уязвимостей для предотвращения эксплуатации.
-----

Хакерская группа Clop запустила кампанию массового вымогательства, требуя 50 миллионов долларов после взлома Oracle E-Business Suite (EBS). Атака использует несколько незащищенных уязвимостей, которые были выявлены в июле 2025 года, что подчеркивает острую необходимость применения организациями доступных исправлений для смягчения этих угроз. В частности, в качестве точек входа для злоумышленников были идентифицированы следующие уязвимости: CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30743 и CVE-2025-30744. Каждая из этих проблем представляет значительный риск, особенно для общедоступных систем и критически важных информационных панелей Цепочки поставок, в которых отсутствуют необходимые меры аутентификации.

Группа Clop разработала коммуникационную стратегию, направленную на то, чтобы вселить страх и безотлагательность в целевые организации. Они утверждают, что получили доступ к конфиденциальным документам и базам данных компании, представляя пугающий сценарий полной компрометации. В качестве извращенного "бизнес-решения" хакеры предлагают предоставить доказательства своего взлома, поделившись частями украденных данных. Эта тактика направлена на то, чтобы заставить руководителей серьезно отнестись к угрозе и рассмотреть возможность удовлетворения их требования о выкупе.

Чтобы избежать подобных попыток вымогательства, организациям настоятельно рекомендуется принять незамедлительные меры. Первая и главная рекомендация заключается в безотлагательном применении критического исправления, выпущенного в июле 2025 года, поскольку невыполнение этого требования делает системы уязвимыми. Кроме того, компаниям рекомендуется действовать исходя из предположения, что они уже могут быть взломаны, что побуждает их к тщательному поиску угроз в своих средах EBS. Это включает мониторинг необычных входов в систему, экспорта большого объема данных и индикаторов компрометации (IOCS), связанных с текущей кампанией.

Обеспечение доступа к системам также имеет решающее значение. Организациям следует пересмотреть свои логины EBS, подключенные к Интернету, и уделить приоритетное внимание внедрению Многофакторной аутентификации (MFA), чтобы предотвратить атаки, основанные на учетных данных. Наконец, важно провести обучение руководителей C-suite, чтобы они были осведомлены о распространяющихся электронных письмах с вымогательством и установили протоколы для сообщения о них непосредственно в службы безопасности, тем самым поддерживая взвешенный подход, а не торопясь выплачивать выкуп.

#ParsedReport #CompletenessLow
03-10-2025

TamperedChef: Malvertising to Credential Theft

https://labs.withsecure.com/publications/tamperedchef.html

Report completeness: Low

Threats:
Tamperedchef

Victims:
European organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1102, T1105, T1204.001, T1204.002, T1218.007, T1480.001, T1553.002, T1555.003, have more...

IOCs:
Domain: 3
File: 6
Url: 1

Soft:
Electron, NuGet

Languages:
javascript

Platforms:
x64

Links:
https://github.com/WithSecureLabs/iocs/TamperedChef
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TamperedChef вредоносного ПО нацелена на европейские организации, использующие методы Вредоносной рекламы, маскирующиеся под PDF-редактор. Он поставляет вредоносный пакет MSI с законным лицензионным соглашением, чтобы избежать обнаружения, активируя его полезную нагрузку для кражи учетных данных браузера через два месяца. Исследователи также обратили внимание на приложение с аналогичным дизайном под названием AppSuite Print, которое, похоже, заброшено, в то время как злоумышленники перешли на новое приложение S3-Forge, что указывает на их адаптивные стратегии и продолжающуюся вредоносную активность.
-----

Кампания по борьбе с вредоносным ПО TamperedChef использует сложную стратегию Вредоносной рекламы, нацеленную на европейские организации путем Маскировки под законное приложение, в частности, редактор PDF. Эта кампания включала рекламный подход, который побуждал пользователей загружать вредоносный пакет Microsoft Installer (MSI). После загрузки пользователи столкнулись со стандартным диалоговым окном принятия лицензионного соглашения с конечным пользователем (EULA), что повысило легитимность приложения и помогло ему обойти определенные автоматизированные меры безопасности, такие как обнаружение в изолированной среде.

Вредоносное ПО, первоначально работавшее без проблем в течение почти двух месяцев, активировало свою вредоносную нагрузку 21 августа 2025 года, специально нацелившись на кражу учетных данных браузера. После этого разоблачения злоумышленники отреагировали выпуском якобы "чистых" версий приложения, но эти варианты все еще были подключены к их инфраструктуре, что сводит на нет любые гарантии безопасности. Наблюдаемое поведение указывает на то, что приложение функционировало как сборщик учетных данных, создавая значительный риск для безопасности пользователей.

В дополнение к варианту PDF-редактора исследователи обнаружили аналогичное, но, казалось бы, заброшенное приложение AppSuite Print, созданное примерно в то же время. Это приложение использовало запутанный файл JavaScript и имело сходство в коде и цифровых подписях с редактором PDF, но не было никаких свидетельств активного развертывания или использования, что позволяет предположить, что оно было отменено из-за недостаточного спроса.

После обнаружения TamperedChef злоумышленники быстро переключили свое внимание на разработку нового приложения под названием S3-Forge, которое демонстрирует продолжение злонамеренных намерений с использованием артефактов общего кода и установленных шаблонов разработки. Этот поворот указывает на адаптивный характер злоумышленников перед лицом контрмер, подчеркивая важность постоянной бдительности и обновленных стратегий обнаружения в областях кибербезопасности.

Меры обнаружения применяются с помощью различных продуктов безопасности, которые используют комбинацию общих и специфических сигнатур для эффективной идентификации и блокирования TamperedChef. Однако продолжающаяся эволюция тактики злоумышленников требует принятия упреждающих мер безопасности и внедрения передовых методик обнаружения для противодействия этим все более изощренным киберугрозам.

#ParsedReport #CompletenessMedium
30-09-2025

Check Your Socks - A Deep Dive into soopsocks PyPI Package

https://research.jfrog.com/post/check-your-socks-a-deep-dive-into-soopsocks-pypi/

Report completeness: Medium

Actors/Campaigns:
Soopsocks

Threats:
Uac_bypass_technique

Victims:
Software supply chain, General organizations

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1049, T1053.005, T1059.001, T1059.005, T1071.001, T1090, T1105, T1543.003, have more...

IOCs:
File: 15
Command: 3
Path: 2
Url: 1
Hash: 3

Soft:
Discord, BitTorrent, Windows service, Internet Explorer, Windows Firewall

Algorithms:
exhibit, zip

Functions:
main, _elevate_and_rerun, _try_pywin32_service, _auto_task_fallback

Languages:
powershell, python

Links:
https://github.com/kardianos/service

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет PyPI soopsocks обладает характеристиками вредоносного ПО, эволюционируя от базового сервера SOCKS5 до версий с расширенными механизмами развертывания и закрепления. Ключевые функции включают в себя развертывание скрытого исполняемого файла PE32+ (_AUTORUN.EXE ), который запускает скрипты PowerShell, использует жестко закодированные URL-адреса Discord webhook и манипулирует правилами брандмауэра. Вредоносное ПО функционирует как открытый прокси-сервер SOCKS5, связывается со своим сервером управления каждые 30 секунд и проводит разведку локальных IP-адресов, создавая значительную угрозу безопасности.
-----

Пакет PyPI soopsocks был идентифицирован как потенциальная угроза безопасности организации, обладающий характеристиками, типичными для вредоносного ПО. Его разработка претерпела множество итераций, эволюционировав от базовой серверной реализации SOCKS5 до продвинутых версий, включающих ряд механизмов развертывания и закрепления. Примечательно, что версии с 0.1.0 по 0.1.2 были сосредоточены на установке прокси-сервера SOCKS5, в то время как последующие версии включали дополнительные возможности, такие как запуск исполняемого файла (_AUTORUN.EXE ), поддерживающий Службы Windows и включающий методы развертывания на VBScript.

Основной вектор развертывания, _AUTORUN.EXE , представляет собой исполняемый файл PE32+, созданный из Go, который запускается с флагами Скрытого окна и выполняет встроенные сценарии PowerShell. Исполняемый файл содержит жестко закодированную информацию, такую как URL-адреса Discord webhook, и может манипулировать правилами брандмауэра. Более ранние версии также включали метод развертывания VBS, который при выполнении автоматически загружает переносимое программное обеспечение на Python и организует сценарии PowerShell с повышенными привилегиями.

SoopSocks использует протокол SOCKS5 на порту 1080 без аутентификации, функционируя как открытый прокси. Его сетевая связь вызывает тревогу, поскольку он периодически отправляет информацию о выходе из сети на предопределенный веб-узел Discord каждые 30 секунд, используя данные в формате JSON. Приложение также выполняет разведку, обнаруживая локальные и общедоступные IPv4-адреса и используя протокол STUN для обнаружения обхода NAT.

Технический анализ его компонентов показывает хорошо структурированную организацию: СЕРВЕР.PY реализует функциональность прокси-сервера SOCKS5, в то время как CLI.PY обрабатывает стратегии управления сервером и закрепления, часто отдавая приоритет установкам Служб Windows. Кроме того, пакет устанавливает автоматические операции после запуска системы с помощью автозапуска.Компонент PY и модифицирует брандмауэр Windows для управления трафиком.

Угроза, исходящая от SoopSocks, классифицируется как высокорисковая, учитывая ее способность к постоянному доступу, всесторонние возможности мониторинга сети и связь в режиме реального времени с сервером управления через Discord. Рекомендуемые шаги по исправлению включают изоляцию затронутых систем, блокировку связанных доменов и трафика, удаление компонентов, привязанных к SoopSocks, и усиление мер сетевой безопасности. Также рекомендуется отключить выполнение VBScript, внедрить внесение приложений в белый список и усилить возможности обнаружения конечных точек и реагирования на них, чтобы снизить связанные с этим риски. В целом, хотя SoopSocks маскируется под законную утилиту, ее глубокое шифрование и постоянное поведение сигнализируют о намерениях, связанных со вредоносной активностью.

#ParsedReport #CompletenessMedium
03-10-2025

SecuritySnack: 18+E-Crime

https://dti.domaintools.com/securitysnack-18e-crime/

Report completeness: Medium

Threats:
Credential_harvesting_technique

Victims:
Banking, Cryptocurrency exchanges, Social media users, Online gambling users, Government tax service users, Technology software users

Industry:
Financial, Government, Telco

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1556.003, T1566, T1566.002, T1583.001, T1584.001, T1587.001

IOCs:
Domain: 145
Url: 2
File: 1
Hash: 3
Email: 12

Soft:
Android, TikTok

Crypto:
binance

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года финансово мотивированная группа киберпреступников начала операцию с более чем 80 поддельными доменами, имитирующими законные веб-сайты, включая государственные налоговые порталы и банковские платформы. Их основная цель - распространять троянские программы для Android и Windows через поддельные страницы входа в систему, тем самым похищая учетные данные пользователей. Эта операция характеризуется использованием вводящего в заблуждение контента, связанного с популярными приложениями и сервисами, что свидетельствует о стратегическом использовании доверия пользователей.
-----

В сентябре 2024 года финансово мотивированная группа киберпреступников начала операции с использованием обширной сети из более чем 80 поддельных доменных имен и веб-сайтов-приманок. Эти сайты были созданы для имитации законных государственных налоговых порталов, платформ потребительского банкинга, приложений для Социальных сетей 18+ и программ помощи Windows. Основной целью этой операции является распространение троянских программ для Android и Windows, способствующих краже учетных данных пользователей путем развертывания поддельных страниц входа в систему.

Злоумышленники использовали тематические веб-сайты, нацеленные, в частности, на популярную систему помощи при установке Windows. Среди рекламируемого мошеннического контента были вымышленные версии Помощника по установке Windows 11 и TrustCon VPN, которые были разработаны для того, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение. Сеть также сосредоточилась на вводящем в заблуждение контенте, относящемся к тематике для лиц старше 18 лет, в частности, включающем макеты приложений для TikTok, YouTube и онлайн-гемблинга, а также имитации известных сайтов потребительского банкинга и криптовалютных бирж, таких как USAA, PMC, Bloomberg и Binance.

Эта операция является примером постоянной угрозы, характеризующейся использованием обманчивых стратегий, таких как поддельные домены и веб-сайты-приманки, не только для распространения вредоносного ПО, но и для активного сбора учетных данных пользователей. Целевые сектора указывают на продуманный подход, направленный на использование доверия пользователей, связанного с известными брендами и услугами.

#ParsedReport #CompletenessLow
03-10-2025

Palo Alto Scanning Surges \~500% in 48 Hours, Marking 90-Day High

https://www.greynoise.io/blog/palo-alto-scanning-surges

Report completeness: Low

Victims:
Technology vendors, Network security appliances

Geo:
Mexico, France, Canada, Pakistan, Netherlands, Australia, Russia

ChatGPT TTPs:
do not use without manual check
T1046, T1590, T1595, T1595.003, T1596

IOCs:
IP: 5

Soft:
Slack, PAN-OS

#ParsedReport #GeneratedSchema
Generated with GPT-4