#ParsedReport #CompletenessMedium
24-12-2025

Atera Under the Spotlight: Exploring More Effective Detections

https://www.immersivelabs.com/resources/blog/atera-under-the-spotlight-exploring-more-effective-detections

Report completeness: Medium

Actors/Campaigns:
Muddywater
Sandworm

Threats:
Atera_tool
Lockbit
Blackcat
Zerolot
Conti

Industry:
Transport, Energy

Geo:
Iranian, Ukraine

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.005, T1566, T1566.003

IOCs:
File: 4
IP: 1
Url: 2

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Облачная платформа RMM Atera используется злоумышленниками из-за ее функциональных возможностей, которые облегчают мониторинг конечных точек и удаленную ИТ-поддержку, обеспечивая как прямую доставку вредоносного ПО, так и тактику социальной инженерии. Атаки часто включают использование Atera для проникновения в сети с использованием специальных методов, таких как использование HTA-файлов для выполнения команд PowerShell для вредоносных установок. Способность инструмента RMM смешиваться с обычным сетевым трафиком расширяет возможности его использования для поддержания закрепления в скомпрометированных средах.
-----

Atera, облачная платформа удаленного мониторинга и управления (RMM), привлекла к себе внимание тем, что широко используется злоумышленниками благодаря своим законным и удобным для пользователя функциональным возможностям, которые включают мониторинг конечных точек, автоматизацию задач и предоставление удаленной ИТ-поддержки. Широкое использование платформы в ИТ-средах облегчает различные методы атак, включая прямую доставку вредоносного ПО и тактики социальной инженерии, такие как фишинг и клонирование веб-сайтов.

В атаках с использованием Atera часто участвуют злоумышленники, использующие этот инструмент для компрометации сетей. Например, во время операций Conti были установлены специальные средства обнаружения для идентификации установок Atera с помощью msiexec.exe процесс. Однако эффективность этих средств обнаружения может варьироваться, о чем свидетельствуют как успешные, так и безуспешные попытки злоумышленников обойти их. Это подчеркивает сохраняющуюся проблему адаптации механизмов обнаружения для борьбы с меняющейся тактикой, используемой злонамеренными акторами.

Один конкретный метод атаки предполагает использование файла HTA (HTML-приложения), который выполняет команды PowerShell для установки файла MSI. В сочетании с тезисом преобразований, этот метод манипулирует процесс установки для сокрытия вредоносной активности, что делает его менее заметным. Способность инструментов RMM, таких как Atera, сливаться с обычным сетевым трафиком в значительной степени повышает их привлекательность для поддержания закрепления в скомпрометированных средах.

Таким образом, в то время как Atera выполняет законные функции в рамках ИТ-менеджмента, ее простота использования и природа инструментов RMM делают ее предпочтительным выбором для злоумышленников, стремящихся проникнуть в сети и сохраниться в них. Возникающие в результате проблемы безопасности подчеркивают необходимость адаптивных и эффективных стратегий обнаружения угроз для противодействия такому злонамеренному использованию широко распространенных программных решений.

#ParsedReport #CompletenessMedium
24-12-2025

REVISITING MEDUSA LOCKER RANSOMWARE

https://theravenfile.com/2025/12/24/revisiting-medusa-locker-ransomware/

Report completeness: Medium

Threats:
Medusalocker
Medusa_ransomware
Cobalt_strike_tool
Raccoon_stealer
Rusty_stealer
Donut
Dcrat
Flawedammyy
Gozi
Emotet
Asyncrat
Industoyer2
Babylockerkz
Marlock
Marnet_ransomware
Mamai_ransomware
Keversen
Sunnyday
Huylock
Farattack
Lolkek
Ako_ransomware

Industry:
Media

Geo:
Russian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1090.003, T1105, T1106, T1486, T1547.001, T1584.004, T1587.001, T1657

IOCs:
IP: 2
Domain: 7
Hash: 51
File: 1
Email: 2
Coin: 2

Soft:
Node.js, GMAIL, Telegram

Crypto:
bitcoin

Algorithms:
md5

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
code: 1, windows: 1, schema: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Medusa Locker, действующая с 2019 года, значительно эволюционировала и работает по модели "Программа-вымогатель как услуга", в основном используемой российскими злоумышленниками в Dark Web. Последние варианты, такие как BabylockerKZ, усложняют отслеживание из-за нетипичных соглашений об именовании. Программа-вымогатель нацелена на различные отрасли промышленности во многих странах, использует двухэтапную работу с TOR v3 и содержит уязвимость в своей платформе продажи билетов, которую можно использовать для анализа, подчеркивая ее постоянное развитие и операционное воздействие.
-----

Программа-вымогатель Medusa Locker активна с 2019 года и недавно претерпела значительные изменения. Эта программа-вымогатель характеризуется постоянной связью с российским хостингом, в основном использующим для своих операций Dark Web. Модель "Программы-вымогатели как услуга" (RaaS), используемая группой, указывает на стратегию сдачи возможностей в аренду другим преступникам, что приводит к увеличению числа жертв в различных секторах.

Недавний анализ Medusa Locker выявил варианты, называемые BabylockerKZ, связанные с идентификатором мьютекса "HOHOL1488". Однако это соглашение об именовании отличается от обычных записей и создает проблемы для отслеживания действий. Группа Medusa Locker нацелена на широкий спектр отраслей промышленности, и данные указывают на случаи заражения в десяти странах и тринадцати отраслях промышленности, что подчеркивает широкий охват группы.

Принцип работы Medusa Locker остается неизменным, с идентифицируемыми двумя фазами: операции до и после внедрения TOR v3. Конкретные точки привязки злоумышленников, связанные с вариантом TOR v3, включают нацеленные Адреса эл. почты и идентификаторы чата TOX, облегчающие общение и переговоры о выкупе с жертвами. Анализ показывает, что программа-вымогатель продолжает развиваться, и ее воздействие остается значительным, при этом регулярно появляются новые случаи.

Примечательное событие связано с уязвимостью, обнаруженной в платформе продажи билетов группы, которая потенциально может быть использована для дальнейшего анализа и расследования. Кроме того, выплаты выкупа на фоне успеха программы-вымогателя Medusa Locker дают представление о ее операционной эффективности и положении в более широком контексте киберугроз.

Чтобы правильно анализировать инциденты, связанные с этой вымогателей, это имеет решающее значение для кибербезопасность кибербезопасность различать Medusa Locker и несвязанные Medusa Ransomware вариант. По ошибке идентифицировала эти отдельные сущности могут помешать защитные меры и усилия атрибуции в кибербезопасность кибербезопасность. Следовательно, постоянное информирование о технических характеристиках и моделях поведения Medusa Locker имеет важное значение для уменьшения его угрозы.

#ParsedReport #CompletenessHigh
24-12-2025

Silver Fox Targeting India Using Tax Themed Phishing Lures

https://www.cloudsek.com/blog/silver-fox-targeting-india-using-tax-themed-phishing-lures

Report completeness: High

Actors/Campaigns:
Silver_fox
Sidewinder

Threats:
Dll_hijacking_technique
Dllsearchorder_hijacking_technique
Process_injection_technique
Donut
Donutloader
Valleyrat
Credential_harvesting_technique
Process_hollowing_technique
Spear-phishing_technique

Victims:
Government sector, Tax agencies

Geo:
India, Chinese

TTPs:
Tactics: 9
Technics: 23

IOCs:
Domain: 17
File: 8
Path: 1
IP: 9
Registry: 1
Hash: 4

Soft:
NSIS Installer, Windows Update service(wuauserv, Windows registry, Windows Update service, wuauserv

Algorithms:
sha256, zip, md5

Functions:
sub_405E40

Win API:
GetTempPathA, VirtualAllocEx, WriteProcessMemory

Win Services:
wuauserv

Links:
https://github.com/listinvest/undonut
https://github.com/volexity/donut-decryptor
have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 2, code: 11, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга, связанная с APT Silver Fox, нацелена на физических лиц в Индии с помощью приманки, связанной с подоходным налогом, с использованием обманчивых электронных писем, имитирующих законные налоговые сообщения. Кампания использует тактику давления, чтобы склонить жертв переходить по Вредоносным ссылкам или раскрывать конфиденциальную информацию, что указывает на изощренность и адаптивность группы. Подчеркиваются проблемы неправильного распределения, поскольку неправильное обозначение этой кампании может отвлечь внимание от реальной угрозы, исходящей от Silver Fox, что усложнит защитные меры.
-----

Была обнаружена новая кампания фишинга, приписываемая Silver Fox, которая была направлена против APT-группировок, специально нацеленных на физических лиц в Индии, используя приманки, связанные с подоходным налогом. В этой кампании используются электронные письма с фишингом, которые визуально имитируют законную налоговую информацию, используя тактику давления, чтобы убедить жертв перейти по Вредоносным ссылкам или предоставить конфиденциальную информацию. Сходство этих приманок для фишинга с теми, которые использовались в других кампаниях, вызывает опасения по поводу изощренности и адаптивности злоумышленника.

Ранее подобная тактика фишинга наблюдалась без четкой принадлежности к конкретной группе, что делало эту идентификацию важной. Точная атрибуция имеет решающее значение для совершенствования оборонительных стратегий, поскольку она помогает понять оперативное поведение и цели злоумышленников. Отмечается, что неправильное отнесение этой кампании Silver Fox к другой группе, такой как SideWinder, потенциально может привести к путанице в усилиях по разведке угроз. Хорошо документированная виктимология предполагает, что такое приписывание не соответствует фактическим целям и методам, используемым Silver Fox.

Этот сценарий иллюстрирует сложности, присутствующие в разведке киберугроз, где неправильное распределение может привести к чрезмерному сосредоточению внимания на несуществующих угрозах, что делает организации уязвимыми для реальных подходов APT. Это подчеркивает важность продолжения совершенствования методов атрибуции и поддержания строгих процессов проверки, чтобы гарантировать соответствие соответствующих ответных мер реальной тактике и методам, применяемым противниками, такими как Silver Fox.

#ParsedReport #CompletenessHigh
25-12-2025

First Sophisticated Malware Discovered on Maven Central via Typosquatting Attack on Jackson

https://www.aikido.dev/blog/maven-central-jackson-typosquatting-malware

Report completeness: High

Threats:
Typosquatting_technique
Cobalt_strike_tool
Credential_harvesting_technique

Victims:
Software supply chain, Open source ecosystem, Java developers

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1105, T1195.001, T1583.001

IOCs:
Domain: 2
Url: 3
File: 41
Hash: 2
IP: 1

Soft:
Unix, linux, macOS

Algorithms:
aes, aes-ecb, base64

Functions:
String

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная Кампания, нацеленная на Maven Central, использовала атаку typosquatting на библиотеку Джексона путем регистрации вредоносного пакета под доменом, вводящим в заблуждение, fasterxml.org . Эта атака включала в себя развертывание Cobalt Strike Beacon, инструмента, используемого для операций управления, что указывает на участие квалифицированных противников и подчеркивает растущую угрозу Цепочкам поставок программного обеспечения. Время и характер атаки подчеркивают уязвимости в процессах проверки пакетов, что делает системы уязвимыми для подобных эксплойтов в будущем.
-----

Недавнее расследование выявило сложную Вредоносную Кампанию, которая нацелена на Maven Central посредством typosquatting-атаки, специально нацеленной на библиотеку Джексона. Атака использовала ошибочно замененный префикс в соглашении об именовании пакетов Java, в результате чего вредоносный пакет был зарегистрирован в домене fasterxml.org , отличающийся от законного пространства имен библиотеки Джексона com.fasterxml.jackson.core. Такое использование замены префиксов в стиле TLD представляет собой значительное "слепое пятно" в процессе проверки пакетов Maven Central, в котором в настоящее время отсутствуют механизмы для обнаружения таких изменений.

Вредоносное ПО, связанное с этой атакой, было последовательно идентифицировано как Cobalt Strike Beacon несколькими поставщиками средств обнаружения. Cobalt Strike обычно используется в качестве инструмента тестирования на проникновение, который позволяет выполнять комплексные операции управления, включая удаленный доступ, сбор учетных записей, перемещение внутри компании и развертывание дополнительных полезных нагрузок. Несмотря на то, что изначально он предназначался для законного использования в сценариях red teaming, его просочившиеся версии завоевали популярность среди операторов программ-вымогателей и групп по APT-группировке. Развертывание Cobalt Strike в целом указывает на присутствие высококвалифицированных противников, предполагая, что цель, стоящая за этой атакой, выходит за рамки простого криптомайнинга.

Вредоносный домен fasterxml.org зарегистрировано всего восемь дней до анализа на 17 декабря 2025 года с обновлениями указанием активной разработки в дни, предшествовавшие его развертывания. Время регистрации, наряду с ее связью с атакой на широко используемую библиотеку, подчеркивает растущую тенденцию, когда злоумышленники все чаще нацеливаются на Цепочки поставок программного обеспечения с помощью тщательно разработанной тактики социальной инженерии.

Maven Central должен усилить свои защитные меры для защиты от подобных атак путем внедрения систем, способных обнаруживать и блокировать эти типы подмен префиксов, тем самым устраняя уязвимости, которые могут быть использованы злоумышленниками-акторами. Неспособность устранить эти пробелы в безопасности может подвергнуть разработчиков и конечных пользователей значительным рискам, связанным с компрометацией библиотек, пользующихся широким доверием.

#ParsedReport #CompletenessMedium
25-12-2025

Sneaky NPM Malware Grants Attackers Permanent Access to WhatsApp Accounts

https://www.secureblink.com/cyber-security-news/sneaky-npm-malware-grants-attackers-permanent-access-to-whats-app-accounts

Report completeness: Medium

Threats:
Lotusbail
Mitm_technique
Supply_chain_technique

Victims:
Software development ecosystem, Messaging platform users, Whatsapp users

Industry:
Healthcare, Financial

TTPs:
Tactics: 6
Technics: 6

IOCs:
File: 4

Soft:
WhatsApp, Node.js

Algorithms:
aes

Functions:
WhatsApp

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет lotusbail npm, замаскированный под веб-API WhatsApp, представляет значительную угрозу, поскольку крадет учетные данные пользователей, перехватывает сообщения и устанавливает постоянный доступ к учетным записям WhatsApp посредством сопряжения устройств. Используя методы платформы MITRE ATT&CK, он захватывает токены аутентификации и использует пользовательский стек шифрования для эксфильтрации данных, избегая обнаружения с помощью Обфускации команд и ловушек для защиты от отладки. Его сложный дизайн усложняет идентификацию угроз, демонстрируя необходимость расширенного поведенческого анализа и мониторинга для обнаружения аналогичных угроз.
-----

Пакет npm от lotusbail, Маскировка под законный веб-API WhatsApp, представляет значительную киберугрозу, поскольку он был загружен более 56 000 раз. Это вредоносное ПО способно красть учетные данные пользователей, перехватывать сообщения и создавать постоянный доступ к учетным записям WhatsApp с помощью сложного механизма, который позволяет злоумышленникам связывать свои устройства с учетными записями жертв. Примечательно, что этот механизм закрепления сохраняет доступ даже после удаления вредоносного пакета, что требует действий по восстановлению учетной записи вручную.

Функционально lotusbail имитирует законную библиотеку @whiskeysockets/baileys, чтобы избежать раннего обнаружения. Его полезная нагрузка двойного действия захватывает токены аутентификации, сообщения и контакты, обеспечивая при этом связь с устройством для постоянного доступа. Атака использует методы из платформы MITRE ATT&CK, включая кражу учетных данных с помощью перехвата WebSocket (T1552.001), сбор сообщений и контактов с помощью API-оболочки (T1056.001) и эксфильтрацию с использованием пользовательского стека шифрования (RSA + AES) при сохранении скрытности с помощью передовых методов Обфускации команд (T1027.010) и ловушки для защиты от отладки (T1497.003).

Обнаружение lotusbail произошло во время рутинного поведенческого анализа, выявившего аномальную исходящую сетевую активность, указывающую на его злонамеренный умысел. Традиционные сканеры уязвимостей не смогли эффективно идентифицировать угрозу, поскольку lotusbail был разработан для правильного функционирования, а не для прямой уязвимости. Это подчеркивает необходимость поведенческого анализа и мониторинга во время выполнения для обнаружения и смягчения последствий таких сложных атак.

Рекомендуемые немедленные меры включают проведение инвентаризации и процедуры локализации, удаление пакета и связанных с ним файлов, а также снижение рисков путем исправления учетной записи, в частности, путем удаления нераспознанных устройств, подключенных к WhatsApp в период заражения. Кроме того, организациям рекомендуется внедрять средства защиты во время выполнения, улучшать политику контроля за проверкой пакетов и в дальнейшем уделять повышенное внимание коммуникационным библиотекам.

Заглядывая в будущее, стратегические улучшения через 30 дней должны быть сосредоточены на архитектурных корректировках, таких как изоляция интеграции обмена сообщениями через микросервисы и использование учетных записей служб с ограниченными разрешениями для дальнейшего устранения потенциальных уязвимостей. Надежная стратегия мониторинга, которая соотносит установку пакетов с необычным сетевым трафиком, укрепит защиту от будущих атак. Последствия такого нарушения серьезны, поскольку оно не только приводит к потере данных и постоянному доступу к скомпрометированным учетным записям, но и чревато ущербом репутации и последствиями со стороны регулирующих органов, особенно в случаях, связанных с конфиденциальной или защищенной информацией.

#ParsedReport #CompletenessMedium
23-12-2025

RTO Scam Wave Continues: A Surge in Browser-Based e-Challan Phishing and Shared Fraud Infrastructure

https://cyble.com/blog/rto-scam-wave-continues/

Report completeness: Medium

Threats:
Spear-phishing_technique

Victims:
Indian users, Government services users, Logistics customers, Banking financial services and insurance customers

Industry:
Telco, Financial, Logistic, Government

Geo:
India, Indian, Spanish

TTPs:
Tactics: 5
Technics: 5

IOCs:
IP: 2
Domain: 21

Soft:
Android, Microsoft Defender

Links:
https://github.com/CRIL-ThreatIntelligence/IOCs/tree/main/The\_RTO\_Scam\_Wave\_Continues\_A\_Surge\_in\_Browser-Based\_e-Challan\_Phishing

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании по фишингу, нацеленные на Региональное транспортное управление Индии (RTO), используют системы e-Challan для финансового мошенничества, используя методы на основе браузера вместо вредоносного ПО для Android. Жертвы получают SMS-сообщения со ссылками на домены для фишинга, где злоумышленники подделывают данные challan, обманом заставляя пользователей совершать платежи с помощью кредитных или дебетовых карт, чтобы свести к минимуму возможность отслеживания. Выявленные методы из платформы MITRE ATT&CK включают в себя фишинг с помощью SMS (T1566.001), Перехват вводимых данных (T1056), автоматизированный сбор данных (T1119) и эксфильтрацию для Кражи денежных средств (T1657).
-----

В последнее время активизировалась деятельность по фишингу, связанная с тематикой Регионального транспортного управления (RTO), с акцентом на использование систем e-Challan для совершения финансовых махинаций в Индии. В отличие от предыдущих кампаний, в которых использовалось вредоносное ПО для Android, нынешняя волна опирается исключительно на методы фишинга на основе браузера, что позволяет злоумышленникам легче связаться с жертвами без необходимости в конкретной информации о жертвах. Этот метод позволяет динамично подделывать данные challan, тем самым обманывая пользователей, заставляя их осуществлять оплату с помощью кредитных или дебетовых карт, что облегчает отслеживание транзакций в меньшей степени по сравнению с UPI или net banking.

Технический анализ показывает, что пользователи перенаправляются на домен для фишинга, расположенный по IP-адресу 101.33.78.145, при нажатии на встроенный URL-адрес в SMS-сообщении. Сигналы срочности, встроенные в сообщения о фишинге, как правило, снижают эффективность предупреждений о безопасности на основе браузера от таких инструментов, как Microsoft Defender, поскольку жертвы часто игнорируют эти предупреждения из-за необходимости немедленно устранить предполагаемые проблемы.

Дальнейшее расследование выявило, что SMS-сообщения, ведущие на сайты фишинга, поступают с телефонного номера, зарегистрированного в Индии, с использованием местной мобильной сети Reliance Jio Infocomm Limited. Это указывает на то, что злоумышленники, вероятно, использовали подключение, выпущенное внутри страны, что повышает доверие к их усилиям по фишингу.

Эта продолжающаяся кампания означает, что фишинг на тему RTO остается мощным вектором угрозы, усиливая изощренный характер этих мошенничеств, которые включают реалистичные пользовательские интерфейсы и используют психологические триггеры, чтобы вызвать у жертв безотлагательность. Оперативная динамика этого мошенничества охватывает общую инфраструктуру, обслуживающую различные секторы, включая правительство, логистику и банковские и финансовые услуги (BFSI), что свидетельствует о профессионализации тактики фишинга, а не о случайных изолированных мошенничествах.

В контексте платформы MITRE ATT&CK используемые методы включают T1566.001 для фишинга с помощью SMS для первоначального доступа, T1056 для Перехвата вводимых данных во время получения учетных данных, T1119 для Автоматизированного сбора данных пользователя и T1041 для эксфильтрации по каналу командования и контроля (C2), что в конечном итоге приводит к финансовым потерям. кража (T1657). Этот структурированный подход демонстрирует просчитанный ландшафт киберугроз, обусловленный постоянными стратегиями фишинга.