#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Funklocker нацелена на системы Windows, нарушая работу и затрудняя восстановление. Для идентификации его действий требуется Sysmon для отслеживания системных событий, в то время как Wazuh используется для настройки правил обнаружения, которые предупреждают пользователей о запуске Funklocker или загрузке Вредоносных файлов. Интеграция YARA с Wazuh расширяет возможности обнаружения и реагирования на Funklocker за счет мониторинга целостности файлов и запуска автоматических реакций на выявленные угрозы.
-----

Программа-вымогатель Funklocker демонстрирует целый ряд агрессивных действий, направленных на нарушение работы конечных точек Windows и усложнение процесса восстановления. Его выполнение влечет за собой несколько вредоносных действий, которые наносят системный ущерб затронутым устройствам. Для эффективного мониторинга и идентификации действий, связанных с Funklocker, необходимо использовать Sysmon. Sysmon позволяет всесторонне отслеживать системные события, что облегчает создание пользовательских правил обнаружения на платформе безопасности Wazuh.

Инфраструктура обнаружения включает загрузку и настройку Sysmon в целевых системах Windows с последующей настройкой правил обнаружения, специально предназначенных для распознавания действий Funklocker. Крайне важно установить эти правила в серверной среде Wazuh, чтобы обеспечить оповещения в режиме реального времени при срабатывании программы-вымогателя. Оповещения, генерируемые с панели мониторинга Wazuh, могут указывать на запуск исполняемого файла Funklocker, особенно когда такие объекты, как Вредоносные файлы, загружаются в папку "Загрузки".

Интеграция YARA с платформой Wazuh значительно расширяет возможности защиты конечных точек, обеспечивая раннее обнаружение и удаление вредоносных файлов. Функция мониторинга целостности файлов Wazuh (FIM) постоянно отслеживает назначенные каталоги и файлы, чтобы обнаружить любые несанкционированные изменения, включая зловещие добавления, модификации или удаления. При возникновении подозрений и обнаружении Вредоносных файлов, связанных с Funklocker, система может автоматически инициировать ответные действия для устранения этих угроз, тем самым ограничивая потенциальный ущерб.

Таким образом, эффективное обнаружение программ-вымогателей Funklocker на конечных устройствах Windows и реагирование на них значительно повышаются при использовании комбинации Sysmon для мониторинга событий, Wazuh для оповещения на основе правил и YARA для анализа файлов. Вводя в действие эти инструменты, организации могут улучшить свои механизмы защиты от Funklocker и аналогичных программ-вымогателей.

#ParsedReport #CompletenessLow
24-11-2025

What You Need To Know About Gainsight Breach

https://socradar.io/what-you-need-to-know-about-gainsight-breach/

Report completeness: Low

Actors/Campaigns:
Gainsight_breach
Scattered_lapsus_hunters
Shinyhunters
0ktapus
Lapsus

Threats:
Nsocks_tool
Supply_chain_technique

Victims:
Salesforce customers, Gainsight customers, Saas platforms

ChatGPT TTPs:
do not use without manual check
T1071.001, T1078, T1078.004, T1102, T1199, T1550.001, T1595

IOCs:
IP: 16

Soft:
Salesforce, Salesloft Drift, Telegram, Active Directory

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Gainsight breach был связан с тем, что злоумышленники использовали украденные токены доступа для получения несанкционированного доступа к данным клиентов в средах Salesforce. Злоумышленники, идентифицированные как Scattered LAPSUS$ Hunters, манипулировали промежуточным соединением между Gainsight и Salesforce, позволяя им считывать и обновлять данные клиентов без прямого проникновения в Salesforce. Этот инцидент выявляет значительные уязвимости во взаимосвязанных системах SaaS, где скомпрометированный токен может привести к широкомасштабному доступу к данным во многих организациях.
-----

Gainsight breach был связан с тем, что злоумышленники использовали токены доступа, используемые в приложении Gainsight в средах Salesforce, для получения несанкционированного доступа к данным клиентов. Salesforce выпустила предупреждения после обнаружения необычной активности, и, по оценкам группы по борьбе с угрозами Google, это может затронуть более 200 экземпляров Salesforce. Нарушение отражает более ранний инцидент с дрейфом Salesloft, подчеркивая уязвимости во взаимосвязанных системах.

Злоумышленники не проникали напрямую в Salesforce, но манипулировали промежуточным соединением между Gainsight и Salesforce с помощью украденных токенов доступа. Эти токены предоставляли злоумышленникам возможности, аналогичные возможностям приложения Gainsight, позволяя им считывать и обновлять данные в организациях-клиентах без взлома самой основной платформы.

Группа, стоящая за взломом, идентифицирована как Scattered LAPSUS$ Hunters, которая использует динамические стратегии, сочетающие элементы различных других хакерских группировок, таких как ShinyHunters и Scattered Spider. В своей деятельности они уделяют приоритетное внимание использованию облачных систем идентификации и часто используют социальную инженерию, а не традиционные методы борьбы с вредоносным ПО. Злоумышленники проявляют склонность к вовлечению общественности, используя такие платформы, как Telegram, чтобы издевательски сообщать о своих жертвах, дразнить оперативными планами и добиваться доступа к инсайдерской информации для усиления своей тактики.

Хотя полный объем данных, к которым был получен доступ в результате взлома, все еще оценивается, модели поведения злоумышленников предполагают, что они использовали украденные токены для манипулирования и копирования данных в учетных записях клиентов Salesforce. Это иллюстрирует значительный риск, который представляют для клиентов приложения SaaS, где одно слабое звено потенциально может разоблачить несколько компаний благодаря обширным разрешениям, предоставляемым связанными токенами.

В свете таких инцидентов командам безопасности настоятельно рекомендуется принять незамедлительные меры для сдерживания и уменьшения ущерба, причиненного подобными нарушениями. Salesforce подготовила руководство, в котором подробно описывается, что компаниям рекомендуется проявлять бдительность в отношении действий подключенных приложений, быть в курсе потенциальных признаков компрометации (IOCs), включая злоупотребление токенами и несанкционированные вызовы API. Кроме того, взлом служит наглядным примером того, как злоумышленники могут использовать надежные соединения без ущерба для основной платформы, подчеркивая острую необходимость постоянного анализа и управления разрешениями, а также регулярной ротации токенов доступа, чтобы снизить риск использования в облачных экосистемах.

#ParsedReport #CompletenessLow
22-11-2025

Security Advisory: Unusual Activity related to the Gainsight application

https://help.salesforce.com/s/articleView?id=005229029&type=1

Report completeness: Low

Actors/Campaigns:
Gainsight_breach

Threats:
Nsocks_tool

Victims:
Salesforce customers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1199

IOCs:
IP: 16

Soft:
Salesforce, Salesloft Drift

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Salesforce обнаружила необычную активность, связанную с приложениями Gainsight, что указывает на потенциальный несанкционированный доступ к данным клиентов из-за уязвимостей в том, как эти приложения взаимодействуют с системами Salesforce. Хотя конкретные подробности о векторе атаки остаются нераскрытыми, расследование указывает на то, что в приложениях Gainsight или их интеграциях могут быть слабые места. Постоянный мониторинг сторонних приложений на предмет аномалий безопасности необходим для защиты конфиденциальной информации.
-----

Salesforce обнаружила необычную активность в отношении приложений, опубликованных Gainsight, которые управляются и устанавливаются клиентами. Расследование этой деятельности предполагает, что, возможно, имел место несанкционированный доступ к некоторым данным клиентов из-за способа подключения этих приложений к системам Salesforce. Хотя конкретные технические подробности, касающиеся характера этого несанкционированного доступа или вектора атаки, не разглашаются, подразумевается, что уязвимости могут существовать в приложениях Gainsight или точках их интеграции с Salesforce. Клиенты, использующие эти приложения, должны сохранять бдительность и пересмотреть свои конфигурации и средства контроля доступа, чтобы снизить любые потенциальные риски, возникающие в результате этой необычной деятельности. Продолжающееся расследование подчеркивает важность постоянного мониторинга сторонних приложений на предмет аномалий безопасности для эффективной защиты конфиденциальных данных.

#ParsedReport #CompletenessLow
19-11-2025

Reframing Insights

https://chollima-group.io/posts/reframing-insights-our-research-msmt

Report completeness: Low

Actors/Campaigns:
Moonstone_sleet
Detankwar
Babylongroup

Victims:
Freelance platforms, Art and decoration services, Crypto ecosystem

Industry:
Transport, Telco, Healthcare, Maritime

Geo:
Tanzania, Middle east, Russia, Laos, Guinea, Russian, China, Africa, Korea, Chinese, American, Hong kong, Oman, Seychelles, Dprk, North korean, Vietnam, Nigeria, Armenia, Bangladesh, Iraq, North koreans, Nigerian, Korean, North koreas

IOCs:
File: 1
Email: 40
IP: 1
Url: 4

Soft:
Instagram, Chrome

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете MSMT описывается деятельность северокорейских ИТ-специалистов в Африке, в частности одного фрилансера, известного как Дэвид Орион, который работает с 2017 года и разработал приложение под названием FlippedWorld. Хотя отмечена активность с нигерийских IP-адресов, физическое присутствие в Нигерии подтверждено не было; однако связи с местными преступными группировками предполагают потенциальное сотрудничество. В отчете также обсуждаются связи между северокорейскими ИТ-работниками и APT-группировкой Moonstone Sleet, что указывает на изощренный подход к обходу санкций и участию в кибероперациях, особенно в сфере криптовалют.
-----

В недавнем отчете Многосторонней группы по мониторингу санкций (MSMT) освещалась деятельность северокорейских ИТ-специалистов (КНДР) в различных африканских странах, включая Танзанию, Гвинею, Экваториальную Гвинею и Нигерию. Примечательно, что конкретный ИТ-специалист, работающий в Конакри, Гвинея, был активен примерно с 2017 года и использовал онлайн-персонажей Дэвида Ориона, Билла Онейла и Генже Ву. Этот человек сосредоточился на сайтах фриланса и разработал приложение с эффектом камеры под названием FlippedWorld, ранее размещенное в Apple App Store.

В то время как MSMT выявила повышенную активность ИТ-работников КНДР с нигерийских IP-адресов, по-прежнему нет никаких свидетельств физического присутствия в Нигерии. Однако предыдущее исследование установило связи между нигерийскими преступными группировками и ИТ-работниками КНДР, что указывает на потенциальное сотрудничество, которое могло бы способствовать кибероперациям.

Кроме того, в отчете зафиксирована группа северокорейских художников, действовавших в странах Персидского залива (Оман и ОАЭ) в период с 2008 по 2015 год, предположительно работавших на подставные компании, связанные с попавшей под санкции корейской торговой корпорацией Paekho. Деятельность этих артистов указывает на использование культурных и художественных прикрытий для поддержки незаконных финансовых и оперативных целей, связанных с нарушениями санкций КНДР.

Кроме того, Бюро 61, которое начало развертывать делегации ИТ-специалистов в 2021 году, связано с различными подставными компаниями, работающими в таких регионах, как Владивосток и Шэньян, что предполагает более широкую инфраструктуру для киберопераций КНДР, выходящую за рамки традиционных технологических сфер.

В критическом выводе обсуждалась связь некоторых ИТ-работников с APT-группировкой, известной как Moonstone Sleet, выявляя текущие стратегические повороты и адаптации в ландшафте киберугроз КНДР, особенно в отношении криптовалютных операций. В целом, в докладе подчеркиваются изощренные и эволюционирующие стратегии, применяемые кибероператорами КНДР, использующими целый ряд международных баз для обхода санкций и участия в незаконной деятельности.

#ParsedReport #CompletenessLow
24-11-2025

Shai-Hulud 2.0: Ongoing Supply Chain Attack

https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique
Shai-hulud
Credential_harvesting_technique

Victims:
Software development ecosystem, Open source repositories

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 13
Domain: 1

Soft:
docker, ubuntu, Linux, MacOS

Algorithms:
base64

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-Hulud 2.0 - это масштабная атака по Цепочке поставок, нацеленная на пакеты npm, затрагивающая более 25 000 репозиториев и около 350 пользователей. Кампания предполагает интеграцию вредоносных пакетов в легальные репозитории, выявляя уязвимости в Цепочках поставок программного обеспечения. Хотя конкретная тактика остается нераскрытой, масштаб предполагает методичный подход к развертыванию этих скомпрометированных пакетов, чтобы избежать обнаружения.
-----

Кампания Shai-Hulud 2.0 представляет собой масштабную атаку на Цепочку поставок, направленную в первую очередь на пакеты npm. В результате этой атаки было затронуто более 25 000 репозиториев, что оказало воздействие примерно на 350 уникальных пользователей. Кампания подчеркивает уязвимость Цепочек поставок программного обеспечения, особенно в широко используемых экосистемах управления пакетами, таких как npm.

Сообщается, что вредоносные пакеты интегрируются в законные репозитории, создавая риск для разработчиков и организаций, которые полагаются на эти ресурсы для своих приложений. Конкретная тактика и методы, используемые в этой кампании, полностью не раскрываются; однако масштаб воздействия предполагает методичный подход к развертыванию скомпрометированных пакетов, чтобы избежать обнаружения и максимально увеличить охват.

Для борьбы с текущей угрозой пользователям и организациям важно проявлять бдительность при мониторинге своих зависимостей на предмет любых несанкционированных или вредоносных обновлений. Лучшие практики включают регулярный аудит использования пакетов, обеспечение строгого контроля доступа и использование автоматизированных инструментов для обнаружения аномалий в цепочках зависимостей. Принимая эти меры, разработчики могут снизить риски, связанные с такими атаками по Цепочке поставок, и защитить свои программные среды от потенциального использования.

#ParsedReport #CompletenessMedium
24-11-2025

Xillen Stealer v5 Advanced Credential Theft and Loader Platform

https://cybersecsentinel.com/xillen-stealer-v5-advanced-credential-theft-and-loader-platform/

Report completeness: Medium

Actors/Campaigns:
Xillen_killers

Threats:
Xillenstealer
Polymorphism_technique
Polyglot_technique
Steganography_technique

Industry:
E-commerce

TTPs:
Tactics: 5
Technics: 0

IOCs:
Path: 5
File: 7
Registry: 1

Soft:
Telegram, AnyConnect, Docker, Slack, Discord, Chrome, Firefox, Chromium

Algorithms:
zip

Functions:
Telegram

Languages:
python, javascript, rust, powershell

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пятая версия Xillen Stealer представляет собой продвинутую эволюцию вредоносного ПО для кражи информации, использующего управляемые искусственным интеллектом методы уклонения, которые улучшают предотвращение обнаружения. Он использует тактику социальной инженерии для доставки, часто замаскированную под законное программное обеспечение, и проводит разведку, нацеливаясь на конфиденциальные облачные данные и системные данные разработчиков. Вредоносное ПО выполняет высокочастотные POST-запросы в Telegram для эксфильтрации данных, используя методы обфускации, включая Стеганографию и альтернативные потоки данных, для незаметной передачи украденных учетных данных.
-----

Xillen Stealer пятой версии - это сложное вредоносное ПО для кражи информации, представляющее серьезную угрозу предприятиям. Он использует передовые методы уклонения с использованием Искусственного интеллекта, чтобы избежать обнаружения системами безопасности. Вредоносное ПО нацелено на конфиденциальные данные в облачных средах и системах разработчиков. Методы доставки включают социальную инженерию, часто замаскированную под взломанное программное обеспечение или игровые моды на таких платформах, как Telegram. После установки он проводит разведку, чтобы найти ценные инструменты управления облаком, языки программирования и системы контроля версий. Он использует сложные методы запутывания и сканирует пользовательские каталоги на наличие облачных конфигурационных файлов и токенов сеанса. Xillen Stealer v5 отправляет высокочастотные POST-запросы в Telegram для передачи украденных данных и использует Стеганографию и альтернативные потоки данных для скрытой эксфильтрации. Его оценка угрозы составляет 7,5, что отражает его сложность. Стратегии смягчения последствий включают комплексную защиту конечных точек, исправление старых уязвимостей VPN-клиентов, ограничение вредоносных двоичных файлов и использование двухфакторной аутентификации на основе токенов Аппаратного обеспечения. Регулярные проверки рабочих станций разработчиков и сканирование на наличие скрытых потоков данных имеют решающее значение для борьбы с этой угрозой.

#ParsedReport #CompletenessLow
23-11-2025

Sha1-Hulud: The Second Coming - Zapier, ENS Domains, and Other Prominent NPM Packages Compromised

https://www.stepsecurity.io/blog/sha1-hulud-the-second-coming-zapier-ens-domains-and-other-prominent-npm-packages-compromised

Report completeness: Low

Threats:
Supply_chain_technique
Shai-hulud

Victims:
Software development ecosystem, Npm ecosystem, Open source developers

Industry:
Software_development

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053, T1078, T1105, T1195, T1199, T1584

IOCs:
File: 22

Soft:
Linux, macOS, curl, Windows PowerShell

Languages:
powershell, javascript

Links:
https://github.com/settings/security-log
https://github.com/search?q=Sha1-Hulud%3A+The+Second+Coming.&ref=opensearch&type=repositories
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Возрождение червя Shai-Hulud привело к серьезной атаке на Цепочку поставок, затронувшей более 70 пакетов npm, с использованием сложных методов самораспространения, которые привели к созданию более 16 000 репозиториев GitHub, содержащих украденные учетные данные, всего за пять часов. Вредоносное ПО, характеризующееся сильно запутанной полезной нагрузкой с именем bun_environment.js , задерживает выполнение, чтобы избежать обнаружения при извлечении информации, и устанавливает закрепление с помощью файла рабочего процесса GitHub Actions с именем discussion.yaml. Эта атака подчеркивает уязвимости, присутствующие в экосистеме JavaScript.
-----

Возрождение червя Shai-Hulud, теперь известного как "Sha1-Hulud: Второе пришествие", привело к серьезной атаке на Цепочку поставок, затронувшей более 70 пакетов npm. Этот вариант обладает сложными возможностями самораспространения, и в течение пяти часов после его первоначального обнаружения было создано более 16 000 общедоступных репозиториев GitHub, содержащих украденные учетные данные разработчика. Этот инцидент подчеркивает сохраняющиеся уязвимости в экосистеме JavaScript, привлекая внимание команд безопасности, таких как StepSecurity, которые активно расследуют ситуацию.

Атака включает в себя полезную нагрузку объемом более 10 МБ, известную как bun_environment.js это сильно запутано, что усложняет процесс обратного проектирования. Примечательно, что вредоносное ПО задерживает свое полное выполнение, переходя в фоновый режим, позволяя внешнему виду установки оставаться нормальным, в то же время инициируя процесс удаления конфиденциальной информации вскоре после этого. Этот метод направлен на то, чтобы обойти немедленное обнаружение разработчиками.

Дальнейший анализ показывает, что вредоносное ПО устанавливает уровень закрепления, генерируя файл рабочего процесса GitHub Actions под названием discussion.yaml в скомпрометированных репозиториях. Этот рабочий процесс может быть использован из-за его восприимчивости к внедрению скриптов, что позволяет создавать вредоносные потоки; однако он выполняется в автономной среде, что сводит к минимуму его доступ к правильно настроенным репозиториям.

Чтобы смягчить последствия этой атаки, рекомендуется выполнить комплексные действия по исправлению: полностью удалить каталог node_modules, очистить кэш npm, обновить файл package-lock.json, чтобы исключить вредоносные версии, и впоследствии переустановить только безопасные версии. Кроме того, организации могут внедрить проверку восстановления NPM, чтобы предотвратить использование недавно выпущенных версий пакетов до тех пор, пока они не будут тщательно оценены, что значительно снижает риск, связанный с поспешными обновлениями.

StepSecurity также подчеркивает полезность своего инструмента Artifact Monitor, который постоянно отслеживает и обнаруживает несанкционированные выпуски пакетов в различных реестрах. Эта возможность мониторинга может значительно увеличить время отклика и снизить риск взлома кода, предупреждая команды о необычных схемах публикации.

#ParsedReport #CompletenessMedium
24-11-2025

ClickFix Gets Creative: Malware Buried in Images

https://www.huntress.com/blog/clickfix-malware-buried-in-images

Report completeness: Medium

Threats:
Clickfix_technique
Stego_loader
Donut
Lumma_stealer
Rhadamanthys
Steganography_technique
Blob_url_obfuscation_technique
Junk_code_technique
Process_injection_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1036, T1055, T1059, T1059.001, T1059.007, T1105, T1140, T1204.001, have more...

IOCs:
File: 20
Url: 25
IP: 3
Domain: 20
Registry: 1

Algorithms:
aes, base64, xor

Functions:
hexToKey, b64ToUint8Array, xorDecode, uint8ToUtf8, reinject, drkdbVkywZ, GetManifestResourceStream, LockBits, injectAndExecute, sendStat, have more...

Win API:
VirtualAllocEx, CreateProcessA, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, TerminateProcess, CloseHandle

Languages:
jscript, powershell, python, php, javascript

Links:
https://gist.github.com/polygonben/b897daea0d8a7f6983fef9dc0e3bf152/raw/10edd10cad29c5be74da7b47a962c13a6156b0bd/stage1.hta
have more...
https://gist.github.com/polygonben/b897daea0d8a7f6983fef9dc0e3bf152#file-stage1-hta
https://github.com

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 3, code: 20