#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор для фишинга BlackForce, обнаруженный в августе 2025 года, использует передовые методы, такие как Man-in-the-Browser (MitB), для обхода Многофакторной аутентификации. Он отличается быстрой адаптацией, включая переход к модели атаки с отслеживанием состояния для лучшего сохранения учетных данных, и динамически использует JavaScript с хэшами, разрушающими кэш, для скрытия операций. Работающие с помощью надежной Панели управления, расширяющиеся возможности BlackForce's создают значительные риски для крупных брендов из-за использования первоначального доступа с помощью фишинга и изощренной тактики уклонения.
-----

Набор для фишинга BlackForce, идентифицированный Zscaler ThreatLabZ в августе 2025 года, быстро эволюционировал и способен проводить сложные атаки, включая методы Man-in-the-Browser (MitB), которые могут обходить Многофакторную аутентификацию (MFA). С момента своего появления BlackForce выпустила по меньшей мере пять различных версий, ориентированных на такие крупные бренды, как Disney, Netflix, DHL и UPS. Набор продается в Telegram по цене от 200 до 300 долларов и известен своими гибкими методами атаки, которые постоянно разрабатываются.

Атака осуществляется по структурированной цепочке, начиная с идентификации целей, которые проверяются, прежде чем вмешается оперативный оператор для руководства атакой. Набор для фишинга использует отличительный подход JavaScript с использованием хэшей для перебора кэша, чтобы скрыть свое поведение, в то время как точкой входа обычно является безобидная на вид HTML-страница, которая загружает всю платформу. Связь между злоумышленником и скомпрометированной системой осуществляется с помощью Axios, популярного HTTP-клиента, который управляет всеми обменами данными. В более ранних версиях было несколько экземпляров Axios для взаимодействия с командой и управлением (C2), а более поздние версии объединили эти функции и перенесли эксфильтрацию Telegram на серверную сторону для лучшей закрепления.

Меры защиты от анализа, встроенные в BlackForce, повышают его долговечность за счет обнаружения взаимодействий, не связанных с человеком, с помощью базы данных сигнатур, которая тщательно изучает строки пользовательского агента. Этот защитный слой направлен на то, чтобы обойти автоматизированные механизмы безопасности. Значительным улучшением по сравнению с версиями 3 до версий 4 и 5 является переход от модели атаки без сохранения состояния к модели атаки с сохранением состояния, использующей sessionStorage браузера для сохранения украденных учетных данных при выполнении действий, снижая риски, связанные с потерей данных во время сценария атаки.

Панель C2 BlackForce является неотъемлемой частью ее работы, обеспечивая управление и контроль над взаимодействиями жертв в режиме реального времени. Быстрое изменение версий вредоносного ПО позволяет предположить, что адаптивный злоумышленник постоянно совершенствует свою тактику, чтобы обойти обнаружение и повысить оперативную безопасность. Такая адаптивность подчеркивает необходимость использования организациями архитектуры с нулевым доверием, ограничивающей доступ и сводящей к минимуму потенциальный ущерб в случае нарушения.

В контексте платформы MITRE ATT&CK BlackForce иллюстрирует ряд тактик, включая первоначальный доступ с помощью фишинга (T1566), уклонение от обнаружения (T1027) и получение учетных данных с помощью состязательных манипуляций (T1557). Более того, использование им Веб-сервисов для эксфильтрации (T1567) свидетельствует о тревожной тенденции. Эффективно организуя эти методы и поддерживая активный цикл разработки, BlackForce демонстрирует заметный ландшафт угроз, особенно для организаций, использующих традиционные методы аутентификации.

#ParsedReport #CompletenessMedium
12-12-2025

REACT2SHELL: EXPLOITATION IN THE WILD

https://theravenfile.com/2025/12/12/react2shell-exploitation-in-the-wild/

Report completeness: Medium

Threats:
React2shell_vuln
Opendir_technique
Xmrig_miner
Supportxmr

Victims:
Web servers, React server components deployments, Next.js applications

Industry:
Financial, Foodtech, Entertainment, Healthcare

Geo:
Chinese, India

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1071.001, T1190, T1496, T1543.002, T1583.006, T1595.002

IOCs:
Coin: 4
File: 5
IP: 532
Hash: 1

Soft:
systemd, OpenAI, Linux, lastpass

Wallets:
bybit

Crypto:
monero, binance, kucoin

Algorithms:
md5

Functions:
Set-Up

Win API:
arc

Languages:
javascript

Links:
https://github.com/assetnote/react2shell-scanner
have more...
https://github.com/TheRavenFile/CVE-Intel/tree/main/REACT2SHELL

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessMedium
11-12-2025

CyberVolk Returns \| Flawed VolkLocker Brings New Features With Growing Pains

https://www.sentinelone.com/blog/cybervolk-returns-flawed-volklocker-brings-new-features-with-growing-pains/

Report completeness: Medium

Actors/Campaigns:
Cybervolk (motivation: hacktivism, politically_motivated)

Threats:
Volklocker
Uac_bypass_technique
Cybervolk_ransomware
Shadow_copies_delete_technique

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1070.004, T1112, T1486, T1490

IOCs:
Registry: 7
Command: 4
Path: 1
File: 7
Hash: 3
Coin: 1

Soft:
Telegram, Linux, VirtualBox, Windows Defender

Crypto:
bitcoin

Algorithms:
aes-256

Functions:
backupMasterKey, triggerDestruction, SystemCorruptor, DestroySystem, NtRaiseHardError, telegramReporter

Win Services:
WinDefend

Languages:
powershell, golang, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пророссийская хактивистская группа CyberVolk представила новую программу-вымогатель как услугу под названием VolkLocker, использующую полезные нагрузки Golang, совместимые с Windows и Linux. Он шифрует файлы с помощью жестко закодированного мастер-ключа AES-256, общего для всех жертв, создавая значительный недостаток в системе безопасности, и использует стратегии, препятствующие усилиям по восстановлению, изменяя ключи реестра Windows. VolkLocker также включает в себя механизмы уничтожения пользовательских каталогов и работает через Telegram для управления и поддержки, одновременно расширяя свои сервисы, включая трояны удаленного доступа и кейлоггеры.
-----

Пророссийская хактивистская группировка CyberVolk вновь появилась с новым предложением "Программа-вымогатель как услуга" (RaaS) под названием VolkLocker после периода бездействия в 2025 году. Новый вариант, также известный как CyberVolk 2.x, использует полезные нагрузки, разработанные в Golang, совместимые как с платформами Linux, так и с Windows. Эти полезные данные распределяются без запутывания, полагаясь на то, что операторы используют упаковку UPX вместо того, чтобы предлагать встроенные функции шифрования, что является отклонением от нормы во многих продуктах RaaS.

Шифрование используемых VolkLocker основанный на AES-256 в режиме Галуа/счетчик (ГКМ). Он специально генерирует 32-байтовый мастер-ключ, который жестко закодирован в двоичном коде программы-вымогателя в виде шестнадцатеричной строки из 64 символов. Это представляет критическую уязвимость, как тот же мастер-ключ используется для шифрования всех файлов на компьютере жертвы без того, чтобы динамически генерировать уникальные ключи. Этот недостаток существенно подрывает безопасность зашифрованных файлов.

Что касается целостности системы, VolkLocker принимает обширные меры для предотвращения попыток восстановления. Он изменяет несколько разделов реестра Windows, чтобы предотвратить системный анализ и восстановление, что еще больше усложняет возможность жертвы восстановить свои данные. После успешного шифрования программа-вымогатель развертывает уведомление о выкупе в виде динамического HTML-приложения, которое хранится в каталоге %TEMP%. Этот файл выполняется автоматически как после шифрования, так и при запуске системы, с таймером обратного отсчета, установленным по умолчанию на 48 часов, хотя операторы RaaS имеют возможность изменять эту продолжительность.

Кроме того, VolkLocker использует деструктивный механизм, нацеленный на каталоги профилей пользователей, включая удаление определенных папок, что потенциально приводит к удалению критически важных резервных копий. Оперативное управление RaaS CyberVolk осуществляется через Telegram, где взаимодействие со службой поддержки и запросы клиентов обрабатываются с помощью специального бота.

По состоянию на конец 2025, CyberVolk не только активизировать свою деятельность вымогателей, а также расширила свои предложения для включения автономный трояны удаленного доступа (RAT) и клавиатурных шпионов, указывает на сдвиг в сторону более широкого круга киберкриминальных услуг. Несмотря на многократное столкновение с запретами на платформах телеграмму на протяжении 2025, CyberVolk успешно возобновил свою деятельность.

#ParsedReport #CompletenessLow
11-12-2025

One newsletter to rule them all

https://blog.talosintelligence.com/one-newsletter-to-rule-them-all/

Report completeness: Low

Threats:
Deadlock
Byovd_technique
Win.ransomware.deadlock-10058428-0
Brickstorm
Coinminer

Industry:
Critical_infrastructure

Geo:
Chinese, China

CVEs:
CVE-2024-51324 [Vulners]
CVSS V3.1: 3.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 4
Hash: 10

Algorithms:
sha256, md5

#ParsedReport #CompletenessHigh
12-12-2025

Operation MoneyMount-ISO Deploying Phantom Stealer via ISO-Mounted Executables

https://www.seqrite.com/blog/operation-moneymount-iso-deploying-phantom-stealer-via-iso-mounted-executables/

Report completeness: High

Actors/Campaigns:
Moneymount-iso (motivation: financially_motivated)

Threats:
Phantom_stealer
Steganography_technique
Cliplogger_tool
Dll_injection_technique

Victims:
Finance roles

Industry:
Financial

Geo:
Russian, Burma, Russia

TTPs:
Tactics: 7
Technics: 25

IOCs:
File: 9
Url: 1
Hash: 4

Soft:
gatekeeper, Chrome, Discord, Chromium, Telegram

Algorithms:
zip

Functions:
RunAllWalletExtraction, GetWallets

Win API:
OpenClipboard, GetClipboardData, GlobalLock

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция MoneyMount-ISO, исходящая из России, внедряет вредоносное ПО Phantom для кражи информации, нацеленное на финансовые секторы с помощью фишингов электронных писем, содержащих вложения файлов ISO. Атака начинается с ISO-файл, который устанавливает исполняемый файл, чтобы загрузить вредоносную нагрузку, в том числе библиотеку DLL, которая впрыскивает Фантом вредоносное ПО в систему. Phantom Stealer особенности исчерпывающие данные кражи функции, такие как сбор криптовалютным кошельком информация и учетные данные учетные данные, используя анти-анализа, а также кражи данных украденных через механизм телеграмму С2.
-----

Операция MoneyMount-ISO - это вредоносная кампания, выявленная Seqrite Labs, которая исходит из России и предназначена для развертывания вредоносного ПО Phantom, похищающего информацию. Эта кампания в первую очередь нацелена на финансовый сектор, создавая такие риски, как кража учетных данных, мошенничество со счетами/платежами и несанкционированные переводы. Атака начинается с фишинга электронных писем, якобы подтверждающих банковский перевод, содержащих ISO-файлы в виде вложений, которые получателям предлагается открыть.

Первый этап атаки включает в себя ZIP-архив, содержащий ISO-файл с именем "Банковский перевод confirmation.iso ." При открытии этот ISO-файл автоматически монтируется и показывает исполняемый файл, который облегчает последующую загрузку полезной нагрузки. Анализ этого исполняемого файла показывает, что он загружает в память дополнительные компоненты, в частности Phantom Stealer, что указывает на сложную многоэтапную цепочку заражения.

Первая полезная нагрузка - это DLL-файл с именем CreativeAI.dll , который содержит зашифрованную полезную нагрузку. После расшифровки эта библиотека DLL впоследствии внедряет вредоносное ПО Phantom Stealer в систему жертвы. Phantom Stealer оснащен различными модулями, предназначенными для масштабной кражи данных, включая извлечение информации о кошельке криптовалюты, токенов аутентификации Discord, паролей браузера, файлов cookie и данных кредитной карты, хранящихся в браузерах на базе Chromium.

Phantom Stealer обладает надежными возможностями антианализа, используя класс антианализа для обнаружения виртуальных сред и настроек, контролируемых аналитиком. Если будут запущены какие-либо проверки, вредоносное ПО может самоуничтожиться, чтобы избежать обнаружения. Кроме того, вредоносное ПО содержит компонент под названием BrowserWallets, который облегчает массовое извлечение сведений о криптовалютных кошельках путем сопоставления имен кошельков с идентификаторами добавочных номеров и доступа к настройкам профиля пользователя.

В дополнение к целям фишинга вредоносное ПО может собирать токены discord, сканируя файлы LevelDB на наличие определенных шаблонов токенов. Модуль Chromium Recovery систематически сканирует и расшифровывает пользовательские данные из различных хранимых баз данных SQLite, эффективно компилируя и экспортируя конфиденциальную информацию в структурированные форматы для дальнейшего использования.

В cliplogger ClipLogger постоянно следит за буфером обмена, захвата и лесозаготовки текстовых записей. Регистрация нажатий клавиш клавиатурных также интегрирована, что позволяет вредоносное ПО установить низкоуровневый Хук клавиатуре для входа нажатия клавиш в системе, в дальнейшем увеличивая свои возможности захвата данных. Наконец, эвакуация эксфильтрация осуществляется с помощью команды управление механизм, где похищенная информация передается злоумышленникам через зашифрованный токен бота.

#ParsedReport #CompletenessLow
12-12-2025

Chain Reaction: Attack Campaign Activity in the Aftermath of React Server Components Vulnerability

https://www.imperva.com/blog/chain-reaction-attack-campaign-activity-in-the-aftermath-of-react-server-components-vulnerability/

Report completeness: Low

Actors/Campaigns:
Chinaz
Unc5174

Threats:
Xnote
Snowlight
Reactonmynuts
Runnv
React2shell_vuln
Vshell
Mirai
Xmrig_miner
Cryptojacker

Victims:
Financial services, Websites

Industry:
Telco, Retail, Government, Education, Healthcare, Ngo

Geo:
Hong kong, Singapore, Kuwait, Argentina, Asia, Columbia, Colombia, Australia, United kingdom, Thailand, Russian, Indonesia, Brazil, Chinese, Canada

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


ChatGPT TTPs:
do not use without manual check
T1059.004, T1071.001, T1105, T1190, T1496, T1547

IOCs:
File: 3

Soft:
Linux

Crypto:
monero

Algorithms:
gzip

Win API:
writeFile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость React2Shell (CVE-2025-55182) позволяет выполнять удаленный код без проверки подлинности посредством небезопасной десериализации на стороне сервера в серверных компонентах React, что приводит к более чем 127 миллионам попыток эксплуатации, затрагивающих 87 000 сайтов. Злоумышленники внедрили троян удаленного доступа (RAT) для системного контроля и передачи файлов и использовали различные механизмы "дроппера" для распространения вредоносного ПО, такого как VShell RAT и операции криптоджекинга. Недавние кампании демонстрируют сочетание спонсируемой государством и оппортунистической тактики, использующей этот критический недостаток.
-----

Уязвимость React2Shell, идентифицированная как CVE-2025-55182, связана с критическим недостатком, вызванным небезопасной десериализацией на стороне сервера полезных нагрузок, контролируемых клиентом, в серверных компонентах React. Эта уязвимость представляет значительный риск, позволяя выполнять удаленный код без проверки подлинности. После его раскрытия было зафиксировано более 127 миллионов запросов, связанных с попытками эксплуатации, которые затронули более 87 000 различных сайтов, что указывает на высокую степень автоматизированного сканирования и усилий по эксплуатации.

После публичного анонса React2Shell появились многочисленные предполагаемые эксплойты для проверки концепции (PoC), многие из которых были неправильно спроектированы и не смогли точно нацелиться на уязвимость в логике десериализации Flight. В результате злоумышленники быстро адаптировались к использованию уязвимости в рамках различных вредоносных кампаний.

Одним из наиболее заметных направлений атаки является широкомасштабная кампания по внедрению троянца удаленного доступа (RAT) с использованием уязвимости React2Shell. Это вредоносное ПО соединяется с командования и управления (C2) сервер для приема команд на основе JSON, что позволяет выполнить любую команду операционной системы, открытой обратной снаряды, и ручка передачи файлов. В другой нацелен операции, специально направленные на финансовые услуги в Гонконге, злоумышленники реализовали XNote RAT, которую подозревают в связях китайская хакерская группировка, лишний раз свидетельствует о потенциальной государственной поддержке участия.

Кроме того, было замечено, что дроппер SnowLight используется как в качестве вектора доступа, так и в качестве механизма закрепления, способного выполнять вредоносные скрипты для установки дополнительных полезных нагрузок, в частности VShell RAT. Кроме того, кампания, известная как ReactOnMyNuts, использовала эту уязвимость для распространения ботнет Mirai и XMRig - вредоносного ПО для криптозащиты через общие серверные архитектуры, используя простое выполнение команд для облегчения загрузки и установки вредоносных компонентов.

Считается, что еще одна инициатива по криптоджекингу, известная как кампания Runnv, исходит из Китая. Злоумышленники запустили скрипт dropper bash для извлечения дополнительных файлов полезной нагрузки, подчеркивая, что для получения ценных результатов требуются небольшие усилия, о чем свидетельствует ежедневный доход от их операций в размере примерно 170 долларов.

В целом, react2shell React2Shell стала катализатором массив кибер-операции, от правительственных хакеров установка сложных крыс схемы оппортунистических cryptojacking. Такая быстрая адаптация актеры опасный подчеркивает настоятельную необходимость для организаций проявлять бдительность в свою защиту против недавно обнаруженных уязвимостей.

#ParsedReport #CompletenessLow
13-12-2025

Technical Analysis of APT-C-26 (Lazarus) Group Deploying Blank Grabber Trojan Using WinRAR Vulnerability

https://www.ctfiot.com/286651.html

Report completeness: Low

Actors/Campaigns:
Lazarus (motivation: information_theft)

Threats:
Blankgrabber
Tsunami_framework
Credential_stealing_technique
Steganography_technique
Vmprotect_tool
Uac_bypass_technique
Hideconsole_tool

Victims:
Cryptocurrency users, Browser users, Corporate users

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1190, T1204.002, T1539, T1555.003

IOCs:
File: 5
Hash: 1

Soft:
Chromium, Discord, Telegram, Windows Defender, Chrome, Opera, Microsoft Edge, Yandex Browser, Firefox, Steam, have more...

Wallets:
metamask, exodus_wallet, electrum, zcash, jaxx, atomicwallet, coinomi, tronlink

Crypto:
ethereum, binance

Algorithms:
zip, xor, base64, md5

Functions:
exec

Win API:
CreateFileW

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В Lazarus Лазарь был развернут новый вредоносное ПО, в Blank Grabber хапуга, используя уязвимости в WinRAR уязвимость CVE-2025-8088. Жертвы вводятся в заблуждение и загружают вредоносный RAR-файл, который при извлечении запускает скрипт для извлечения Trojan. Это вредоносное ПО цели конфиденциальные данные, воруют пароли, куки браузера, и шифрует взаимодействий в приложении, например, раздор и Telegram, а также извлечение закрытые ключи от более чем 20 криптовалютные кошельки.
-----

Было замечено, что группа Lazarus, идентифицированная как APT-C-26, внедряет новое вредоносное ПО под названием троян Blank Grabber, используя уязвимость в WinRAR, в частности CVE-2025-8088. Методология этой атаки заключается в представлении вредоносного файла RAR, замаскированного под безобидный набор инструментов, чтобы побудить жертв загрузить его. Когда жертва извлекает содержимое этого файла, она запускает скрипт, который инициирует загрузку Blank Grabber Trojan.

Этот троянец предназначен для получения конфиденциальной информации от пользователей. Он способен красть пароли, файлы cookie и данные автоматического заполнения из браузеров на базе Chromium. Кроме того, это ставит под угрозу взаимодействие пользователей на коммуникационных платформах, таких как Discord и Telegram, путем перехвата данных сеанса. Примечательно, что вредоносное ПО также извлекает исходные Закрытые ключи из более чем 20 известных криптовалютных кошельков, включая MetaMask, Exodus и Electrum. Последствия этого метода атаки значительны, поскольку он может привести к значительным финансовым потерям и несанкционированному доступу к личным и корпоративным активам.

Анализ этой кампании подчеркивает важность повышенных мер безопасности как для отдельных лиц, так и для организаций. Осведомленность о таких уязвимостях и связанных с ними угрозах имеет важное значение для предотвращения утечек данных и защиты конфиденциальной информации от использования злоумышленниками, такими как группа Lazarus...........". Акторы.

#ParsedReport #CompletenessHigh
12-12-2025

NexusRoute: Attempting to Disrupt an Indian Government Ministry

https://www.cyfirma.com/research/nexusroute-attempting-to-disrupt-an-indian-government-ministry/

Report completeness: High

Actors/Campaigns:
Nexusroute (motivation: financially_motivated, cyber_criminal)

Threats:
Credential_harvesting_technique

Victims:
Indian government services, Mobile users

Industry:
Telco, Government, Financial, E-commerce

Geo:
Indian, India

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 4
IP: 2
Domain: 25
Hash: 2
Url: 3

Soft:
Android, Google Play

Algorithms:
base64, sha256, zip

Functions:
SwapMe, setComponentEnabledSetting

Languages:
java

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4