#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Amazon threat intelligence выявила тревожную тенденцию, получившую название "кинетический таргетинг с поддержкой кибератак", когда акторы национальных государств, особенно из Ирана, используют кибероперации для усиления физических военных действий. Эта развивающаяся тактика включает в себя такие методы, как анонимизация трафика, постоянные серверы управления и нацеливание на корпоративные системы для получения информации в режиме реального времени, что стирает границы между цифровыми и физическими угрозами. Увеличение числа таких операций сигнализирует о критическом сдвиге в динамике кибербезопасности, требующем эволюции стратегий обороны по мере того, как интеграция кибернетической и кинетической войны становится все более выраженной.
-----

Кинетическое нацеливание с использованием кибернетических средств предполагает, что акторы, представляющие киберугрозу, используют кибероперации для усиления физических военных действий.

Эта тенденция угрожает изменить ландшафт кибербезопасности, поскольку различие между цифровыми и физическими угрозами становится менее четким.

Команда Amazon по анализу угроз использовала телеметрию из глобальных облачных служб и систем MadPot honeypot для обнаружения подозрительных кибер-кампаний kinetic.

Они собирали данные о подписавшихся клиентах и сотрудничали с организациями безопасности и государственными структурами для проверки угроз.

Хакерская группировка Imperial Kitten, связанная с иранским IRGC, перешла от кибер-разведки к физическим атакам.

MuddyWater, связанный с иранским MOIS, демонстрирует прямую интеграцию киберопераций с кинетическими действиями.

Тактика атаки включает маршрутизацию трафика через VPN для сокрытия личности и поддержания контроля над серверами управления.

Среди целей - критически важные корпоративные системы, особенно с системой видеонаблюдения и морской инфраструктурой, которые позволяют собирать разведывательную информацию в режиме реального времени.

Скомпрометированные системы обеспечивают действенные потоки данных, которые могут быстро изменить стратегии таргетинга.

Развивающаяся модель угроз предполагает, что организации должны усилить защиту от интегрированных цифровых и физических рисков, поскольку даже ранее безопасные объекты могут стать мишенями.

Исследователи Amazon ожидают увеличения использования кинетического таргетинга с использованием киберпространства по мере того, как акторы национальных государств будут использовать синергию между цифровыми и физическими возможностями.

Это требует изменения оборонных стратегий, уделения приоритетного внимания обмену разведданными и инновационным защитным мерам против сложного ландшафта противника.

#ParsedReport #CompletenessLow
20-11-2025

Operation WrtHug, The Global Espionage Campaign Hiding in Your Home Router

https://securityscorecard.com/blog/operation-wrthug-the-global-espionage-campaign-hiding-in-your-home-router/

Report completeness: Low

Actors/Campaigns:
Wrthug (motivation: cyber_espionage)

Threats:
Ayysshush

Victims:
Home users, Security professionals, Router users

Industry:
Military

Geo:
Asia, Russia, Taiwan, China

CVEs:
CVE-2023-41345 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2024-12912 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-41347 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-39780 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-41348 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-41346 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190, T1584

Soft:
Twitter

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция WrtHug - это глобальная шпионская кампания, нацеленная на маршрутизаторы ASUS WRT, использующая "уязвимости N-го дня" на устройствах с истекшим сроком службы для получения повышенных привилегий. Кампания связана с неизвестным актором, связанным с кибероперациями, спонсируемыми китайским государством, и классифицируется как кампания по содействию оперативной ретрансляции (ORB), направленная на создание сетевых опорных пунктов для наблюдения и эксфильтрации данных. Операция подчеркивает риски, связанные с непатентованными устройствами потребительского класса в рамках более масштабных усилий по шпионажу.
-----

Операция WrtHug - это масштабная глобальная шпионская кампания, целью которой были преимущественно маршрутизаторы ASUS WRT, что привело к компрометации тысяч устройств по всему миру. Злоумышленники используют известные уязвимости, называемые "уязвимостями N-го дня", чтобы получить повышенные привилегии на этих маршрутизаторах. Эта операция особенно затрагивает устройства с истекшим сроком службы (EoL), на которых отсутствуют постоянные обновления системы безопасности, что делает их особенно уязвимыми для эксплуатации.

Считается, что кампания была организована неизвестным актором, связанным с кибероперациями, спонсируемыми китайским государством. Оценки безопасности классифицировали эту операцию как кампанию содействия оперативному ретранслятору (ORB), в ходе которой государственные акторы расширяют свои шпионские возможности путем целенаправленных вторжений. Кампании ORB обычно направлены на то, чтобы закрепиться в сетях для проведения дальнейшего наблюдения и эксфильтрации данных.

Специалистам по безопасности и пользователям рекомендуется ознакомиться с рекомендациями ASUS по безопасности, в которых рассматриваются уязвимости, используемые в Operation WrtHug, и предлагаются меры по их устранению. Учитывая сложный характер этой угрозы, это подчеркивает важность поддержания обновленных методов обеспечения безопасности даже для устройств потребительского класса, поскольку они могут использоваться в качестве рычагов в более широких усилиях по шпионажу.

#ParsedReport #CompletenessLow
20-11-2025

Autumn Dragon

https://cdn.prod.website-files.com/68cd99b1bd96b42702f97a39/691bf999a544b31f93edb11d_b6dc80485a86c3eeaed906c7ecf0cd7b_Autumn%20Dragon_%20China-nexus%20APT%20Group%20Target%20South%20East%20Asia.pdf

Report completeness: Low

Threats:
Dll_sideloading_technique

Victims:
South east asia

Geo:
China, Asia

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1071.001, T1574.002

IOCs:
File: 6
Registry: 1
Url: 2

Soft:
Telegram

Algorithms:
xor

Functions:
TaskScheduler

Win Services:
WebClient

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка China-nexus нацелена на Юго-Восточную Азию с помощью многоэтапной атаки DLL sideloading, использующей бэкдор, который собирает данные и облегчает дальнейшие эксплойты. Этот бэкдор использует законный исполняемый файл OBS browser и модифицированный libcef.dll для выполнения, позволяя злоумышленнику выполнять команды и извлекать конфиденциальную информацию по протоколу HTTPS. Сообщение C2 шифруется с использованием простого метода XOR с ключом 0x3c, что указывает на потенциальную уязвимость для обнаружения.
-----

APT-группировка, созданная в Китае, активно нацеливается на Юго-Восточную Азию, используя сложную многоступенчатую технологию DLL Sideloading. Второй этап их атаки включает в себя развертывание бэкдора, который позволяет злоумышленнику собирать информацию из скомпрометированной системы и впоследствии способствовать выполнению третьего этапа их операции.

Этот бэкдор состоит из двух важнейших компонентов: законного исполняемого файла, связанного с браузером OBS с открытым исходным кодом, и модифицированной версии libcef.dll файл, который автоматически импортируется и выполняется приложением OBS. Эта манипуляция подчеркивает способность APT-группировки использовать доверенное программное обеспечение для внедрения вредоносных функций.

Для поддержания контроля над зараженными машинами бэкдор оснащен необходимыми функциями, которые позволяют злоумышленнику выполнять команды и собирать конфиденциальные данные. Связь между бэкдором и его сервером управления (C2) осуществляется по протоколу HTTPS, что указывает на попытку скрыть трафик. Однако было обнаружено, что сообщение C2 зашифровано простым методом XOR с использованием ключа 0x3c, что указывает на потенциальную уязвимость, которая может быть использована для обнаружения или нарушения связи злоумышленника. В целом, этот случай иллюстрирует сложность и скрытность современных киберугроз, особенно в контексте операций, спонсируемых государством.

#ParsedReport #CompletenessHigh
20-11-2025

Beyond the Watering Hole: APT24's Pivot to Multi-Vector Attacks

https://cloud.google.com/blog/topics/threat-intelligence/apt24-pivot-to-multi-vector-attacks/

Report completeness: High

Actors/Campaigns:
Pitty_tiger (motivation: cyber_espionage)

Threats:
Watering_hole_technique
Badaudio
Cobalt_strike_tool
Dllsearchorder_hijacking_technique
Dll_sideloading_technique
Spear-phishing_technique
Supply_chain_technique
Fingerprintjs_tool
Typosquatting_technique

Victims:
Regional digital marketing sector, Website visitors

Geo:
China, Taiwan

TTPs:

IOCs:
Url: 2
Domain: 16
File: 13
Hash: 18

Soft:
macOS, Android, Firefox, Chrome, Outlook

Algorithms:
murmur3, murmur, aes, base64

Functions:
function, callback

Languages:
javascript

Platforms:
apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 8, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT24, группа кибершпионажа, связанная с Китаем, использует пользовательское вредоносное ПО под названием BADAUDIO в качестве загрузчика для получения постоянного доступа к сетям путем выполнения полезной нагрузки, зашифрованной AES, с сервера управления. Группа использовала многовекторные атаки, которые включают в себя веб-компрометацию более 20 законных сайтов, атаки на Цепочки поставок и целенаправленные кампании фишинга с использованием замаскированных электронных писем для облегчения загрузки вредоносного ПО. Операции APT24's демонстрируют передовые стратегии использования уязвимостей и поддержания доступа в различных сетях.
-----

APT24, изощренная группа кибершпионажа, связанная с Китайской Народной Республикой, действует уже три года, используя высокоадаптивную кампанию, которая использует многовекторные атаки. Основным инструментом, используемым в этой операции, является BADAUDIO, пользовательский загрузчик первого этапа, написанный на C++. Это вредоносное ПО предназначено для установления постоянного доступа к скомпрометированным сетям путем загрузки, расшифровки и выполнения полезных данных, зашифрованных AES, с жестко запрограммированного сервера управления (C2). BADAUDIO собирает базовую системную информацию, шифрует ее с помощью статического ключа AES и передает на сервер C2 как часть запроса GET.

Кампания BADAUDIO значительно эволюционировала за три года своего существования, внедряя различные методы доставки, включая веб-компрометацию, атаки по Цепочке поставок с участием региональной фирмы цифрового маркетинга на Тайване и spear phishing. Важным событием стало то, что начиная с ноября 2022 года APT24 провела широкомасштабную кампанию по компрометации веб-сайтов, в ходе которой было скомпрометировано более 20 законных веб-сайтов, охватывающих различные темы. Похоже, что злоумышленники оптимизировали это, внедрив вредоносные полезные файлы JavaScript, нацеленные на ничего не подозревающих посетителей, которые были идентифицированы с помощью методов снятия отпечатков пальцев.

В тандеме с этими стратегическими веб-компромиссами APT24 также проводит целенаправленные кампании по фишингу. В этих кампаниях использовались методы социальной инженерии, использующие обманчивые электронные письма, которые маскируются под сообщения от, казалось бы, безобидных организаций, таких как организации по спасению животных. Цель этих попыток фишинга состоит в том, чтобы заставить получателей напрямую загружать вредоносное ПО с доменов, контролируемых злоумышленниками.

Текущая деятельность APT24 демонстрирует расширенные оперативные возможности и четкую стратегию взаимодействия. Использование Компрометации цепочки поставок, многоуровневых тактик социальной инженерии и использование законных Облачных сервисов подчеркивают изощренный подход группы к шпионажу, позволяющий им поддерживать постоянный доступ к целому ряду сетей. Таким образом, эволюция тактики APT24's служит примером адаптивной природы киберугроз, связанных с акторами, спонсируемыми государством, в регионе.

#ParsedReport #CompletenessMedium
20-11-2025

Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption

https://www.threatfabric.com/blogs/sturnus-banking-trojan-bypassing-whatsapp-telegram-and-signal

Report completeness: Medium

Threats:
Sturnus
Hvnc_tool

Victims:
Financial institutions, Mobile banking users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1398, T1401, T1406, T1407, T1409, T1410, T1411, T1412, T1414, T1417.001, have more...

IOCs:
Hash: 2
Domain: 1

Soft:
WhatsApp, Telegram, Android, SELinux, Google Chrome

Algorithms:
cbc, aes, sha256, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sturnus - это появляющийся банковский троян для Android, способный к значительному мошенничеству и компрометации устройств, использующий передовые методы обхода шифрования в приложениях для обмена сообщениями, таких как WhatsApp и Telegram. Он собирает конфиденциальную информацию с помощью мониторинга экрана и использует HTML-оверлеи для эксфильтрации данных, специально ориентируясь на приложения финансовых учреждений в Южной и Центральной Европе. Его функции дистанционного управления и тактика закрепления повышают скрытность его работы, создавая существенные риски для финансовой безопасности и личной неприкосновенности.
-----

Sturnus - это недавно идентифицированный банковский троян для Android, который обладает значительной способностью к мошенничеству и компрометации устройств, особенно благодаря своей способности обходить шифрование приложений обмена сообщениями, таких как WhatsApp, Telegram и Signal. В отличие от обычного вредоносного ПО, Sturnus захватывает и отслеживает незашифрованные экраны после расшифровки, что позволяет ему отслеживать конфиденциальные сообщения. В настоящее время вредоносное ПО находится в стадии разработки, и имеются признаки целенаправленных атак, направленных в первую очередь на финансовые учреждения в Южной и Центральной Европе. Это говорит о том, что злоумышленники, возможно, готовятся к более масштабному оперативному наступлению.

Функциональность Sturnus примечательна тем, что она использует сложные коммуникационные протоколы и поддерживает продвинутый профиль работы. Поскольку вредоносное ПО все еще находится на стадии оценки, оно еще не запустило масштабных кампаний, вместо этого полагаясь на ограниченные, спорадические действия, которые используют специфичные для региона банковские накладки. Его создатели, похоже, совершенствуют способность вредоносного ПО захватывать конфиденциальные данные с помощью широко используемых платформ защищенного обмена сообщениями, что потенциально указывает на необходимость повышения операционной эффективности перед более широким внедрением.

Что касается эксфильтрации данных, Sturnus включает в себя сложный механизм, который использует HTML-оверлеи в сочетании с Регистрацией нажатий клавиш на основе специальных возможностей. Это позволяет собирать учетные данные пользователя и другую конфиденциальную информацию. Каждое целевое банковское приложение представлено шаблоном наложения для фишинга, хранящимся внутри вредоносного ПО, что обеспечивает эффективный перехват данных при использовании жертвами этих приложений. Вредоносное ПО также способно перехватывать и контролировать взаимодействия с приложениями для обмена сообщениями, активируя свою коллекцию дерева пользовательского интерфейса при доступе к зашифрованным службам обмена сообщениями.

Возможности удаленного управления Sturnus позволяют злоумышленникам поддерживать непрерывный визуальный доступ к устройству жертвы с помощью двух методов захвата экрана: при необходимости использовать как систему захвата экрана, так и скриншоты на основе специальных возможностей. Такая конструкция обеспечивает гибкое удаленное взаимодействие, которое может адаптироваться к различным средам Android и условиям эксплуатации. Кроме того, Sturnus усиливает свое закрепление за счет получения прав администратора устройства Android, что позволяет ему отслеживать критически важные действия, блокировать попытки деинсталляции и обеспечивать свое присутствие на устройстве.

Набор сложных командных функций вредоносного ПО включает в себя возможности скрывать приложения, отслеживать уведомления, инициировать звонки или SMS—сообщения и манипулировать контактами - все это стратегически разработано для усиления контроля и незаметной работы вредоносного ПО на устройстве жертвы. Эти многогранные векторы атак обеспечивают Sturnus высокий уровень доступа и контроля, создавая существенные риски для финансовой безопасности пользователей и личной неприкосновенности частной жизни.

#ParsedReport #CompletenessHigh
20-11-2025

PlushDaemon compromises network devices for adversary-in-the-middle attacks

https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-network-devices-for-adversary-in-the-middle-attacks/

Report completeness: High

Actors/Campaigns:
Plushdaemon (motivation: cyber_espionage)

Threats:
Aitm_technique
Edgestepper
Littledaemon
Daemoniclogistics
Slowstepper
Supply_chain_technique
Sliver_c2_tool
Rozena
Dns_hijacking_technique

Victims:
Individuals, Organizations

Industry:
Transport, Education

Geo:
Chinese, China, Taiwan, Japanese, Taiwanese, Ukraine, Korea, New zealand, Cambodia, Hong kong

TTPs:
Tactics: 7
Technics: 17

IOCs:
Domain: 3
IP: 3
File: 2
Path: 1
Hash: 4

Soft:
Sogou

Algorithms:
aes, xor, zip, cbc, sha1

Platforms:
mips

Links:
https://github.com/gogf/gf/blob/master/crypto/gaes/gaes.go
https://github.com/gogf/gf
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET связали APT-группировку PlushDaemon, действующую с 2018 года и связанную с государственными интересами Китая, с передовыми операциями кибершпионажа, нацеленными на такие регионы, как США и Тайвань. Они используют пользовательский бэкдор под названием SlowStepper и метод первоначального доступа через EdgeStepper, который перехватывает законные обновления программного обеспечения. Их атаки используют уязвимости сетевых устройств для развертывания вредоносного ПО, такого как LittleDaemon и DaemonicLogistics, используя методы обфускации и усиливая командование и контроль над HTTP, все из которых коррелируют с несколькими тактиками MITRE ATT&CK.
-----

Исследователи ESET выявили значительную киберугрозу, приписываемую PlushDaemon - APT-группировке, которая соответствует государственным интересам Китая и действует как минимум с 2018 года. Эта группа в основном занимается шпионскими операциями в различных регионах, включая Китай, Тайвань, Гонконг, Южную Корею, Соединенные Штаты и Новую Зеландию. PlushDaemon использует пользовательский бэкдор, известный как SlowStepper, и использует новый метод получения первоначального доступа путем перехвата законных обновлений программного обеспечения через сетевой имплантат, получивший название EdgeStepper. Это действие обычно включает перенаправление сетевого трафика на серверы, контролируемые злоумышленником.

Методология работы PlushDaemon часто начинается с компрометации Сетевых устройств, таких как маршрутизаторы, путем использования уязвимостей программного обеспечения или использования слабых административных учетных данных по умолчанию. Этот первоначальный компромисс позволяет внедрить EdgeStepper, который служит основой для проведения атак Злоумышленник посередине, облегчая перехват трафика, предназначенного для законных серверов обновления программного обеспечения. Группа также извлекает выгоду из уязвимостей в веб-серверах, и в 2023 году они осуществили атаку по Цепочке поставок, еще больше расширив свой охват.

В рамках их инструментария EdgeStepper, первоначально называемый dns_cheat_v2, был разработан с использованием языка программирования Go и специально разработан для архитектуры MIPS32. Он отвечает за перенаправление трафика и, как ожидается, будет работать в сочетании с дополнительными нераскрытыми компонентами на скомпрометированных устройствах. Путь проникновения вредоносного ПО в системы-жертвы осуществляется через другой компонент под названием LittleDaemon, который использует захваченные обновления для самостоятельной установки. LittleDaemon функционирует в основном как загрузчик для извлечения вредоносного ПО второго этапа, DaemonicLogistics, которое работает в памяти без закрепления на компьютере жертвы.

DaemonicLogistics играет ключевую роль, поскольку она облегчает развертывание бэкдора SlowStepper, завершая скомпрометированную цепочку путем выполнения кода и установления связи с управляющими серверами. На протяжении всего этого процесса используются различные методы обфускации и уклонения, такие как Маскировка файлов под безобидные типы и использование зашифрованных полезных данных для скрытности. Связь с инфраструктурой командования и контроля осуществляется по протоколу HTTP, что повышает легитимность связи и помогает избежать обнаружения.

Методы, наблюдаемые в PlushDaemon's кампаниях, соответствуют нескольким категориям, описанным в платформе MITRE ATT&CK, включая разработку ресурсов, первоначальный доступ посредством Внедрения контента, выполнение с помощью Нативных API, а также командование и контроль с использованием Протоколов прикладного уровня. Сложный характер операций PlushDaemon's подчеркивает меняющийся ландшафт киберугроз и постоянную потребность организаций в укреплении своей защиты от таких изощренных тактик противника.