#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО NtKiller, продвигаемое злоумышленником "AlphaGhoul" на форумах Dark Web, разработано для обхода защиты, утверждая, что оно обходит антивирусные решения и системы EDR для расширения возможностей проникновения. Его модульная структура ценообразования позволяет настраивать ее для различных сценариев атак, что указывает на сложный подход к распространению вредоносного ПО. Несмотря на непроверенные заявления об эффективности, появление NtKiller отражает текущие инновации в разработке вредоносного ПО, нацеленные на существующие меры безопасности.
-----

Вредоносное ПО NtKiller появилось на форумах Dark Web, где его продвигает злоумышленник, известный как "AlphaGhoul". Этот новый инструмент предназначен для обхода защиты и утверждает, что обходит антивирусные решения и системы обнаружения конечных точек и реагирования (EDR). Эти утверждения вызывают обеспокоенность у специалистов по кибербезопасности, поскольку такие возможности могут значительно повысить способность злоумышленника проникать в сети незамеченным.

Маркетинг NtKiller's демонстрирует модульную структуру ценообразования, которая позволяет потенциальным покупателям настраивать свои возможности в соответствии с их конкретными требованиями к атакам. Такой уровень настройки указывает на сложный подход к распространению вредоносного ПО, позволяющий использовать различные уровни вредоносной функциональности, адаптированные к потребностям различных злоумышленников.

Несмотря на то, что рекламируемые функции NtKiller вызывают беспокойство, важно отметить, что они остаются непроверенными независимыми экспертами по безопасности. На рынке киберпреступности часто встречаются преувеличенные заявления о стимулировании продаж, что вызывает вопросы о реальной эффективности вредоносного ПО. Тем не менее, само наличие такого инструмента в экосистеме Dark Web подчеркивает текущие инновации в разработке вредоносного ПО, направленные на обход существующих мер безопасности.

#ParsedReport #CompletenessLow
28-12-2025

DFIR Report: TamperedChef Malware via Malvertising and Trojanized Utility

https://medium.com/@suryaraj78425/dfir-report-tamperedchef-malware-via-malvertising-and-trojanized-utility-9edc92948e8c

Report completeness: Low

Threats:
Tamperedchef
Credential_harvesting_technique

Victims:
Users

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053.005, T1053.005, T1059.003, T1071.001, T1189

IOCs:
File: 4
Command: 1

Soft:
Node.js

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года вредоносное ПО TamperedChef, связанное с кампанией по Вредоносной рекламе, использовало троянскую утилиту для выполнения сложной операции по краже информации. Он уронил Node.js среда выполнения в каталоге, доступном для записи пользователем, выполнила вредоносный JavaScript через cmd.exe , и установил закрепление с помощью запланированной задачи, которая перезапускала исполняемый файл каждые 12 часов. TamperedChef взаимодействовал со своей инфраструктурой управления с помощью стандартных Веб-протоколов, в первую очередь стремясь отфильтровать конфиденциальные данные, оставаясь скрытым.
-----

В августе 2025 года вредоносное ПО, известное как TamperedChef, было обнаружено на конечной точке пользователя в результате Вредоносной рекламы, которая способствовала загрузке троянской утилиты AllManualsReader. Этот инцидент высветил активную атаку стиллера информации, в ходе которой вредоносное ПО продемонстрировало заметное поведение при выполнении, направленное на компрометацию конфиденциальных данных.

Расследование показало, что TamperedChef уронил упакованный Node.js среда выполнения в каталоге, доступном для записи пользователем. Он выполнил вредоносный JavaScript через командную строку, используя команду cmd.exe /мин. Чтобы обеспечить закрепление, вредоносное ПО создало запланированную задачу, которая была настроена на повторный запуск Node.js исполняемый каждые 12 часов, со случайной задержкой, чтобы скрыть его присутствие. Это позволило вредоносному ПО сохраняться во время перезагрузки системы, сохраняя при этом низкий профиль, чтобы избежать обнаружения.

Исходящие сообщения, инициируемые вредоносным ПО, осуществлялись по стандартным Веб-протоколам, в основном используя размещенную в облаке IP-инфраструктуру для своих операций управления (C2). Метод закрепления зависел исключительно от запланированной задачи, что усиливало способность вредоносного ПО оставаться работоспособным в течение длительного времени без немедленного обнаружения.

Инициатива была классифицирована как теневая (drive-by) компрометация и вытекает из вредоносная реклама вредоносной рекламы. Впоследствии, оценка намерений оператора, на основании наблюдаемого поведения и отсутствие последующей деятельности после инфекции, предположил, что основной целью tamperedchef TamperedChef, скорее всего, эксфильтрация конфиденциальных данных, а не непосредственных вредоносных действий. В целом анализ показал, что в условиях инфекции изначально не появляются откровенно злобных, предполагая, что базовый сложности в реализации Стратегии развития атаки.

#ParsedReport #CompletenessLow
28-12-2025

Mamont is on the hunt: Let's analyze the new version of Android Trojan.

https://www.f6.ru/blog/mamont-rat/

Report completeness: Low

Threats:
Mamont_spy
Nfcgate_tool

Victims:
Bank customers, Mobile users

Industry:
E-commerce, Transport, Government, Financial

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1404, T1412, T1434, T1476

IOCs:
File: 3
Hash: 9

Soft:
Android, Telegram, Google Play, Viber, WhatsApp

Algorithms:
sha256, sha1, md5

Functions:
getUpdates

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Android-троянец Mamont представляет значительную угрозу для клиентов российских банков, на его долю приходится 38,7% мобильных заражений к концу 2025 года. Он распространяется с помощью обманной тактики для получения важных разрешений, что позволяет ему устанавливать себя в качестве SMS-приложения по умолчанию и перехватывать сообщения. Mamont использует для связи инфраструктуру командования и контроля на основе Telegram, что повышает ее скрытность и усложняет усилия по обнаружению специалистами по безопасности.
-----

Троянец Android известный как Mamont стала существенной угрозой для российских клиентов банков, доминирующих мобильное вредоносное ПО пейзаж к концу 2025 года. По данным Министерства внутренних дел России, Mamont был ответственен за 38,7% мобильных заражений во второй половине 2025 года, позиционируя его как один из самых распространенных вредоносных ПО наряду с NFCGate, на долю которого приходилось 52,4%.

Mamont в основном распространяется с помощью обманной тактики, которая приводит к его установке на устройства жертв. Как только троян активируется, он немедленно запрашивает критические разрешения, в частности, для установки себя в качестве SMS-приложения по умолчанию. Это ключевой шаг для вредоносного ПО, поскольку он позволяет злоумышленнику перехватывать, отправлять SMS-сообщения на скомпрометированном устройстве и манипулировать ими, создавая возможности для дальнейшей эксплуатации и кражи данных.

Анализ mamont's, выявили сложные операции, включая контроль использования инфраструктуры телеграмму. Самое вредоносное ПО общается с официального Telegram-бота, с его помощью передавать и принимать команды, тем самым способствуя координации атакующего и оперативного управления. Опора на телеграмму командования и управления (С2) усиливает вредоносное ПО стелс и оперативной анонимность, что делает его сложным для профессионалов в области безопасности, чтобы отслеживать и эффективно смягчить его деятельности.

Таким образом, Mamont зарекомендовал себя как серьезная киберугроза в российском финансовом секторе, используя тактику социальной инженерии для распространения, используя разрешения SMS для Манипуляций с данными и используя Telegram для своей операционной инфраструктуры. Эти характеристики подчеркивают меняющийся ландшафт киберугроз, который продолжает бросать вызов традиционным средствам защиты от кибербезопасности.

#technique

Forensic Insights into an EDR Freeze Attack

https://detect.fyi/forensic-insights-into-an-edr-freeze-attack-e559b0e50a91?gi=4f693432e834

#ParsedReport #CompletenessLow
29-12-2025

ConsentFix: A New way to Phish for Tokens

https://newtonpaul.com/blog/consentfix-phishing-for-tokens/

Report completeness: Low

Threats:
Consentfix_technique
Clickfix_technique
Filefix_technique
Ngrok_tool

Victims:
Microsoft users, Cloud users

Industry:
Telco

ChatGPT TTPs:
do not use without manual check
T1071.001, T1102, T1204, T1528, T1550.001, T1566, T1646

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга ConsentFix использует принудительное взаимодействие с пользователем для кражи токенов аутентификации OAuth, в частности первичных токенов обновления (PRT), направляя жертв на мошенническую страницу аутентификации Microsoft. Злоумышленник сначала заставляет пользователей вводить свой адрес электронной почты из заранее определенного списка адресатов, гарантируя, что будут введены в заблуждение только законные учетные записи. Усилия по обнаружению сосредоточены на мониторинге сетевого трафика на предмет необычных перенаправлений с локального хостинга, связанных с процессами Microsoft OAuth, поскольку они могут указывать на наличие активности фишинга.
-----

Кампания по фишингу, известная как ConsentFix, представляет собой новый подход к краже токенов аутентификации посредством принудительного взаимодействия с пользователем. Вдохновленный ранее документированными методами, такими как ClickFix и FileFix, ConsentFix специально нацелен на токены OAuth, которые необходимы для аутентификации пользователя.

В рамках этой кампании злоумышленник создает страницу фишинга, которая сначала предлагает жертве ввести действительный адрес электронной почты. Это электронное письмо должно соответствовать заранее определенному списку адресатов, гарантируя, что только законные пользователи смогут продолжить. Как только жертва вводит свою информацию, она перенаправляется на страницу проверки подлинности Microsoft, где ее взаимодействие происходит с сайта фишинга. При входе в систему пользователь генерирует код аутентификации, в частности первичный токен обновления (PRT), который затем перехватывается злоумышленником. Этот токен связан с устройством пользователя, которое должно соответствовать протоколам безопасности Microsoft, что указывает на то, что даже законные учетные данные могут быть скомпрометированы с помощью этого метода.

Чтобы усилить усилия по обнаружению и реагированию, потенциальный метод выявления действий, связанных с ConsentFix, включает мониторинг сетевого трафика на предмет наличия определенных шаблонов URL-адресов. Этот динамический индикатор поиска компромиссов (IOC) фокусируется на законных URL-адресах Microsoft, обычно используемых в процессах OAuth, в частности, на поиске необычных перенаправлений с локального хостинга. Учитывая, что такие перенаправления обычно не наблюдаются в большинстве организационных сред, их наличие может указывать на неблаговидную деятельность. Поиск использует шаблон регулярных выражений, который учитывает идентификаторы клиентов Microsoft, для перехвата попыток, использующих эти возможности OAuth в злонамеренных целях. Примечательно, что, хотя Azure CLI является основным приложением, замеченным в предыдущих инцидентах, тактика, используемая в ConsentFix, предполагает, что другие приложения также могут использоваться для аналогичного фишинга.

#ParsedReport #CompletenessLow
29-12-2025

Fire Ant: A Chinese Espionage Group Operating Beneath the Hypervisor

https://www.sygnia.co/webinars/fire-ant-apt-analysis/

Report completeness: Low

Actors/Campaigns:
Fire_ant (motivation: cyber_espionage)

Victims:
Segmented environments

Geo:
China, Chinese

ChatGPT TTPs:
do not use without manual check
T1027, T1068, T1562

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская шпионская группа Fire Ant использует передовые технологии, которые работают на уровне гипервизора, чтобы избежать обнаружения и сохранить доступ к нацеленным сетям. Они перешли от тактики программ-вымогателей к методам, поддерживающим закрепление, повышение привилегий и перемещение внутри компании, что эффективно ставит под угрозу сегментированные системы, считающиеся безопасными. В их операциях используются виртуализированные среды, что подчеркивает растущую угрозу со стороны изощренных злоумышленников, которые могут манипулировать функциональными возможностями гипервизора в обход традиционных мер безопасности.
-----

Fire Ant китайской шпионской группы, которая разработала изощренные методы для работы ниже уровня гипервизора, что позволяет им избежать обнаружения при сохранении доступа к нацелен средах. Эта группа перешла от фокусировки на тактике оппортунистической вымогателей используя методы, которые облегчают закрепление, повышение привилегий, и тонкое перемещение внутри компании в рамках сегментированных системах с изолированной и безопасной.

Их деятельность включает в себя многоуровневые подходы, которые используют базовую архитектуру виртуализированных сред, эффективно позволяя им взламывать средства защиты, разделяющие различные сегменты. Эти приемы подчеркивают угрозу, исходящую от продвинутых злоумышленников, которые могут манипулировать функции гипервизора, тем самым минуя традиционные меры безопасности, которые, как правило, мониторинга и защиты операционных систем и потребительских приложений.

Операции Fire Ant's свидетельствуют о тревожной эволюции кибершпионажа, поскольку группа использует свои возможности для поддержания долгосрочного присутствия в нацеленных сетях, что делает их особенно опасными для организаций, использующих стратегии изоляции на основе гипервизоров для обеспечения безопасности. Этот случай подчеркивает необходимость усовершенствованных механизмов обнаружения и предотвращения, учитывающих угрозы, действующие на уровне гипервизора, поскольку обычные методы могут оказаться неэффективными против таких скрытых, изощренных векторов атак.

#ParsedReport #CompletenessLow
29-12-2025

Lateral Movement via Checkmk Edit

https://pentest.party/posts/2025/checkmk/

Report completeness: Low

Victims:
Checkmk users, It monitoring environments

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1027, T1059, T1078, T1105, T1199, T1210, T1552, T1555

IOCs:
File: 2

Soft:
Checkmk, Linux, curl

Languages:
python

Links:
have more...
https://github.com/dadevel/blog/blob/main/content/posts/2025/checkmk/
https://github.com/ufrisk/memprocfs

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Оценка Checkmk выявила множество уязвимостей, особенно касающихся управления учетными данными и контроля доступа, включая обнаружение учетных данных VMware vCenter с высокими привилегиями в хранилище паролей. Централизованная архитектура системы в режиме распределенного мониторинга представляет риск, поскольку компромиссы на центральном узле могут позволить манипулировать конфигурацией на всех подключенных удаленных узлах. Эти слабые места облегчают потенциальное перемещение внутри компании внутри сетей и подчеркивают значительные проблемы безопасности, связанные с выполнением команд и повышением привилегий.
-----

Checkmk - это система мониторинга на основе агентов, которая использует TCP-порт 6556 для сбора данных от своих агентов. Во время недавнего пентеста было обнаружено несколько уязвимостей, присущих Checkmk, что делает его привлекательной целью для злоумышленников. Первоначально оценка выявила наличие учетных данных Checkmk в истории командной строки сервера Linux, что указывает на потенциальный маршрут несанкционированного доступа.

При попытке получить доступ к веб-интерфейсу Checkmk с этими учетными данными стало очевидно, что, хотя они были действительны, они были ограничены доступом к API, поскольку пользователь автоматизации был отклонен, но при вводе неправильных учетных данных генерировалась ошибка “неправильное имя пользователя или пароль”. Несмотря на ограничения аутентификации, Checkmk предлагает администраторам множество функциональных возможностей, включая возможность установки пакетов расширений как на стороне сервера, так и на стороне агента. При изучении этой функции был выявлен более простой метод выполнения команд на сервере Linux, указывающий на системные недостатки в том, как Checkmk управляет доступом и выполнением.

Кроме того, Checkmk включает в себя сохранять пароль провести учетные данные для различных внешних систем, он контролирует, что позволяет для легкого доступа, если злоумышленник получает выполнения команды на Checkmk хозяина. Во время тестирования высокого привилегированные учетные данные на платформе vSphere были извлечены из этого магазина, демонстрируя высокий профиль риска Checkmk с точки зрения управления учетными данными и связанных с ним привилегий.

Еще больше усложняя ситуацию с безопасностью, Checkmk может быть сконфигурирован в режиме распределенного мониторинга, когда центральный сайт имеет полный контроль над удаленными сайтами. Такая централизованная структура означает, что любые компромиссы на центральном узле могут привести к легкому манипулированию конфигурациями на всех подключенных удаленных узлах, что еще больше расширяет зону досягаемости злоумышленника.

Наконец, Checkmk Enterprise предлагает функцию, известную как Agent Bakery, которая облегчает распространение обновлений приложений среди агентов мониторинга с помощью подписанных установочных пакетов. Для установки этих пакетов требуется ключ, защищенный паролем, что создает дополнительный уровень безопасности. Однако необходимость вводить этот пароль при каждом запуске обновления потенциально может привести к возможному использованию, если злоумышленник получит достаточный контроль над системой.

Таким образом, оценка Checkmk выявила критические уязвимости и области потенциального использования, включая управление учетными данными, возможности выполнения и последствия централизованной архитектуры в распределенной системе мониторинга, все из которых могут способствовать перемещению внутри компании в сетях.

#ParsedReport #CompletenessLow
29-12-2025

Amazon Threat Intelligence identifies Russian cyber threat group targeting Western critical infrastructure

https://aws.amazon.com/ru/blogs/security/amazon-threat-intelligence-identifies-russian-cyber-threat-group-targeting-western-critical-infrastructure/

Report completeness: Low

Actors/Campaigns:
Sandworm
Curly_comrades

Threats:
Credential_harvesting_technique
Curlyshell
Curlcat

Victims:
Critical infrastructure, Energy sector

Industry:
Energy, Critical_infrastructure, Telco

Geo:
America, Russian, Middle east, Russia

CVEs:
CVE-2023-27532 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- veeam veeam_backup_\&_replication (<11.0.1.1261, 12.0.0.1420)

CVE-2022-26318 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- watchguard fireware (<12.1.3, <12.5.9, <12.7.2)

CVE-2021-26084 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<6.13.23, <7.4.11, <7.11.6, <7.12.5)
- atlassian confluence_server (<6.13.23, <7.4.11, <7.11.6, <7.12.5)

CVE-2023-22518 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- atlassian confluence_data_center (<7.19.16, <8.3.4, <8.4.4, <8.5.3, 8.6.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1071, T1078, T1190, T1557

IOCs:
IP: 8
File: 5

Soft:
Confluence, Hyper-V, GuardDuty

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Спонсируемая российским государством киберкампания нацелена на критическую инфраструктуру Запада, в частности на энергетический сектор, используя неправильно сконфигурированные периферийные устройства клиентской сети для первоначального доступа, а не используя прямые уязвимости. Кампания включает в себя пассивный сбор учетных записей, при этом шаблоны атак указывают на возможность перехвата трафика аутентификации пользователей. Скомпрометированные устройства, размещенные на AWS из-за неправильных настроек клиентов, облегчают постоянный доступ, и существуют связи с другими хакерскими группировками, что свидетельствует о скоординированных усилиях, связанных с российским управлением военной разведки ГРУ.
-----

Amazon Threat Intelligence сообщила о масштабной спонсируемой российским государством киберкампании, нацеленной на критическую инфраструктуру Запада, с особым акцентом на энергетический сектор в период с 2021 по 2025 год. Эта кампания знаменует собой стратегический сдвиг, поскольку злоумышленники отошли от прямого использования уязвимостей и вместо этого используют неправильно сконфигурированные периферийные устройства клиентской сети в качестве основного средства для первоначального доступа. Такая адаптация не только облегчает сбор учетных записей, но и позволяет акторам сохранять более низкий статус и минимизировать затраты ресурсов.

Операции кампании по сбору учетных записей демонстрируют модель пассивного сбора, а не активного воровства, о чем свидетельствует промежуток времени, наблюдаемый между компрометацией устройств и последующими попытками аутентификации с помощью служб-жертв. Злоумышленники используют учетные данные скомпрометированной организации, что указывает на их способность перехватывать трафик аутентификации пользователей. Известные методики, согласующиеся с операциями, приписываемыми Sandworm, включают перехват сетевого трафика, а нацеливание на периферийные устройства сети играет решающую роль в размещении злоумышленников для перехвата учетных данных при передаче.

Дальнейший анализ показывает, что злоумышленники скомпрометировали инфраструктуру, размещенных на Amazon веб-сервисы (АРМ). Это не из-за каких-либо уязвимостей в себя АРМ; скорее, это произошло в результате ошибки в конфигурации устройства поддержки. Постоянные и интерактивный доступ был учрежден актор-контролируемых IP-адресов, подключение к зараженным экземпляры EC2, с указанием согласованного подхода к использованию программного обеспечения сетевой клиент бытовой техники.

Интересно, что полученные данные свидетельствуют о совпадении с другой хакерской группировкой, идентифицированной Bitdefender как "Curly COMrades". Эта связь указывает на потенциальное сотрудничество в рамках более широкой кампании, предположительно связанной с российским военным разведывательным управлением ГРУ.

В ответ на эти выводы Amazon предприняла меры по пресечению текущей деятельности этих злоумышленников, тем самым сократив доступную площадь для атак. Они взяли на себя обязательство продолжать сотрудничество с сообществом безопасности в целях усиления коллективной защиты от спонсируемых государством угроз, нацеленных на критически важную инфраструктуру. В преддверии 2026 года организациям энергетического сектора и других областей критически важной инфраструктуры рекомендуется уделять приоритетное внимание проверке журналов доступа на предмет попыток аутентификации, связанных с отмеченными индикаторами компрометации (IOCS).