#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Sarcoma, действующая с конца 2024 года, использует агрессивную тактику двойного вымогательства, похищая конфиденциальные данные перед шифрованием систем, чтобы использовать переговоры о выкупе. Нацеливаясь на организации в таких критически важных секторах, как производство и технологии, Sarcoma проводит методичные многоэтапные вторжения, начиная с разведки, а затем расширяя их доступ для сбора ценных данных. Группа представляет значительную угрозу из-за своей оперативной направленности на максимизацию ущерба путем публичного раскрытия украденной информации.
-----

Группа вымогателей Sarcoma, появившаяся в конце 2024 года, быстро зарекомендовала себя как серьезная киберугроза благодаря своей агрессивной тактике двойного вымогательства. Эта группа использует комбинацию кражи данных и системного шифрования, чтобы максимально использовать рычаги воздействия при переговорах о выкупе, создавая риски для множества организаций по всему миру. Операционная модель Sarcoma's предполагает кражу конфиденциальной информации перед шифрованием систем, тем самым оказывая давление на жертв угрозой разглашения общедоступных данных.

Группа нацелена на организации, основанные на четком коммерческом обосновании, уделяя особое внимание тем, чья деятельность критически нарушена шифрованием и репутации которых может быть нанесен ущерб в результате утечки данных. Следовательно, Sarcoma в основном работает в западных юрисдикциях, уделяя особое внимание таким секторам, как производство и технологии. Эти отрасли особенно привлекательны из-за высокой ценности украденных данных, таких как файлы дизайна и записи клиентов, которые могут значительно усилить переговорную силу при переговорах о выкупе.

Оперативная стратегия Sarcoma состоит из методичных, многоэтапных вторжений, которые сочетают разведку с внезапными, впечатляющими сбоями. Первоначально группа проводит тщательный анализ потенциальных целей, позволяя им адаптировать свои стратегии входа и эскалации в зависимости от конкретных условий, с которыми они сталкиваются. После успешного проникновения злоумышленники следуют последовательному процессу: расширяют свой доступ в сети, собирают ценные данные и шифруют системы, одновременно угрожая опубликовать украденную информацию, если не будет выплачен выкуп.

Для защиты от программ-вымогателей Sarcoma организациям рекомендуется внедрять многоуровневые и упреждающие меры безопасности. Учитывая скоординированный характер атак Sarcoma's, полагаться на единый защитный механизм недостаточно. Вместо этого для снижения риска и ограничения общего воздействия таких киберугроз необходим комплексный подход, учитывающий множество потенциальных векторов атак.

#ParsedReport #CompletenessMedium
20-11-2025

Blockchain and Node.js abused by Tsundere: an emerging botnet

https://securelist.com/tsundere-node-js-botnet-uses-ethereum-blockchain/117979/

Report completeness: Medium

Threats:
Tsundere
Typosquatting_technique
Supply_chain_technique

Victims:
Software supply chain, Gaming users

Industry:
E-commerce, Financial

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.007, T1071.001, T1102, T1104, T1105, T1132, T1140, have more...

IOCs:
File: 6
Domain: 1
Registry: 1
Coin: 8
IP: 5
Hash: 16
Path: 1

Soft:
Node.js, Linux, macOS, valorant, Windows Installer

Crypto:
ethereum, monero

Algorithms:
aes-256, aes-256-cbc, zip, base64, cbc, aes

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
code: 6, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Tsundere, обнаруженный Kaspersky GReAT в середине 2025 года, использует Node.js и технологию блокчейн для своих операций, использующую 287 вредоносных программ Node.js пакеты, распространяемые через npm с использованием typosquatting. Первоначальные заражения были связаны со скомпрометированными инструментами удаленного мониторинга и управления, в то время как вредоносное ПО распространяется через установщики MSI и скрипты PowerShell, использующие шифрование AES-256-CBC. Его инфраструктура управления использует соединения WebSocket и блокчейн Ethereum для динамического обновления адресов, что указывает на постоянного и адаптируемого злоумышленника, вероятно, российского происхождения.
-----

Ботнет Tsundere, обнаруженный Kaspersky GReAT в середине 2025 года, представляет собой значительную эволюцию в области киберугроз, использующую Node.js и технология блокчейн для его работы. Этот злоумышленник разработал и распространял вредоносные программы Node.js пакеты через диспетчер пакетов Node (npm) с помощью методов typosquatting, создающих 287 пакетов вредоносного ПО, нацеленных на несколько операционных систем, включая Windows, Linux и macOS. Пакеты имитировали популярные библиотеки и были удалены вскоре после обнаружения, но они ознаменовали серьезную атаку по Цепочке поставок.

Первоначальные векторы заражения ботнет Tsundere остаются несколько неоднозначными, но, по крайней мере, один случай был связан с использованием скомпрометированного инструмента удаленного мониторинга и управления (RMM). В данном случае был загружен исполняемый файл, замаскированный под PDF-файл. Другие предлагаемые методы включают маскировку вредоносного ПО под популярные игры, такие как "Valorant" и "CS2", обслуживающие пиратские сообщества.

Вредоносное ПО Tsundere может распространяться через два основных формата: установщик MSI и скрипт PowerShell. Установщик MSI замаскирован под законный установщик программного обеспечения и работает с обновленным списком файлов JavaScript и Node.js исполняемые файлы. Используемый им скрипт загрузки отвечает за расшифровку и выполнение основной функциональности бота, которая обрабатывает распаковку npm. Вариант PowerShell, с другой стороны, более оптимизирован. Он загружает официальный Node.js пакет и использует AES-256-CBC для расшифровки скриптов бота и закрепления непосредственно на целевом компьютере, в конечном счете выполняя вредоносные задачи.

Центральное место в работе бота Tsundere занимает его коммуникационный протокол управления (C2), который использует соединения WebSocket для доставки динамического кода JavaScript ботам. Бот использует блокчейн Ethereum для хранения своих адресов C2, изменяя переменные состояния с помощью смарт-контрактов. Это обеспечивает постоянную и отказоустойчивую инфраструктуру C2, поскольку адреса могут динамически обновляться при каждой транзакции и оставаться неизменяемыми после записи.

Процесс взаимодействия вредоносного ПО включает отправку зашифрованных объектов JSON обратно в C2, что обеспечивает безопасные и гибкие операции. Кроме того, ботнет оснащен торговой площадкой и Панелью управления, что консолидирует его командную структуру. Атрибуция предполагает, что разработчик, скорее всего, русскоязычный, что согласуется с предыдущими атаками, связанными с этим злоумышленником.

#ParsedReport #CompletenessLow
20-11-2025

NovaStealer - Apple Intelligence is leaving a plist.. it is legit, right?

https://bruceketta.space/posts/nova-script-251110/

Report completeness: Low

Threats:
Nova_stealer

Victims:
Cryptocurrency users, Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1057, T1059.004, T1082, T1105, T1119, T1204.002, have more...

IOCs:
File: 13
Url: 3
Hash: 7
Domain: 5

Soft:
macOS, Ledger Live

Wallets:
trezor, exodus_wallet, ledgerlive

Algorithms:
zip

Functions:
setTimeout, setInterval

Languages:
swift, python

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО NovaStealer использует дроппер для загрузки скрипта, mdriversinstall.sh , который устанавливает фреймворк в \~/.mdrivers и регистрирует LaunchAgent для закрепления. Он извлекает и выполняет дополнительные сценарии в кодировке Base64 с сервера управления, включая mdriversfiles.sh для эксфильтрации криптовалютных данных и mdriversswaps.sh , который заменяет законные приложения для кошельков поддельными для сбора конфиденциальной информации, такой как начальные фразы для восстановления. Использование демонизированных скриптов помогает скрыть его вредоносные действия от пользователей.
-----

Вредоносное ПО NovaStealer работает с помощью дроппера, который загружает и выполняет скрипт, известный как mdriversinstall.sh . Этот скрипт устанавливает вредоносный фреймворк в каталоге \~/.mdrivers и регистрирует агент запуска, получивший название application.com.artificialintelligence. С помощью этого фреймворка вредоносное ПО извлекает дополнительные скрипты, закодированные в Base64, с сервера управления (C2), помещая их в \~/.mdrivers/scripts и выполняя их в отдельных сеансах фонового экрана. Этот метод позволяет скриптам функционировать независимо от пользовательского интерфейса, обеспечивая закрепление, даже если пользователь выходит из системы.

Тот mdriversinstall.sh скрипт использует команду screen с флагом -dmS, указывающую, что все запущенные дочерние скрипты запускаются как демоны, тем самым скрывая их присутствие от пользователей. Главный дирижер, mdriversmngr.sh , играет решающую роль в операции. Его первоначальная задача заключается в обращении к серверу C2 для получения списка сценариев для выполнения, который возвращается в формате, разделенном двоеточием, с указанием имен сценариев наряду с их содержимым в формате Base64.

Среди вредоносных функций, mdriversfiles.sh разработан специально для эксфильтрации данных, связанных с криптовалютой, в частности для извлечения файла app.json из Ledger Live. Другой компонент, mdriversmetrics.sh , фокусируется на перечислении системной среды, собирая подробную информацию об операционной системе, включая версию сборки, установленные приложения и наличие как законных, так и поддельных приложений для криптокошельков. Примечательно, что этот скрипт также может захватывать информацию о процессе для таких приложений, как Ledger Live и Trezor Suite.

Особенно тревожная тактика, применяемая NovaStealer, предполагает использование mdriversswaps.sh . Этот скрипт использует стратегию подмены вредоносных приложений, которая влечет за собой замену законных приложений для криптовалютных кошельков поддельными версиями. Это позволяет злоумышленникам побуждать жертв вводить начальные фразы для восстановления, тем самым ставя под угрозу их кошельки. Поддельные LedgerLive.app и TrezorSuite.app созданы с использованием Swift и используют API-интерфейсы WebKit framework, способные отображать веб-контент и потенциально представляющие значительный риск для пользователей из-за их способности отображать реальные URL-адреса в виде открытого текста.

#ParsedReport #CompletenessLow
19-11-2025

Fake Malware TOAD via Malvertizing

https://malasada.tech/fake-malware-toad-via-malvertizing/

Report completeness: Low

Threats:
Toad_technique

Victims:
Users of federalpay org, General internet users

ChatGPT TTPs:
do not use without manual check
T1071.001, T1204, T1204.001, T1608.006

IOCs:
File: 1
Url: 1
Domain: 13

Soft:
Chrome

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания, получившая название "TOAD", использует Вредоносную рекламу на federalpay.org , рассылающий поддельные предупреждения о вредоносном ПО, чтобы заманить жертв на контакт с злоумышленниками. В атаке использовалась вредоносная реклама, размещенная на доменах ".site", которая последовательно перенаправляла пользователей на URL-адрес TOAD, причем реклама менялась каждый час, чтобы избежать обнаружения. Были отмечены методы фильтрации трафика, поскольку вариации пользовательских агентов приводили к различным ответам, при этом автоматические проверки обходились с помощью вводящих в заблуждение шаблонов.
-----

Недавно была выявлена кампания, которая распространяет поддельное предупреждение о вредоносном ПО, называемое "TOAD" (доставка атак, ориентированных на телефон), посредством Вредоносной рекламы. Эта вредоносная активность была замечена именно на веб-сайте federalpay.org . Атака использует серию вредоносных рекламных объявлений, которые перенаправляют пользователей на вредоносный URL-адрес TOAD, предназначенный для того, чтобы заманить жертв и заставить их позвонить злоумышленникам для дальнейших действий.

В ходе анализа было отмечено, что вредоносные рекламные объявления, показанные в разное время, размещались на доменах, заканчивающихся на ".site", и они неизменно приводили к одному и тому же URL-адресу TOAD. Вредоносная реклама была активна примерно в течение часа, после чего она была заменена новой рекламой, которая вскоре полностью исчезла. После расследования стало ясно, что злоумышленники использовали методы фильтрации трафика, чтобы избежать обнаружения, поскольку ответы значительно варьировались в зависимости от используемого пользовательского агента. При доступе с виртуальной машины Flare сайты-перенаправители надежно приводили к URL-адресу TOAD. Однако попытки проверить эти сайты с помощью PowerShell Invoke-WebRequest (IWR) с настраиваемым пользовательским агентом, имитирующим Chrome, привели к стандартному ответу страницы шаблона, указывающему на активные меры по уклонению от автоматического сканирования.

#ParsedReport #CompletenessMedium
20-11-2025

A Pain in the Mist: Navigating Operation DreamJobs arsenal

https://www.orangecyberdefense.com/global/blog/cert-news/a-pain-in-the-mist-navigating-operation-dreamjobs-arsenal

Report completeness: Medium

Actors/Campaigns:
Dream_job
Unc2970

Threats:
Burnbook
Mistpen
Passthehash_technique
Dll_sideloading_technique

Victims:
Manufacturing sector, Asian subsidiary of a large european manufacturing organization

Geo:
North korean, Dprk, Asian

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002, T1584.004

IOCs:
File: 3
Hash: 8
Domain: 5
Url: 3

Soft:
WhatsApp, WordPress, SumatraPDF, Active Directory, wordpad, TightVNC

Algorithms:
zip

Links:
https://github.com/cert-orangecyberdefense/cti/tree/main/dreamjob

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года кибератака, приписываемая северокорейской группе UNC2970, была нацелена на европейскую производственную дочернюю компанию, используя социальную инженерию с помощью приманки, связанной с работой, отправленной через WhatsApp. В атаке были задействованы загрузчик BURNBOOK и бэкдор MISTPEN, которые предоставляли удаленный доступ к скомпрометированным системам и использовали скомпрометированные SharePoint и WordPress для управления инфраструктурой. Инцидент свидетельствует о передовой тактике UNC2970's и закреплении кибервзломов.
-----

В августе 2025 года было расследовано вторжение, нацеленное на азиатскую дочернюю компанию европейской производственной организации, выявившее сложную цепочку атак, приписываемую северокорейской хакерской группировке UNC2970, известной своей операцией DreamJob. Атака началась с тактики социальной инженерии, которая включала отправку целевого веб-сообщения WhatsApp, содержащего приманку, связанную с работой, инженеру проекта. Это побудило жертву загрузить и запустить ZIP-архив, что способствовало заражению.

Вредоносное ПО, конкретно идентифицированное в этом инциденте, включало варианты загрузчика BURNBOOK и Backdoor. MISTPEN ("Черный ход"). Эти инструменты были неотъемлемой частью выполнения атаки, поскольку они обеспечивали удаленный доступ и контроль над скомпрометированными системами. Атака также использовала скомпрометированные ресурсы SharePoint и WordPress для создания инфраструктуры командования и контроля (C2), предоставляя злоумышленникам средства для поддержания постоянного доступа и сохранения в сети.

Полный анализ, приведенный в отчете, посвящен конкретным характеристикам и поведению BURNBOOK и MISTPEN, а также процессам цифровой криминалистики и реагирования на инциденты (DFIR) и методам обратного проектирования. Включены рекомендации по стратегиям обнаружения и охоты, подчеркивающие важность распознавания тактик социальной инженерии, используемых при таких вторжениях. Этот случай подчеркивает закрепление и эволюционирующие методологии, используемые UNC2970, подчеркивая необходимость для организаций усиливать свою защиту от подобных целенаправленных атак.

#ParsedReport #CompletenessMedium
20-11-2025

License to Encrypt: The Gentlemen Make Their Move

https://www.cybereason.com/blog/the-gentlemen-ransomware

Report completeness: Medium

Actors/Campaigns:
Gentlemen_ransomware
Hastalamuerte

Threats:
Gentlemen_ransomware
Qilin_ransomware
Edr-killer
Teamviewer_tool
Edrevasion_tool

Victims:
Organizations

Geo:
Russia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1486, T1562

IOCs:
Hash: 1
File: 1
Registry: 4

Soft:
Linux, ESXi, Windows Defender, Windows Firewall, MSSQL, postgresql, MySQL, MSExchange, Windows registry

Algorithms:
xchacha20, curve25519

Win Services:
sqlservr, MSSQL$SQLEXPRESS, SQLAGENT, SQLWriter, GxVss, vsnapvss, xfssvccon, qbdbMgrN

Languages:
powershell, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей "The Gentlemen", действующая с июля 2025 года, использует модель двойного вымогательства, которая включает шифрование файлов и эксфильтрацию данных, угрожая утечкой конфиденциальной информации. Работая как программа-вымогатель как услуга (RaaS), она позволяет аффилированным лицам настраивать атаки с помощью адаптируемых методов шифрования и кроссплатформенных возможностей, нацеленных на среды Windows, Linux и ESXi. Использование ими команд PowerShell и методов автоматизированного закрепления повышает эффективность работы, что делает их серьезной угрозой для организаций.
-----

Группа вымогателей "The Gentlemen" появилась в июле 2025 года, демонстрируя передовую тактику, которая позиционирует их как заметную угрозу в сфере кибербезопасности. Эта группа использует модель двойного вымогательства, при которой они не только шифруют конфиденциальные файлы, но и извлекают критически важные бизнес-данные, угрожая опубликовать эту информацию на сайтах утечки информации из Dark Web, если их требования о выкупе не будут выполнены. Их подход сочетает в себе устоявшиеся методы работы программ-вымогателей с инновационными стратегиями, позволяя им быстро адаптироваться к новым векторам атак, тем самым повышая их закрепление в качестве угрозы для организаций по всему миру.

Программа-вымогатель работает как программа-вымогатель как услуга (RaaS), доступная на различных форумах по киберпреступности, с акцентом на предоставление легко настраиваемого решения, которое может быть адаптировано для различных сценариев атак. Эта модель привлекательна для филиалов благодаря своим мощным техническим возможностям, поддерживающим крупномасштабное развертывание и обеспечивающим эффективную работу. Функции RaaS включают в себя адаптируемые методы шифрования, позволяющие злоумышленникам изменять скорость и тщательность процесса шифрования, чтобы оптимизировать свои выгоды.

Подробный технический анализ показал, что исполняемый файл программы-вымогателя имеет сходство с другими ранее существовавшими семействами программ-вымогателей. Кроме того, использование группой команд PowerShell играет значительную роль в их методах работы, облегчая различные вредоносные действия.

Анализ показывает, что "The Gentlemen" сочетает в себе отработанные методы работы с программами-вымогателями с функциями RaaS, предлагая кроссплатформенные возможности, ориентированные на среды Windows, Linux и ESXi. Их стратегии включают автоматизированное закрепление, гибкие методы распространения и всестороннюю поддержку своих филиалов, что в совокупности повышает их способность масштабировать атаки и обходить элементарные средства защиты. Быстрое количество публикаций о жертвах, передовые методы шифрования (XChaCha20 и Curve25519) и тактика уклонения от обнаружения подчеркивают постоянный риск для организаций, что делает их грозным игроком на рынке программ-вымогателей.

#ParsedReport #CompletenessHigh
20-11-2025

Cooking up trouble: How TamperedChef uses signed apps to deliver stealthy payloads

https://www.acronis.com/en/tru/posts/cooking-up-trouble-how-tamperedchef-uses-signed-apps-to-deliver-stealthy-payloads/

Report completeness: High

Threats:
Tamperedchef

Victims:
Health care, Construction, Manufacturing, Users in the americas, United states users

Industry:
Financial, E-commerce, Government, Healthcare

Geo:
Iceland, Americas

TTPs:
Tactics: 6
Technics: 9

IOCs:
Domain: 38
File: 43
Hash: 104
Url: 27
Path: 1

Soft:
Windows registry, twitter

Algorithms:
sha256, base64, xor

Functions:
GetAllManuals

Languages:
javascript

YARA: Found

Links:
have more...
https://github.com/ben-sb/obfuscator-io-deobfuscator
https://github.com/javascript-obfuscator/javascript-obfuscator?tab=readme-ov-file

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, chart: 2, schema: 3, code: 12, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TamperedChef представляет собой серьезную киберугрозу, которая использует поддельные приложения для развертывания вредоносных полезных нагрузок с помощью сложных тактик, таких как Вредоносная реклама и социальная инженерия. Он получает первоначальный доступ через поддельные загрузки программного обеспечения, выполняя запутанную полезную нагрузку JavaScript в качестве бэкдора для удаленного управления. Злоумышленники используют действительные сертификаты подписи кода для повышения доверия к своим вредоносным приложениям, нацеленным на Америку, особенно в таких секторах, как здравоохранение и производство, для кражи конфиденциальных данных и потенциального запуска программ-вымогателей.
-----

Кампания TamperedChef распространяет поддельные приложения, напоминающие законное программное обеспечение, для выполнения вредоносных полезных нагрузок.

Он использует методы Вредоносной рекламы и SEO, чтобы заманить пользователей к загрузке скомпрометированных приложений.

Первоначальный доступ осуществляется с помощью вредоносной рекламы, побуждающей пользователей устанавливать поддельные приложения.

Тактика социальной инженерии используется для повышения воспринимаемой легитимности этих приложений.

Вредоносное ПО выполняет запутанную полезную нагрузку JavaScript, которая функционирует как бэкдор для удаленного доступа и управления.

Запланированная задача создается с помощью удаленного файла конфигурации XML, чтобы обеспечить непрерывное выполнение полезной нагрузки JavaScript каждые 24 часа со случайными задержками.

Кампания использует действительные сертификаты подписи кодами, полученные через зарегистрированные в США подставные компании, чтобы избежать обнаружения.

Операционная активность наблюдается преимущественно в Северной и Южной Америке, особенно в секторах здравоохранения, строительства и обрабатывающей промышленности.

Вредоносная инфраструктура имитирует законные сайты загрузки программного обеспечения, чтобы обмануть потенциальных жертв.

Атаки могут привести к краже конфиденциальных данных и учетных данных, а также могут подготовить почву для будущих атак программ-вымогателей.

Кампания использует первоначальный доступ, который может быть продан или использован для дальнейших вредоносных действий.

Тактика оппортунистического шпионажа нацелена на важные цели, включая правительство и исследовательские учреждения.

Методология была адаптирована с использованием краткосрочных сертификатов после того, как были отозваны долгосрочные сертификаты.

Эта кампания отражает сочетание технической изощренности, социальной инженерии и финансового оппортунизма.