#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания "Stable Genesis Airdrop" - это сложная операция криптовалютного фишинга, направленная на кражу фраз для восстановления кошельков пользователей, позволяющая злоумышленникам получить доступ к криптоактивам и контролировать их. Технический анализ показал, что пользовательский интерфейс кампании полностью имитирует легальные платформы, что повышает ее эффективность. Кроме того, механизм фишинга не только обеспечивает доступ к кошельку, но и позволяет осуществлять несанкционированные транзакции в блокчейне, что представляет значительную угрозу для пользователей, потенциально приводя к значительным финансовым потерям.
-----

Кампания "Stable Genesis Airdrop" стала заметной операцией криптовалютного фишинга, использующей тактику социальной инженерии, направленную на то, чтобы обманом заставить пользователей скомпрометировать свои крипто-кошельки. Операция продемонстрировала изощренный подход к краже конфиденциальной пользовательской информации путем нацеливания на фразы для восстановления кошелька, которые являются неотъемлемой частью доступа к криптовалютным активам и контроля над ними.

Технический анализ кампании участвует исполнения песочнице, которая подтвердила злого умысла за фишинг операции. Через проверки трафика, аналитики получили возможность наблюдать за каналы связи, используемые злоумышленниками для облегчения их вредоносной деятельности. Пользовательский интерфейс кампании в (UI) также была проверена, показывая, что он был разработан, чтобы имитировать законных платформах криптовалют, тем самым повышая его эффективность обмана пользователей.

Важно отметить, что механизм фишинга, используемый в этой кампании, направлен не только на получение доступа к кошелькам, но и на авторизацию несанкционированных транзакций в блокчейне. Такой двойной подход представляет серьезную угрозу, поскольку позволяет акторам, стоящим за кампанией, совершать транзакции без ведома или согласия владельца кошелька, что приводит к прямым денежным потерям. Кампания подчеркивает растущую тенденцию в области киберугроз, когда злоумышленники сочетают тактику фишинга с передовыми методами компрометации цифровых кошельков в криптовалютном пространстве.

#ParsedReport #CompletenessHigh
22-12-2025

React2Shell to real-world breach: How an unpatched dev server led to a Windows compromise

https://www.threatlocker.com/blog/react2shell-unpatched-dev-server-windows-compromise

Report completeness: High

Threats:
React2shell_vuln
Anydesk_tool
Xmrig_miner
Runnv
Rclone_tool

Victims:
Web applications using react server components, Windows servers

Industry:
Healthcare

Geo:
Chinese

CVEs:
CVE-2025-55182 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- facebook react (19.0.0, 19.1.0, 19.1.1, 19.2.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1190, T1569.002

IOCs:
File: 1
Hash: 10
IP: 22
Url: 4
Domain: 7

Soft:
Linux, busybox, UNIX, curl, PSExec

Crypto:
monero

Algorithms:
sha256

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-55182, известная как React2Shell, представляет собой критическую уязвимость в серверных компонентах React, которая позволяет Удаленное Выполнение Кода из-за недостаточной проверки данных с помощью созданных HTTP POST-запросов. Попытки эксплуатации, наблюдавшиеся на скомпрометированных серверах Windows под управлением IIS, включали выполнение двоичных файлов Linux и сценариев оболочки, которые завершились неудачей из-за неродной среды. Атака напоминает поведение криптоджекеров, что указывает на менее изощренную тактику, обычно применяемую неопытными злоумышленниками, а не на сложные целенаправленные угрозы.
-----

3 декабря 2025 года была раскрыта критическая уязвимость в серверных компонентах React под номером CVE-2025-55182, известная как React2Shell. Эта уязвимость позволяет злоумышленникам использовать недостаточную проверку данных на стороне сервера, в частности, с помощью специально созданных HTTP POST-запросов, отправляемых хостам, обслуживающим веб-приложения, использующие React. Недостаток возникает в результате оптимизаций, направленных на сокращение использования ресурсов, которые непреднамеренно приводят к выполнению кода без надлежащей проверки, делая системы уязвимыми для несанкционированного выполнения команд.

В ходе выявленных случаев эксплуатации скомпрометированных серверов Windows под управлением IIS злоумышленники пытались запустить несколько двоичных файлов Linux, включая такие команды, как "grep", "sh", "busybox", "chmod" и "bash". Однако эти двоичные файлы не удалось запустить, поскольку они не являются встроенными в среду Windows. Злоумышленники также попытались выполнить сценарии оболочки (sh-файлы), которые также не увенчались успехом из-за отсутствия необходимых двоичных файлов Linux.

Использование React2Shell соответствует типичному поведению, наблюдаемому в кампаниях по криптоджекингу, которые обычно фокусируются на краже ресурсов у широкого круга целей, а не полагаются на сложные и адаптированные стратегии атак. Характер атаки выглядит менее изощренным, напоминая тактику менее опытных злоумышленников, а не хорошо зарекомендовавших себя APT-группировок или синдикатов организованной финансовой преступности.

Чтобы снизить риски, связанные с такими уязвимостями, использование контроля приложений, такого как список разрешений ThreatLocker, может предотвратить выполнение несанкционированных приложений. Это позволяет использовать только явно разрешенные приложения, одновременно позволяя создавать специальные политики запрета для блокирования доступа к программному обеспечению высокого риска. Для критически важных приложений, которые необходимы для бизнес-операций, но также считаются рискованными, могут применяться такие стратегии, как кольцевая защита. Это ограничивает сферу взаимодействия этих приложений с системными ресурсами, ограничивая их потенциальную возможность злоупотреблений.

React2Shell представляет значительный риск из-за своей способности к Удаленному Выполнению Кода злоумышленниками, не прошедшими проверку подлинности, что подчеркивает важность оперативного исправления известных уязвимостей для защиты от эксплуатации.

#ParsedReport #CompletenessLow
26-12-2025

How a Compromised Browser Extension Drained $7 Million in Crypto

https://www.secureblink.com/cyber-security-news/how-a-compromised-browser-extension-drained-7-million-in-crypto

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Crypto users, Trust wallet users

Industry:
Financial

ChatGPT TTPs:
do not use without manual check
T1195, T1553.006, T1566

IOCs:
File: 1
Domain: 2

Soft:
Chrome

Crypto:
binance

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скомпрометированная версия расширения Trust Wallet для Chrome, выпущенная 24 декабря 2025 года, привела к краже криптовалюты на сумму более 7 миллионов долларов из-за атаки по Цепочке поставок, в результате которой был внедрен вредоносный код. Атака использовала широкие привилегии расширения для манипулирования транзакциями, что привело к значительным потерям пользователей и спровоцировало кампанию фишинга, нацеленную на пострадавших пользователей. Этот инцидент выявил критические уязвимости в расширениях браузера и риски, связанные с обновлениями программного обеспечения.
-----

Значительный киберинцидент, связанный со взломанным браузерным расширением, привел к краже криптовалюты на сумму 7 миллионов долларов у пользователей Trust Wallet. Инцидент начался 24 декабря 2025 года, когда было незаметно выпущено вредоносное обновление версии 2.68.0 расширения Trust Wallet для Chrome. Trust Wallet - это широко используемый кошелек, который позволяет пользователям взаимодействовать с децентрализованными приложениями (dApps) и управлять цифровыми активами. Вскоре после обновления пользователи сообщили о потере средств во время обычных транзакций, и оценки потерь быстро превысили 2 миллиона долларов.

Судебно-медицинские исследования показали, что атака была Компрометацией цепочки поставок, в результате которой злоумышленники проникли в конвейер обновлений Trust Wallet, чтобы внедрить вредоносный код в официальный пакет расширений. Это изощренное проникновение позволило злоумышленникам манипулировать транзакциями и красть пользовательские активы. В качестве стратегического шага, когда среди пользователей Социальных сетей распространилась паника, злоумышленники инициировали кампанию фишинга, чтобы воспользоваться ситуацией. Они создали мошеннические учетные записи, перенаправляющие пользователей на поддельный веб-сайт с целью дальнейшего обмана жертв в условиях неразберихи.

Инцидент выявил критическую уязвимость в модели расширений браузера, подчеркивая обширные привилегии, которыми обладают эти расширения при взаимодействии с веб-страницами и блокчейн-сетями. Это по сути предоставляет злоумышленникам доступ к обширному интерфейсу для эксплуатации. Скомпрометированное расширение служит в качестве троянского коня, способного наблюдать за действиями пользователя и извлекать конфиденциальную информацию. В то время как Trust Wallet пообещал возместить украденные средства и заверил пользователей в сохранности их активов, это событие вызывает опасения по поводу надежности и безопасности браузерных кошельков и более широких последствий уязвимостей в Цепочке поставок обновлений программного обеспечения.

#ParsedReport #CompletenessHigh
26-12-2025

SideWinder APT's Latest "Stealth" Attack Chain Analysis

https://www.ctfiot.com/288986.html

Report completeness: High

Actors/Campaigns:
Sidewinder

Threats:
Dll_sideloading_technique
Lolbin_technique
Procmon_tool

Victims:
Income taxpayers, Government, Military, Taxation, Service industry, Retail industry, Telecom industry, Healthcare industry

Industry:
Retail, Healthcare, Telco, Military, Government

Geo:
Asia-pacific, Indian, Asian, Chinese, India

TTPs:
Tactics: 2
Technics: 9

IOCs:
File: 5
Domain: 23
Url: 6
IP: 3
Hash: 4

Soft:
Microsoft Defender, Windows Defender, WeChat

Algorithms:
aes-128

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В SideWinder apt-группировка, против индейских доход налогоплательщиков, применяет сложные приемы "стелс", в том числе фишинг-писем, представляясь уведомления о возврате налога на имплантат бэкдоры. Их многоступенчатой атаки используются DLL Side-loading использовать законные Майкрософт защитник бинарный за неуплату, перенаправление пользователей на поддельные доход Налоговое управление сайтов при использовании гео-ограждения и облачные сервисы для маскировки деятельности. Индикаторы компромисса определены включают в себя вредоносные домены, редко дву, фишинг одной инициирование взаимодействия с их инфраструктуры и серверов С2 связан с AliCloud.
-----

Недавно было замечено, что APT-группировка SideWinder, также известная как Rattlesnake или T-APT-04, развернула цепочку скрытых атак, специально нацеленных на индийских налогоплательщиков. Эта кампания представляет собой продолжение их нацеленность на высокое значение цели в правительства стран Южной Азии и различных отраслях промышленности, в том числе военной, службе, розничной торговли, телекоммуникаций и здравоохранения. Злоумышленники использовали фишинг электронной почты маскировка как "проверка, возврат налога", чтобы внедрить бэкдор в системах своих жертв. В частности, они успешно обойти механизмы обнаружения, как правило, заняты на конечную точку обнаружения и реагирования на них, используя сложный многоэтапный подход, сочетающий в себе спящий режим и гео-ограждения методы.

Атака использовала тактику DLL side-loading для использования законных двоичных файлов Microsoft Defender, что способствовало обходу системы безопасности конечных точек. Кроме того, злоумышленники использовали метод уклонения от обнаружения, основанный на репутации, направляя свою деятельность через законные общедоступные облачные сервисы хранения данных и платформы для сокращения URL-адресов. Кампании по фишингу включали переадресацию на мошеннические веб-сайты, призванные выдавать себя за Департамент подоходного налога Индии, демонстрируя нацеленный метод манипулирования пользователями.

Методология включала технические моменты, представляющие интерес, такие как конкретные TTP, связанные с идентификаторами MITRE ATT&CK, включая T1566.002 (Фишинг - Вредоносная ссылка) и T1204.001 (Вредоносный файл). Злоумышленники направляли пользователей на скомпрометированный домен gfmqvip.vip, который служил мошенническим порталом по налогу на прибыль.

Индикаторы компрометации (IOCs), выявленные в ходе расследования, показывают ряд вредоносных доменов, URL-адресов и связанных с ними хэшей, указывающих на инструменты и методы, используемые SideWinder. Вредоносные домены содержат необычные домены верхнего уровня (TLD) и включают ksdfuefagfrukayhfka.eu.cc , zibenbang.vip и несколько экземпляров googlevip.icu среди прочих. Ссылки на фишинг, такие как surl.li/wijrvg и surl.li/oskzir , служили точками призыва к действию, инициирующими взаимодействие с вредоносной инфраструктурой. Загрузчик первоначального доступа был упакован как "Inspection.zip ," на котором размещались критические полезные файлы, необходимые для выполнения атаки, наряду с различными другими файлами, включая захваченные библиотеки DLL и загрузчик шелл-кода.

Инфраструктура командования и контроля (C2) указала на использование IP-адресов, привязанных к AliCloud, с конкретными ссылками как на промежуточный, так и на конечный серверы C2. Хэши, связанные с загруженными файлами и полезной нагрузкой, предоставляют важные отпечатки пальцев для идентификации и смягчения угрозы, исходящей от этих вредоносных действий. В целом, анализ подчеркивает изощренную тактику, применяемую SideWinder APT для достижения своих целей, сохраняя при этом малозаметность в постоянно меняющемся ландшафте киберугроз.

#ParsedReport #CompletenessMedium
27-12-2025

UAC-0184 \| "Fallen Files Blackout" Fishing Operation

https://www.ctfiot.com/289066.html

Report completeness: Medium

Actors/Campaigns:
Uac-0184 (motivation: information_theft, cyber_espionage)

Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique

Victims:
Government, Military

Industry:
Military, Government

Geo:
Ukraine, Ukrainian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
File: 18
Url: 1
IP: 1

Soft:
Viber, Windows Defender, Telegram, WeChat

Algorithms:
zip, crc-32, xor

Win API:
NetBIOS

Win Services:
avastsvc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UAC-0184 проводит фишинг-атаки на Верховную Раду Украины, уделяя особое внимание учетным записям военнослужащих и спорам о выплате компенсаций пострадавшим. Их операции, характеризующиеся кражей разведывательных данных, нацеленных на военный и правительственный секторы, активизировались к 2025 году, используя тактику социальной инженерии, связанную с текущими политическими и военными проблемами. Хотя конкретные методы фишинга подробно не описаны, деятельность группы указывает на значительную угрозу конфиденциальности конфиденциальной информации.
-----

Группа UAC-0184 активно участвовала в атаках фишинга, нацеленных на Верховную Раду Украины, уделяя особое внимание деликатным вопросам, связанным с манипуляциями с учетными записями военнослужащих и спорами о компенсации потерь. Эта продолжающаяся кампания характеризуется высокой интенсивностью кражи разведывательных данных, нацеленных на украинский военный и правительственный секторы. По состоянию на 2025 год деятельность группы активизировалась, что указывает на постоянную угрозу целостности конфиденциальной информации в этих учреждениях.

Методы фишинга, используемые UAC-0184, не были подробно описаны в доступных данных, но акцент на деликатных темах позволяет предположить, что они могут использовать тактику социальной инженерии, адаптированную для использования текущих политических и военных проблем. Эта тактика согласуется с распространенными методами, используемыми в операциях фишинга, когда злоумышленники создают сообщения, которые перекликаются с опасениями цели, чтобы повысить вероятность взаимодействия.

Чтобы снизить риски, связанные с такими угрозами, рекомендуется, чтобы пострадавшие учреждения усилили свои меры по кибербезопасности. Это включает в себя повышение осведомленности о протоколах безопасности, внедрение надежных методов шифрования конфиденциальных данных и установление строгого контроля доступа к секретной информации. Эти шаги имеют решающее значение для предотвращения утечек информации, которые могут возникнуть в результате вредоносных действий, осуществляемых злоумышленниками, такими как UAC-0184. Такие упреждающие меры направлены на противодействие изощренному характеру продолжающихся угроз фишинга и защиту жизненно важной государственной информации.

#ParsedReport #CompletenessLow
26-12-2025

Bincrypter

https://rt-solar.ru/solar-4rays/blog/6303/

Report completeness: Low

Threats:
Bincrypter_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1588.006

IOCs:
File: 9

Soft:
Telegram, openssl

Algorithms:
sha256, aes-256-cbc, gzip, base64

Languages:
python, perl

YARA: Found

Links:
have more...
https://github.com/hackerschoice/bincrypter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bincrypter - это инструмент обфускации, используемый для сокрытия двоичных файлов при кибератаках, препятствующий обнаружению путем изменения структуры двоичного файла. Этот инструмент использует специальные скрипты для маскировки полезной нагрузки вредоносного ПО, что затрудняет выявление угроз традиционными мерами безопасности. Кроме того, был создан дополнительный инструмент под названием bindecrypter для автоматизации процесса деобфускации, помогающий аналитикам обратить вспять обфускацию Bincrypter и восстановить исходные двоичные файлы для лучшего анализа.
-----

Bincrypter - это инструмент обфускации, обычно используемый для сокрытия двоичных файлов, особенно в сценариях кибератак. Он часто встречается в различных образцах вредоносного ПО, где играет решающую роль в маскировке истинной природы полезной нагрузки. Основной принцип обфускации Bincrypter заключается в изменении структуры двоичного файла, что затрудняет обнаружение вредоносного содержимого традиционными механизмами безопасности.

В статье подчеркивается важность анализа методов обфускации, дающих представление о конкретных сценариях, используемых для процесса обфускации. Эти скрипты манипулируют двоичным файлом, чтобы скрыть его функциональность и назначение, избегая типичных методов обнаружения, используемых в области кибербезопасности. Разбираясь в этих методах, аналитики могут лучше понять стратегии, применяемые злоумышленниками для распространения своего вредоносного ПО незамеченным.

Для расширения возможностей обнаружения в статью также включено правило Yara, специально разработанное для идентификации двоичных файлов, которые были запутаны с помощью Bincrypter. Правила Yara играют важную роль в автоматизации обнаружения вредоносного ПО, предоставляя основу для сопоставления шаблонов внутри файлов. Это способствует более эффективному выявлению угроз и реагированию групп безопасности, сталкивающихся с запутанными угрозами.

Более того, авторы разработали дополнительный инструмент под названием bindecrypter, направленный на автоматизацию процесса деобфускации. Этот инструмент помогает аналитикам устранить обфускацию, применяемую Bincrypter, тем самым восстанавливая исходный двоичный файл в его понятной форме. Интеграция таких автоматизированных решений имеет решающее значение в борьбе с вызовами, создаваемыми сложными методами запутывания в условиях киберугроз.

#ParsedReport #CompletenessHigh
22-12-2025

GeoServer is being attacked by various coin miners.

https://asec.ahnlab.com/ko/91678/

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Netcat_tool
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Xmrig_miner
Nssm_tool
Anydesk_tool

Victims:
Geoserver installations

Geo:
Taiwan

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2, 30.0, 31.0)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1105, T1190, T1204.002

IOCs:
File: 14
Command: 2
Domain: 17
IP: 7
Coin: 4
Hash: 5
Url: 5

Soft:
GeoServer, GeoServers, Linux, systemd, Windows Defender, WebLogic

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GeoServer, эксплуатируемый с помощью уязвимости CVE-2024-36401, сталкивается с атаками, позволяющими Удаленное Выполнение Кода, при этом злоумышленники устанавливают вредоносное ПО, в первую очередь майнеры монет, на скомпрометированные системы. Были идентифицированы три различных типа злоумышленников: один использует PowerShell и Bash для команд, другой использует certutil для удаления майнеров XMRig, а третий устанавливает AnyDesk вместе с coin miner, возможно, для дальнейшей полезной нагрузки. Атаки оказывают воздействие как на платформы Windows, так и на Linux, обеспечивая Несанкционированное использование ресурсов для майнинга Monero и возможность развертывания большего количества вредоносного ПО или извлечения конфиденциальных данных.
-----

GeoServer, сервер геоинформационной системы (ГИС) с открытым исходным кодом, написанный на Java, подвергался постоянным атакам из-за недавно обнаруженной уязвимости (CVE-2024-36401), которая позволяет Удаленное Выполнение Кода неавторизованными пользователями. Злоумышленники эксплуатируют уязвимость в установке различного рода вредоносное ПО, в первую очередь добытчики монет, в пораженных систем.

Были выявлены три различных типа злоумышленников, использующих эту уязвимость. Первый тип использует тот же адрес кошелька, что и в предыдущих инцидентах, и выполняет команды PowerShell, а также использует "bash.exe " для запуска сценариев Bash. Второй тип использует команду certutil для установки дроппера в формате RAR SFX, который содержит вредоносное ПО XMRig, используемое для криптомайнинга, и информацию о конфигурации. Третий тип злоумышленников примечателен тем, что устанавливает AnyDesk в дополнение к майнеру монет, используя специальный загрузчик для получения дополнительной полезной нагрузки; однако специфика этого загружаемого контента остается неизвестной.

Эти атаки происходят в средах, в которых запущены уязвимые экземпляры GeoServer, которые включают в себя как платформы Windows, так и Linux. Установленные майнеры монет захватывают системные ресурсы для майнинга криптовалюты Monero от имени злоумышленников. Помимо непосредственного воздействия эксплуатации ресурсов для майнинга, злоумышленники могут использовать скомпрометированные системы для развертывания дополнительного вредоносного ПО, извлечения конфиденциальных данных или выполнения дальнейших вредоносных действий с помощью таких инструментов, как NetCat. Постоянный характер этих атак подчеркивает острую необходимость своевременного исправления и принятия мер по устранению известных уязвимостей в широко используемом программном обеспечении.

#ParsedReport #CompletenessLow
23-12-2025

Recap of a Suspicious Surge in Cobalt Strike

https://censys.com/blog/recap-of-a-suspicious-surge-in-cobalt-strike

Report completeness: Low

Threats:
Cobalt_strike_tool

Geo:
Malaysia, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1583, T1588.002

IOCs:
IP: 7

Algorithms:
deflate, gzip, exhibit

Languages:
javascript

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4