#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WormGPT, вредоносный вариант LLM, предназначенный для киберпреступной деятельности, отражает заметный сдвиг в том, как киберпреступники используют инструменты искусственного интеллекта. С момента выхода в июне 2023 года появились различные модификации, демонстрирующие передовые методы манипулирования для получения вредоносных результатов в обход традиционных мер безопасности. Эта тенденция отражает меняющийся ландшафт угроз, поскольку злоумышленники совершенствуют инструменты, управляемые искусственным интеллектом, специально предназначенные для конкретных атак.
-----

Появление WormGPT, языковой модели без цензуры, предназначенной для облегчения вредоносных действий, свидетельствует о значительном сдвиге в использовании киберпреступниками больших языковых моделей (LLM). Первоначально анонсированный в марте 2023 года и публично выпущенный в июне 2023 года, WormGPT был разработан человеком, известным как "Last", который стремился создать инструмент, свободный от цензуры, обычно присущей основным LLM. WormGPT основан на модели GPT-J с открытым исходным кодом, разработанной компанией EleutherAI, и имеет структуру подписки, что указывает на его стратегию монетизации в рамках экосистемы киберпреступников.

После своего первоначального успеха WormGPT столкнулся с пристальным вниманием средств массовой информации, что привело к его закрытию в августе 2023 года. Тем не менее, его влияние продолжилось, поскольку на форумах, таких как BreachForums, начали появляться различные варианты WormGPT, сигнализирующие о развитии рынка не прошедших цензуру LLM, нацеленных на угрожающие или вредоносные действия. Среди проанализированных вариантов следует отметить те, которые работают на базе Grok от xAI и Mixstral AI. Эти модели не представляют собой совершенно новую архитектуру, а являются адаптацией существующих LLM, модифицированных с помощью системных подсказок для обхода встроенных мер безопасности и создания вредоносных выходных данных.

Анализ варианта, известного как keanu-WormGPT, показывает, что он использует Grok и структурно манипулирует протоколами взаимодействия для создания вредоносного контента. В отличие от этого, xzin0vich-WormGPT более тщательно спроектирован по модели Mixtral, демонстрируя особые архитектурные особенности, такие как двойные активные эксперты для анализа токенов и специальные механизмы внимания, которые соответствуют случаям незаконного использования. Используя оперативные манипуляции и потенциальную тонкую настройку специализированных наборов данных, оба варианта демонстрируют тревожную тенденцию, когда хакеры создают мощные инструменты, управляемые искусственным интеллектом, в соответствии со своими злонамеренными намерениями.

По мере развития хакерской среды распространение не прошедших цензуру LLM, таких как WormGPT, свидетельствует о растущей изощренности злоумышленников. Они не только используют существующие технологии, но и активно набирают специалистов по искусственному интеллекту, намекая на будущее, в котором могут появиться пользовательские модели, позволяющие еще больше адаптировать возможности LLM для обслуживания конкретных направлений атак. Эти разработки повышают уровень угрозы, создаваемой такими инструментами, подчеркивая необходимость постоянной бдительности и совершенствования стратегий защиты от угроз, основанных на искусственном интеллекте.

Keep rollin' rollin' rollin' rollin'

Заливаем TI-отчеты в портал на проде.
Уже залиты 2022, 2023 года.

Коротко о портале (больше деталей будет на офф. релизе)
Основная задача портала: консолидация разрозненных открытых TI-отчетов и аккумуляция знаний из них в автоматическом режиме.
Портал будет публичный и бесплатный.

Особенности:
- Большая часть аналитических операций реализуется через LLM и наш движок CTT ReportHub. Данные, полученные с помощью LLM, отмечены значком «AI».
- Портал оперирует открытыми отчетами тактического и операционного TI, собранными со всего мира (более 170 источников) (т.е. о том, как работают группировки, мальварь и хак-тулы)
- Также портал содержит автоматически создаваемые и обновляемые on-fly профили угроз (как это работает я рассказывал на CTI-meetup 2025).

Action-план
- Догружаем все архивные отчеты и подключаем портал к потоку свежих отчетов.
- Проводим закрытый тест.
- Допиливаем сервис «улучшения» автоматического перевода TI-текстов.
- Допиливаем локализацию и дорабатываем по результатам фидбека с закрытого теста.
- Релизим в паблик.

Дата релиза
Какая дата? Не знаю никакую дату...

#technique

Run native PE or .NET executables entirely in-memory. Build the loader as an .exe or .dll—DllMain is Cobalt Strike UDRL-compatible

https://github.com/NtDallas/MemLoader

#technique

Bruteforcing the phone number of any Google user

https://brutecat.com/articles/leaking-google-phones

#technique

Build-Your-Own-Ransomware: Hands-On Offensive and Defensive Insights

https://github.com/rad9800/byor/

#technique

dark-kill
A user-mode code and its rootkit that will Kill EDR Processes permanently by leveraging the power of Process Creation Blocking Kernel Callback Routine registering and ZwTerminateProcess.

https://github.com/SaadAhla/dark-kill

#ParsedReport #CompletenessLow
19-06-2025

Critical Langflow Vulnerability (CVE-2025-3248) Actively Exploited to Deliver Flodrix Botnet

https://www.trendmicro.com/en_us/research/25/f/langflow-vulnerability-flodric-botnet.html

Report completeness: Low

Threats:
Flodrix_botnet
Leethozer_botnet

Victims:
Organizations using langflow

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1016, T1027, T1041, T1057, T1059.004, T1059.006, T1070.004, T1071.001, T1082, T1094, have more...

IOCs:
File: 1
IP: 4
Hash: 4

Soft:
Langflow, curl, docker, systemd, Linux

Algorithms:
md5, sha256, xor, sha1

Functions:
compile

Win Services:
bits

Languages:
python

Links:
https://github.com/verylazytech/CVE-2025-3248

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 2, code: 14, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-3248, критическая уязвимость RCE в Langflow (<1.3.0), позволяет злоумышленникам использовать незащищенные конечные точки для удаленного выполнения кода, что приводит к компрометации системы. Это достигается за счет развертывания ботнета Flodrix для DDoS-атак, при этом вредоносное ПО использует стратегии обфускации и завершения процесса, чтобы оставаться незаметным. Исправление в версии 1.3.0 добавляет меры аутентификации, которые снижают этот риск.
-----

Текущая кибератака активно использует уязвимость CVE-2025-3248, критическую уязвимость для удаленного выполнения кода без проверки подлинности (RCE) в версиях Langflow до версии 1.3.0. Эта уязвимость, которая характеризуется показателем CVSS 9,8, позволяет злоумышленникам выполнять произвольный код через плохо защищенные конечные точки в Langflow, в частности /api/v1.конечная точка /проверки/кода. Процесс эксплуатации включает отправку обработанных POST-запросов без надлежащей аутентификации, что приводит к полному компрометированию системы на уязвимых серверах. Недостаток связан с отсутствием в Langflow проверки вводимых данных и изолированной среды, что позволяет обрабатывать и запускать вредоносные программы на стороне сервера.

Злоумышленники используют эту уязвимость для развертывания ботнета Flodrix, представляющего собой серьезную угрозу, способную проводить распределенные атаки типа "отказ в обслуживании" (DDoS) и извлекать конфиденциальные данные. После успешного взлома атака обычно начинается с идентификации незащищенных серверов Langflow с помощью средств разведки. Получив доступ, злоумышленники извлекают и запускают троянский загрузчик, который устанавливает вредоносное ПО Flodrix. Это вредоносное ПО устанавливает канал связи с сервером управления и разгрузки (C&C) и предназначено для запуска DDoS-атак при получении команд.

Вредоносная программа Flodrix демонстрирует сложное поведение, включая самоудаление, чтобы избежать обнаружения, и использование методов обфускации. Она работает по каналам связи TCP и UDP и поддерживает несколько типов DDoS-атак. Вредоносная программа также может распознавать и прерывать определенные критически важные системные процессы для поддержания ее операционной целостности. В ходе эксплуатации исследователи отметили, что злоумышленники использовали различные команды для разведки, такие как запрос переменных среды и сетевых конфигураций, для дальнейшей оценки скомпрометированной системы.

Примечательно, что было выпущено обновление для системы безопасности, устраняющее уязвимость в Langflow версии 1.3.0, включающее меры аутентификации, которые ранее отсутствовали. В этой новой версии для проверки запросов требуется определенный параметр пользовательского сеанса, что эффективно снижает риск использования. Организациям, использующим уязвимые версии Langflow, настоятельно рекомендуется обновить их до этого исправления, ограничить публичный доступ к уязвимым конечным точкам и отслеживать показатели, связанные с активностью Flodrix, включая команды и поведение, выявленные в ходе текущего расследования.

#ParsedReport #CompletenessMedium
19-06-2025

APT-C-60 (Pseudo Hunter) Attack Evolution: Dynamic Payload Distribution and Command Relay Based on GitHub

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247506307&idx=1&sn=917d291b3f14b349263a9b0a2f115323&chksm=f9c1ea8aceb6639ce7e8fa02c8630b203f508d3d971d21174c6a55f1bf4d4102ddc2af602d73&scene=178&cur_album_id=1955835290309230595&search_click_id&poc_token=HF9FVGijkTpFSMB-M7CWfzibM6JAyWn_ZJDaBEvu

Report completeness: Medium

Actors/Campaigns:
Camouflaged_hunter

Threats:
Spear-phishing_technique
Com_hijacking_technique
Goldbar
Double_kill_vuln
Double_star_vuln
Nightmare_formula_vuln

Industry:
Government

Geo:
Korean, Chinese

ChatGPT TTPs:
do not use without manual check
T1020, T1027, T1056.001, T1071.003, T1082, T1105, T1113, T1567.002

IOCs:
File: 2
Url: 5
Path: 1
Hash: 4
Command: 1
IP: 1

Algorithms:
xor, base64, md5, rc4

Win API:
LoadLibraryW

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 5, code: 15, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-60, северокорейская APT-группа, использует GitHub и Bitbucket для скрытых командных каналов, повышая скрытность атаки. Их вредоносное ПО содержит зашифрованную полезную информацию объемом 120 КБАЙТ с возможностью бэкдора для кейлоггинга и использует особые условия доставки полезной информации.
-----

APT-C-60, также известная как Псевдо-охотник, является северокорейской APT-группой, которая действует по меньшей мере с 2014 года, в основном нацеливаясь на организации, связанные с корейским правительством, экономикой, торговлей и культурой, включая консалтинговые компании по трудовым вопросам. Недавние исследования, проведенные Институтом перспективных исследований угроз 360, выявили сложную технику атаки, при которой APT-C-60 использует надежные облачные платформы, такие как GitHub, для создания скрытых каналов управления. Этот метод повышает скрытность атаки, используя структуру, в которой GitHub используется для ретрансляции команд и фронтального хранилища полезной нагрузки, в то время как Bitbucket используется для бэкдорного хранения полезной нагрузки, что облегчает динамическое распределение полезной нагрузки.

Вредоносная программа, связанная с APT-C-60, содержит зашифрованную полезную нагрузку размером около 120 КБАЙТ, зашифрованную с использованием метода исключения с помощью специального ключа. Ее архитектура включает механизмы, обеспечивающие доставку полезной нагрузки только на ограниченное число устройств, тем самым ограничивая общую уязвимость. Инструкции по эксплуатации вредоносного ПО указывают на двухэтапный процесс для вновь взломанных компьютеров, при котором загрузка полезной информации происходит только после выполнения определенных условий. Варианты вредоносного ПО генерируются в пакетном режиме с идентичными основными функциями, отличающимися в основном параметрами.

Дальнейший анализ выполнения полезной нагрузки выявил наличие программы установки черного хода (MD5: df58cd2b90db1960c8ac30f57839e513), которая инициализирует параметры конфигурации и проверяет наличие определенных локальных файлов перед загрузкой дополнительных компонентов черного хода. Декодированная полезная нагрузка бэкдора (Backdoor Config.dat, MD5: b3b0366a5696ab4a733cbfb0dddcc563) включает в себя такие функциональные возможности, как ведение кейлогга, и использует протокол связи, соответствующий более ранним образцам APT-C-60, используя комбинацию нестандартных кодировок RC4 и Base64 для своих операций.

Коммуникационные характеристики APT-C-60, схема работы и сроки его активности на GitHub соответствуют историческому поведению группы, что указывает на усовершенствованную стратегию обеспечения операционной безопасности. Чтобы снизить риски, связанные с APT-C-60, организациям рекомендуется применять надежные меры безопасности, такие как повышение квалификации сотрудников по обнаружению фишинга и вредоносных файлов, использование передовых систем фильтрации электронной почты, поддержка обновленного антивирусного программного обеспечения для автоматического сканирования и применение строгих мер контроля доступа для ограничения доступа к потенциально опасным файлам. типы.