#ParsedReport #CompletenessHigh
20-11-2025

PlushDaemon compromises network devices for adversary-in-the-middle attacks

https://www.welivesecurity.com/en/eset-research/plushdaemon-compromises-network-devices-for-adversary-in-the-middle-attacks/

Report completeness: High

Actors/Campaigns:
Plushdaemon (motivation: cyber_espionage)

Threats:
Aitm_technique
Edgestepper
Littledaemon
Daemoniclogistics
Slowstepper
Supply_chain_technique
Sliver_c2_tool
Rozena
Dns_hijacking_technique

Victims:
Individuals, Organizations

Industry:
Transport, Education

Geo:
Chinese, China, Taiwan, Japanese, Taiwanese, Ukraine, Korea, New zealand, Cambodia, Hong kong

TTPs:
Tactics: 7
Technics: 17

IOCs:
Domain: 3
IP: 3
File: 2
Path: 1
Hash: 4

Soft:
Sogou

Algorithms:
aes, xor, zip, cbc, sha1

Platforms:
mips

Links:
https://github.com/gogf/gf/blob/master/crypto/gaes/gaes.go
https://github.com/gogf/gf
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET связали APT-группировку PlushDaemon, действующую с 2018 года и связанную с государственными интересами Китая, с передовыми операциями кибершпионажа, нацеленными на такие регионы, как США и Тайвань. Они используют пользовательский бэкдор под названием SlowStepper и метод первоначального доступа через EdgeStepper, который перехватывает законные обновления программного обеспечения. Их атаки используют уязвимости сетевых устройств для развертывания вредоносного ПО, такого как LittleDaemon и DaemonicLogistics, используя методы обфускации и усиливая командование и контроль над HTTP, все из которых коррелируют с несколькими тактиками MITRE ATT&CK.
-----

Исследователи ESET выявили значительную киберугрозу, приписываемую PlushDaemon - APT-группировке, которая соответствует государственным интересам Китая и действует как минимум с 2018 года. Эта группа в основном занимается шпионскими операциями в различных регионах, включая Китай, Тайвань, Гонконг, Южную Корею, Соединенные Штаты и Новую Зеландию. PlushDaemon использует пользовательский бэкдор, известный как SlowStepper, и использует новый метод получения первоначального доступа путем перехвата законных обновлений программного обеспечения через сетевой имплантат, получивший название EdgeStepper. Это действие обычно включает перенаправление сетевого трафика на серверы, контролируемые злоумышленником.

Методология работы PlushDaemon часто начинается с компрометации Сетевых устройств, таких как маршрутизаторы, путем использования уязвимостей программного обеспечения или использования слабых административных учетных данных по умолчанию. Этот первоначальный компромисс позволяет внедрить EdgeStepper, который служит основой для проведения атак Злоумышленник посередине, облегчая перехват трафика, предназначенного для законных серверов обновления программного обеспечения. Группа также извлекает выгоду из уязвимостей в веб-серверах, и в 2023 году они осуществили атаку по Цепочке поставок, еще больше расширив свой охват.

В рамках их инструментария EdgeStepper, первоначально называемый dns_cheat_v2, был разработан с использованием языка программирования Go и специально разработан для архитектуры MIPS32. Он отвечает за перенаправление трафика и, как ожидается, будет работать в сочетании с дополнительными нераскрытыми компонентами на скомпрометированных устройствах. Путь проникновения вредоносного ПО в системы-жертвы осуществляется через другой компонент под названием LittleDaemon, который использует захваченные обновления для самостоятельной установки. LittleDaemon функционирует в основном как загрузчик для извлечения вредоносного ПО второго этапа, DaemonicLogistics, которое работает в памяти без закрепления на компьютере жертвы.

DaemonicLogistics играет ключевую роль, поскольку она облегчает развертывание бэкдора SlowStepper, завершая скомпрометированную цепочку путем выполнения кода и установления связи с управляющими серверами. На протяжении всего этого процесса используются различные методы обфускации и уклонения, такие как Маскировка файлов под безобидные типы и использование зашифрованных полезных данных для скрытности. Связь с инфраструктурой командования и контроля осуществляется по протоколу HTTP, что повышает легитимность связи и помогает избежать обнаружения.

Методы, наблюдаемые в PlushDaemon's кампаниях, соответствуют нескольким категориям, описанным в платформе MITRE ATT&CK, включая разработку ресурсов, первоначальный доступ посредством Внедрения контента, выполнение с помощью Нативных API, а также командование и контроль с использованием Протоколов прикладного уровня. Сложный характер операций PlushDaemon's подчеркивает меняющийся ландшафт киберугроз и постоянную потребность организаций в укреплении своей защиты от таких изощренных тактик противника.

#ParsedReport #CompletenessMedium
21-11-2025

Brazilian Campaign: Spreading the Malware via WhatsApp

https://labs.k7computing.com/index.php/brazilian-campaign-spreading-the-malware-via-whatsapp/

Report completeness: Medium

Actors/Campaigns:
Water_saci

Threats:
Sorvepotel

Victims:
Banking customers, Cryptocurrency users

Industry:
Financial

Geo:
Brasil, Ita, Brazilian, Brazil

ChatGPT TTPs:
do not use without manual check
T1016, T1020, T1027, T1041, T1057, T1059.003, T1059.005, T1059.006, T1059.007, T1082, have more...

IOCs:
File: 6
Registry: 1
Hash: 8
Url: 1
Domain: 1

Soft:
WhatsApp, Selenium, Selenium Chrome, Chrome, Firefox, Windows Registry, Windows Defender, Chrome, Twitter

Wallets:
coinbase, bybit

Crypto:
binance, kucoin, bitcoin

Algorithms:
base64, zip, xor

Functions:
OBJGET, ExecQuery, PROCESSEXISTS, WINLIST, DLL

Win API:
RtlDecompressFragment, VirtualAlloc, VirtualProtect

Languages:
autoit, javascript, php, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 11, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания по фишингу в Бразилии использует вредоносное ПО, распространяемое через WhatsApp, используя автоматизированный скрипт с открытым исходным кодом для заражения жертв. Вредоносное ПО включает в себя банковский троян, загруженный в память, с процессом заражения, который использует запутанный VBS для загрузки вредоносного скрипта на Python, который внедряет JavaScript в WhatsApp Web и взаимодействует с сервером C2 на базе PHP. Кроме того, он развертывает сценарий AutoIt, который отслеживает финансовые цели Бразилии, тщательно собирая системную информацию и избегая обнаружения программным обеспечением безопасности.
-----

Была выявлена недавняя кампания, нацеленная на Бразилию, где вредоносное ПО распространяется через WhatsApp с использованием автоматизированного скрипта с открытым исходным кодом. Эта операция фишинга позволяет вредоносному ПО распространяться с компьютера зараженной жертвы на ее контакты. Развернутое вредоносное ПО включает в себя банковского трояна, который загружается непосредственно в память после успешного заражения.

Процесс заражения включает в себя скрипт Visual Basic (VBS), который включает в себя запутанный код с использованием кодировки символов и методов XOR. Этот скрипт впоследствии удаляет пакетный файл (.bat), который загружает основные компоненты, включая Python, ChromeDriver и PIP, необходимые для запуска вредоносного скрипта на Python с именем whats.py . Этот скрипт играет решающую роль в кампании, загружая полезную нагрузку и используя драйвер Selenium Chrome для внедрения вредоносного JavaScript в WhatsApp Web. Внутренние API-интерфейсы WhatsApp web используются вместе со вспомогательным файлом JavaScript из GitHub, в то время как сервер PHP действует как инфраструктура управления (C2) для регистрации событий и сбора собранной контактной информации.

Кроме того, в разделе конфигурации атаки указывается механизм доставки полезной нагрузки с подробным описанием источника полезной нагрузки, фильтров для контактов и количества целевых контактов в каждом пакете. Тот whats.py скрипт способен подключаться к серверу C2 для получения обновленных конфигураций, что делает кампанию адаптивной к изменяющимся условиям.

Кроме того, вредоносное ПО использует установщик MSI, который развертывает сценарий AutoIt, который включает зашифрованную полезную нагрузку в определенных форматах файлов (.tda и .dmp). Этот сценарий автоматического запуска содержит бесконечный цикл, который отслеживает активные окна в системе. Он сканирует заголовки окон, связанные с бразильскими банками, криптовалютными биржами или другими финансовыми объектами, чтобы определить, когда следует выполнить вредоносную полезную нагрузку.

Более того, вредоносное ПО предназначено для отправки злоумышленнику подробной системной информации, включая имя компьютера, информацию об операционной системе, идентификационные данные пользователя, IP-адреса, временные метки, антивирусные решения и записи посещенных бразильских банковских сайтов. Сценарий AutoIt состоит из механизмов обнаружения программного обеспечения безопасности, установленного в скомпрометированной системе, с использованием различных методов обхода обнаружения антивирусными программами. Это включает в себя проверку самого последнего идентификатора процесса SVCHOST и извлечение имен активных окон, что позволяет сценарию действовать скрытно, сводя к минимуму вероятность обнаружения при мониторинге конкретных целей.

#ParsedReport #CompletenessMedium
21-11-2025

ToddyCat: your hidden email assistant. Part 1

https://securelist.com/toddycat-apt-steals-email-data-from-outlook/118044/

Report completeness: Medium

Actors/Campaigns:
Toddycat (motivation: information_theft, cyber_espionage)

Threats:
Tomberbil
Procdump_tool

Victims:
Email services, Corporate correspondence, Outlook users

TTPs:
Tactics: 1
Technics: 3

IOCs:
Path: 7
File: 10
Hash: 4

Soft:
Microsoft Exchange Server, Gmail, Chrome, Firefox, NET Framework, Google Chrome, Mozilla Firefox, Microsoft Edge, windows service, Outlook, Office 365, have more...

Algorithms:
base64

Functions:
ReadLine

Win API:
OpenProcess, MiniDumpWriteDump

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка ToddyCat использует различные методы для взлома корпоративных систем электронной почты, в первую очередь используя набор инструментов TomBerBil для захвата файлов cookie браузера и паролей. Они изменили тактику доступа к локальному хранилищу Microsoft Outlook, используя инструмент с открытым исходным кодом XstReader для извлечения содержимого из OST-файлов и ориентируясь на токены OAuth 2.0 в Microsoft 365, который позволяет получать электронную почту без обнаружения. Адаптивность этой группы подчеркивает изощренный подход к обходу традиционных систем мониторинга.
-----

Было замечено, что APT-группировка ToddyCat использует различные методы для компрометации корпоративных систем электронной почты и извлечения конфиденциальной информации. Среди используемых инструментов - семейство TomBerBil, предназначенное для захвата файлов cookie и паролей от браузеров. Эти инструменты реализованы на C# и C++, обеспечивая доступ к размещенным пользователем данным. Существуют возможности обнаружения попыток несанкционированного доступа к файлам браузера, содержащим конфиденциальную информацию, в частности, с помощью определенных событий Windows, связанных с путями передачи данных браузера, которые включают историю браузера, файлы cookie и регистрационные данные.

В рамках эволюции тактики ToddyCat отказался от использования менее эффективных инструментов TomBerBil, вместо этого исследуя доступ к локальному хранилищу Microsoft Outlook, где ведется корпоративная переписка. Этот сдвиг подчеркивает их способность к адаптации в обход механизмов обнаружения. Злоумышленники использовали инструмент с открытым исходным кодом, известный как XstReader, который позволяет просматривать и экспортировать данные из OST- и PST-файлов Microsoft Outlook. Этот инструмент использовался для сбора содержимого из ранее скомпрометированных OST-файлов.

Кроме того, группа нацелилась на протокол OAuth 2.0, используемый Microsoft 365 для доступа к электронной почте. Было обнаружено, что токены доступа, сгенерированные в рамках этой платформы, хотя и являются временными, могут использоваться в течение их короткого срока действия для извлечения электронных писем и вложений из почтового ящика, не привлекая внимания мониторинга.

Продолжающаяся эволюция ToddyCat APT подчеркивает важность внедрения надежных систем обнаружения, которые могут идентифицировать эти сложные методы и реагировать на них. Хотя некоторые методы могут быть эффективно обнаружены с помощью решений на базе хостинга, рекомендуется использовать комплексные системы мониторинга угроз, чтобы опережать такие угрозы и обеспечивать своевременное выявление потенциальных компрометаций корпоративных систем электронной почты.

#ParsedReport #CompletenessMedium
21-11-2025

Xillen Stealer Updates to Version 5 to Evade AI Detection

https://www.darktrace.com/blog/xillen-stealer-updates-to-version-5-to-evade-ai-detection

Report completeness: Medium

Actors/Campaigns:
Xillen_killers
Noname057

Threats:
Xillenstealer
Polymorphism_technique
Dll_hijacking_technique
Process_hollowing_technique
Atom_bombing_technique
Process_doppelganging_technique
Steganography_technique
Polyglot_technique
Ddosia_botnet
Credential_harvesting_technique

Victims:
Cryptocurrency users, Enterprise windows environments, Developers, Business email users, Premium account holders

Industry:
Financial, Iot, Entertainment

Geo:
Japan, Russian, Germany, United kingdom, Ukrainian

TTPs:
Tactics: 3
Technics: 15

IOCs:
Path: 1
Hash: 3
File: 1

Soft:
Docker, Telegram, Visual Studio, JetBrains, Navicat, DBeaver, MySQL, WinSCP, WireGuard, CyberGhost, have more...

Crypto:
bitcoin, ethereum

Algorithms:
base64, sha256, xor

Functions:
mutate_code

Languages:
python, rust

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Xillen Stealer эволюционировал с обновлениями до версий 4 и 5, расширив свои возможности по краже конфиденциальной информации, включая учетные данные и криптовалютные кошельки. В нем реализованы передовые методы антианализа, такие как таргетинг на основе искусственного интеллекта и AIEvasionEngine, позволяющие избежать обнаружения путем имитации законного поведения. Вредоносное ПО также содержит компоненты для сбора биометрических данных, токенов аутентификации и использования Стеганографии и различных методов управления, отражающих сложные процессы эксфильтрации данных.
-----

Xillen Stealer недавно был обновлен до версий 4 и 5, расширив его возможности в качестве кроссплатформенного стиллера информации, который нацелен на конфиденциальные данные, такие как учетные данные, криптовалютные кошельки и системную информацию. Это вредоносное ПО использует различные методы антианализа, чтобы избежать обнаружения, включая реализации, которые используют искусственный интеллект для определения ценных целей на основе конкретных показателей и ключевых слов. Эти показатели сосредоточены на криптовалютных кошельках и учетных записях из различных стран с высокой стоимостью, включая Соединенные Штаты и Японию, при этом создатели вредоносного ПО намекают на потенциальные будущие изменения в методологиях таргетинга.

Примечательным компонентом обновленных версий является AIEvasionEngine, разработанный специально для обхода систем обнаружения ИИ с помощью тактики, имитирующей законное поведение пользователя. Он использует такие стратегии, как введение статистического шума, рандомизация шаблонов выполнения и маскировка использования ресурсов, чтобы казаться безвредным для инструментов мониторинга. Более того, PolymorphicEngine помогает обнаруживать попытки уклонения путем реализации polymorphic преобразований, при которых он запутывает код и заменяет распознаваемые шаблоны команд, повышая его устойчивость к обнаружению.

Вредоносное ПО также содержит BiometricCollector для сбора биометрических данных из систем Windows путем доступа к каталогу WinBioDatabase, что указывает на потенциальное намерение извлечь конфиденциальные пользовательские данные, несмотря на встроенное шифрование. Аналогично, класс SSOCollector предназначен для токенов аутентификации с единым входом из Azure Active Directory и Google Cloud, в то время как TOTP Collector фокусируется на сборе одноразовых паролей, основанных на времени.

Xillen Stealer также включает в себя EnterpriseCollector для сбора учетных данных из корпоративных систем Windows и расширенный сборщик приложений, который сканирует учетные данные в 160 идентифицированных приложениях. Функция AppBoundBypass стремится обойти шифрование файлов cookie Google Chrome с помощью различных методов уклонения, таких как Внедрение в пустой процесс и DLL hijacking.

Кроме того, модуль SteganographyModule предоставляет методы сокрытия украденных данных в файлах изображений для эксфильтрации, в то время как P2PEngine облегчает операции управления по различным каналам, включая транзакции на блокчейне и анонимизирующие сети, подчеркивая сложные возможности эксфильтрации вредоносного ПО.

Хотя некоторые функции все еще находятся в стадии разработки, Xillen Stealer демонстрирует сложный подход к методам кражи информации и уклонения от нее, намекая на то, как искусственный интеллект может быть интегрирован в дальнейшие кампании злоумышленников.

#ParsedReport #CompletenessLow
21-11-2025

Cl0ps Oracle EBS Zero-Day Campaign: What We Know So Far

https://socradar.io/cl0p-oracle-ebs-zeroday-campaign/

Report completeness: Low

Actors/Campaigns:
Cl0p
Scattered_lapsus_hunters

Threats:
Clop

Victims:
Finance sector, Manufacturing sector, Automotive sector, Logistics sector, Retail sector, Education sector, Energy sector, Professional services sector, Technology sector, Transportation sector, have more...

Industry:
Education, Chemical, Transport, Retail, Energy, Logistic, Financial, Healthcare

Geo:
Australia, Kuwait, Sri lanka, Japan, Mexico, China, Saudi arabia, France, Pakistan

CVEs:
CVE-2025-61884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle configurator (le12.2.14)

CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1588.005, T1650

Soft:
MOVEit, GoAnywhere, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cl0p ransomware group активизировала свою деятельность, используя уязвимости zero-day в Oracle E-Business Suite (EBS), специально нацеленные на ошибки удаленного выполнения кода для несанкционированного доступа к конфиденциальным данным. Их действия отражают прошлые кампании, связанные с масштабной кражей данных и угрозами публичного разоблачения, которые оказали воздействие по меньшей мере на 103 организации в различных секторах в США. Кроме того, обсуждения показывают, что другие злоумышленники также используют аналогичные уязвимости в Oracle EBS, что указывает на более широкий спектр рисков для корпоративных систем.
-----

Cl0p ransomware group недавно активизировала свою деятельность, используя уязвимости zero-day в Oracle E-Business Suite (EBS). Эта кампания представляет собой продолжение исторической практики Cl0p's, нацеленной на высококлассные корпоративные системы, используя недостатки удаленного выполнения кода перед аутентификацией (RCE) для получения несанкционированного доступа к конфиденциальным данным. Конкретные уязвимости, использованные в этой кампании, в настоящее время не установлены, но подтверждено, что они облегчают несанкционированный доступ к критически важным компонентам EBS, позволяя Cl0p осуществлять крупномасштабную кражу данных.

Методология, используемая Cl0p, отражает предыдущие кампании, такие как нарушение передачи данных MOVEit и использование GoAnywhere MFT. Злоумышленники проникают в целевые системы, крадут обширные наборы данных и впоследствии используют эти данные для вымогательства, публично угрожая их утечкой. В ходе продолжающейся кампании Cl0p уже скомпрометировала значительное число организаций, в отчетах указывается по меньшей мере на 103 жертвы из различных секторов, включая финансы, здравоохранение, образование и энергетику, особенно в Соединенных Штатах.

О недавних эксплойтах Cl0p стало известно благодаря утечке файлов в Telegram, включая эксплойт для CVE-2025-61882, который подключается к группе под названием Scattered Lapsus Hunters. Способность Cl0p получать доступ к компоненту UiServlet EBS указывает на глубокое понимание архитектуры системы и уязвимостей. Отчеты различных организаций подтвердили нарушения, в том числе известные случаи из таких учреждений, как Гарвардский университет и Envoy Air, подчеркивающие воздействие кампании.

Более того, использование этих уязвимостей zero-day, по-видимому, не является исключительным для Cl0p. Обсуждения на хакерских форумах предполагают, что другие злоумышленники также извлекают выгоду из тех же недостатков Oracle EBS, причем некоторые эксплойты рекламируются и продаются в кругах киберпреступников. В одном из таких июньских сообщений указывалось на эксплойт RCE для Oracle EBS версии 12.2.14, что свидетельствует о растущем интересе и потенциале для дальнейшего использования различными группами.

Таким образом, кампания Cl0p's против Oracle EBS подчеркивает критическую уязвимость, которая вызывает серьезные опасения у организаций из разных отраслей. Продолжающееся использование этих уязвимостей zero-day иллюстрирует более широкий спектр рисков, с которыми сталкиваются корпоративные системы, и требует повышенной бдительности и упреждающих защитных мер против таких сложных методологий злоумышленников.

#ParsedReport #CompletenessMedium
22-11-2025

Tycoon 2FA: A Technical Analysis of its Adversary-in-the-Middle Phishing Operation

https://www.cyfirma.com/research/tycoon-2fa-a-technical-analysis-of-its-adversary-in-the-middle-phishing-operation/

Report completeness: Medium

Threats:
Tycoon_2fa
Aitm_technique
Credential_harvesting_technique
Mitm_technique
Spear-phishing_technique
Right-to-left_override_technique

TTPs:
Tactics: 8
Technics: 18

IOCs:
Domain: 4
Url: 1

Soft:
Gmail, Outlook, Telegram

Algorithms:
base64, aes, rc4, exhibit

Languages:
javascript

YARA: Found