#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете AhnLab о статистике вредоносного ПО за 4 квартал 2025 года подчеркивается возрождение вредоносного ПО TigerRAT группы Andariel, нацеленного на веб-серверы Windows, особенно на те, на которых запущены информационные службы Интернета (IIS). Злоумышленники, вероятно, воспользовались уязвимостями сервера, используя такие методы, как веб-оболочки для первоначального доступа и выполняя вредоносные команды через рабочий процесс IIS".w3wp.exe ." Тактика систематического сбора информации указывает на передовые методологии злоумышленников, подчеркивающие необходимость проявлять бдительность в отношении таких постоянных угроз.
-----

В отчете о статистике вредоносного ПО за 4 квартал 2025 года Аналитический центр безопасности AhnLab (ASEC) выявил значительные угрозы, нацеленные на веб-серверы Windows, в первую очередь сосредоточив внимание на возрождении вредоносного ПО TigerRAT группы Andariel. Этот бэкдор исторически ассоциировался с атаками, направленными на захват контроля над скомпрометированными системами, которые в основном наблюдались в предыдущие годы, но вновь появились в октябре 2025 года. Аналитики отметили, что скомпрометированные системы обычно включали веб-серверы Internet Information Services (IIS), что позволяет предположить, что злоумышленники использовали уязвимости на этих серверах для восстановления работы вредоносного ПО.

Хотя точный метод первоначального проникновения остается неизвестным, есть подозрение, что злоумышленники использовали webshell для получения контроля над сервером IIS, поскольку последующие вредоносные команды выполнялись через "w3wp.exe " процесс, который является рабочим процессом для обработки веб-запросов в IIS. Это говорит о высокой осведомленности об архитектуре сервера и способности эффективно управлять системными процессами.

Команды сбора информации, используемые злоумышленниками, иллюстрируют системный подход, направленный на изучение окружающей среды и создание более надежного вектора атаки. Такая тактика подчеркивает важность комплексных мер безопасности и стратегий исправления для веб-серверов Windows, чтобы противодействовать риску, создаваемому акторами, создающими сложные целенаправленные угрозы, такими как Andariel Group. Появление TigerRAT в этом контексте подчеркивает эволюционирующую тактику злоумышленников и необходимость постоянной бдительности и проактивной защиты от угроз вредоносного ПО, нацеленных на конфигурации веб-серверов.

#ParsedReport #CompletenessMedium
09-01-2026

THE KNOWNSEC LEAK: Yet Another Leak of Chinas Contractor-Driven Cyber-Espionage Ecosystem

https://dti.domaintools.com/the-knownsec-leak-yet-another-leak-of-chinas-contractor-driven-cyber-espionage-ecosystem/

Report completeness: Medium

Actors/Campaigns:
Knownsec_leak (motivation: cyber_espionage, government_sponsored)
I-soon_leak
Red_delta
Apt31
Winnti

Threats:
Ghostx_tool
Dns_hijack_technique
Spear-phishing_technique
Dns_hijacking_technique
Polymorphism_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Financial sector, Telecommunications sector, Energy sector, Critical infrastructure

Industry:
Financial, Ics, Critical_infrastructure, Telco, Government, E-commerce, Energy, Education, Military, Transport, Iot

Geo:
Chinas, China, India, Taiwan, Vietnam, Russia, Chinese, Korea, Tokyo, Asia, South africa, Taiwanese, Japan, Brazil, Korean, Indian, Polish

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 64

Soft:
ZoomEye, Zoom, Gmail, Outlook, Telegram, Instagram

Languages:
javascript

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, table: 1, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
KnownSec leak раскрывает операции китайской фирмы по кибербезопасности, выступающей в качестве подрядчика по наступательной разведке, с подробным описанием набора инструментов кибершпионажа, включая семейство GhostX для использования уязвимостей браузера и инструмент Un-Mail для использования веб-почты. В нем освещаются возможности KnownSec по разведке с помощью платформы ZoomEye и ее структурированной операционной иерархии, поддерживающей цели государственной безопасности, наряду с показателями компрометации, связанными с атаками на критическую инфраструктуру. В документации подчеркивается интеграция KnownSec в структуру вооруженных сил и разведки Китая.
-----

KnownSec leak, опубликованная в ноябре 2025 года, раскрывает роль компании в качестве подрядчика по наступательной разведке для Китая. Утечка включает в себя внутренние документы и технические руководства с подробным описанием инструментов кибершпионажа. Лаборатория безопасности 404 специализируется на использовании уязвимостей и методах деанонимизации. Ключевые инструменты включают семейство GhostX, которое использует уязвимости браузера и проводит дактилоскопию в браузере. Un-Mail используется для использования веб-почты посредством перехвата сеанса и внедрения скрипта.

KnownSec использует платформу ZoomEye для разведки, каталогизации устройств и уязвимостей по всему миру. Их хранилище аналитических данных TargetDB систематизирует данные о критически важной инфраструктуре в различных отраслях промышленности. KnownSec работает в соответствии с военной иерархией, объединяющей подразделения НИОКР, управления данными и военной продукции.

Компания активно поддерживает кибероперации, связанные с картографированием инфраструктуры и агрегированием данных, полученных в результате взломов. Стратегия закупок KnownSec включает в себя приобретение инфраструктуры на международном уровне для повышения оперативной скрытности. В утечке подробно описаны признаки компрометации, включая конкретные IP-адреса, нацеленные на критически важную инфраструктуру, что отражает их методичный подход к шпионажу.

#ParsedReport #CompletenessLow
09-01-2026

Chrome Extension Steal ChatGPT and DeepSeek Conversations

https://www.truesec.com/hub/blog/chrome-extension-steal-chatgpt-and-deepseek-conversations

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1056.007, T1204.002

IOCs:
Hash: 2
Domain: 4

Soft:
Chrome, ChatGPT, DeepSeek, Claude

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Были обнаружены два вредоносных расширения для Chrome, Маскировка которых под боковую панель AITOPIA AI, ложно утверждающие, что они расширяют функциональные возможности ChatGPT, DeepSeek и Claude при одновременной фильтрации пользовательских данных. После установки они запрашивают недетализированные разрешения analytics для кражи конфиденциальной информации, включая разговоры, проприетарный код и личную идентифицируемую информацию. Используемые расширения идентифицируются по идентификатору fnmihdojmnkclgjpcoonokmkhjpjechg, и они особенно ориентированы на пользователей расширений Chrome, использующих GPT-5.
-----

Были идентифицированы два вредоносных расширения Chrome, которые выдают себя за законную боковую панель AITOPIA AI. Эти расширения, которые утверждают, что предоставляют функциональность для ChatGPT, DeepSeek и Claude, занимаются вредоносной деятельностью путем эксфильтрации пользовательских данных. После установки они запрашивают согласие на "безымянную аналитику", эффективно маскируя свое истинное намерение украсть конфиденциальную информацию. Эти украденные данные могут включать разговоры в ChatGPT и DeepSeek, проприетарный код, корпоративные стратегии и личную идентифицируемую информацию (PII).

К числу уязвимых продуктов относятся версии расширений Chrome для ChatGPT, использующие GPT-5, а также Claude Sonnet и DeepSeek AI, которые были идентифицированы по идентификатору расширения fnmihdojmnkclgjpcoonokmkhjpjechg и версии модели 1.9.6.

В ответ на эту угрозу эксперты по безопасности рекомендуют пользователям немедленно проверить наличие этих вредоносных расширений в своих браузерах и удалить их. Для устранения потенциальных компромиссов рекомендуется обновить пароли для любых учетных записей, к которым осуществляется доступ через эти расширения, а также для любых других сайтов, посещаемых во время их использования. Кроме того, настоятельно рекомендуется включить Многофакторную аутентификацию для критически важных учетных записей для усиления защиты от кражи учетных данных.

#ParsedReport #CompletenessMedium
08-01-2026

Astaroths Boto Cor-de-Rosa campaign targets Brazil with new WhatsApp malware technique

https://www.acronis.com/en/tru/posts/boto-cor-de-rosa-campaign-reveals-astaroth-whatsapp-based-worm-activity-in-brazil/

Report completeness: Medium

Actors/Campaigns:
Boto_cor-de-rosa (motivation: financially_motivated)

Threats:
Astaroth
Credential_stealing_technique
Credential_harvesting_technique

Victims:
Banking users

Industry:
Financial

Geo:
Brazil, Brazilian, Dutch, Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1140, T1204.002, T1218.007

IOCs:
File: 2
Hash: 20
Domain: 5

Soft:
WhatsApp, twitter

Algorithms:
zip

Languages:
visual_basic, delphi, python, autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 4, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Банковское вредоносное ПО Astaroth в настоящее время нацелено на Бразилию с помощью новой кампании, которая распространяет вредоносные ZIP-файлы через WhatsApp. Эти файлы содержат запутанный загрузчик скриптов Visual Basic (VBS), который при выполнении инициирует процесс заражения вредоносным ПО. Вредоносное ПО использует законный интерпретатор AutoIt для развертывания, использует закодированный загрузчик для основной полезной нагрузки и включает модуль Python для саморепликации через WhatsApp, расширяющий возможности его распространения.
-----

Банковское вредоносное ПО Astaroth получило развитие благодаря новой кампании, нацеленной на Бразилию, в которой для облегчения распространения используется новая технология через WhatsApp. Цепочка заражения начинается с того, что жертвы получают сообщения WhatsApp, содержащие вредоносный ZIP-архив. Имена файлов в этих архивах имеют определенный шаблон, состоящий из цифр и шестнадцатеричных символов, что помогает избежать обнаружения.

Внутри ZIP-файла находится запутанный загрузчик скриптов Visual Basic (VBS), обычно размером от 50 до 100 КБ, предназначенный для усложнения анализа. Этот скрипт VBS играет решающую роль в процессе заражения, инициируя выполнение вредоносного ПО, как только оно извлекается и запускается жертвой.

Astaroth использует особый шаблон развертывания, который включает в себя законный интерпретатор AutoIt, который включен вместе с закодированным загрузчиком. Этот загрузчик жизненно важен для расшифровки и загрузки основной полезной нагрузки Astaroth, повышая способность вредоносного ПО обходить статические методы обнаружения. Модульный характер этой архитектуры позволяет вредоносному ПО адаптироваться и сохранять эффективность в отношении мер безопасности.

Кроме того, кампания включает в себя механизм распространения, облегчаемый загрузчиком. Он устанавливает встроенный интерпретатор Python вместе с вредоносным модулем Python с именем zapbiu.py . Этот модуль позволяет вредоносному ПО реплицироваться через WhatsApp, используя функции обмена сообщениями платформы для дальнейшего распространения среди контактов жертв.

#ParsedReport #CompletenessMedium
08-01-2026

An In-Depth Analysis of AuraStealer-MaaS Obfuscation and Countermeasure Techniques

https://mp.weixin.qq.com/s/g6Jp46nUANJj6bTOGNTrug

Report completeness: Medium

Threats:
Aurastealer
Steganography_technique
Dll_sideloading_technique
Glassworm
Clickfix_technique
Lumma_stealer
Stealc
Vidar_stealer
Heavens_gate_technique
Rhadamanthys
Sandbox_evasion_technique
Antivm_technique
Antidebugging_technique
Anydesk_tool

Geo:
Estonia, Lithuania, Russian, Latvia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1059.001, T1204.002

IOCs:
File: 2
Path: 1
Hash: 12

Soft:
TikTok, Microsoft Defender, Discord, Telegram, Steam, KeePass, Bitwarden, 1Password, LastPass

Algorithms:
aes-cbc, exhibit, base64, fnv-1a, murmur3, mersenne_twister, xor

Functions:
NTDLL, IDA, AuraStealer

Win API:
WinMain, VirtualAlloc, MapFileAndCheckSumW, GetUserDefaultLCID, GetSystemDefaultLCID, GetLocaleInfoA, GetSystemTimePreciseAsFileTime, GetUserNameW, GetComputerNameW, GetComputerNameW GetComputerNameW, have more...

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AuraStealer - это вредоносное ПО по принципу "как услуга" (MaaS), стиллер информации, предназначенный для ОС Windows (от 7 до 11), способный извлекать данные из более чем 110 браузеров и 70 приложений, используя передовые методы запутывания и антианализа, чтобы избежать обнаружения. Распространяемый с помощью обманных кампаний "Сам себя обмани", он оснащен механизмом защиты от несанкционированного доступа и выполняет различные проверки для выявления защищенных сред, в конечном счете внедряя вредоносный код в браузеры для доступа к конфиденциальной информации. Его методичное сетевое поведение включает в себя взаимодействие с инфраструктурой управления для настройки и эксфильтрации данных.
-----

AuraStealer, появляющийся стиллер информации "Вредоносное ПО как услуга" (MaaS), продвигаемый с июля 2025 года, разработан таким образом, чтобы уклоняться как от статического, так и от динамического анализа с помощью передовых методов запутывания и антианализа. Разработанный на C++, он ориентирован на операционные системы Windows, от Windows 7 до Windows 11, с возможностями кражи данных из более чем 110 браузеров, 70 приложений (включая кошельки и инструменты 2FA) и более 250 расширений браузера. Несмотря на то, что программа рекламируется как сложная, существуют присущие ей недостатки, которые можно использовать для обнаружения.

Самое вредоносное ПО основном распространяется через "Афера по-себе" кампании, используя обманные видео, которые претендуют на руководство пользователя посредством активации программного обеспечения, но вместо этого дать пользователям возможность выполнять команды, которые загружают вредоносное содержимое. После развертывания AuraStealer использует различные стратегии запутывания, в том числе и непрямые запутывание потока управления, который заменяет прямые переходы и вызовы с косвенным звонки, усложняя статического анализа. Дополнительные методы включают шифрование строк и исключений-управляемый API для хэширования, которая скрывает ее вызова Windows API функции путем создания хэш-таблиц подстановки для ссылки на функции.

Реализация AuraStealer выходит за рамки базового запутывания и включает в себя методы антианализа. Он проверяет, выполняется ли он из защищенной среды, выполняя серию проверок, которые могут остановить выполнение при обнаружении отклонений. Примечательно, что он включает в себя механизм защиты от несанкционированного доступа, который проверяет целостность своего исполняемого файла с помощью контрольных сумм, и проверку геолокации, фильтрующую потенциальных жертв на основе кодов стран, гарантируя, что вредоносное ПО не запускается в регионах, перечисленных в его черном списке.

Другим важным аспектом AuraStealer является его тактика защиты от "песочницы", которая проверяет, были ли нарушены важные функции Windows, такие как режим ожидания. Подробная настройка и последовательности антианализа еще больше расширяют его возможности уклонения, включая проверку виртуализированных сред и средств отладки.

Процесс выполнения вредоносного ПО начинается с установки пользовательского обработчика исключений. После нескольких проверок он переходит к созданию мьютекса для предотвращения одновременного выполнения. Чтобы извлечь конфиденциальную информацию из браузеров на базе Chromium, AuraStealer обходит шифрование, привязанное к приложению (ABE), запуская браузер в безголовом режиме и внедряя вредоносный код для доступа к расшифрованным данным, таким как пароли и файлы cookie.

Он проверяет возможность подключения к определенной конечной точке DNS и, в случае успеха, общается с ее управление (С2) инфраструктуры, для получения файла конфигурации, который руководит ее деятельностью. Собранные данные тщательно разбиваются на более мелкие части и отправляются партиями, чтобы скрыть усилия по эксфильтрации. В целом, AuraStealer представляет серьезную угрозу через сложный использования приемов уклонения и широкие возможности таргетинга.

#ParsedReport #CompletenessHigh
08-01-2026

Under Medusas Gaze: How Darktrace Uncovers RMM Abuse in Ransomware Campaigns

https://www.darktrace.com/blog/under-medusas-gaze-how-darktrace-uncovers-rmm-abuse-in-ransomware-campaigns

Report completeness: High

Actors/Campaigns:
Spearwing (motivation: cyber_criminal)
Unc7885 (motivation: cyber_criminal)

Threats:
Medusa_ransomware
Fortra_tool
Simplehelp_tool
Screenconnect_tool
Atera_tool
Pdq_deploy_tool
Anydesk_tool
Ehorus_tool
N-able_tool
Splashtop_tool
Teamviewer_tool
Ninjaone_tool
Meshagent_tool
Rclone_tool
Robocopy_tool
Ngrok_tool
Byovd_technique
Burntcigar
Abyssworker
Passthehash_technique

Victims:
Healthcare, Multiple organizations

Industry:
Transport, Entertainment, Ics, Financial, Healthcare

Geo:
Russia, Japan, Emea, Middle east, Moscow, Russian, Americas, Africa, Asia-pacific

CVEs:
CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57727 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57726 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-57728 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 13
Technics: 13

IOCs:
Domain: 3
IP: 12
Path: 3
Command: 1
Url: 2
File: 1

Soft:
GoAnywhere, JWrapper, Navicat, PDQ Deploy, Component Object Model

Languages:
powershell, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Medusa как услуга (RaaS), действующая с 2025 года, использует сложную стратегию тройного вымогательства, включающую шифрование данных, угрозы утечки данных и DDoS-атаки, воздействии на более чем 500 организаций. Злоумышленники получают доступ через скомпрометированные учетные данные, приобретенные у брокеров первоначального доступа, используя уязвимости в неправильно сконфигурированных системах и используя инструменты удаленного мониторинга и управления, такие как JWrapper. Признаки компрометации включают подключения к серверам, контролируемым злоумышленниками, что указывает на тенденцию использования законных технологий при атаках программ-вымогателей.
-----

В 2025 году программа-вымогатель Medusa как услуга (RaaS) стала серьезной угрозой, признанной Агентством США по кибербезопасности и инфраструктурной безопасности (CISA) и Федеральным бюро расследований (ФБР) из-за ее воздействия на более чем 500 организаций к началу 2026 года. Группа действует под различными псевдонимами, включая Storm-1175 и Spearwing, и сотрудничает с брокерами первоначального доступа (IABs) и другими киберпреступными группировками, такими как Frozen Spider и UNC7885, для осуществления своих атак.

Medusa ransomware нацелена на широкий спектр секторов без разбора, включая здравоохранение. Он использует сложную стратегию тройного вымогательства, которая включает в себя не только шифрование данных и угрозу утечки данных, но и усиление давления с помощью распределенных атак типа "Отказ в обслуживании" (DDoS) и прямой связи с клиентами жертв. Чтобы получить первоначальный доступ, акторы Medusa обычно приобретают скомпрометированные учетные данные или учетные записи в IAB, которые используют фишинг, Подстановку украденных учетных данных или методы грубой силы. Они также используют уязвимости в неправильно сконфигурированных системах, подключенных к Интернету.

Darktrace сообщила о многочисленных случаях попыток шифрования файлов, связанных с Medusa, среди своих клиентов в период с декабря 2023 по ноябрь 2025 года, в некоторых случаях с успешными вмешательствами благодаря их способности автономного реагирования. Примечательной особенностью атак Medusa является злоупотребление инструментами удаленного мониторинга и управления (RMM), в частности JWrapper, который используется для управления приложениями Java. Развертывание JWrapper было связано с подключениями с серверов, контролируемых злоумышленниками, таких как SimpleHelp, и потенциальными сигнатурами скомпрометированных сред.

Во время фазы эксфильтрация данных Medusa Ransomware вымогателей, свидетельство эксфильтрация эксфильтрации направлены на определенные конечные точки, такие как erp.ranasons.com и каждый день.pintacuario.МХ, используя порты 443, 445, и 80. Согласно сообщениям последнего домен был ранее связан с simplehelp SimpleHelp, предлагая стратегический эксплуатации законные инструменты актеры опасным.

В одном инциденте, о котором сообщалось в четвертом квартале 2025 года, Darktrace оказала поддержку европейской организации, пострадавшей от Medusa, выявив проблемы с определением точки первоначального доступа из-за частичной видимости сети. Этот инцидент привлек внимание более широкой тенденции вымогателей групп, в том числе тех, которые связаны с национально-государственными субъектами, используя законные РММ инструменты для злонамеренных целях, а не традиционных троянов удаленного доступа.

Индикаторы компрометации (IOCs), наблюдаемые во время этих атак, включают IP-адреса, связанные с вредоносными серверами SimpleHelp. Это продолжающееся злоупотребление законными технологиями знаменует собой изменение тактики по сравнению с традиционными методами вымогательства, вызывая обеспокоенность по поводу растущей сложности киберугроз, таких как Medusa ransomware.

#ParsedReport #CompletenessHigh
05-01-2026

Analyzing PHALT#BLYX: How Fake BSODs and Trusted Build Tools Are Used to Construct a Malware Infection

https://www.securonix.com/blog/analyzing-phaltblyx-how-fake-bsods-and-trusted-build-tools-are-used-to-construct-a-malware-infection/

Report completeness: High

Actors/Campaigns:
Phaltblyx

Threats:
Clickfix_technique
Dcrat
Process_hollowing_technique
Meta_stealer
Redline_stealer
Vidar_stealer
Clipboard_injection_technique
Asyncrat
Dead_drop_technique
Lolbin_technique
Process_injection_technique
Spear-phishing_technique
Runpe_tool

Victims:
Hospitality sector, European organizations

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 6
Technics: 8

IOCs:
File: 21
Url: 2
Domain: 8
Command: 2
Path: 2
IP: 3
Hash: 16

Soft:
Windows Defender, Active Directory, NET Framework

Algorithms:
aes-256-cbc, sha256, base64, exhibit, pbkdf2, aes-256, hmac

Functions:
Set-MpPreference, DeleteApp, ComputerInfo, ReadServertData

Win API:
GetCurrentProcess

Win Services:
BITS

Languages:
javascript, powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4