#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-Q-27, также известный как Golden Eye Dog, использует пакеты AWS S3 для распространения вредоносных полезных данных, что отражает растущую изощренность хакерских группировок, использующих законные Облачные сервисы для своих операций. Действия, приписываемые этой группе, были связаны с IP-адресами в основном в Гонконге и Индии, что свидетельствует о хорошо скоординированной инфраструктуре для крупномасштабных атак. Хотя специфика вредоносного ПО остается неопределенной, использование AWS указывает на возможное размещение двоичных файлов вредоносного ПО или инфраструктуры управления в облаке.
-----

APT-Q-27, также известный как Golden Eye Dog, был идентифицирован как использующий пакеты Amazon Веб-служб (AWS) S3 для распространения вредоносных полезных данных. Эта тактика подчеркивает растущую изощренность хакерских группировок в использовании законных Облачных сервисов для облегчения своих операций, избегая при этом мер обнаружения.

Вредоносные действия, приписываемые APT-Q-27, были прослежены до ряда IP-адресов, преимущественно расположенных в Гонконге и Индии, что указывает на обширное присутствие инфраструктуры, направленное на поддержку их операций. Наличие нескольких IP-адресов в этих регионах свидетельствует о хорошо скоординированном подходе к атакам на основе облачных вычислений, подчеркивая потенциал широкомасштабного распространения вредоносного программного обеспечения без использования традиционных методов размещения.

Конкретный характер вредоносных полезных нагрузок в отчете не был подробно описан; однако использование сегментов AWS S3 обычно указывает на стратегию, которая может включать размещение двоичных файлов вредоносного ПО или инфраструктуры управления (C2) в облачной среде Amazon. Это позволяет злоумышленникам использовать надежные и масштабируемые ресурсы для своей незаконной деятельности, а также использовать надежную платформу для сокрытия своих оперативных следов.

Учитывая растущую частоту подобных атак с использованием облачной инфраструктуры, организациям настоятельно рекомендуется усовершенствовать свои методы обеспечения безопасности в облаке. Это включает в себя осуществление строгого контроля доступа и мониторинга, разрешения ведро S3, чтобы предотвратить неправильное использование облачных ресурсов по субъектам угрозы как apt-Q-27. В качестве угроз продолжает расти, приспосабливаясь меры безопасности для защиты от этих форм эксплуатации будет иметь решающее значение в защите конфиденциальных данных и снижение рисков, связанных с киберугрозами.

#ParsedReport #CompletenessLow
29-12-2025

RondoDoX Botnet Weaponizes React2Shell

https://www.cloudsek.com/blog/rondodox-botnet-weaponizes-react2shell

Report completeness: Low

Threats:
Rondodox
React2shell_vuln
Coinminer
Mirai
Credential_harvesting_technique

Victims:
Web applications, Iot devices

Industry:
Iot

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1190, T1496, T1505, T1583.001, T1583.003

IOCs:
File: 1
IP: 8
Hash: 4

Soft:
WebLogic, Drupal, WordPress, curl

Languages:
java

Platforms:
x86, mips, arm

#ParsedReport #ExtractedSchema

Classified images:
windows: 9, table: 1, chats: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет RondoDoX активно использовал уязвимости, такие как React2Shell, для нацеливания на веб-приложения и устройства Интернета вещей, о чем свидетельствуют журналы команд и контроля, документирующие автоматические атаки с марта по декабрь 2025 года. После отчета о своей деятельности они быстро адаптировались, перейдя на новые серверы C2, продемонстрировав свою гибкость в реагировании на информацию о безопасности. Продолжающееся использование ими различных уязвимостей свидетельствует о постоянном и меняющемся ландшафте угроз.
-----

Было замечено, что ботнет RondoDoX использует ряд уязвимостей, в частности уязвимость React2Shell, в рамках продолжающейся многомесячной кампании, нацеленной на веб-приложения и устройства Интернета вещей. Действия по эксплуатации были задокументированы в журналах командования и контроля (C2), в которых описан обширный период автоматизированных атак с марта по декабрь 2025 года. Эти журналы показывают гибкость группы в адаптации к возникающим угрозам и их способность развертывать различные вредоносные полезные нагрузки, включая компоненты ботнет, Веб-шеллы и криптоминеры.

10 декабря Darktrace сообщила об использовании уязвимости React2Shell, основанной на их телеметрии honeypot. После этого отчета акторы, стоящие за RondoDoX, быстро изменили свою оперативную тактику, перейдя на новые серверы командования и контроля всего через три дня. Этот сдвиг подчеркивает способность группы быстро адаптировать свою инфраструктуру в ответ на разведывательные данные и усилия по обнаружению, предпринимаемые исследователями в области безопасности.

Непрерывное использование как существующих, так и вновь обнаруженных уязвимостей подчеркивает значительный спектр угроз, поскольку RondoDoX демонстрирует передовые навыки в нацеливании на неправильно сконфигурированные или незащищенные веб-приложения и устройства Интернета вещей. Различные методы, используемые этим злоумышленником, указывают на постоянную и эволюционирующую угрозу, которая угрожает устойчивости к кибербезопасности в различных секторах. Их деятельность представляет собой важнейшую область для мониторинга и защиты, поскольку организации все еще могут быть уязвимы для таких кампаний автоматизированного использования.

#ParsedReport #CompletenessLow
29-12-2025

The Industrialization of "ClickFix": Inside ErrTraffic

https://www.infostealers.com/article/the-industrialization-of-clickfix-inside-errtraffic/

Report completeness: Low

Threats:
Clickfix_technique
Errtraffic
Glitch
Lumma_stealer
Vidar_stealer
Cerberus
Amos_stealer

Victims:
Website owners, Users, Content management system administrators

Industry:
Financial, Critical_infrastructure

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1189, T1204, T1566, T1584.001

IOCs:
File: 1

Soft:
macOS, Android, Linux, Chrome, opera, WordPress, cPanel, Joomla

Languages:
javascript, powershell, php

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ландшафт киберпреступности развивается, и такие инструменты, как "ClickFix" и "ErrTraffic", подчеркивают переход к коммерциализированной социальной инженерии. ErrTraffic использует методы, которые изменяют объектную модель документа (DOM) веб-страниц, чтобы заставить пользователей выполнять вредоносные команды PowerShell с помощью механизма "Вставить и запустить", эффективно обходя традиционные меры безопасности. Этот инструмент нацелен на различные операционные системы и собирает конфиденциальную информацию, создавая самоподдерживающийся цикл кражи учетных данных и компрометации системы.
-----

Среда киберпреступности значительно смещается в сторону коммерциализированных методов социальной инженерии, примером чего является появление инструментов "ClickFix", которые предназначены для того, чтобы обманом заставить пользователей выполнять вредоносные скрипты. Это преобразование сигнализирует об отходе от традиционных атак высокой квалификации в сторону более доступных методов для менее опытных злоумышленников.

ClickFix использует уязвимости, присущие взаимодействию между веб-браузерами и операционными системами, используя преимущества улучшенных функций безопасности современных браузеров, которые сделали автоматическую загрузку без звука устаревшей. В результате злоумышленники теперь полагаются на более изощренные формы социальной инженерии, чтобы обманом заставить пользователей самостоятельно выполнять вредоносные действия.

Инструмент ErrTraffic, представленный злоумышленником по имени "LenAI", разработан таким образом, чтобы быть удобным в использовании, с Панелью управления, которая имитирует легальные платформы "Программное обеспечение как услуга" (SaaS). Его развертывание включает в себя модификацию объектной модели документа (DOM) веб-страниц, на которые нацелены, для создания обманчивых наложений, которые побуждают пользователей к действиям, ведущим к заражению. Эта модификация облегчается с помощью файла со специальным именем с символом .js.php расширение, позволяющее обрабатывать логику PHP при предоставлении пользователю JavaScript, таким образом обходя некоторые функции безопасности.

Заметное методе, при помощи которого ErrTraffic является его "вставить и работать" механизм, в котором пользователи должны запустить JavaScript-скопировать PowerShell PowerShell, который запускает вредоносную нагрузку на их системы. Этот метод эффективно привлекает пользователей к выполнению действий, инициирующих атаку, тем самым уменьшая потребность в методах прямого вторжения.

ErrTraffic работает как Система распределения трафика (TDS), которая доставляет файлы, адаптированные к операционной системе жертвы, постоянно облегчая цикл компрометации. Он собирает не только банковские учетные данные, но и доступ к различным системам управления контентом (CMS), тем самым расширяя свой потенциал для использования. Конечным результатом является самоподдерживающаяся экосистема для киберпреступников, усиливающая цикл кражи учетных данных и компрометации системы.

#ParsedReport #CompletenessLow
29-12-2025

Zestix Threat Actor Profile \| TTPs, Victims, and Breach Activity

https://cyberint.com/blog/threat-intelligence/zestix-threat-actor-profile-ttps-victims-and-breach-activity/

Report completeness: Low

Actors/Campaigns:
Zestix

Victims:
Transportation sector, Government sector, Major spanish airline, Health company

Industry:
Transport, Government, Aerospace, Healthcare, Military

Geo:
Brazilian, Brazil, Spanish, Spain

Soft:
Twitter, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Zestix - криминальный злоумышленник, действующий с сентября 2025 года, нацеленный на транспортный и государственный секторы с целью личной финансовой выгоды. Этот человек применяет изощренную тактику, совершив значительные утечки данных, включая инциденты с участием крупной испанской авиакомпании и медицинской компании. Zestix участвует в дискуссиях на хакерских форумах, уделяя особое внимание обходу мер безопасности и обмену информацией об утечке данных, что указывает на потенциальную эскалацию угроз для конфиденциальной информации.
-----

Zestix - криминальный злоумышленник, который появился в сентябре 2025 года, руководствуясь преимущественно личной финансовой выгодой. Этот актор индивидуального уровня был связан со значительными утечками данных, особенно в отношении организаций транспортного и государственного секторов.

Тактика, методы и процедуры (TTP), используемые Zestix, демонстрируют глубокое понимание уязвимостей в области кибербезопасности. Хотя конкретные методы не детализированы, последствия утечки данных от известных организаций, включая крупную испанскую авиакомпанию и медицинскую компанию, указывают на возможность эффективного обхода систем безопасности. Известно, что актор активен на хакерских форумах, в частности forum.exploit.in , где Zestix обсуждает различные методы кибербезопасности, в том числе способы обхода средств защиты, и делится информацией о продолжающихся утечках данных. Общение с потенциальными сотрудниками или информаторами осуществляется через защищенные платформы обмена сообщениями, такие как qTox.

Участие Zestix's в сообществе киберпреступников предполагает уровень угрозы, который может возрасти еще больше, особенно учитывая сосредоточенность актора на громких целях. Извлечение конфиденциальной информации из государственного и транспортного секторов вызывает опасения по поводу потенциальных более широких последствий для безопасности и конфиденциальности. Методы, используемые Zestix, подчеркивают эволюционирующий характер киберугроз, подчеркивая необходимость бдительности и упреждающих мер в области защиты кибербезопасности, чтобы помешать таким лицам.

#ParsedReport #CompletenessMedium
30-12-2025

EmEditor Supply Chain Incident Details Disclosed: Distribution of Information-Stealing Malware Sweeps Through Domestic Government and Enterprise Entities

https://ti.qianxin.com/blog/articles/emeditor-supply-chain-incident-details-disclosed-en/

Report completeness: Medium

Threats:
Supply_chain_technique
Putty_tool
Mitm_technique

Victims:
Government, Enterprise entities

Industry:
Government

Geo:
China, Iran

ChatGPT TTPs:
do not use without manual check
T1059, T1059.001, T1176, T1195, T1553.002

IOCs:
File: 4
Domain: 16
Hash: 2
IP: 3

Soft:
Discord, Slack, Zoom, WinSCP, Steam, Telegram

Algorithms:
md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была раскрыта атака по Цепочке поставок, нацеленная на EmEditor, в ходе которой официальные установочные пакеты MSI были заменены вредоносными версиями в период с 19 по 22 декабря 2025 года, подписанными неофициальной подписью. Скомпрометированные пакеты выполняли команды PowerShell, позволяя злоумышленникам получить контроль, в то время как было установлено расширение для браузера под названием "Кэширование Google диска", функционирующее как вредоносное ПО для кражи информации. Этот инцидент подчеркивает уязвимости в Цепочках поставок программного обеспечения и потенциальную возможность серьезных утечек данных.
-----

23 декабря 2025 года была раскрыта атака по Цепочке поставок, нацеленная на EmEditor, что указывает на то, что установочные пакеты MSI официального веб-сайта были скомпрометированы в период с 19 по 22 декабря. Эти пакеты были заменены вредоносными версиями, которые были подписаны неофициальной подписью, связанной с "WALSHAM INVESTMENTS LIMITED". Нарушение в первую очередь затронуло государственные структуры и предприятия.

Вредоносный установочный пакет содержит встроенный скрипт, предназначенный для выполнения команд PowerShell. Эта возможность позволяет предположить, что злоумышленники стремились установить дополнительный контроль над скомпрометированными средами, используя PowerShell для дополнительных вредоносных действий. Конечная цель атаки раскрывается с помощью установки расширения для браузера под названием "Кэширование Google диска". Это расширение характеризуется как полнофункциональное вредоносное ПО для кражи информации, что указывает на высокий уровень угрозы конфиденциальным данным затронутых пользователей.

Использование PowerShell, общего управления и автоматизации, инструмент, иллюстрирует методику в кибератак, что позволяет противникам сохранять скрытность во время выполнения дальнейших вредоносных команд. Механизм закрепления с помощью расширения браузера подчеркивает изощренность атаки, поскольку он позволяет вредоносному ПО оставаться в системе жертвы и продолжать активную эксфильтрацию данных. В целом, этот инцидент подчеркивает уязвимость в цепи цепочка поставок и потенциально крупных утечек данных, вытекающих из таких нападений.

#ParsedReport #CompletenessHigh
30-12-2025

APT36 : Multi-Stage LNK Malware Campaign Targeting Indian Government Entities

https://www.cyfirma.com/research/apt36-multi-stage-lnk-malware-campaign-targeting-indian-government-entities/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)

Threats:
Spear-phishing_technique
Process_injection_technique
Lolbin_technique

Victims:
Indian government entities, Educational institutions, Strategic sectors

Industry:
Government

Geo:
Indian, Pakistan

TTPs:
Tactics: 11
Technics: 30

IOCs:
File: 12
Path: 1
IP: 1
Hash: 6
Domain: 2

Algorithms:
sha256, zip, md5, base64, aes, xor

Functions:
ReadOnly, WriteOnly, Work, parse, getsystem, GetDeepInfo, CopyFromScreen, getclipboardtext, setclipboardtext, Send, have more...

Languages:
powershell, visual_basic

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, или Transparent Tribe, - это связанный с Пакистаном злоумышленник, занимающийся кибершпионажем против правительственных секторов Индии, используя многоступенчатую систему доставки вредоносного ПО, которая начинается с Целевого фишинга электронных писем. Атака включает в себя ZIP-файл, содержащий вредоносный LNK-файл, который активирует mshta.exe для запуска HTA-скрипта, ведущего к выполнению полезной нагрузки, включая компоненты только для чтения и записи для закрепления вредоносного ПО и удаленного доступа. Основная библиотека DLL, ki2mtmkl.dll , управляет функциями вредоносного ПО, делая упор на долгосрочное наблюдение с помощью модульных методов обмана.
-----

APT36, также известная как Transparent Tribe, является связанным с Пакистаном злоумышленником, проводящим сложную кампанию кибершпионажа, специально нацеленную на индийский правительственный и стратегический секторы. Эта операция в основном использует многоэтапную систему доставки вредоносного ПО, начиная с Целевого фишинга по электронной почте, содержащего ZIP-архив. В этом архиве содержится вредоносный файл ярлыка Windows (LNK), замаскированный под PDF-документ, эффективно вводящий пользователей в заблуждение и повышающий вероятность взаимодействия.

Процесс запуска вредоносного ПО запускается при открытии этого ZIP-файла. Это запускает mshta.exe , приводящий к выполнению HTA-скрипта, ответственного за расшифровку и выполнение полезных нагрузок в памяти. Кампания содержит основную полезную нагрузку, известную как ReadOnly, которая настраивает среду в обход проверок безопасности в .NET-приложениях. Другой критически важный компонент, WriteOnly, работает путем выполнения вредоносной библиотеки DLL в памяти, что облегчает операции с трояном удаленного доступа (RAT). Это вредоносное ПО разработано для адаптации к существующим антивирусным решениям, обеспечения закрепления при перезагрузке системы и поддержки множества функциональных возможностей, включая удаленное управление системой, эксфильтрацию данных и наблюдение.

После выполнения основная библиотека DLL, идентифицированная как ki2mtmkl.dll , запускает функцию под названием Work(), которая управляет последующими действиями вредоносного ПО, включая согласование полезной нагрузки и передачу команд и контрольных сообщений. Кроме того, кампания соответствует главной цели APT36 по сбору разведывательных данных, фокусируясь на долгосрочном наблюдении, а не на сиюминутной финансовой выгоде или разрушительных целях.

Использование обманных методов доставки и передовые методы выполнения значительно расширить возможности злоумышленник актера для проведения шпионских операций, не вызывая подозрений пользователя. Кампания демонстрирует эволюцию в apt36's, иллюстрируя их способность использовать комплекс, модульный подходы, которые используют fileless исполнения и зашифрованных сообщений упорно доступ к скомпрометированной среде. Эти характеристики подчеркивают необходимость усиленных мер безопасности, постоянного мониторинга и информированности пользователей для противодействия постоянной и изощренной угрозе, исходящей от таких акторов, связанных с государством.

#ParsedReport #CompletenessMedium
31-12-2025

DarkSpectre: Unmasking the Threat Actor Behind 8.8 Million Infected Browsers

https://www.koi.ai/blog/darkspectre-unmasking-the-threat-actor-behind-7-8-million-infected-browsers

Report completeness: Medium

Actors/Campaigns:
Darkspectre (motivation: cyber_espionage, financially_motivated)
Shadypanda

Threats:
Ghostposter
Timebomb_technique
Wetab
Steganography_technique

Victims:
Browser users, Corporate users of video conferencing platforms

Industry:
E-commerce

Geo:
Russian, China, North korean, Chinese

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1059.007, T1071.001, T1090, T1105, T1119, T1195.003, T1199, have more...

IOCs:
Domain: 15
IP: 1
Coin: 14

Soft:
Zoom, Chrome, Firefox, Opera, Twitter, Microsoft Teams

Algorithms:
xor

Functions:
eval

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
code: 9, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DarkSpectre - это изощренный злоумышленник, ответственный за компрометацию 8,8 миллионов браузеров с помощью вредоносных расширений, в основном связанных с jt2x.com кластер, обеспечивающий операции командования и контроля, эксфильтрацию данных и мошенничество. Их деятельность включает в себя три приложения: долгосрочный ShadyPanda для Удаленного Выполнения Кода, GhostPoster для скрытой доставки полезной нагрузки в Firefox и стиллер Zoom, который собирает конфиденциальную информацию о корпоративных собраниях. Эта кампания демонстрирует характеристики хорошо обеспеченной ресурсами группы, вероятно, китайского происхождения, подчеркивая значительные угрозы корпоративной безопасности.
-----

DarkSpectre определяется как изощренный злоумышленник, ответственных за угрозу 8,8 млн. браузерах путем развертывания различных вредоносных расширений браузера. Изначально прослеживается от shadypanda ShadyPanda, исследователи обнаружили более 100 взаимосвязанные расширения, с особым упором на кластер jt2x.com , что облегчило операции Управления, контроля, загрузки конфигурации, эвакуация эксфильтрация и партнерская схемы мошенничества.

В darkspectre DarkSpectre использует три различные сценарии, каждый нацелен на разных целей. Первый сборник пьес, представленных ShadyPanda, предполагает долгосрочное обслуживание, казалось бы, законных расширения за несколько лет до вооружает их через одно обновление, включение удаленное выполнение кода и конфигурации командования и управления. Этот метод позволяет расширениям обманывать проверяющих, оставаясь чистыми во время проверок.

Вторая игра, получившая название GhostPoster, фокусируется на скрытой доставке полезных данных пользователям браузера Firefox. Последняя версия, известная как Zoom Стиллер, предназначена для нацеленного сбора корпоративной информации. Этот набор расширений маскируется под инструменты повышения производительности, связанные с более чем 28 популярными платформами видеоконференцсвязи, собирая конфиденциальную информацию, такую как ссылки на собрания, учетные данные, списки участников и сведения о спикерах в режиме реального времени.

Эти расширения используют базу данных Firebase в режиме реального времени для хранения собранных данных и обмена данными через облачную функцию Google, добавляя уровни легитимности своим операциям и создавая надежную инфраструктуру для эксфильтрации данных. Такой обширный сбор информации о встречах от 2,2 миллионов пользователей создает возможности для Имперсонации и шпионажа, создавая значительную угрозу корпоративной безопасности.

Исследование показало, что только кампания ShadyPanda заразила более 4,3 миллионов пользователей, что свидетельствует о длительных операциях, характеризующихся как активными, так и бездействующими расширениями. К активным угрозам относятся те, которые нацелены на пользователей с немедленной эксфильтрацией данных и мошенничеством с аффилированными лицами, в то время как бездействующие расширения могут быть активированы в любое время, что отражает стратегический выжидательный подход, применяемый операторами.

Атрибуция DarkSpectre предполагает наличие хорошо обеспеченной ресурсами группы, вероятно, китайского происхождения, на что указывает зависимость их инфраструктуры от Alibaba Cloud, наличие элементов китайского языка в коде и стиль разработки, соответствующий китайским операционным моделям. Это указывает на то, что DarkSpectre является высокоорганизованной структурой, способной осуществлять сложные операции в течение значительного периода времени, будь то в качестве группы, связанной с государством, или финансово мотивированной преступной организации.