#ParsedReport #CompletenessLow
11-06-2025

Tracing Silver Fox The Winos 4.0 Campaign Behind Operation Holding Hands

https://somedieyoungzz.github.io/posts/silver-fox/

Report completeness: Low

Actors/Campaigns:
Silver_fox (motivation: cyber_espionage)

Threats:
Winos
Uac_bypass_technique

Victims:
Japanese users

Geo:
Taiwan, Chinese, China, Japan, Japanese

ChatGPT TTPs:
do not use without manual check
T1005, T1012, T1027, T1036.005, T1055, T1056.001, T1059.003, T1071.001, T1083, T1105, have more...

IOCs:
File: 13
Path: 2
IP: 5

Soft:
Discord, Twitter

Algorithms:
zip

Functions:
TaskServer

Win API:
WriteFile, LoadLibrary, CreateProcessW, ShellExecuteExA, CoInitialize, CoCreateInstance, GetModuleFileNameA, CreateFileA, ReadFile, VirtualFree, have more...

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО, использующее украденные цифровые подписи, нацелено на японских пользователей с помощью фишинга, используя бэкдор с проверкой повышенных привилегий и методами обфускации. Он взаимодействует с сервером C2, подключенным к вредоносному ПО "Winos 4.0", связанному с китайской группой "Silver Fox", что указывает на продолжающуюся шпионскую деятельность.
-----

Авторы вредоносных программ все чаще используют законные цифровые подписи, чтобы избежать обнаружения и повысить доверие пользователей. Недавний анализ был сосредоточен на образце бэкдора, известном как ".exe" (переводится как Уведомление о системе оплаты труда Revision.exe ), который распространялся через фишинговые сайты, ориентированные на японских пользователей. Эта вредоносная программа подписана украденным сертификатом от "Sid Narayanan Ltd" и является частью более широкой кампании, в которой используются различные цифровые сертификаты. Во время технической проверки с помощью PE Studio было обнаружено несколько подозрительных импортных файлов, указывающих на вредоносное поведение, включая ShellExecute, WriteFile и LoadLibrary.

Пример ".exe" содержит путь к базе данных встроенной программы (PDB), что указывает на ее функциональность в качестве бэкдора. Анализ показал, что вредоносная программа инициализирует идентификатор безопасности (SID) с предопределенными значениями и проверяет, запущен ли процесс с правами администратора, что указывает на необходимость повышения привилегий. Затем она извлекает локальный каталог данных приложения и создает в нем подкаталог с именем "a". Создается ZIP-файл 'a.zip', в котором полезная нагрузка перед записью на диск обфускируется с помощью многобайтового преобразования, основанного на фиксированном ключе в памяти.

Бэкдор предназначен для запуска другого исполняемого файла, "Run.exe", из указанного каталога с определенными параметрами запуска, чтобы обеспечить чистое выполнение. Он использует такие методы, как CreateProcessW, и использует ShellExecuteExA, чтобы обойти контроль учетных записей пользователей (UAC) для повышения привилегий, когда это необходимо. Вредоносная программа поддерживает связь со своим командно-контрольным сервером (C2), ежеминутно отправляя импульсные пакеты для подтверждения подключения.

Дальнейшее расследование установило связь между IP-адресом сервера C2 и вредоносной программой "Winos 4.0", нацеленной преимущественно на пользователей на Тайване, и данными, указывающими на то, что она также нацелена на Японию. Платформа Winos 4.0, известная своей причастностью к недавней шпионской деятельности на китайском языке, была связана с китайской хакерской группой, известной как "Silver Fox". Охранные фирмы подтвердили эту связь, подчеркнув характеристики вредоносного ПО и его оперативную связь с китайской киберпреступностью. Примечательно, что наряду с китайским аналогом был замечен инструмент удаленного доступа с совпадающими идентификаторами, что подчеркивает обширный спектр угроз, создаваемых этим вредоносным ПО.

#ParsedReport #CompletenessHigh
11-06-2025

Toxic trend: Another malware threat targets DeepSeek

https://securelist.com/browservenom-mimicks-deepseek-to-use-malicious-proxy/115728/

Report completeness: High

Threats:
Browservenom_tool
Fakecaptcha_technique
Trojan.win32.generic
Selfdel

Geo:
Egypt, India, Brazil, Mexico, Nepal, South africa, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1036.005, T1041, T1059.001, T1070.006, T1071.001, T1090.001, T1112, T1140, have more...

IOCs:
Url: 3
File: 13
Path: 1
Domain: 5
IP: 1
Hash: 2

Soft:
DeepSeek, DeepSeek-R1, deepseek r1, Ollama, LM Studio, Windows Defender, Chrome, Microsoft Edge, Tor Browser, opera, have more...

Algorithms:
aes-256-cbc, aes

Functions:
GetTempPath, GetSystemVersion, WriteAllBytes, ReadWrite

Win Services:
WebClient

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая киберкампания использует языковую модель DeepSeek-R1, используя фишинговые сайты для распространения вредоносного ПО, замаскированного под законное программное обеспечение. Атака включает загрузку вредоносного файла, AI_Launcher_1.21.exe который устанавливает BrowserVenom для перехвата трафика браузера через настройки прокси-сервера, что влияет на пользователей по всему миру.
-----

Недавняя аналитическая информация от хакеров выявила появление новой вредоносной кампании, использующей популярность языковой модели DeepSeek-R1. хакеры в настоящее время используют методы вредоносной рекламы, нацеливаясь на пользователей, которые ищут контент, связанный с DeepSeek. В этих атаках используется фишинговый сайт, который выдает себя за официальную домашнюю страницу DeepSeek, продвигаемую в результатах поиска с помощью рекламы Google, для распространения вредоносного ПО, замаскированного под законную программу установки среды DeepSeek.

Фишинговый веб-сайт, расположенный по адресу https://deepseek-platform.com, использует процесс, в ходе которого определяется операционная система пользователя. Для пользователей Windows вводящая в заблуждение кнопка "Попробуйте сейчас" перенаправляет их на экран ввода капчи, предназначенный для подтверждения того, что они являются людьми, и использующий запутанный JavaScript для проверки на боты. После успешной проверки пользователи перенаправляются на загрузку вредоносного файла с именем AI_Launcher_1.21.exe с другого вредоносного домена. Этот файл идентифицируется как установщик для последующего этапа внедрения вредоносного ПО.

После выполнения AI_Launcher_1.21.exe запускает окно с поддельным вводом капчи и пытается обойти защиту Windows Defender, отключив папку пользователя от защиты. Это достигается с помощью команды PowerShell, для которой требуются права администратора. После этого вредоносная программа запускает другую команду PowerShell для загрузки дополнительного исполняемого файла из динамически созданного домена, сохраняя его в каталоге профиля пользователя.

Полезная нагрузка второго этапа, идентифицированная как BrowserVenom, значительно расширяет вредоносные возможности атаки. Эта вредоносная программа перестраивает веб-браузеры в зараженной системе для маршрутизации трафика через прокси-сервер, контролируемый злоумышленниками. Он устанавливает жестко запрограммированный SSL-сертификат и изменяет настройки прокси-сервера как в браузерах на базе Chromium, так и в браузерах на базе Gecko, чтобы облегчить перехват данных, позволяя злоумышленникам отслеживать все действия в интернете и манипулировать ими, одновременно расшифровывая данные о трафике.

Геопространственный анализ показывает, что эти атаки географически разнообразны: случаи заражения зарегистрированы в Бразилии, на Кубе, в Мексике, Индии, Непале, Южной Африке и Египте, что отражает широкий спектр международных угроз. Использование сложных инструментов, таких как BrowserVenom, усложняет работу по обнаружению, поэтому пользователям крайне важно тщательно проверять результаты поиска и быть уверенными в том, что они загружают программное обеспечение из законных источников. Продукты безопасности, такие как Kaspersky, характеризуют эту угрозу как Trojan.Win32.Generic и Trojan.Win32.SelfDel.iwcv, что свидетельствует о необходимости принятия надежных мер кибербезопасности для предотвращения подобных заражений.

#ParsedReport #CompletenessMedium
11-06-2025

Beware of AI pickpockets: Pickai backdoor is spreading through ComfyUI vulnerabilities

https://blog.xlab.qianxin.com/pickai_backdoor_exploits_comfyui-is-your-ai-at-risk_cn/

Report completeness: Medium

Threats:
Pickai
Supply_chain_technique

Industry:
E-commerce, Education, Retail

Geo:
Singapore, Rwanda, China, Egypt, American, Hong kong, Middle east, Germany, Egyptian, Switzerland, Tanzania, India

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 3
File: 6
Hash: 7

Soft:
systemd, docker

Algorithms:
md5

Languages:
javascript

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец Pickai использует уязвимости в ComfyUI для кражи данных искусственного интеллекта и выполнения удаленных команд. Он обладает надежными методами маскировки, сохраняемостью через системные службы и взаимодействует с несколькими серверами C2 для получения инструкций, что затрудняет обнаружение.
-----

В статье рассматривается недавно обнаруженный троян-бэкдор под названием Pickai, также известный как AI pickpocket, который использует уязвимости в ComfyUI. Он распространяется через, казалось бы, безобидные конфигурационные файлы, такие как настройки JSON и TMUX, и характеризуется возможностью кражи конфиденциальных данных искусственного интеллекта. Разработанный на C++, Pickai предназначен для удаленного выполнения команд и установки оболочек восстановления, демонстрируя надежные функции маскировки и сохранения. Он использует методы защиты от отладки и маскировки процессов, используя различные механизмы для сохранения на скомпрометированных хостах.

Pickai взаимодействует с несколькими серверами управления (C2), встроенными в его код, что обеспечивает избыточность, которая помогает поддерживать управление, даже если некоторые серверы становятся неактивными. В ходе обратного анализа было установлено, что домен C2 h67t48ehfth8e.com изначально был незарегистрирован, но позже был приобретен исследователями в области безопасности, что позволило раскрыть подробности активности вредоносного ПО, включая статистику заражения, указывающую на почти 700 скомпрометированных серверов по всему миру, в основном в Германии, Соединенных Штатах и Китае.

Анализ также выявил хронологию активности Pickai. Как и другие вредоносные программы, он подвергся обновлениям, причем одна из версий использует сервер C2 с номером 78.47.151.49. Охранная компания XLab попыталась уведомить Rubick.ai платформу, на которой предположительно размещалась вредоносная программа, но ответа не получила. В мае 2025, было обнаружено, что образцы Pickai причинно связанные с развивающимся риск нападение на сеть снабжения, учитывая Рубик.обширная клиентская база ИИ в электронной коммерции.

Технические подробности указывают на то, что после запуска Pickai расшифровывает свои строки конфигурации, чтобы установить связь C2 и реализовать механизмы сохранения. Примечательно, что он использует службы init.d и systemd в Linux для обеспечения надежной работы в системах. Стратегия сохранения данных Pickai предполагает дублирование по нескольким путям к файлам и привязку измененных временных меток к легитимным системным двоичным файлам, что снижает затраты на обнаружение.

Кроме того, цикл взаимодействия вредоносного ПО включает регулярные проверки на серверах C2 по точному расписанию, включая предоставление информации об устройстве каждые 20 минут и подключение для получения дальнейших инструкций каждые две минуты. Это постоянство отражается в тщательной разработке коммуникационных протоколов, которые усложняют обнаружение за счет создания различных названий процессов и активных подключений к нескольким C2s.

# technique

dark-kill
A user-mode code and its rootkit that will Kill EDR Processes permanently by leveraging the power of Process Creation Blocking Kernel Callback Routine registering and ZwTerminateProcess.

https://github.com/SaadAhla/dark-kill

FYI

Apache Kafka 客户端：任意文件读取和 SSRF 漏洞 POC
https://github.com/kk12-30/CVE-2025-27817
#poc #github #漏洞情报

#ParsedReport #CompletenessLow
12-06-2025

Call Stacks: No More Free Passes ForMalware

https://www.elastic.co/security-labs/call-stacks-no-more-free-passes-for-malware

Report completeness: Low

Threats:
Silentmoonwalk_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1055.002, T1055.004, T1106, T1129, T1546.010, T1562.001, T1620

IOCs:
File: 14
Hash: 3

Soft:
Event Tracing for Windows, Windows Error Reporting

Algorithms:
sha256

Functions:
Win32StartAddress, Native, Get-InjectedThreadEx, Windows

Win API:
VirtualProtect, RtlUserThreadStart, RtlUserFiberStart

Platforms:
x64, intel

Links:
https://github.com/jdu2600/conference\_talks/blob/main/2022-04-csidescbr-StackWalking.pdf
have more...
https://github.com/elastic/protections-artifacts/blob/3537aa4ed9c7ed9dcd04da2efafbad38af47a017/behavior/rules/windows/defense\_evasion\_virtualprotect\_via\_vectored\_exception\_handling.toml
https://github.com/search?q=repo%3Aelastic%2Fprotections-artifacts+call\_stack\_final\_user\_module&type=code

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ стека вызовов улучшает обнаружение вредоносных программ в Windows, выявляя пути выполнения и источники действий, улучшая идентификацию вредоносного поведения. Злоумышленники используют неоднозначность выполнения процессов, чтобы избежать обнаружения, манипулируя API и структурами для сокрытия своих действий. Такое тщательное изучение аномалий стека вызовов помогает отличить законное поведение от вредоносного, способствуя более эффективным стратегиям обнаружения возникающих угроз.
-----

Стеки вызовов при обнаружении вредоносных программ позволяют получить представление о путях выполнения в системах Windows, улучшая идентификацию вредоносного поведения. Разработчики вредоносных программ используют такие методы, как фреймы стека trampoline, чтобы скрыть свои действия. Эффективное обнаружение преобразует адреса памяти в смещения для лучшей ситуационной осведомленности. Обычные стеки вызовов обычно начинаются с ntdll.dll, за которыми следует kernel32.dll, завершаясь пользовательским модулем. Аномалии в этом потоке могут указывать на вредоносную активность. Elastic анализирует конечную информацию о пользовательском модуле, включая хэши и сигнатуры, для оценки нормальности поведения. Компоненты начального стека, такие как LdrInitializeThunk, имеют решающее значение, поскольку они предоставляют вредоносному ПО возможность запуска до обнаружения. Функции обработки исключений в пользовательском режиме могут быть использованы вредоносным ПО для уклонения от обнаружения. Механизмы обратного вызова ядра могут указывать на потенциальный захват потока. Тщательная проверка стеков вызовов выявляет методы уклонения, такие как подмена адреса возврата, и помогает установить базовые параметры поведения легитимных приложений, что затрудняет маскировку вредоносных программ. Постоянное совершенствование анализа стека вызовов позволяет разрабатывать стратегии обнаружения в соответствии с меняющейся тактикой вредоносных программ.

#ParsedReport #CompletenessLow
12-06-2025

June 2025 Patch Tuesday Fixes 67 Flaws & 2 Zero-Days; Critical Ivanti IWC Updates

https://socradar.io/june-2025-patch-tuesday-fixes-67-flaws-2-zero-days/

Report completeness: Low

Actors/Campaigns:
Stealth_falcon

Threats:
Spear-phishing_technique
Lolbin_technique
Horus_agent
Mythic_c2

Victims:
Defense contractor

Industry:
Government

Geo:
Turkey, Middle east, Africa

CVEs:
CVE-2025-29828 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33070 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47167 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47162 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33071 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33073 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32710 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32714 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-22463 [Vulners]
CVSS V3.1: 7.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47164 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32713 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32717 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-33053 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows 10 1507 (<10.0.10240.21034)
- microsoft windows 10 1607 (<10.0.14393.8148)
- microsoft windows 10 1809 (<10.0.17763.7434)
- microsoft windows 10 21h2 (<10.0.19044.5965)
- microsoft windows 10 22h2 (<10.0.19045.5965)
have more...
CVE-2025-22455 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47962 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5353 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47953 [Vulners]
CVSS V3.1: 8.4,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-47172 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003, T1056.001, T1105, T1204.001, T1218, T1566.001, T1583.001

Soft:
Ivanti, Microsoft Office, SharePoint Server, windows smb client, SMB server, Windows SMB, Microsoft SharePoint Server, Windows Remote Desktop Services, Microsoft Word, Windows Common Log File System Driver, have more...

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Две уязвимости нулевого дня - CVE—2025-33053, используемая APT-группой "Stealth Falcon" для удаленного выполнения кода через WebDAV, и CVE-2025-33073, позволяющая повысить привилегии через вредоносный SMB—сервер, - представляют серьезную угрозу. Организациям необходимо срочно устранить эти недостатки, а также ряд других в продуктах Microsoft и Ivanti Workspace Control, чтобы повысить уровень безопасности.
-----

Недавнее раскрытие уязвимостей выявило серьезные угрозы, в частности две уязвимости нулевого дня: CVE-2025-33053 и CVE-2025-33073. CVE-2025-33053 активно эксплуатируется и позволяет удаленным злоумышленникам выполнять произвольный код через специально созданный URL-адрес WebDAV, требующий взаимодействия с пользователем. Группа APT, известная как "Stealth Falcon", использовала эту уязвимость в атаках на оборонных подрядчиков в Турции, манипулируя законными инструментами Windows для выполнения вредоносных программ с контролируемого WebDAV-сервера. Группа использует имплантат под названием Horus Agent, который использует сложные методы уклонения, получает команды с командно-контрольного сервера по зашифрованным каналам и нацелен на ключевые секторы, такие как правительство и оборона.

CVE-2025-33073, второй "нулевой день", является уязвимостью для повышения привилегий в SMB-клиенте Windows. Эта уязвимость позволяет злоумышленникам, прошедшим проверку подлинности, повысить привилегии до системного уровня, обманным путем подключив уязвимую машину к вредоносному SMB-серверу. Организациям следует уделять приоритетное внимание устранению этих двух уязвимостей, учитывая высокие риски, которые они представляют.

В дополнение к этим нулевым дням, в последнем обновлении Microsoft, выпущенном во вторник, были устранены девять критических уязвимостей, затрагивающих Microsoft SharePoint Server, Microsoft Office и другие основные компоненты Windows. Заслуживающие внимания уязвимости включают CVE-2025-47172, CVE-2025-47164, CVE-2025-47167 и CVE-2025-32710, которые позволяют выполнять код удаленно. Другим важным недостатком является CVE-2025-33070, который позволяет повышать привилегии, что требует немедленного внимания из-за его эксплуатационного потенциала.

Кроме того, Ivanti исправила серьезные ошибки в своем приложении Workspace Control, в частности CVE-2025-5353, CVE-2025-22455 и CVE-2025-22463. Эти уязвимости, в первую очередь, позволяют локальным пользователям, прошедшим проверку подлинности, расшифровывать конфиденциальные данные SQL и среды. Хотя ранее не сообщалось об их использовании, организациям, использующим это программное обеспечение, по-прежнему важно применять последние обновления для системы безопасности.

В раскрытии информации подчеркивается необходимость того, чтобы организации сохраняли полную информацию о своих уязвимостях и управляемых активах для эффективного снижения потенциальных рисков. Постоянный мониторинг и своевременное исправление уязвимостей высокой степени серьезности имеют решающее значение для защиты от возникающих угроз.

#ParsedReport #CompletenessLow
12-06-2025

The Spectre of SpectraRansomware

https://labs.k7computing.com/index.php/the-spectre-of-spectraransomware/

Report completeness: Low

Threats:
Spectra
Chaos_ransomware
Yashma
Blacksnake
Teamviewer_tool

Geo:
Turkey, Azerbaijan

ChatGPT TTPs:
do not use without manual check
T1036.005, T1057, T1082, T1112, T1486

IOCs:
File: 2
Path: 1
Hash: 1

Soft:
Microsoft Visual Studio, DefWatch, Twitter

Crypto:
bitcoin

Algorithms:
aes

Functions:
TaskManager, CreatePassword, SetWallpaper

Win Services:
GxVss

#ParsedReport #GeneratedSchema
Generated with GPT-4