#ParsedReport #CompletenessLow
26-07-2025

The mgraph Illusion: Not Everything Is As It Seems

https://unit42.paloaltonetworks.com/homograph-attacks/

Report completeness: Low

Threats:
Homoglyph_technique

Victims:
Well-known multinational american financial services company, Municipality in the middle east, Organizations, Individuals

Industry:
Financial

Geo:
American, Australia, Asia, Japan, Middle east, India

ChatGPT TTPs:
do not use without manual check
T1111, T1204.001, T1565.002, T1566.001, T1566.002, T1584.001, T1585.001

IOCs:
Domain: 5
Email: 5
Url: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атаки с использованием омографа используют визуальное сходство между символами латиницы и Юникода в фишинговых электронных письмах, что позволяет злоумышленникам избегать обнаружения и выдавать себя за законных лиц. Эти вводящие в заблуждение электронные письма могут направлять пользователей на мошеннические сайты, предназначенные для кражи личной информации, в то время как достижения в области искусственного интеллекта повышают убедительность таких мошеннических действий. Эффективные стратегии смягчения последствий включают использование расширенной фильтрации электронной почты и обучение пользователей проверке личности отправителя и тщательному изучению контента.
-----

Омографические атаки - распространенный метод, используемый в фишинговых кампаниях, использующий визуальное сходство между латинскими буквами и похожими символами из различных блоков Unicode. Эта тактика позволяет злоумышленникам создавать ложные электронные письма, которые могут обходить анализ содержимого и казаться подлинными получателям. В реальных случаях злоумышленники использовали эти гомографические символы для манипулирования содержимым электронной почты, тем самым избегая обнаружения и повышая вероятность взаимодействия со стороны своих целей. Например, замена латинских символов кириллицей или греческими буквами, например, замена "H" греческой буквой "Η" или "o" кириллической буквой "о", может позволить вредоносному контенту органично вписаться в аутентичную коммуникацию.

В одном из таких случаев злоумышленники выдавали себя за известную компанию, предоставляющую финансовые услуги, используя манипуляции с омографами в отображаемом названии и теме электронного письма, чтобы ввести жертв в заблуждение. Электронное письмо содержало ссылку на, казалось бы, законный файл Google Drive, но при нажатии на него пользователи попадали на мошеннический сайт, предназначенный для сбора личной информации. Этот сайт содержал дополнительные перенаправления на другие страницы, выглядящие законными, что скрывало злой умысел и усиливало видимость подлинности с помощью нескольких шагов, создавая ложное чувство доверия.

Интеграция искусственного интеллекта в создание фишинговых электронных писем усиливает угрозу, поскольку позволяет злоумышленникам создавать персонализированные и убедительные сообщения, которые становится все труднее отличить от подлинных сообщений. Традиционные фильтры электронной почты борются с атаками с использованием омографов, поскольку они могут не отмечать измененные варианты текста, которые кажутся безобидными, и не распознавать, например, варианты распространенных слов, содержащих омографы.

Чтобы снизить эти риски, организациям рекомендуется внедрять надежные меры безопасности электронной почты, включая передовые решения для фильтрации электронной почты, которые анализируют метаданные, контент и поведенческие модели. Благодаря таким технологиям, как Cortex Advanced Email Security от Palo Alto Networks, обеспечивающим проактивную защиту, электронные письма можно тщательно проверять на наличие признаков подделки и злонамеренных намерений, классифицируя предупреждения по уровням риска, чтобы помочь аналитикам безопасности определить приоритеты реагирования. Пользователям также следует соблюдать осторожность, например, проверять адреса отправителей, тщательно проверять содержимое электронной почты на наличие необычных символов и воздерживаться от использования ссылок или вложений из неизвестных источников.

#ParsedReport #CompletenessMedium
27-07-2025

Threat Actors Lure Victims Into Downloading .HTA Files Using ClickFix To Spread Epsilon Red Ransomware

https://www.cloudsek.com/blog/threat-actors-lure-victims-into-downloading-hta-files-using-clickfix-to-spread-epsilon-red-ransomware

Report completeness: Medium

Threats:
Epsilonred
Red_ransomware
Clickfix_technique
Revil
Quasar_rat

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 1
Hash: 2
Domain: 2
IP: 2
Command: 1

Soft:
Discord, curl

Algorithms:
md5

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый сайт доставки вредоносного ПО, связанный с программой-вымогателем Epsilon Red, использует социальную инженерию и ActiveXObject для удаленного выполнения кода, что позволяет загружать полезные данные. хакеры выдают себя за популярные сервисы и используют знакомые темы, чтобы снизить подозрения пользователей, в то время как программы-вымогатели могут быстро шифровать данные после перемещения по сети.
-----

Компания CloudSEK TRIAD обнаружила развивающийся сайт доставки вредоносных программ, тематически связанный с "Clickfix", который связан с программой-вымогателем Epsilon Red. Этот вариант отличается от предыдущих тем, что жертвам предлагается перейти на дополнительную страницу, где вредоносные команды оболочки выполняются через ActiveX, что позволяет злоумышленникам незаметно загружать и активировать полезные файлы с контролируемого злоумышленником IP-адреса. Кампания использует методы социальной инженерии, включая вводящие в заблуждение коды подтверждения, чтобы скрыть свои злонамеренные намерения.

Исследование инфраструктуры, стоящей за этим вредоносным ПО, показало, что хакеры выдают себя за различные сервисы, такие как бот для проверки капчи Discord, и популярные потоковые платформы, такие как Kick, Twitch и OnlyFans. Эта тактика подкрепляется использованием страниц-приманок на романтическую тематику, что указывает на более широкую стратегию привлечения пользователей с помощью знакомых и, казалось бы, безобидных интерфейсов. Включение незначительных типографских ошибок, таких как "Подтверждение", может быть намеренной уловкой, чтобы казаться менее угрожающим и более дилетантским, тем самым уменьшая подозрения.

Программа-вымогатель Epsilon Red была впервые отслежена в 2021 году и содержит уведомление о требовании выкупа, напоминающее печально известную программу-вымогатель REvil, хотя в других эксплуатационных аспектах или инфраструктуре она существенно не похожа. Примечательно, что внедрение программы-вымогателя может привести к масштабному шифрованию данных, как правило, в результате горизонтального перемещения по скомпрометированным сетям.

Одним из важнейших направлений атаки является злоупотребление ActiveXObject, которое облегчает удаленное выполнение кода непосредственно в сеансах браузера, минуя обычные механизмы защиты от загрузки. Эта возможность представляет значительный риск, поскольку позволяет внедрять программы-вымогатели без явного согласия пользователя. Более того, постоянное повторное использование тематических страниц рассылки в различных кампаниях демонстрирует стратегический и последовательный подход к кибероперациям, подчеркивая долгосрочные инвестиции хакеров в свою инфраструктуру.

#ParsedReport #CompletenessLow
27-07-2025

In-Depth Analysis of an Obfuscated Web Shell Script

https://www.fortinet.com/blog/threat-research/in-depth-analysis-of-an-obfuscated-web-shell-script

Report completeness: Low

Victims:
Critical national infrastructure

Geo:
Middle east

ChatGPT TTPs:
do not use without manual check
T1005, T1083, T1505.003

IOCs:
File: 4
Hash: 1

Algorithms:
sha256, base64

Functions:
GetBasicServerInfo, GetBasicServerApplicationInfo, GetDrives, GetDriveInformation, GetWebRoot, GetFileSystemsList, DeleteDirectory, GetDirectoryInformation, SetDirectoryTime, SetDirectoryAttributes, have more...

Win API:
CreateDirectory, CopyFile, MoveFile, DeleteFile, SetFileTime

Languages:
python, c_language

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на Ближнем Востоке была нацелена на критически важную национальную инфраструктуру с использованием файлов ASPX и C# в среде Windows IIS, используя уязвимости для несанкционированного доступа. Скрипт на Python имитировал взаимодействие с веб-оболочкой, демонстрируя выполнение команд для файловых операций, подчеркивая риски безопасности и необходимость усиления защиты от такой тактики.
-----

Последующее расследование посвящено кибератаке, нацеленной на критически важную национальную инфраструктуру (CNI) на Ближнем Востоке, и раскрывает технические подробности о методах, используемых злоумышленниками. В частности, основное внимание уделяется файлу ASPX, который указывает на выполнение на стороне сервера, подтверждая использование языка программирования C# в среде Windows IIS (Internet Information Services). Серверный характер этой технологии подразумевает, что уязвимости могут быть использованы для получения несанкционированного доступа или манипулирования инфраструктурой.

В отчете также подробно описывается разработка скрипта на Python, предназначенного для имитации взаимодействия злоумышленника с веб-оболочкой, развернутой на скомпрометированных серверах. Этот скрипт служил для имитации выполнения команд, позволяя аналитикам наблюдать за функциональными возможностями веб-оболочки. С помощью этого моделирования были продемонстрированы различные взаимодействия команд, относящиеся к операциям с файлами и каталогами, демонстрирующие такие возможности, как манипулирование содержимым и поиск данных. Выходные данные скрипта подчеркивают связь между злоумышленником и веб-оболочкой, поскольку как вводимые команды, так и результирующие выходные данные отображались в виде открытого текста, что давало представление о характере взаимодействия команд.

Этот анализ раскрывает обширный потенциал web shell как инструмента для атакующих, подчеркивая необходимость усиления мер безопасности в средах, использующих аналогичные технологии. Учитывая контекст атаки на критически важные национальные инфраструктуры, такие уязвимости представляют значительный риск, что подчеркивает важность мониторинга и защиты от таких хакеров. Поскольку злоумышленники все чаще используют серверные технологии и инструменты, такие как web shell, организации должны уделять приоритетное внимание пониманию этих тактик, чтобы лучше защитить свои системы.

#ParsedReport #CompletenessMedium
26-07-2025

AI-Generated Malware in Panda Image Hides Persistent Linux Threat

https://www.aquasec.com/blog/ai-generated-malware-in-panda-image-hides-persistent-linux-threat/

Report completeness: Medium

Threats:
Koske
Polyglot_technique
Supply_chain_technique
Steganography_technique

Industry:
Software_development

Geo:
Serbian

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1036, T1037, T1053.003, T1071, T1090, T1190, T1204, T1496, have more...

IOCs:
IP: 1
Url: 5
Hash: 5
File: 1

Soft:
Linux, Jupyter, systemd, curl

Crypto:
monero, ravencoin

Algorithms:
md5

Functions:
readdir

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания Koske нацелена на системы Linux с использованием технологий, управляемых искусственным интеллектом, с использованием модульной полезной нагрузки и обходных руткитов для криптомайнинга. Он использует неправильно сконфигурированные серверы, развертывает вредоносные файлы формата JPEG, изменяет системные конфигурации для обеспечения постоянной связи C2 и использует тактику уклонения от обнаружения, что свидетельствует об усовершенствовании вредоносного ПО.
-----

Кампания Koske malware выявляет сложную угрозу, нацеленную на системы Linux, обладающую характеристиками, которые предполагают разработку на основе искусственного интеллекта. Это вредоносное ПО использует модульную полезную нагрузку, обходные руткиты и использует для доставки файлы изображений, в основном предназначенные для операций криптодобычи. Злоумышленники обычно используют неправильно сконфигурированные серверы, такие как экземпляры JupyterLab, что позволяет им устанавливать бэкдоры и загружать изображения двойного назначения в формате JPEG, содержащие вредоносную полезную нагрузку. В этих изображениях используются технологии использования многоязычных файлов, что позволяет вредоносным компонентам избегать традиционных методов обнаружения, скрываясь в кажущихся безобидными данных изображения.

После загрузки полезной нагрузки Koske выполняет небольшие фрагменты вредоносного кода непосредственно в памяти. Одна полезная нагрузка компилирует общий объектный файл, функционирующий как руткит, в то время как другая, сценарий оболочки, сохраняет постоянство и работает скрытно. В Koske реализовано несколько продвинутых механизмов сохранения, таких как изменение конфигураций пользовательской оболочки и добавление пользовательских служб systemd, которые обеспечивают повторное выполнение и непрерывную связь по системе command-and-control (C2) даже после перезагрузки системы.

Примечательны сетевые манипуляции вредоносного ПО, которые включают сброс переменных прокси-сервера среды, сброс правил iptables и изменение настроек DNS для маршрутизации через Cloudflare и Google DNS с одновременной блокировкой этих конфигураций для предотвращения изменений. Эти действия способствуют необнаружению связи C2, демонстрируя стратегический обход защиты на уровне DNS.

Кроме того, модуль подключения Koske выполняет сложные проверки для обеспечения доступа к серверам C2, используя методы диагностики и тактику перебора прокси-серверов для выявления работающих прокси-серверов. Вредоносная программа поддерживает майнинг 18 различных криптовалют, динамически корректируя свою работу в зависимости от вычислительных возможностей хоста во время атаки.

Код Коске является примером модульности и содержит подробные структурированные комментарии, которые затрудняют поиск авторства. Возможно, дизайн был специально разработан таким образом, чтобы он выглядел универсальным, с использованием лингвистических и синтаксических искажений, которые маскируют авторство. Эта эволюция означает потенциальный сдвиг в киберпространстве, где противники используют искусственный интеллект не только в тактике действий, но и в генерации кода, что приводит к появлению вредоносного ПО, которое разумно адаптирует свое поведение.

Это свидетельствует о растущей гонке вооружений в области кибербезопасности, когда организации должны усиливать свою защиту от таких легко адаптируемых и неуловимых угроз. Вредоносная программа Koske служит важным предупреждением для будущей динамики кибербезопасности, подчеркивая важность контекстно-зависимых и поведенческих механизмов безопасности для защиты от все более изощренных атак на среды Linux.

#ParsedReport #CompletenessMedium
27-07-2025

ANDROID MALWARE POSING AS INDIAN BANK APPS

https://www.cyfirma.com/research/android-malware-posing-as-indian-bank-apps/

Report completeness: Medium

Threats:
Credential_harvesting_technique
Smishing_technique
Seo_poisoning_technique
Supply_chain_technique

Victims:
Android users, Indian banking customers

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 10
Technics: 16

IOCs:
File: 1
Hash: 2

Soft:
ANDROID, WhatsApp, Google Play

Algorithms:
sha256, exhibit

Win API:
sendMessage

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная вредоносная программа для Android имитирует индийские банковские приложения для кражи учетных данных и несанкционированных транзакций, используя модульную конструкцию для автоматической установки и злоупотребления разрешениями, чтобы избежать обнаружения. Он использует Firebase для операций C2, создает реалистичные фишинговые страницы и использует разрешения для мониторинга SMS и ведения финансового надзора, что подчеркивает необходимость повышения безопасности в мобильном банкинге.
-----

В отчете рассматривается сложная вредоносная программа для Android, которая имитирует законные банковские приложения в Индии для кражи учетных данных, финансового надзора и несанкционированных транзакций. Эта вредоносная программа использует модульную структуру, включающую в себя дроппер и основную полезную нагрузку, используя тактику обмана, такую как скрытая установка и злоупотребление правами доступа, чтобы обойти обнаружение и сохранить постоянство. Он использует Firebase для командно-контрольных операций (C2) и создает фишинговые страницы, которые очень напоминают реальные банковские интерфейсы, чтобы обмануть пользователей.

Модульная конструкция вредоносного ПО включает в себя специальные классы, отвечающие за различные вредоносные функции, такие как сбор учетных данных пользователя и данных банковской карты, обеспечение сохраняемости с помощью возможностей перезагрузки и перехват конфиденциальных SMS-данных. Основные права доступа к Android, которыми злоупотребляет вредоносная программа, включают "ACCESS_NETWORK_STATE", который позволяет ей отслеживать сетевое подключение и улучшать время фильтрации данных; "REQUEST_INSTALL_PACKAGES", позволяющий автоматически устанавливать дополнительные полезные приложения без согласия пользователя; и "QUERY_ALL_PACKAGES", который облегчает поиск, идентифицируя установленные приложения и адаптируя атаки. Кроме того, важно использовать механизм автоматической установки; он побуждает пользователя устанавливать вредоносные APK-файлы без его ведома после первоначального заражения, используя средства, которые обходят стандартные запросы на установку.

Основная полезная нагрузка также использует такие разрешения, как "SEND_SMS" и "RECEIVE_BOOT_COMPLETED", что позволяет ей отправлять данные извне и обеспечивать их перезапуск после перезагрузки устройства. Более того, он скрывает свое присутствие, изменяя категорию активности, поэтому не отображается в списках приложений пользователя, тем самым оставаясь незамеченным в фоновом режиме. Фишинговая страница, встроенная в вредоносную программу, обеспечивает проверку ввода данных пользователем аналогично настоящим банковским приложениям, гарантируя, что она фиксирует точную информацию, такую как MPIN-код и данные дебетовой карты.

Расширенные функциональные возможности также включают мониторинг входящих SMS-сообщений для выявления OTP-адресатов и использование Firebase Cloud Messaging для скрытных удаленных команд. Вредоносная программа также использует методы переадресации вызовов на номера, контролируемые злоумышленниками, что демонстрирует широкое использование услуг телефонии Android.

В отчете подчеркивается растущая тенденция к мошенничеству в сфере мобильного банкинга, о чем свидетельствует активное распространение этого конкретного APK-приложения, которое использует социальную инженерию и технические уязвимости для улучшения методов распространения. Подчеркивается необходимость принятия надежных мер безопасности в финансовых приложениях, учитывая продвинутый характер и оперативное воздействие этого вредоносного ПО. Этот ландшафт угроз характеризуется способностью злоумышленников использовать различные средства доставки, включая поддельные веб-сайты и троянские утилиты, что усложняет задачу обеспечения безопасности пользователей.

#ParsedReport #CompletenessHigh
27-07-2025

RAVEN STEALER UNMASKED: Telegram-Based Data Exfiltration.

https://www.cyfirma.com/research/raven-stealer-unmasked-telegram-based-data-exfiltration/

Report completeness: High

Actors/Campaigns:
Zerotrace

Threats:
Raven_stealer
Dll_injection_technique
Credential_harvesting_technique
Zerotrace_tool
Octalyn
Process_hollowing_technique

Industry:
Entertainment

TTPs:
Tactics: 6
Technics: 16

IOCs:
File: 7
Hash: 5

Soft:
Chromium, Telegram, Chrome, curl, Google Chrome, Microsoft Edge

Algorithms:
sha256, zip, chacha20

Win API:
Process32NextW, GetCurrentProcessId, CreateProcessW, ShowWindow, FindResourceW, LoadResource, NtAllocateVirtualMemory, NtWriteVirtualMemory, NtProtectVirtualMemory

Languages:
python, powershell, delphi

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Raven Stealer - это продвинутая модульная вредоносная программа для кражи информации, которая нацелена на браузеры на базе Chromium и позволяет извлекать конфиденциальные данные с высокой степенью скрытности. Она использует методы внедрения в память и извлекает украденные данные через Telegram API. Связанная с командой ZeroTrace, она отражает растущую тенденцию к появлению легко развертываемых угроз, которые повышают эффективность операций по краже учетных данных.
-----

Raven Stealer - это вредоносная программа для кражи информации, созданная с использованием Delphi и C++. Она нацелена на браузеры на базе Chromium, такие как Chrome и Edge, для извлечения паролей, файлов cookie и платежных реквизитов. Вредоносная программа имеет модульную архитектуру с редактором ресурсов для встраивания деталей конфигурации, таких как токены Telegram-бота. Двоичные файлы упакованы с расширением UPX, что делает их меньше по размеру и менее заметными. Программа выполняется в скрытом состоянии, чтобы избежать обнаружения пользователем. Распространение происходит через репозитории GitHub и Telegram-канал ZeroTrace. Raven Stealer использует методы обработки данных в памяти, такие как прямой системный вызов, для обхода таких средств защиты, как шифрование, связанное с приложениями в Chromium. Он перечисляет учетные данные из браузеров, игровых платформ и криптовалютных кошельков, упорядочивая украденные данные в каталоге AppData пользователя. Утечка данных осуществляется с помощью Telegram API. Вредоносное ПО разработано командой ZeroTrace, которая предлагает множество вариантов, включая Octalyn Stealer. Эта тенденция свидетельствует о росте числа модульных, легко развертываемых средств для кражи информации, которые снижают барьер для новых хакеров.

#ParsedReport #CompletenessLow
27-07-2025

ToolShell: An all-you-can-eat buffet for threat actors

https://www.welivesecurity.com/en/eset-research/toolshell-an-all-you-can-eat-buffet-for-threat-actors/

Report completeness: Low

Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)

Threats:
Toolshell_vuln

Victims:
Governments, Telecommunications companies, International organizations, High-value government organizations

Industry:
Telco, Government

Geo:
Germany, Ukraine, Vietnam, China, Italy

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


TTPs:
Tactics: 4
Technics: 4

IOCs:
File: 7
IP: 19

Soft:
SharePoint Server, Microsoft SharePoint, Outlook, SharePoint Server ASP.NET, icrosoft SharePoint se

Links:
https://github.com/eset/malware-ioc/tree/master/toolshell

#ParsedReport #GeneratedSchema
Generated with GPT-4