#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Скомпрометированная версия расширения Trust Wallet для Chrome, выпущенная 24 декабря 2025 года, привела к краже криптовалюты на сумму более 7 миллионов долларов из-за атаки по Цепочке поставок, в результате которой был внедрен вредоносный код. Атака использовала широкие привилегии расширения для манипулирования транзакциями, что привело к значительным потерям пользователей и спровоцировало кампанию фишинга, нацеленную на пострадавших пользователей. Этот инцидент выявил критические уязвимости в расширениях браузера и риски, связанные с обновлениями программного обеспечения.
-----

Значительный киберинцидент, связанный со взломанным браузерным расширением, привел к краже криптовалюты на сумму 7 миллионов долларов у пользователей Trust Wallet. Инцидент начался 24 декабря 2025 года, когда было незаметно выпущено вредоносное обновление версии 2.68.0 расширения Trust Wallet для Chrome. Trust Wallet - это широко используемый кошелек, который позволяет пользователям взаимодействовать с децентрализованными приложениями (dApps) и управлять цифровыми активами. Вскоре после обновления пользователи сообщили о потере средств во время обычных транзакций, и оценки потерь быстро превысили 2 миллиона долларов.

Судебно-медицинские исследования показали, что атака была Компрометацией цепочки поставок, в результате которой злоумышленники проникли в конвейер обновлений Trust Wallet, чтобы внедрить вредоносный код в официальный пакет расширений. Это изощренное проникновение позволило злоумышленникам манипулировать транзакциями и красть пользовательские активы. В качестве стратегического шага, когда среди пользователей Социальных сетей распространилась паника, злоумышленники инициировали кампанию фишинга, чтобы воспользоваться ситуацией. Они создали мошеннические учетные записи, перенаправляющие пользователей на поддельный веб-сайт с целью дальнейшего обмана жертв в условиях неразберихи.

Инцидент выявил критическую уязвимость в модели расширений браузера, подчеркивая обширные привилегии, которыми обладают эти расширения при взаимодействии с веб-страницами и блокчейн-сетями. Это по сути предоставляет злоумышленникам доступ к обширному интерфейсу для эксплуатации. Скомпрометированное расширение служит в качестве троянского коня, способного наблюдать за действиями пользователя и извлекать конфиденциальную информацию. В то время как Trust Wallet пообещал возместить украденные средства и заверил пользователей в сохранности их активов, это событие вызывает опасения по поводу надежности и безопасности браузерных кошельков и более широких последствий уязвимостей в Цепочке поставок обновлений программного обеспечения.

#ParsedReport #CompletenessHigh
26-12-2025

SideWinder APT's Latest "Stealth" Attack Chain Analysis

https://www.ctfiot.com/288986.html

Report completeness: High

Actors/Campaigns:
Sidewinder

Threats:
Dll_sideloading_technique
Lolbin_technique
Procmon_tool

Victims:
Income taxpayers, Government, Military, Taxation, Service industry, Retail industry, Telecom industry, Healthcare industry

Industry:
Retail, Healthcare, Telco, Military, Government

Geo:
Asia-pacific, Indian, Asian, Chinese, India

TTPs:
Tactics: 2
Technics: 9

IOCs:
File: 5
Domain: 23
Url: 6
IP: 3
Hash: 4

Soft:
Microsoft Defender, Windows Defender, WeChat

Algorithms:
aes-128

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В SideWinder apt-группировка, против индейских доход налогоплательщиков, применяет сложные приемы "стелс", в том числе фишинг-писем, представляясь уведомления о возврате налога на имплантат бэкдоры. Их многоступенчатой атаки используются DLL Side-loading использовать законные Майкрософт защитник бинарный за неуплату, перенаправление пользователей на поддельные доход Налоговое управление сайтов при использовании гео-ограждения и облачные сервисы для маскировки деятельности. Индикаторы компромисса определены включают в себя вредоносные домены, редко дву, фишинг одной инициирование взаимодействия с их инфраструктуры и серверов С2 связан с AliCloud.
-----

Недавно было замечено, что APT-группировка SideWinder, также известная как Rattlesnake или T-APT-04, развернула цепочку скрытых атак, специально нацеленных на индийских налогоплательщиков. Эта кампания представляет собой продолжение их нацеленность на высокое значение цели в правительства стран Южной Азии и различных отраслях промышленности, в том числе военной, службе, розничной торговли, телекоммуникаций и здравоохранения. Злоумышленники использовали фишинг электронной почты маскировка как "проверка, возврат налога", чтобы внедрить бэкдор в системах своих жертв. В частности, они успешно обойти механизмы обнаружения, как правило, заняты на конечную точку обнаружения и реагирования на них, используя сложный многоэтапный подход, сочетающий в себе спящий режим и гео-ограждения методы.

Атака использовала тактику DLL side-loading для использования законных двоичных файлов Microsoft Defender, что способствовало обходу системы безопасности конечных точек. Кроме того, злоумышленники использовали метод уклонения от обнаружения, основанный на репутации, направляя свою деятельность через законные общедоступные облачные сервисы хранения данных и платформы для сокращения URL-адресов. Кампании по фишингу включали переадресацию на мошеннические веб-сайты, призванные выдавать себя за Департамент подоходного налога Индии, демонстрируя нацеленный метод манипулирования пользователями.

Методология включала технические моменты, представляющие интерес, такие как конкретные TTP, связанные с идентификаторами MITRE ATT&CK, включая T1566.002 (Фишинг - Вредоносная ссылка) и T1204.001 (Вредоносный файл). Злоумышленники направляли пользователей на скомпрометированный домен gfmqvip.vip, который служил мошенническим порталом по налогу на прибыль.

Индикаторы компрометации (IOCs), выявленные в ходе расследования, показывают ряд вредоносных доменов, URL-адресов и связанных с ними хэшей, указывающих на инструменты и методы, используемые SideWinder. Вредоносные домены содержат необычные домены верхнего уровня (TLD) и включают ksdfuefagfrukayhfka.eu.cc , zibenbang.vip и несколько экземпляров googlevip.icu среди прочих. Ссылки на фишинг, такие как surl.li/wijrvg и surl.li/oskzir , служили точками призыва к действию, инициирующими взаимодействие с вредоносной инфраструктурой. Загрузчик первоначального доступа был упакован как "Inspection.zip ," на котором размещались критические полезные файлы, необходимые для выполнения атаки, наряду с различными другими файлами, включая захваченные библиотеки DLL и загрузчик шелл-кода.

Инфраструктура командования и контроля (C2) указала на использование IP-адресов, привязанных к AliCloud, с конкретными ссылками как на промежуточный, так и на конечный серверы C2. Хэши, связанные с загруженными файлами и полезной нагрузкой, предоставляют важные отпечатки пальцев для идентификации и смягчения угрозы, исходящей от этих вредоносных действий. В целом, анализ подчеркивает изощренную тактику, применяемую SideWinder APT для достижения своих целей, сохраняя при этом малозаметность в постоянно меняющемся ландшафте киберугроз.

#ParsedReport #CompletenessMedium
27-12-2025

UAC-0184 \| "Fallen Files Blackout" Fishing Operation

https://www.ctfiot.com/289066.html

Report completeness: Medium

Actors/Campaigns:
Uac-0184 (motivation: information_theft, cyber_espionage)

Threats:
Dll_sideloading_technique
Remcos_rat
Hijackloader
Rshell
Process_injection_technique

Victims:
Government, Military

Industry:
Military, Government

Geo:
Ukraine, Ukrainian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
File: 18
Url: 1
IP: 1

Soft:
Viber, Windows Defender, Telegram, WeChat

Algorithms:
zip, crc-32, xor

Win API:
NetBIOS

Win Services:
avastsvc

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UAC-0184 проводит фишинг-атаки на Верховную Раду Украины, уделяя особое внимание учетным записям военнослужащих и спорам о выплате компенсаций пострадавшим. Их операции, характеризующиеся кражей разведывательных данных, нацеленных на военный и правительственный секторы, активизировались к 2025 году, используя тактику социальной инженерии, связанную с текущими политическими и военными проблемами. Хотя конкретные методы фишинга подробно не описаны, деятельность группы указывает на значительную угрозу конфиденциальности конфиденциальной информации.
-----

Группа UAC-0184 активно участвовала в атаках фишинга, нацеленных на Верховную Раду Украины, уделяя особое внимание деликатным вопросам, связанным с манипуляциями с учетными записями военнослужащих и спорами о компенсации потерь. Эта продолжающаяся кампания характеризуется высокой интенсивностью кражи разведывательных данных, нацеленных на украинский военный и правительственный секторы. По состоянию на 2025 год деятельность группы активизировалась, что указывает на постоянную угрозу целостности конфиденциальной информации в этих учреждениях.

Методы фишинга, используемые UAC-0184, не были подробно описаны в доступных данных, но акцент на деликатных темах позволяет предположить, что они могут использовать тактику социальной инженерии, адаптированную для использования текущих политических и военных проблем. Эта тактика согласуется с распространенными методами, используемыми в операциях фишинга, когда злоумышленники создают сообщения, которые перекликаются с опасениями цели, чтобы повысить вероятность взаимодействия.

Чтобы снизить риски, связанные с такими угрозами, рекомендуется, чтобы пострадавшие учреждения усилили свои меры по кибербезопасности. Это включает в себя повышение осведомленности о протоколах безопасности, внедрение надежных методов шифрования конфиденциальных данных и установление строгого контроля доступа к секретной информации. Эти шаги имеют решающее значение для предотвращения утечек информации, которые могут возникнуть в результате вредоносных действий, осуществляемых злоумышленниками, такими как UAC-0184. Такие упреждающие меры направлены на противодействие изощренному характеру продолжающихся угроз фишинга и защиту жизненно важной государственной информации.

#ParsedReport #CompletenessLow
26-12-2025

Bincrypter

https://rt-solar.ru/solar-4rays/blog/6303/

Report completeness: Low

Threats:
Bincrypter_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1588.006

IOCs:
File: 9

Soft:
Telegram, openssl

Algorithms:
sha256, aes-256-cbc, gzip, base64

Languages:
python, perl

YARA: Found

Links:
have more...
https://github.com/hackerschoice/bincrypter

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bincrypter - это инструмент обфускации, используемый для сокрытия двоичных файлов при кибератаках, препятствующий обнаружению путем изменения структуры двоичного файла. Этот инструмент использует специальные скрипты для маскировки полезной нагрузки вредоносного ПО, что затрудняет выявление угроз традиционными мерами безопасности. Кроме того, был создан дополнительный инструмент под названием bindecrypter для автоматизации процесса деобфускации, помогающий аналитикам обратить вспять обфускацию Bincrypter и восстановить исходные двоичные файлы для лучшего анализа.
-----

Bincrypter - это инструмент обфускации, обычно используемый для сокрытия двоичных файлов, особенно в сценариях кибератак. Он часто встречается в различных образцах вредоносного ПО, где играет решающую роль в маскировке истинной природы полезной нагрузки. Основной принцип обфускации Bincrypter заключается в изменении структуры двоичного файла, что затрудняет обнаружение вредоносного содержимого традиционными механизмами безопасности.

В статье подчеркивается важность анализа методов обфускации, дающих представление о конкретных сценариях, используемых для процесса обфускации. Эти скрипты манипулируют двоичным файлом, чтобы скрыть его функциональность и назначение, избегая типичных методов обнаружения, используемых в области кибербезопасности. Разбираясь в этих методах, аналитики могут лучше понять стратегии, применяемые злоумышленниками для распространения своего вредоносного ПО незамеченным.

Для расширения возможностей обнаружения в статью также включено правило Yara, специально разработанное для идентификации двоичных файлов, которые были запутаны с помощью Bincrypter. Правила Yara играют важную роль в автоматизации обнаружения вредоносного ПО, предоставляя основу для сопоставления шаблонов внутри файлов. Это способствует более эффективному выявлению угроз и реагированию групп безопасности, сталкивающихся с запутанными угрозами.

Более того, авторы разработали дополнительный инструмент под названием bindecrypter, направленный на автоматизацию процесса деобфускации. Этот инструмент помогает аналитикам устранить обфускацию, применяемую Bincrypter, тем самым восстанавливая исходный двоичный файл в его понятной форме. Интеграция таких автоматизированных решений имеет решающее значение в борьбе с вызовами, создаваемыми сложными методами запутывания в условиях киберугроз.

#ParsedReport #CompletenessHigh
22-12-2025

GeoServer is being attacked by various coin miners.

https://asec.ahnlab.com/ko/91678/

Report completeness: High

Actors/Campaigns:
Earth_baxia

Threats:
Netcat_tool
Spear-phishing_technique
Goreverse
Sidewalk
Mirai
Condi
Coinminer
Xmrig_miner
Nssm_tool
Anydesk_tool

Victims:
Geoserver installations

Geo:
Taiwan

CVEs:
CVE-2024-36401 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- geoserver (<2.22.6, <2.23.6, <2.24.4, <2.25.2)
- geotools (<29.6, <30.4, <31.2, 30.0, 31.0)


ChatGPT TTPs:
do not use without manual check
T1059.001, T1105, T1190, T1204.002

IOCs:
File: 14
Command: 2
Domain: 17
IP: 7
Coin: 4
Hash: 5
Url: 5

Soft:
GeoServer, GeoServers, Linux, systemd, Windows Defender, WebLogic

Crypto:
monero

Algorithms:
base64, md5

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GeoServer, эксплуатируемый с помощью уязвимости CVE-2024-36401, сталкивается с атаками, позволяющими Удаленное Выполнение Кода, при этом злоумышленники устанавливают вредоносное ПО, в первую очередь майнеры монет, на скомпрометированные системы. Были идентифицированы три различных типа злоумышленников: один использует PowerShell и Bash для команд, другой использует certutil для удаления майнеров XMRig, а третий устанавливает AnyDesk вместе с coin miner, возможно, для дальнейшей полезной нагрузки. Атаки оказывают воздействие как на платформы Windows, так и на Linux, обеспечивая Несанкционированное использование ресурсов для майнинга Monero и возможность развертывания большего количества вредоносного ПО или извлечения конфиденциальных данных.
-----

GeoServer, сервер геоинформационной системы (ГИС) с открытым исходным кодом, написанный на Java, подвергался постоянным атакам из-за недавно обнаруженной уязвимости (CVE-2024-36401), которая позволяет Удаленное Выполнение Кода неавторизованными пользователями. Злоумышленники эксплуатируют уязвимость в установке различного рода вредоносное ПО, в первую очередь добытчики монет, в пораженных систем.

Были выявлены три различных типа злоумышленников, использующих эту уязвимость. Первый тип использует тот же адрес кошелька, что и в предыдущих инцидентах, и выполняет команды PowerShell, а также использует "bash.exe " для запуска сценариев Bash. Второй тип использует команду certutil для установки дроппера в формате RAR SFX, который содержит вредоносное ПО XMRig, используемое для криптомайнинга, и информацию о конфигурации. Третий тип злоумышленников примечателен тем, что устанавливает AnyDesk в дополнение к майнеру монет, используя специальный загрузчик для получения дополнительной полезной нагрузки; однако специфика этого загружаемого контента остается неизвестной.

Эти атаки происходят в средах, в которых запущены уязвимые экземпляры GeoServer, которые включают в себя как платформы Windows, так и Linux. Установленные майнеры монет захватывают системные ресурсы для майнинга криптовалюты Monero от имени злоумышленников. Помимо непосредственного воздействия эксплуатации ресурсов для майнинга, злоумышленники могут использовать скомпрометированные системы для развертывания дополнительного вредоносного ПО, извлечения конфиденциальных данных или выполнения дальнейших вредоносных действий с помощью таких инструментов, как NetCat. Постоянный характер этих атак подчеркивает острую необходимость своевременного исправления и принятия мер по устранению известных уязвимостей в широко используемом программном обеспечении.

#ParsedReport #CompletenessLow
23-12-2025

Recap of a Suspicious Surge in Cobalt Strike

https://censys.com/blog/recap-of-a-suspicious-surge-in-cobalt-strike

Report completeness: Low

Threats:
Cobalt_strike_tool

Geo:
Malaysia, American

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1090, T1583, T1588.002

IOCs:
IP: 7

Algorithms:
deflate, gzip, exhibit

Languages:
javascript

Platforms:
x64, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В период с начала декабря 2025 года по 18 декабря наблюдался значительный рост числа слушателей Cobalt Strike, особенно из автономных систем AS138415 (YANCY) и AS133199 (SonderCloud LTD). Это увеличение свидетельствует об эскалации вредоносной активности, когда злоумышленники могут создавать каналы связи для развертывания вредоносного ПО и управления системой. Распространенность этих прослушивателей может указывать на новые или продолжающиеся кампании атак, подчеркивая необходимость дальнейшего расследования сетей, привязанных к этим автономным системам.
-----

В период с начала декабря 2025 года по 18 декабря произошло заметное увеличение развертывания прослушивателей Cobalt Strike, которые обычно используются для командования и контроля в кибероперациях. Censys сообщила, что этот всплеск был вызван двумя конкретными автономными системами, идентифицированными как AS138415 (YANCY) и AS133199 (SonderCloud LTD).

Cobalt Strike - это инструмент тестирования на проникновение, который завоевал популярность среди злоумышленников благодаря своей способности имитировать продвинутые атаки и помогать в действиях после эксплуатации. Увеличение числа прослушивателей предполагает потенциальную эскалацию вредоносной активности с использованием этого инструмента, что, в частности, указывает на организованные усилия по созданию каналов связи для развертывания вредоносного ПО или управления скомпрометированными системами.

Наблюдение за слушателями в этих двух автономных системах указывает на географические или инфраструктурные закономерности в активности киберугроз, которые могут дать представление о тактике, используемой связанными с ними злоумышленниками. В сфере кибербезопасности повышенная активность слушателей обычно коррелирует либо с новыми кампаниями атак, либо с ответными мерами за существующие. Идентификация AS138415 и AS133199 в качестве источников всплеска может привести к дальнейшим расследованиям связанных с ними сетей и любых возможных связей с известными хакерскими группировками.

Эта появляющаяся тенденция прослушивания Cobalt Strike требует тщательного мониторинга, чтобы определить намерения, стоящие за развертыванием, и оценить любые последующие воздействия на организации и их оборонительные позиции. Команды по кибербезопасности должны сохранять бдительность в отношении этого показателя компрометации и принимать необходимые защитные меры для снижения рисков, связанных с этими типами угроз.

#ParsedReport #CompletenessHigh
19-12-2025

BRICKSTORM Backdoor

https://www.cisa.gov/sites/default/files/2025-12/AR25-338A_Malware_Analysis_Report_Brickstorm_Backdoor.pdf

Report completeness: High

Actors/Campaigns:
Quietcrabs
Warp_panda
0ktapus

Threats:
Brickstorm
Yamux_tool
Credential_dumping_technique

Victims:
Government, Critical infrastructure, Technology sector, Legal sector

Industry:
Critical_infrastructure, Government

Geo:
Canadian, China

TTPs:
Tactics: 8
Technics: 13

IOCs:
File: 9
Hash: 29

Soft:
sudo, ESXI, Active Directory Federation Services, ADFS, Active Directory, PowerCLI, Linux, Nessus, Ivanti

Algorithms:
sha256, xor, md5, sha1, sha512

Functions:
Set-ExecutionPolicy, Get-Module

Win API:
pie

Languages:
rust, powershell, java, javascript, golang

YARA: Found
SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
BRICKSTORM - это бэкдор - вредоносное ПО, используемое китайскими государственными акторами, предназначенное для долгосрочного доступа и скрытых операций в системах-жертвах. Он использует веб-серверы в демилитаризованной зоне, используя Веб-шелл для первоначального доступа, и повышает привилегии с помощью команды sudo. BRICKSTORM подключается к своему серверу управления с помощью зашифрованных сообщений, выполняет различные процедуры закрепления и самоконтроля и демонстрирует различное поведение в образцах, включая методы связи C2 и эксфильтрации данных.
-----

BRICKSTORM - это бэкдор - вредоносное ПО, идентифицированное как используемое спонсируемыми государством кибер-акторами из Китайской Народной Республики (КНР) для получения долгосрочного доступа к системам жертв. Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и его партнерские организации предоставили подробную информацию об этом вредоносном ПО, основанную на анализе множества образцов. Вредоносное ПО классифицируется как бэкдор пользовательского исполняемого файла и связываемого формата (ELF), созданный преимущественно с помощью Go, с включенными обновлениями для дополнительных образцов к концу декабря 2025 года.

Вектор первоначального доступа для BRICKSTORM включал использование веб—сервера в демилитаризованной зоне (DMZ) жертвы, где злоумышленники использовали Веб-шелл, что указывает на метод T1505.003, для проникновения в организацию. После этого они повысили свои привилегии с помощью команды sudo (T1548.003) и установили закрепление, поместив вредоносное ПО в системный каталог /etc/sysconfig/, настроив файл инициализации таким образом, чтобы гарантировать выполнение вредоносного ПО при загрузке системы.

Функциональность BRICKSTORM's специально разработана для скрытных операций, предлагая возможности для настройки среды и поддержания надежного соединения командования и контроля (C2). После выполнения он запускает несколько проверок функциональности, позволяя ему переустановить и перезапустить себя, если он обнаружит неправильную работу. Вредоносное ПО использует встроенные процедуры самоконтроля, называемые main_startNew и main_selfWatcher в различных образцах, чтобы гарантировать постоянное закрепление.

После активации вредоносное ПО устанавливает безопасное соединение со своим сервером C2, используя зашифрованные сообщения для обеспечения полного контроля над зараженными системами. Это соединение использует различные методы выполнения команд, такие как генерация DNS-запросов для связи с доменами C2 через DNS-over-HTTPS (DoH) и использование SOCKS-прокси для перемещения внутри компании и туннелирования данных.

Конкретное поведение варьируется в зависимости от образцов. Например, более ранние образцы создают зашифрованный DNS-запрос для своих доменов C2, в то время как более поздние образцы используют другие методы, такие как извлечение конфигурации из переменных среды или использование конфигураций TLS. Примечательно, что некоторые образцы демонстрируют поддержку виртуализированных сред через интерфейсы VSOCK для поддержания связи и облегчения эксфильтрации.

Аналитические отчеты включают конкретные индикаторы компрометации (IOCs) и правила обнаружения, включая сигнатуры YARA и Sigma, разработанные CISA, позволяющие организациям идентифицировать активность BRICKSTORM. Всем организациям рекомендуется активно применять эти механизмы обнаружения и сообщать о любых случаях использования этого вредоносного ПО соответствующим органам для дальнейшего расследования.

#llm #technique

ObliInjection: Order-Oblivious Prompt Injection Attack to LLM Agents with Multi-source Data

https://arxiv.org/html/2512.09321v2