#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки против российских компаний использовали уязвимость CVE-2025-55182 во фреймворке React, что способствовало развертыванию майнера криптовалют XMRig и других вредоносных программ, таких как бэкдоры и ботнет. Злоумышленники выполняли команды на скомпрометированных хостах, проводя разведку с помощью команд в кодировке Base64 и используя такие инструменты, как Cobalt Strike, адаптированные для UNIX-систем. Кроме того, были развернуты средства удаленного администрирования EtherRAT и Tactical RMM, что указывает на устойчивый ландшафт угроз, использующий множество эксплуатируемых уязвимостей для различных вредоносных действий.
-----

Недавние кибератаки против российских компаний использовали уязвимость CVE-2025-55182, в первую очередь нацеленную на фреймворк React для облегчения различных вредоносных действий. Эти атаки в основном были связаны с развертыванием криптовалютного майнера XMRig среди других вредоносных программ, включая бэкдоры и ботнет.

В конкретных случаях атаки злоумышленники получали контроль над скомпрометированными хостами, работающими в контейнерных средах. Они выполнили несколько команд, воспользовавшись уязвимостью React2Shell. Например, действия по разведке включали выполнение команд, закодированных в Base64, для сбора информации о скомпрометированных системах, демонстрирующих намерение злоумышленников расширить свой контроль и собрать разведданные перед развертыванием дальнейших операций.

Расследования также выявили распространение различных виртуальных частных операторов (ВПО), не ограничивающееся российским регионом, что указывает на более широкий масштаб эксплуатации, связанный с уязвимостью React2Shell. Среди вредоносных инструментов, выявленных в ходе этих действий, были отмечены полезные программы Cobalt Strike, специально разработанные для UNIX-систем, использующих фреймворк CrossC2. Эти полезные нагрузки характеризовались их упаковкой с использованием UPX, с конфигурациями, встроенными в сами исполняемые файлы.

Дальнейший анализ выявил наличие инструмента удаленного администрирования Tactical RMM, который злоумышленники загрузили во время эксплуатации React2Shell. Доступ к инструменту был осуществлен по определенному URL-адресу, предназначенному для установки, с указанием четкого способа доставки вредоносного программного обеспечения. Кроме того, исполняемый файл VShell, который действует как загрузчик бэкдора, подключается к заранее определенному серверу для отправки и получения данных, что усиливает закрепление злоумышленниками контроля над зараженными системами.

Более того, также было обнаружено, что EtherRAT распространяется посредством использования уязвимости React2Shell в упомянутых атаках. Этот RAT ранее был проанализирован экспертами по кибербезопасности, что указывает на его растущее использование киберпреступниками.

Наконец, было явно отмечено использование злоумышленниками майнера XMRig, когда они выполнили команду для завершения всех процессов, за исключением самого майнера, и инициировали ее выполнение с определенными параметрами для подключения к назначенному серверу, что укрепило усилия злоумышленников по получению дохода за счет майнинга криптовалюты. Общие выводы подчеркивают наличие значительного ландшафта угроз, использующих выявленные уязвимости для организации целого ряда киберпреступных действий.

#ParsedReport #CompletenessLow
26-12-2025

Unpacking SantaStealer A Stealer Rebranded from BlueLine Stealer

https://medium.com/@maurice.fielenbach/unpacking-santa-stealer-a-stealer-rebranded-from-blueline-stealer-e74f429ce11d

Report completeness: Low

Threats:
Bluelinestealer
Santastealer
Credential_harvesting_technique
Elevator
Process_hollowing_technique

Victims:
Browser users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1055.012, T1056.004, T1106, T1555.003, T1620

IOCs:
Hash: 2
File: 1

Soft:
Telegram, Chrome

Algorithms:
sha256, chacha20

Functions:
DllMain, ChromeElevator

Win API:
GetModuleHandleA, GetProcAddress, VirtualAlloc, VirtualFree, LoadLibraryA, VirtualProtect, FindResourceW, LoadResource, LockResource, SizeofResource, have more...

Languages:
python

Links:
https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SantaStealer, а вредоносное ПО происходит от Blueline Stealer, функционирует как PE32 DLL, которые собирает учетные данные учетные данные с помощью приемов отражения нагрузки. Его работа сосредотачивается вокруг функцию RunTest, отвечающая за распаковку и выполнение зашифрованной полезной нагрузки, в то время как его динамическое разрешение API обеспечивает совместимость как с 32-разрядными и 64-разрядных систем. Самое вредоносное ПО особенности модуля с именем ChromElevator, который использует внедрение в пустой процесс, чтобы захватить учетные данные из хромо-браузерах на основе использования в процессе расшифровки связанных с методами шифрования ChaCha20.
-----

SantaStealer, вариант вредоносного ПО, эволюционировавший от BlueLine Stealer, был проанализирован на предмет его функциональности и структуры, в частности, с акцентом на его способность собирать учетные данные браузера, используя методы отражающей загрузки. Вредоносное ПО было идентифицировано как библиотека DLL PE32 с определенным хэшем SHA256, предоставленным для идентификации (4086e6f0deee112dd23d8b8901dd862ef3c989c137f33efa843a1a4c830bafd6). Основной точкой входа вредоносного ПО является функция с именем runTest, которая отвечает за распаковку кода, поиск зашифрованной полезной нагрузки, ее расшифровку и выполнение своих вредоносных функций.

Важным аспектом работы SantaStealer's является его метод Динамического разрешения API, позволяющий ему взаимодействовать с различными компонентами, необходимыми для его функционирования. Загрузчик обращается к базовым перемещениям, которые включают в себя обработку различных типов перемещений, что указывает на дизайн, способный функционировать как на 32-разрядных, так и на 64-разрядных архитектурах. Такая адаптивность имеет решающее значение для обеспечения его скрытности во время выполнения.

Центральным элементом механизма кражи является использование полезной нагрузки, получившей название ChromElevator. Этот конкретный модуль предназначен для браузеров на базе Chromium и использует пользовательскую функцию разрешения экспорта для доступа к необходимым функциям, таким как инициализация, обработка данных браузера и очистка. Извлечение пар ключ/одноразовый номер непосредственно из PE-файла подчеркивает упрощение процесса расшифровки, позволяя напрямую взаимодействовать с зашифрованной полезной нагрузкой вредоносного ПО.

Для расшифровки используются такие инструменты, как Python или CyberChef, которые применяют последовательность из трех операций шифрования ChaCha20 для доступа к полезной нагрузке. После успешного расшифровывания результирующий модуль ChromElevator основан на проекте с открытым исходным кодом, который выполняет Внедрение в пустой процесс - ввод кода непосредственно в процесс целевого браузера для получения учетных данных.

#ParsedReport #CompletenessMedium
28-12-2025

DriverFixer0428 macOS Credential Stealer

https://www.lunchm0n3y.com/blogs-1/driverfixer0428-macos-credential-stealer

Report completeness: Medium

Actors/Campaigns:
Contagious_interview

Threats:
Driverfixer0428
Flexibleferret
Frostyferret
Credential_harvesting_technique

Victims:
Macos users

Geo:
North korea, Dprk

TTPs:
Tactics: 4
Technics: 5

IOCs:
File: 4
Hash: 1

Soft:
macOS, chrome, Dropbox, Google Chrome

Algorithms:
sha256

Languages:
swift

Platforms:
arm, apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DriverFixer0428 - это вредоносное ПО, Credential-stealing, предназначенное для macOS и связанное с кампанией Contagious Interview в Северной Корее. Он использует методы социальной инженерии для имитации законных запросов macOS, извлекая собранные учетные данные через API Dropbox. Расширенные стратегии уклонения включают проверку API во время выполнения для сред виртуальных машин, предотвращая обнаружение во время анализа и поддерживая неактивное состояние, когда оно идентифицируется как виртуализированное.
-----

DriverFixer0428 - это изощренная Credential-stealing вредоносная ПО, предназначенная для macOS, связанная с кампанией Северной Кореи по Contagious Interview. Статический и динамический анализ показывают, что это вредоносное ПО маскируется под законную системную утилиту, используя обманчивые диалоги социальной инженерии, имитирующие подлинные приглашения macOS и запросы разрешений Google Chrome для сбора учетных данных пользователя. Извлеченные учетные данные фильтруются через API облачного хранилища Dropbox, демонстрируя плавную интеграцию с законными сервисами для облегчения кражи данных.

Вредоносное ПО демонстрирует передовые методы уклонения, в частности, благодаря умелому управлению обнаружением виртуальных машин (ВМ). Анализ, используя символы отладки обнаружил, что вместо того, чтобы полагаться на статическую строку сравнения, DriverFixer0428 выполняет проверки времени выполнения API, чтобы определить, является ли он работает в виртуальной среде. Этот подход включает в себя запрос к API системы, такие как `sysctlbyname и IOKit реестра запросов, а также через NSScreen векторы обнаружения для выяснения характеристик среды отображения. При этих обнаружений получится, вредоносное ПО воздерживается от выполнения его вредоносный функционал, и вместо этого переходит в неактивное состояние, эффективно избегая обнаружения при анализе.

С точки зрения внутренней структуры, вредоносное ПО включает в себя 153 функции, со значимыми символами, связанными с его функциями сбора учетных записей и загрузки в Dropbox. Разборка определенных символов указывает на построение HTTP-заголовков и токенов OAuth, необходимых для связи с Dropbox. Анализ памяти выявил подробные строки, относящиеся к тактике социальной инженерии, используемой для того, чтобы обманом заставить жертв предоставить свои учетные данные для macOS.

В отчете также подчеркивается сетевая инфраструктура вредоносного ПО, отмечая, что ее показатели точно совпадают с результатами предыдущих анализов, таких как результаты FlexibleFerret от SentinelOne. Отсутствие соответствующего образца хэша в общедоступных хранилищах информации об угрозах позволяет предположить, что этот вариант, возможно, ранее не был задокументирован.

#ParsedReport #CompletenessLow
28-12-2025

PSN Satellite Data Re-Listed, CryptoRipper Tool, and Chromium 0-Day Advertised

https://socradar.io/blog/psn-satellite-cryptoripper-chromium-data-breach/

Report completeness: Low

Threats:
Cryptoripper

Victims:
Pt pasifik satelit nusantara, Canadian individuals, Chromium based browser users, Cryptocurrency users

Geo:
Indonesia, Canadian, Canada, Indonesian

ChatGPT TTPs:
do not use without manual check
T1036, T1112, T1547.001, T1583

Soft:
Chromium, Google Chrome

Crypto:
bitcoin, ethereum, monero

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя активность на подпольных форумах выявила значительные киберугрозы, включая продажу 92-гигабайтного набора данных индонезийского спутникового оператора PT Pasifik Satelit Nusantara, содержащего конфиденциальные документы, связанные с Boeing и SpaceX, которые теперь предлагаются по сниженной цене. Кроме того, новое вредоносное ПО под названием "Crypto Ripper" предназначено для скрытого извлечения криптовалют и включает функции для обеспечения закрепления и защиты от завершения процесса. Кроме того, на аукцион также выставлен эксплойт zero-day, предназначенный для браузеров на базе Chromium, способный перенаправлять поисковые запросы пользователей на URL-адреса, определенные злоумышленником.
-----

Недавние наблюдения команды SOCRadar по Dark Web выявили несколько значительных подпольных действий, связанных с киберугрозами. Среди них - продажа значительного набора данных индонезийским спутниковым оператором PT Pasifik Satelit Nusantara (PSN). Сообщается, что набор данных, который занимает 92 ГБ, содержит конфиденциальные технические документы, связанные с известными сотрудниками, такими как Boeing и SpaceX. Похоже, что этот список является повторением предыдущего предложения, сделанного в мае 2025 года, с запрашиваемой ценой, заметно сниженной с 10 до 3 биткоинов, что указывает на потенциальную попытку злоумышленника привлечь покупателей, несмотря на то, что ранее предлагался тот же набор данных.

Кроме того, в поле зрения попал недавно выявленный инструмент для вредоносного ПО под названием "Crypto Ripper". Это вредоносное ПО разработано для скрытого извлечения криптовалют — в частности, Bitcoin, Ethereum и Monero — со взломанных устройств. Функциональность его конструктора позволяет вредоносным акторам без особых усилий создавать пользовательские исполняемые файлы. Кроме того, Crypto Ripper реализует стратегии закрепления, включая модификации системных реестров и создание ярлыков для запуска, и обладает функциями, которые помогают ему защищаться от попыток завершить свои процессы, демонстрируя изощренность вредоносного ПО.

Более того, команда Dark Web выявила аукцион, на котором предлагалось около 30 000 записей с информацией о канадских кредитных картах. Однако достоверность этих данных вызывает сомнения, поскольку сообщается всего о двух процентах случаев активации. Хотя в наборе данных могут отсутствовать функциональные финансовые инструменты, он содержит обширную личную информацию о физических лицах, что создает значительные проблемы с конфиденциальностью и безопасностью.

Наконец, был отмечен ценный список эксплойта zero-day, предназначенного для браузеров на базе Chromium. Этот эксплойт, предположительно способный повлиять на последние версии Google Chrome, продается как исполняемый файл для Windows и, как утверждается, обладает способностью перенаправлять все поисковые запросы пользователей на произвольные URL-адреса, установленные злоумышленником. Появление таких уязвимостей zero-day подчеркивает постоянные проблемы, с которыми сталкиваются веб-браузеры при защите от развивающихся киберугроз. В целом, эти события иллюстрируют постоянный и динамичный характер киберпреступности на подпольных форумах.

#ParsedReport #CompletenessLow
28-12-2025

NtKiller Malware Advertised on Dark Web With Claims of Antivirus and EDR Bypass

https://gbhackers.com/ntkiller-malware/

Report completeness: Low

Actors/Campaigns:
Alphaghoul (motivation: cyber_criminal)

Threats:
Ntkiller_tool
Byovd_technique
Uac_bypass_technique

ChatGPT TTPs:
do not use without manual check
T1562, T1587, T1588

Soft:
Twitter, WhatsApp, Windows security, Microsoft Defender

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО NtKiller, продвигаемое злоумышленником "AlphaGhoul" на форумах Dark Web, разработано для обхода защиты, утверждая, что оно обходит антивирусные решения и системы EDR для расширения возможностей проникновения. Его модульная структура ценообразования позволяет настраивать ее для различных сценариев атак, что указывает на сложный подход к распространению вредоносного ПО. Несмотря на непроверенные заявления об эффективности, появление NtKiller отражает текущие инновации в разработке вредоносного ПО, нацеленные на существующие меры безопасности.
-----

Вредоносное ПО NtKiller появилось на форумах Dark Web, где его продвигает злоумышленник, известный как "AlphaGhoul". Этот новый инструмент предназначен для обхода защиты и утверждает, что обходит антивирусные решения и системы обнаружения конечных точек и реагирования (EDR). Эти утверждения вызывают обеспокоенность у специалистов по кибербезопасности, поскольку такие возможности могут значительно повысить способность злоумышленника проникать в сети незамеченным.

Маркетинг NtKiller's демонстрирует модульную структуру ценообразования, которая позволяет потенциальным покупателям настраивать свои возможности в соответствии с их конкретными требованиями к атакам. Такой уровень настройки указывает на сложный подход к распространению вредоносного ПО, позволяющий использовать различные уровни вредоносной функциональности, адаптированные к потребностям различных злоумышленников.

Несмотря на то, что рекламируемые функции NtKiller вызывают беспокойство, важно отметить, что они остаются непроверенными независимыми экспертами по безопасности. На рынке киберпреступности часто встречаются преувеличенные заявления о стимулировании продаж, что вызывает вопросы о реальной эффективности вредоносного ПО. Тем не менее, само наличие такого инструмента в экосистеме Dark Web подчеркивает текущие инновации в разработке вредоносного ПО, направленные на обход существующих мер безопасности.

#ParsedReport #CompletenessLow
28-12-2025

DFIR Report: TamperedChef Malware via Malvertising and Trojanized Utility

https://medium.com/@suryaraj78425/dfir-report-tamperedchef-malware-via-malvertising-and-trojanized-utility-9edc92948e8c

Report completeness: Low

Threats:
Tamperedchef
Credential_harvesting_technique

Victims:
Users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1053.005, T1059.003, T1071.001, T1189

IOCs:
File: 4
Command: 1

Soft:
Node.js

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года вредоносное ПО TamperedChef, связанное с кампанией по Вредоносной рекламе, использовало троянскую утилиту для выполнения сложной операции по краже информации. Он уронил Node.js среда выполнения в каталоге, доступном для записи пользователем, выполнила вредоносный JavaScript через cmd.exe , и установил закрепление с помощью запланированной задачи, которая перезапускала исполняемый файл каждые 12 часов. TamperedChef взаимодействовал со своей инфраструктурой управления с помощью стандартных Веб-протоколов, в первую очередь стремясь отфильтровать конфиденциальные данные, оставаясь скрытым.
-----

В августе 2025 года вредоносное ПО, известное как TamperedChef, было обнаружено на конечной точке пользователя в результате Вредоносной рекламы, которая способствовала загрузке троянской утилиты AllManualsReader. Этот инцидент высветил активную атаку стиллера информации, в ходе которой вредоносное ПО продемонстрировало заметное поведение при выполнении, направленное на компрометацию конфиденциальных данных.

Расследование показало, что TamperedChef уронил упакованный Node.js среда выполнения в каталоге, доступном для записи пользователем. Он выполнил вредоносный JavaScript через командную строку, используя команду cmd.exe /мин. Чтобы обеспечить закрепление, вредоносное ПО создало запланированную задачу, которая была настроена на повторный запуск Node.js исполняемый каждые 12 часов, со случайной задержкой, чтобы скрыть его присутствие. Это позволило вредоносному ПО сохраняться во время перезагрузки системы, сохраняя при этом низкий профиль, чтобы избежать обнаружения.

Исходящие сообщения, инициируемые вредоносным ПО, осуществлялись по стандартным Веб-протоколам, в основном используя размещенную в облаке IP-инфраструктуру для своих операций управления (C2). Метод закрепления зависел исключительно от запланированной задачи, что усиливало способность вредоносного ПО оставаться работоспособным в течение длительного времени без немедленного обнаружения.

Инициатива была классифицирована как теневая (drive-by) компрометация и вытекает из вредоносная реклама вредоносной рекламы. Впоследствии, оценка намерений оператора, на основании наблюдаемого поведения и отсутствие последующей деятельности после инфекции, предположил, что основной целью tamperedchef TamperedChef, скорее всего, эксфильтрация конфиденциальных данных, а не непосредственных вредоносных действий. В целом анализ показал, что в условиях инфекции изначально не появляются откровенно злобных, предполагая, что базовый сложности в реализации Стратегии развития атаки.

#ParsedReport #CompletenessLow
28-12-2025

Mamont is on the hunt: Let's analyze the new version of Android Trojan.

https://www.f6.ru/blog/mamont-rat/

Report completeness: Low

Threats:
Mamont_spy
Nfcgate_tool

Victims:
Bank customers, Mobile users

Industry:
E-commerce, Transport, Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1404, T1412, T1434, T1476

IOCs:
File: 3
Hash: 9

Soft:
Android, Telegram, Google Play, Viber, WhatsApp

Algorithms:
sha256, sha1, md5

Functions:
getUpdates

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Android-троянец Mamont представляет значительную угрозу для клиентов российских банков, на его долю приходится 38,7% мобильных заражений к концу 2025 года. Он распространяется с помощью обманной тактики для получения важных разрешений, что позволяет ему устанавливать себя в качестве SMS-приложения по умолчанию и перехватывать сообщения. Mamont использует для связи инфраструктуру командования и контроля на основе Telegram, что повышает ее скрытность и усложняет усилия по обнаружению специалистами по безопасности.
-----

Троянец Android известный как Mamont стала существенной угрозой для российских клиентов банков, доминирующих мобильное вредоносное ПО пейзаж к концу 2025 года. По данным Министерства внутренних дел России, Mamont был ответственен за 38,7% мобильных заражений во второй половине 2025 года, позиционируя его как один из самых распространенных вредоносных ПО наряду с NFCGate, на долю которого приходилось 52,4%.

Mamont в основном распространяется с помощью обманной тактики, которая приводит к его установке на устройства жертв. Как только троян активируется, он немедленно запрашивает критические разрешения, в частности, для установки себя в качестве SMS-приложения по умолчанию. Это ключевой шаг для вредоносного ПО, поскольку он позволяет злоумышленнику перехватывать, отправлять SMS-сообщения на скомпрометированном устройстве и манипулировать ими, создавая возможности для дальнейшей эксплуатации и кражи данных.

Анализ mamont's, выявили сложные операции, включая контроль использования инфраструктуры телеграмму. Самое вредоносное ПО общается с официального Telegram-бота, с его помощью передавать и принимать команды, тем самым способствуя координации атакующего и оперативного управления. Опора на телеграмму командования и управления (С2) усиливает вредоносное ПО стелс и оперативной анонимность, что делает его сложным для профессионалов в области безопасности, чтобы отслеживать и эффективно смягчить его деятельности.

Таким образом, Mamont зарекомендовал себя как серьезная киберугроза в российском финансовом секторе, используя тактику социальной инженерии для распространения, используя разрешения SMS для Манипуляций с данными и используя Telegram для своей операционной инфраструктуры. Эти характеристики подчеркивают меняющийся ландшафт киберугроз, который продолжает бросать вызов традиционным средствам защиты от кибербезопасности.

#technique

Forensic Insights into an EDR Freeze Attack

https://detect.fyi/forensic-insights-into-an-edr-freeze-attack-e559b0e50a91?gi=4f693432e834

#ParsedReport #CompletenessLow
29-12-2025

ConsentFix: A New way to Phish for Tokens

https://newtonpaul.com/blog/consentfix-phishing-for-tokens/

Report completeness: Low

Threats:
Consentfix_technique
Clickfix_technique
Filefix_technique
Ngrok_tool

Victims:
Microsoft users, Cloud users

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1204, T1528, T1550.001, T1566, T1646

IOCs:
IP: 1