#ParsedReport #CompletenessHigh
20-11-2025

Cooking up trouble: How TamperedChef uses signed apps to deliver stealthy payloads

https://www.acronis.com/en/tru/posts/cooking-up-trouble-how-tamperedchef-uses-signed-apps-to-deliver-stealthy-payloads/

Report completeness: High

Threats:
Tamperedchef

Victims:
Health care, Construction, Manufacturing, Users in the americas, United states users

Industry:
Financial, E-commerce, Government, Healthcare

Geo:
Iceland, Americas

TTPs:
Tactics: 6
Technics: 9

IOCs:
Domain: 38
File: 43
Hash: 104
Url: 27
Path: 1

Soft:
Windows registry, twitter

Algorithms:
sha256, base64, xor

Functions:
GetAllManuals

Languages:
javascript

YARA: Found

Links:
have more...
https://github.com/ben-sb/obfuscator-io-deobfuscator
https://github.com/javascript-obfuscator/javascript-obfuscator?tab=readme-ov-file

#ParsedReport #ExtractedSchema

Classified images:
windows: 6, chart: 2, schema: 3, code: 12, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TamperedChef представляет собой серьезную киберугрозу, которая использует поддельные приложения для развертывания вредоносных полезных нагрузок с помощью сложных тактик, таких как Вредоносная реклама и социальная инженерия. Он получает первоначальный доступ через поддельные загрузки программного обеспечения, выполняя запутанную полезную нагрузку JavaScript в качестве бэкдора для удаленного управления. Злоумышленники используют действительные сертификаты подписи кода для повышения доверия к своим вредоносным приложениям, нацеленным на Америку, особенно в таких секторах, как здравоохранение и производство, для кражи конфиденциальных данных и потенциального запуска программ-вымогателей.
-----

Кампания TamperedChef распространяет поддельные приложения, напоминающие законное программное обеспечение, для выполнения вредоносных полезных нагрузок.

Он использует методы Вредоносной рекламы и SEO, чтобы заманить пользователей к загрузке скомпрометированных приложений.

Первоначальный доступ осуществляется с помощью вредоносной рекламы, побуждающей пользователей устанавливать поддельные приложения.

Тактика социальной инженерии используется для повышения воспринимаемой легитимности этих приложений.

Вредоносное ПО выполняет запутанную полезную нагрузку JavaScript, которая функционирует как бэкдор для удаленного доступа и управления.

Запланированная задача создается с помощью удаленного файла конфигурации XML, чтобы обеспечить непрерывное выполнение полезной нагрузки JavaScript каждые 24 часа со случайными задержками.

Кампания использует действительные сертификаты подписи кодами, полученные через зарегистрированные в США подставные компании, чтобы избежать обнаружения.

Операционная активность наблюдается преимущественно в Северной и Южной Америке, особенно в секторах здравоохранения, строительства и обрабатывающей промышленности.

Вредоносная инфраструктура имитирует законные сайты загрузки программного обеспечения, чтобы обмануть потенциальных жертв.

Атаки могут привести к краже конфиденциальных данных и учетных данных, а также могут подготовить почву для будущих атак программ-вымогателей.

Кампания использует первоначальный доступ, который может быть продан или использован для дальнейших вредоносных действий.

Тактика оппортунистического шпионажа нацелена на важные цели, включая правительство и исследовательские учреждения.

Методология была адаптирована с использованием краткосрочных сертификатов после того, как были отозваны долгосрочные сертификаты.

Эта кампания отражает сочетание технической изощренности, социальной инженерии и финансового оппортунизма.

#ParsedReport #CompletenessHigh
20-11-2025

SpiderLabs IDs New Banking Trojan Distributed Through WhatsApp

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/spiderlabs-ids-new-banking-trojan-distributed-through-whatsapp/

Report completeness: High

Threats:
Eternidade
Water_saci
Metamorfo
Process_hollowing_technique
Credential_harvesting_technique

Victims:
Banking sector, Whatsapp users, Brazilian users

Industry:
Government, Financial, Software_development

Geo:
Germany, Brazilian, France, Latin american, Brasil, Netherlands, Portuguese, United kingdom, Argentina, Brazil

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1055.012, T1059.005, T1059.007, T1071.001, T1105, T1204.002, have more...

IOCs:
Hash: 6
File: 3
Registry: 1
Url: 6
Domain: 5
IP: 6

Soft:
WhatsApp, Windows Defender, Windows registry, steam, Ledger Live, macOS, Linux, Android

Wallets:
coinbase, metamask, bybit, coinomi, math_wallet, electrum, exodus_wallet, atomicwallet, solflare, tokenpocket, have more...

Crypto:
binance, kucoin

Algorithms:
base64, lznt1, xor, sha256

Functions:
enviar_contatos_para_servidor, OBTERINFOADICIONAL

Win API:
EnumWindows

Languages:
delphi, powershell, javascript, python, php, autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 30, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер Eternidade - это банковский троян, который распространяется через захваченные учетные записи WhatsApp, используя тактику социальной инженерии и запутанный VBScript. После запуска он загружает червя WhatsApp и установщик MSI, которые развертывают троянца, который собирает полные списки контактов жертв WhatsApp с помощью `wppconnect-w.js библиотека и отправляет эти данные на сервер C2 в виде открытого текста. Вредоносное ПО использует такие методы, как Внедрение в пустой процесс и геозонирование, ориентируясь в первую очередь на пользователей в Бразилии и Аргентине, для расширения своих операционных возможностей.
-----

Недавно Trustwave SpiderLabs выявила банковского троянца под названием Eternidade стиллер, который распространяется через WhatsApp с помощью взломанных аккаунтов и методов социальной инженерии. Атака начинается с запутанного VBScript, который после выполнения удаляет пакетный файл, ответственный за загрузку червя, распространяющего WhatsApp, и установщика MSI - оба из которых развертывают фактический Trojan.

Основная функциональность стиллера Eternidade заключается в краже всего списка контактов жертвы в WhatsApp. Вредоносное ПО использует метод под названием "obter_contatos()", который использует `wppconnect-w.js библиотека, загруженная с GitHub, для получения программного доступа к WhatsApp Web. Украденные контактные данные, включая имена и номера телефонов, передаются на сервер управления (C2) в виде открытого текста, что позволяет злоумышленникам сопоставлять данные и выполнять целенаправленные атаки. В каждом сообщении используется HTTP POST-запрос, но, хотя данные передаются по протоколу HTTPS, отсутствие шифрования не обеспечивает защиты украденной информации.

Для распространения вредоносного ПО оно загружает Вредоносные файлы с сервера C2, обрабатывает их и отправляет обманчивые сообщения всем контактам, используя персонализированные приветствия, которые можно обновлять удаленно. Установка стиллера Eternidade облегчается с помощью вредоносного установщика MSI, который удаляет несколько полезных файлов, включая зашифрованные файлы и загрузчик сценариев AutoIt. При обнаружении определенных типов файлов, таких как .tda или .dmp, вредоносное ПО использует пользовательский потоковый шифр для расшифровки перед выполнением полезной нагрузки в памяти.

Заключительный этап включает в себя другой скомпилированный на Delphi инжектор, который использует Внедрение в пустой процесс для запуска основной полезной нагрузки, эффективно создавая полнофункциональный стиллер учетных данных, который собирает конфиденциальную информацию, сохраняя соединение с зараженным хостом. Этот анализ показывает, что вредоносное ПО использует геозонирование, нацеливаясь на жертв в Бразилии и Аргентине, при этом любые заблокированные соединения перенаправляются на безопасные адреса.

Стиллер Eternidade представляет собой сложную и эволюционирующую угрозу, подчеркивающую растущее использование WhatsApp для распространения вредоносных программ наряду с передовыми методами уклонения и активным развитием его операционных возможностей. Специалисты по кибербезопасности должны быть внимательны к подозрительной активности WhatsApp, неожиданным установкам скриптов или MSI, а также к конкретным показателям, связанным с этой кампанией.

#ParsedReport #CompletenessLow
19-11-2025

New Amazon Threat Intelligence findings: Nation-state actors bridging cyber and kinetic warfare

https://aws.amazon.com/blogs/security/new-amazon-threat-intelligence-findings-nation-state-actors-bridging-cyber-and-kinetic-warfare/

Report completeness: Low

Actors/Campaigns:
Tortoiseshell
Irgc
Muddywater

Victims:
Maritime sector, Critical infrastructure, Enterprise environments, Cctv systems

Industry:
Government, Military, Critical_infrastructure, Maritime, Transport, Logistic

Geo:
Iran, Israeli, Iranian

ChatGPT TTPs:
do not use without manual check
T1041, T1090, T1583.004, T1584.004, T1591, T1592, T1595

IOCs:
IP: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amazon threat intelligence выявила тревожную тенденцию, получившую название "кинетический таргетинг с поддержкой кибератак", когда акторы национальных государств, особенно из Ирана, используют кибероперации для усиления физических военных действий. Эта развивающаяся тактика включает в себя такие методы, как анонимизация трафика, постоянные серверы управления и нацеливание на корпоративные системы для получения информации в режиме реального времени, что стирает границы между цифровыми и физическими угрозами. Увеличение числа таких операций сигнализирует о критическом сдвиге в динамике кибербезопасности, требующем эволюции стратегий обороны по мере того, как интеграция кибернетической и кинетической войны становится все более выраженной.
-----

Кинетическое нацеливание с использованием кибернетических средств предполагает, что акторы, представляющие киберугрозу, используют кибероперации для усиления физических военных действий.

Эта тенденция угрожает изменить ландшафт кибербезопасности, поскольку различие между цифровыми и физическими угрозами становится менее четким.

Команда Amazon по анализу угроз использовала телеметрию из глобальных облачных служб и систем MadPot honeypot для обнаружения подозрительных кибер-кампаний kinetic.

Они собирали данные о подписавшихся клиентах и сотрудничали с организациями безопасности и государственными структурами для проверки угроз.

Хакерская группировка Imperial Kitten, связанная с иранским IRGC, перешла от кибер-разведки к физическим атакам.

MuddyWater, связанный с иранским MOIS, демонстрирует прямую интеграцию киберопераций с кинетическими действиями.

Тактика атаки включает маршрутизацию трафика через VPN для сокрытия личности и поддержания контроля над серверами управления.

Среди целей - критически важные корпоративные системы, особенно с системой видеонаблюдения и морской инфраструктурой, которые позволяют собирать разведывательную информацию в режиме реального времени.

Скомпрометированные системы обеспечивают действенные потоки данных, которые могут быстро изменить стратегии таргетинга.

Развивающаяся модель угроз предполагает, что организации должны усилить защиту от интегрированных цифровых и физических рисков, поскольку даже ранее безопасные объекты могут стать мишенями.

Исследователи Amazon ожидают увеличения использования кинетического таргетинга с использованием киберпространства по мере того, как акторы национальных государств будут использовать синергию между цифровыми и физическими возможностями.

Это требует изменения оборонных стратегий, уделения приоритетного внимания обмену разведданными и инновационным защитным мерам против сложного ландшафта противника.

#ParsedReport #CompletenessLow
20-11-2025

Operation WrtHug, The Global Espionage Campaign Hiding in Your Home Router

https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

Report completeness: Low

Actors/Campaigns:
Wrthug (motivation: cyber_espionage)

Threats:
Ayysshush

Victims:
Home users, Security professionals, Router users

Industry:
Military

Geo:
Asia, Russia, Taiwan, China

CVEs:
CVE-2023-41345 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2024-12912 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-41347 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-39780 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-41348 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-41346 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190, T1584

Soft:
Twitter

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция WrtHug - это глобальная шпионская кампания, нацеленная на маршрутизаторы ASUS WRT, использующая "уязвимости N-го дня" на устройствах с истекшим сроком службы для получения повышенных привилегий. Кампания связана с неизвестным актором, связанным с кибероперациями, спонсируемыми китайским государством, и классифицируется как кампания по содействию оперативной ретрансляции (ORB), направленная на создание сетевых опорных пунктов для наблюдения и эксфильтрации данных. Операция подчеркивает риски, связанные с непатентованными устройствами потребительского класса в рамках более масштабных усилий по шпионажу.
-----

Операция WrtHug - это масштабная глобальная шпионская кампания, целью которой были преимущественно маршрутизаторы ASUS WRT, что привело к компрометации тысяч устройств по всему миру. Злоумышленники используют известные уязвимости, называемые "уязвимостями N-го дня", чтобы получить повышенные привилегии на этих маршрутизаторах. Эта операция особенно затрагивает устройства с истекшим сроком службы (EoL), на которых отсутствуют постоянные обновления системы безопасности, что делает их особенно уязвимыми для эксплуатации.

Считается, что кампания была организована неизвестным актором, связанным с кибероперациями, спонсируемыми китайским государством. Оценки безопасности классифицировали эту операцию как кампанию содействия оперативному ретранслятору (ORB), в ходе которой государственные акторы расширяют свои шпионские возможности путем целенаправленных вторжений. Кампании ORB обычно направлены на то, чтобы закрепиться в сетях для проведения дальнейшего наблюдения и эксфильтрации данных.

Специалистам по безопасности и пользователям рекомендуется ознакомиться с рекомендациями ASUS по безопасности, в которых рассматриваются уязвимости, используемые в Operation WrtHug, и предлагаются меры по их устранению. Учитывая сложный характер этой угрозы, это подчеркивает важность поддержания обновленных методов обеспечения безопасности даже для устройств потребительского класса, поскольку они могут использоваться в качестве рычагов в более широких усилиях по шпионажу.

#ParsedReport #CompletenessLow
20-11-2025

Autumn Dragon

https://cdn.prod.website-files.com/68cd99b1bd96b42702f97a39/691bf999a544b31f93edb11d_b6dc80485a86c3eeaed906c7ecf0cd7b_Autumn%20Dragon_%20China-nexus%20APT%20Group%20Target%20South%20East%20Asia.pdf

Report completeness: Low

Threats:
Dll_sideloading_technique

Victims:
South east asia

Geo:
China, Asia

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1574.002

IOCs:
File: 6
Registry: 1
Url: 2

Soft:
Telegram

Algorithms:
xor

Functions:
TaskScheduler

Win Services:
WebClient

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка China-nexus нацелена на Юго-Восточную Азию с помощью многоэтапной атаки DLL sideloading, использующей бэкдор, который собирает данные и облегчает дальнейшие эксплойты. Этот бэкдор использует законный исполняемый файл OBS browser и модифицированный libcef.dll для выполнения, позволяя злоумышленнику выполнять команды и извлекать конфиденциальную информацию по протоколу HTTPS. Сообщение C2 шифруется с использованием простого метода XOR с ключом 0x3c, что указывает на потенциальную уязвимость для обнаружения.
-----

APT-группировка, созданная в Китае, активно нацеливается на Юго-Восточную Азию, используя сложную многоступенчатую технологию DLL Sideloading. Второй этап их атаки включает в себя развертывание бэкдора, который позволяет злоумышленнику собирать информацию из скомпрометированной системы и впоследствии способствовать выполнению третьего этапа их операции.

Этот бэкдор состоит из двух важнейших компонентов: законного исполняемого файла, связанного с браузером OBS с открытым исходным кодом, и модифицированной версии libcef.dll файл, который автоматически импортируется и выполняется приложением OBS. Эта манипуляция подчеркивает способность APT-группировки использовать доверенное программное обеспечение для внедрения вредоносных функций.

Для поддержания контроля над зараженными машинами бэкдор оснащен необходимыми функциями, которые позволяют злоумышленнику выполнять команды и собирать конфиденциальные данные. Связь между бэкдором и его сервером управления (C2) осуществляется по протоколу HTTPS, что указывает на попытку скрыть трафик. Однако было обнаружено, что сообщение C2 зашифровано простым методом XOR с использованием ключа 0x3c, что указывает на потенциальную уязвимость, которая может быть использована для обнаружения или нарушения связи злоумышленника. В целом, этот случай иллюстрирует сложность и скрытность современных киберугроз, особенно в контексте операций, спонсируемых государством.

#ParsedReport #CompletenessHigh
20-11-2025

Beyond the Watering Hole: APT24's Pivot to Multi-Vector Attacks

https://cloud.google.com/blog/topics/threat-intelligence/apt24-pivot-to-multi-vector-attacks/

Report completeness: High

Actors/Campaigns:
Pitty_tiger (motivation: cyber_espionage)

Threats:
Watering_hole_technique
Badaudio
Cobalt_strike_tool
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Fingerprintjs_tool
Typosquatting_technique

Victims:
Regional digital marketing sector, Website visitors

Geo:
China, Taiwan

TTPs:

IOCs:
Url: 2
Domain: 16
File: 13
Hash: 18

Soft:
macOS, Android, Firefox, Chrome, Outlook

Algorithms:
murmur3, murmur, aes, base64

Functions:
function, callback

Languages:
javascript

Platforms:
apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4