#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанный с Северной Кореей злоумышленник расширил свою кампанию Contagious Interview, используя код Microsoft Visual Studio и вредоносные репозитории Git на таких платформах, как GitHub и GitLab, чтобы заманить жертв к клонированию зараженного кода. Основным вредоносным компонентом является JavaScript- бэкдор, характеризующийся избыточным кодом, который не препятствует его эффективности и выполняется через Node.js , обеспечивающий Удаленное Выполнение Кода и связь C2. После первоначального заражения были выполнены дополнительные полезные загрузки JavaScript для поддержания закрепления и продолжения взаимодействия с инфраструктурой C2.
-----

Недавнее исследование Jamf Threat Labs выявило расширение масштабов злоупотребления кодом Microsoft Visual Studio (VS Code) со стороны связанного с Северной Кореей злоумышленника, участвующего в кампании Contagious Interview. Эта кампания, которая ранее привлекала внимание своими методами обмана при наборе персонала, эволюционировала, чтобы использовать вредоносные репозитории Git, размещенные на таких платформах, как GitHub и GitLab, в качестве источника первоначального заражения. Жертв заманивают к клонированию и запуску этих хранилищ под видом предложений о работе или технических заданий.

Основным вредоносным компонентом является полезная нагрузка JavaScript, которая после выполнения действует как бэкдор. Примечательно, что эта полезная нагрузка характеризуется большим количеством постороннего кода, включая неиспользуемые функции и избыточную логику, что усложняет сценарий, не влияя на его эффективность работы. Конкретный хэш для этой полезной нагрузки - SHA256: 932a67816b10a34d05a2621836cdf7fbf0628bbfdf66ae605c5f23455de1e0bc. Полезная нагрузка выполняется с использованием Node.js , где он передается как один большой аргумент, позволяя основным подпрограммам бэкдора предоставлять такие функциональные возможности, как Удаленное Выполнение Кода, системная дактилоскопия и непрерывная связь с серверами командования и контроля (C2).

Наблюдение за скомпрометированными системами показало, что дальнейшие инструкции JavaScript были выполнены примерно через восемь минут после первоначального заражения. Эта последующая полезная нагрузка сохраняла аналогичную структуру и функциональность, подключаясь обратно к той же инфраструктуре C2, демонстрируя стратегическое закрепление тактики злоумышленника.

#ParsedReport #CompletenessLow
21-01-2026

Keeping the Kimwolf at bay: putting a leash on a massive DDoS Botnet.

https://www.linkedin.com/pulse/keeping-kimwolf-bay-putting-leash-massive-ddos-botnet-t1pyc/

Report completeness: Low

Threats:
Kimwolf
Rapperbot
Aisuru

Geo:
Canadian

ChatGPT TTPs:
do not use without manual check
T1090, T1498, T1583.003, T1584.003

IOCs:
IP: 6
Domain: 4

Win Services:
bits

Platforms:
arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Aisuru стала доминирующим игроком на DDoS-атаки, добиваясь рекордных нападений превышает одиннадцать триллионов бит в секунду, к сентябрю 2025 года с его ботнет наращивание от 50 000 до 200 000 ботов. Этот бурный рост указывает на планомерная работа актеров опасный для расширения возможностей вслед за снижением RapperBot. Люмен предпринял действие за счет нарушения операций, связанных с за команду управление узлы, связанные с Aisuru, иллюстрирующие скоординированный ответ на это развивается опасная.
-----

После падения RapperBot в августе 2025 года Aisuru вновь стала ведущей силой в области распределенных атак типа "Отказ в обслуживании" (DDoS), продемонстрировав беспрецедентные возможности. К сентябрю 2025 года этот ботнет совершал рекордные атаки, направляя на свои цели более одиннадцати триллионов бит в секунду. Black Lotus Labs, использующая глобальную магистраль Lumen, наблюдала значительный рост трафика ботов, направленного на инфраструктуру управления Aisuru's (C2), при этом количество ботов, подключенных к этой сети, за короткий промежуток времени выросло с 50 000 до 200 000. Эта эскалация соответствовала интенсивности нападений, о которых сообщалось.

В ответ на этот тревожный рост, люмен начаты активные меры для противодействия угрозы со стороны Aisuru ботнет. В начале октября организация удалось нуль-маршрут движения к более 550 С2 узлы, связанные с Aisuru, эффективно прерывая работу сети. Анализ показал, что быстрый рост Aisuru не просто спонтанное явление; скорее, это было частью систематической работы по субъектам опасный для укрепления их потенциала после снижения предыдущих ботнетов. В рамках совместных усилий с правоохранительными органами и партнерами по отрасли, люмен удалось собрать воедино сложных работе Aisuru, выявляя не только в масштабах ботнет а также лиц, ответственных за его расширение.

#ParsedReport #CompletenessLow
21-01-2026

Android-Phantom family Trojans infiltrate smartphones along with games and pirated mods of popular apps. They use machine learning and video broadcasts to bait clicks Dr.Web vxCube sandbox update coming

https://news.drweb.ru/show/?i=15110&lng=ru&c=5

Report completeness: Low

Threats:
Phantom_malware

Victims:
Android users

Geo:
Russian, Spanish, Asian, French, German, Italian, Polish

ChatGPT TTPs:
do not use without manual check
T0822, T1105, T1204

IOCs:
File: 5
Url: 4

Soft:
Android, WebRTC, Telegram, Deezer, Discord

Functions:
GetApps

Languages:
java, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Семейство троянов Android-Phantom нацелено на смартфоны с помощью игр и пиратских модификаций приложений, используя функциональность кликера для автоматизации взаимодействия с рекламой с целью получения прибыли. Управляемые через командный сервер по адресу hxxps://dllpgd.click, эти трояны используют машинное обучение и видеотрансляции, чтобы обманом заставить пользователей взаимодействовать с вредоносным контентом. Эта возникающая угроза подчеркивает уязвимости в мобильных платформах, особенно среди пользователей неофициальных приложений.
-----

Семейство троянов Android-Phantom было идентифицировано как новая угроза, нацеленная на смартфоны путем проникновения в них через игры и пиратские модификации популярных приложений. Эти трояны обладают функциональностью кликера, что означает, что они автоматизируют взаимодействие с рекламой или другим интерактивным контентом для получения дохода злоумышленниками. Основное управление троянами выполняется через командный сервер, который, в частности, находится по адресу hxxps://dllpgd.click.

Эти трояны используют передовые технологии, такие как машинное обучение и видеотрансляции, чтобы повысить свою способность обманом заставлять пользователей переходить по Вредоносным ссылкам или рекламе. Интеграция машинного обучения предполагает, что вредоносное ПО может адаптировать свое поведение на основе взаимодействий с пользователем, потенциально повышая количество кликов или тактику уклонения от механизмов обнаружения. Видеотрансляции, вероятно, используются для создания привлекательного и заманчивого контента, что еще больше повышает вероятность взаимодействия с пользователем.

Поскольку устройства Android обычно нацелены на широкую пользовательскую базу, появление семейства Android-Phantom представляет значительную угрозу, особенно для тех, кто устанавливает неофициальные или пиратские приложения. Распространение этого типа вредоносного ПО подчеркивает сохраняющуюся проблему защиты мобильных платформ от все более изощренных форм киберэксплуатации.

#ParsedReport #CompletenessHigh
21-01-2026

Inside MacSync's Script-Driven Stealer and Hardware Wallet App Trojanization

https://www.cloudsek.com/blog/inside-macsyncs-script-driven-stealer-and-hardware-wallet-app-trojanization

Report completeness: High

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Clickfix_technique
Chainbreaker_tool
Macsyncstealer

Victims:
Macos users

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.004, T1204.002, T1566.002

IOCs:
File: 7
Url: 1
Domain: 14
Coin: 1
Hash: 2

Soft:
macOS, Gatekeeper, Electron, curl, Mac OS, Chrome, Google Chrome, Microsoft Edge, Opera, Vivaldi, have more...

Wallets:
metamask, coinbase, nifty, math_wallet, ronin_wallet, aptos_wallet, yoroi, solflare, keplr, tezbox, have more...

Crypto:
binance, tezos, bitcoin

Algorithms:
gzip, zip, base64, sha256

Functions:
daemon_function, GrabFolder, GrabFolderLimit

Win API:
Arc

Languages:
applescript, javascript

Platforms:
apple, intel

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 4, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Схема фишинга, имитирующая страницу входа в систему Microsoft, перенаправляла пользователей на вредоносный установщик macOS, что приводило к установке стиллера MacSync, недорогого инструмента "Вредоносное ПОкак услуга". Это вредоносное ПО, являющееся развитием стиллера Mac.c, захватывает конфиденциальную информацию с зараженных устройств macOS, такую как учетные данные и персональные данные. Атака подчеркивает риски тактики социальной инженерии, используемой для манипулирования пользователями с целью выполнения вредоносных команд в терминале.
-----

Недавнее расследование фишинг-домена, похожего на страницу входа в систему Microsoft, выявило сложную схему, включающую перенаправление на сайт, на котором размещен вредоносный установщик macOS cloud storage. Эта вредоносная страница была разработана с использованием сложных методов, характерных для приманок в стиле ClickFix style, с целью заманить ничего не подозревающих пользователей. Критическим действием в этой атаке было побуждение пользователей выполнить вводящую в заблуждение команду терминала, которая инициировала установку стиллера MacSync.

MacSync классифицируется как бюджетное средство "Вредоносное ПО как услуга" (MaaS) и является развитием ранее идентифицированного стиллера Mac.c. После установки MacSync работает путем сбора конфиденциальной информации с зараженных устройств macOS, включая учетные данные и персональные данные, подчеркивая текущие угрозы, которые представляет такое вредоносное ПО-стиллер для пользователей экосистемы Apple. Использование тактики социальной инженерии для убеждения пользователей выполнять команды непосредственно в их терминале подчеркивает необходимость повышения осведомленности о безопасности и бдительности пользователей macOS в отношении аналогичных фишингов и Вредоносных Кампаний.

#ParsedReport #CompletenessLow
21-01-2026

Analysis of HEURRemoteAdmin.GoToResolve.gen

https://www.pointwild.com/threat-intelligence/analysis-of-heurremoteadmin-gotoresolve-gen

Report completeness: Low

Threats:
Gotoresolve_tool
Conti
Cactus_ransomware
Bibi-wiper

Geo:
Usa

ChatGPT TTPs:
do not use without manual check
T1204, T1219, T1489, T1547

IOCs:
File: 4
Hash: 8

Soft:
Microsoft Visual C++

Algorithms:
zip, exhibit, md5, sha256, sha1

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
HEURRemoteAdmin.GoToResolve.gen классифицируется как потенциально нежелательное приложение (PUA), которое вызывает опасения по поводу безопасности из-за его возможностей автоматической установки и функций, напоминающих те, которые используются группами программ-вымогателей. Его исполняемый файл, GoToResolveUnattended.exe , может способствовать несанкционированному удаленному доступу и завершению процесса, что делает его потенциальным инструментом для злоумышленников, устанавливающих вредоносное ПО или сохраняющих контроль над скомпрометированными системами. Несмотря на то, что цифровая подпись является законной, ее поведение создает значительные риски в отношении конфиденциальности пользователей и безопасности системы.
-----

Анализ HEURRemoteAdmin.GoToResolve.gen указывает, что это потенциально нежелательное приложение (PUA), связанное с программным обеспечением автоматического доступа GoTo Resolve, может представлять значительную угрозу безопасности в неконтролируемых средах. Хотя приложение служит законным целям, предоставляя ИТ-специалистам удаленный доступ для получения поддержки, его поведение вызывает опасения относительно производительности системы и конфиденциальности пользователей. Исполняемый файл, GoToResolveUnattended.exe , облегчает автоматическую установку и выполнение фоновых процессов, что происходит без явного согласия пользователя.

Важным аспектом анализа является загрузка диспетчера перезапуска (RstrtMgr.dll ), библиотека, известная своим использованием в операциях с программами-вымогателями, таких как те, которые проводятся Conti и Cactus ransomware groups. Эта функциональность позволяет злоумышленникам завершать процессы, которые в противном случае могли бы помешать вредоносным действиям, что является примером потенциального неправильного использования приложения в средах, где отсутствует надежный надзор. Наличие таких возможностей подразумевает, что этот инструмент может быть использован злоумышленниками для установки вторичного вредоносного ПО или поддержания постоянного контроля над скомпрометированными системами.

Несмотря на то, что приложение имеет цифровую подпись GoTo Technologies USA, LLC, что указывает на его законное происхождение, поведение приложения оправдывает его классификацию как представляющего угрозу безопасности. Скрытая установка возможностей удаленного доступа обеспечивает вектор атаки, который может быть использован злоумышленниками для несанкционированного контроля. Несмотря на то, что во время первоначального выполнения не было обнаружено прямой вредоносной полезной нагрузки, риск, связанный с функцией удаленного доступа, остается повышенным.

Учитывая эти выводы, организациям рекомендуется обратиться к HEURRemoteAdmin.GoToResolve.gen с осторожностью. Развертывание инструмента должно тщательно контролироваться и управляться в соответствии со строгими политиками безопасности, чтобы снизить риск эксплуатации. Рекомендуемые меры по снижению рисков включают внесение приложений в белый список и расширенный мониторинг конечных точек, а также повышение осведомленности пользователей о рисках, связанных с несанкционированными ПО для удаленного доступа. Обнаружение этого образца с помощью security solutions дополнительно подтверждает его классификацию как PUA с потенциально значительным профилем угроз.

#ParsedReport #CompletenessHigh
21-01-2026

PyPI Package Impersonates SymPy to Deliver Cryptomining Malware

https://socket.dev/blog/pypi-package-impersonates-sympy-to-deliver-cryptomining-malware

Report completeness: High

Threats:
Typosquatting_technique
Xmrig_miner

Victims:
Developers, Sympy users

Industry:
Education

TTPs:
Tactics: 1
Technics: 10

IOCs:
IP: 4
File: 13
Url: 4
Hash: 2

Soft:
SymPy, Outlook, Linux

Algorithms:
sha256

Functions:
groebner, roots_cubic

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Пакет "sympy-dev", вредоносный вариант законной библиотеки SymPy на PyPI, иллюстрирует угрозы typosquatting в Цепочке поставок программного обеспечения. Пакет выполняет вредоносный код во время вызовов полиномиальной процедуры, что приводит к загрузке полезной нагрузки второго этапа, содержащей двоичные файлы Linux ELF, связанные с криптоминером XMRig, которые упакованы в UPX для запутывания. В этой атаке используются методы из платформы MITRE ATT&CK, такие как Компрометация цепочки поставок и Несанкционированное использование ресурсов.
-----

Недавнее обнаружение было сосредоточено на вредоносном пакете с именем "sympy-dev", который выдает себя за законный пакет SymPy в индексе пакетов Python (PyPI), который ежемесячно загружается примерно на 85 миллионов. Этот случай иллюстрирует сохраняющуюся угрозу typosquatting в Цепочке поставок программного обеспечения. Разработчики часто полагаются на знакомые имена пакетов при установке с помощью pip, часто упуская из виду детали, которые могут указывать на вредоносный вариант. Небольшая ошибка, такая как неправильный ввод названия пакета или копирование ошибочных записей из файлов требований, может привести к установке вредоносного программного обеспечения.

Вредоносный код в пакете "sympy-dev" запускается при выполнении определенных полиномиальных процедур, что позволяет ему вписаться в обычное использование подлинной библиотеки SymPy, не вызывая подозрений. Это затрудняет обнаружение, поскольку многие среды, использующие SymPy, могут не досконально проверять все возможные пути кода в полиномиальных функциях.

В ходе тестирования, проведенного в контролируемой среде, вредоносный код был выполнен, и было обнаружено, что он загружает полезную нагрузку второго этапа из инфраструктуры злоумышленника. Эта полезная нагрузка состоит из двоичных файлов Linux ELF, демонстрирующих поведение, характерное для криптоминера XMRig, конкретно идентифицируемых по их хэшам SHA-256: 90f9f8842ad1b824384d768a75b548eae57b91b701d830280f6ed3c3ffe3535e и f454a070603cc9822c8c814a8da0f63572b7c9329c2d1339155519fb1885cd59. Более того, эти двоичные файлы упакованы в UPX, что указывает на попытку скрыть их истинную функцию. В то время как основным наблюдаемым действием был криптомайнинг, полезная нагрузка на основе Python действует как загрузчик, способный извлекать и выполнять произвольный код в контексте запущенного процесса Python.

Тактика это нападение выровнять с помощью нескольких методов, перечисленных в рамках Митре АТТ&СК, в том числе компрометация цепочки поставок (T1195.002), выполнение пользователей через вредоносные библиотеки (T1204.005), и несанкционированное использование ресурсов для вычислительных целей (T1496.001), среди других. Это подчеркивает важность бдительности в управлении программное обеспечение и потенциальные риски, связанные с зависимостью от сторонних пакетов, особенно в условиях, когда они сильно используются.

#ParsedReport #CompletenessLow
21-01-2026

Malicious PixelCode Delivery Technique

https://github.com/S3N4T0R-0X0/Malicious-PixelCode/blob/main/README.md

Report completeness: Low

Threats:
Pixelcode_technique
Bear-c2

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1071.001, T1105, T1140, T1573.001

IOCs:
File: 2
Path: 1

Algorithms:
aes-cbc, base64

Languages:
python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Технология доставки вредоносного PixelCode демонстрирует метод, при котором вредоносное ПО кодируется в пиксельных данных мультимедийных файлов, обеспечивая скрытую доставку и уклонение от обнаружения. Конкретная реализация включает в себя полезную нагрузку обратной оболочки Windows на C++, которая поддерживает соединение со своим сервером управления с использованием шифрования AES-CBC. Чтобы внедрить полезную нагрузку, инструмент Python преобразует исполняемый файл в пиксельный код, который затем извлекается из видео MP4 с помощью stager на Python, демонстрируя передовые методы обфускации для доставки вредоносного ПО.
-----

Технология доставки вредоносного PixelCode иллюстрирует инновационный метод кодирования исполняемых файлов в пиксельные данные, встроенные в изображения или видео. Этот подход в первую очередь направлен на демонстрацию скрытой доставки данных и тактики запутывания, которые могут быть незаконно присвоены злонамеренными акторами. Преобразуя вредоносное ПО в визуальный формат, злоумышленники могут маскировать вредоносные двоичные файлы или скрипты под безобидный мультимедийный контент, тем самым совершенствуя свои стратегии уклонения от механизмов обнаружения.

Конкретный пример этого метода включает скрытую полезную нагрузку обратной оболочки Windows, реализованную на C++. Эта полезная нагрузка предназначена для поддержания постоянного соединения с сервером управления посредством шифрования AES-CBC, использующего жестко закодированный статический ключ в сочетании со случайными векторами инициализации для безопасной связи. Он идентифицирует себя с помощью уникального идентификатора, выполняет команды с помощью cmd.exe или PowerShell, поддерживает навигацию по каталогам и потоковую передачу выходных данных команд в режиме реального времени. Важно отметить, что он работает без отображения окна консоли и способен автоматически подключаться повторно, если соединение нарушено, эффективно функционируя как троян удаленного доступа, предназначенный для контроля фазы после эксплуатации.

Для облегчения встраивания полезной нагрузки в пикселях, скомпилированный исполняемый файл обрабатывается с помощью Python-средство на основе специально созданных для преобразования двоичных данных в так называемой код пикселя. Это преобразование результатов в визуальное представление, часто в виде файла МР4, в котором двоичные данные переплетается с пиксельными значениями по видеокадрам.

Поскольку оригинал c++ полезной нагрузки не хватает необходимой мультимедийной библиотеки для декодирования кода пикселя в исполняемой форме, а Python стагер используется для этой цели. Этот Python на Python компилируется в исполняемый файл, а затем base64-кодировке, что позволяет ему быть прямо включены в основной код C++ погрузчик наряду URL-адрес с YouTube, который служит средством для поиска информации.

Как только видео в формате MP4 загружено, stager на Python обрабатывает его кадр за кадром, извлекая закодированные пиксельные данные и восстанавливая исходный исполняемый файл в памяти. Эта операция демонстрирует передовую технику обфускации и доставки вредоносного ПО, предоставляя злоумышленникам новые возможности для скрытого выполнения вредоносного кода.