#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC3886, группа APT, специализирующаяся на критической инфраструктуре, использует уязвимости нулевого дня в устройствах VMware и Fortinet для кибершпионажа. Их инструменты включают TinyShell для скрытого доступа и Reptile в качестве руткита, использующего методы сохранения и уклонения. Основные используемые уязвимости включают CVE-2023-34048 и CVE-2022-41328, которые позволяют удаленно выполнять код и осуществлять несанкционированный доступ.
-----

UNC3886 - это группа APT (APPT), которая занимается разработкой критически важной инфраструктуры, особенно в таких секторах, как телекоммуникации, государственное управление, технологии, оборона, энергетика и коммунальные услуги. Действующая по меньшей мере с конца 2021 года и впервые зарегистрированная в 2022 году, эта группа представляет серьезную угрозу национальной безопасности, о чем свидетельствует их недавняя деятельность в Сингапуре. Известно, что они используют уязвимости нулевого дня в широко используемых сетевых устройствах и устройствах виртуализации, включая VMware vCenter/ESXi, Fortinet FortiOS и Juniper Junos OS.

Тактика, методы и процедуры (TTP) UNC3886 раскрывают сложный подход к кибершпионажу. Они используют различные пользовательские наборы инструментов, разработанные для обеспечения скрытности и устойчивости в целевых средах. Ключевыми среди этих инструментов являются TinyShell, инструмент скрытого удаленного доступа, который работает по протоколу HTTP / HTTPS с зашифрованными данными, и Reptile, скрытый руткит для Linux, который может скрывать файлы и процессы, создавая при этом постоянный бэкдор. Другие известные инструменты включают руткит Medusa, который перехватывает системные вызовы для маскировки вредоносных действий, и модульные бэкдоры, такие как MopSled и RifleSpine, которые используют шифрование для безопасной связи с серверами управления.

UNC3886 известен тем, что использует уязвимости высокого риска, которые обеспечивают аутентифицированный доступ к критически важным системам, позволяя им выполнять удаленное выполнение кода (RCE), повышение привилегий и постоянный доступ. К числу конкретных уязвимостей, которыми активно пользуется группа, относятся CVE-2023-34048 в VMware vCenter, позволяющая выполнять RCE без проверки подлинности; CVE-2022-41328 в Fortinet FortiOS, которая позволяет злоумышленникам читать и записывать файлы в базовой системе Linux; и CVE-2022-22948, которая обеспечивает несанкционированный доступ к конфиденциальной информации в vCenterэто база данных. Эти уязвимости позволяют группе нарушать работу и развертывать дополнительные инструменты вскоре после их использования.

Их стратегия включает в себя использование законных инструментов и существующих функциональных возможностей системы для дальнейшего уклонения от обнаружения, примером чего могут служить такие методы, как проживание за пределами суши, где они используют собственные возможности системы. Деятельность группы направлена на то, чтобы оставаться незаметной при ведении шпионажа за важными объектами, что требует от организаций сохранять бдительность и обеспечивать своевременное применение последних исправлений для используемых уязвимостей. Серьезный характер деятельности UNC3886 служит напоминанием о меняющемся ландшафте угроз, который требует принятия адаптивных мер безопасности.

#ParsedReport #CompletenessMedium
29-07-2025

ToxicPanda: The Android Banking Trojan Targeting Europe

https://www.bitsight.com/blog/toxicpanda-android-banking-malware-2025-study

Report completeness: Medium

Actors/Campaigns:
Tag-124

Threats:
Toxicpanda
Tgtoxic
Clickfix_technique

Victims:
Banking users, Mobile users

Industry:
Financial

Geo:
Hong kong, Morocco, Spain, Asia, Latin america, Chinese, Peru, Italy, Greece, Portuguese, Portugal

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1001, T1027, T1056.001, T1059.004, T1067, T1068, T1071.001, T1071.004, T1102.002, T1111, have more...

IOCs:
File: 4
Domain: 54
IP: 1

Soft:
Android, Twitter, Google Chrome, qemu

Algorithms:
cbc, des, zip, aes

Functions:
dga_domain_hash_substring, setDisConnect, closeNewWin, setDomain, onStart, onDestroy

Languages:
php, python

Platforms:
intel

Links:
have more...
https://github.com/bitsight-research/threat\_research/tree/67971717defb7c28e10bb17a5b8693a6287c8b99/toxicpanda/h5pages\_overlays-04\_2025
https://github.com/bitsight-research/threat\_research/blob/ffdfa676eac200cc6dc37d24ad986898f29a5ab9/toxicpanda/dga\_domain\_names\_2025
https://github.com/bitsight-research/threat\_research/blob/67971717defb7c28e10bb17a5b8693a6287c8b99/toxicpanda/toxicpanda\_dga.py

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 3, code: 4, schema: 2, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToxicPanda - это банковский троянец для Android, разрабатывающийся для кражи банковских учетных данных с помощью экранов, имитирующих законные приложения. Он использует алгоритм генерации домена для управления, использует специальные возможности и использует методы защиты от эмуляции для уклонения, в первую очередь для пользователей в Европе.
-----

ToxicPanda - это развивающийся банковский троян для Android, нацеленный на банковские данные и цифровые кошельки. Он использует оверлейные экраны для перехвата пользовательских данных, таких как учетные данные для входа в систему и PIN-коды транзакций. Первоначально обнаруженный в Юго-Восточной Азии в 2022 году, он сосредоточился на Европе, в частности Португалии и Испании, и к началу 2025 года затронул около 4500 устройств. Троянец использует специальные возможности для обхода мер безопасности и выполнения несанкционированных действий от имени пользователей. ToxicPanda использует алгоритм генерации доменов (DGA) для непрерывной генерации доменов управления, что усложняет работу по сбою. В 2025 году было обнаружено, что инфраструктура TAG-124 используется для распространения через систему распределения трафика (TDS). Вредоносная программа предназначена для того, чтобы избегать обнаружения с помощью методов антиэмуляции, обеспечивая выполнение на реальных устройствах и не поддаваясь автоматическому анализу. Она требует обширных разрешений, включая перехват SMS-сообщений для двухфакторной аутентификации, и может повторно активироваться после попыток удаления. Текущая разработка показывает, что функциональность ToxicPanda и набор команд постоянно совершенствуются. Присутствие китайского языка в кодовой базе указывает на возможные связи с хакерами из Азии.

#ParsedReport #CompletenessLow
29-07-2025

Spear phishing campaign delivers VIP keylogger via EMAIL Attachment

https://www.seqrite.com/blog/8681-2/

Report completeness: Low

Threats:
Spear-phishing_technique
Steganography_technique
Process_hollowing_technique
Process_injection_technique

TTPs:
Tactics: 4
Technics: 9

IOCs:
File: 4
Hash: 2
Url: 1

Soft:
Chrome

Algorithms:
zip, xor

Win API:
CreateProcess

Languages:
autoit, python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, dump: 5, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VIP-кейлоггер - это сложная вредоносная программа для кражи данных, предназначенная для веб-браузеров и учетных данных пользователей, распространяемая с помощью фишинговых электронных писем, содержащих вредоносные исполняемые файлы. Она использует блокировку процессов и запускается из памяти, чтобы избежать обнаружения, одновременно регистрируя нажатия клавиш и перехватывая учетные данные из браузеров. Вредоносная программа обеспечивает сохраняемость, помещая скрипт в папку автозагрузки для выполнения при входе пользователя в систему.
-----

Кейлоггер VIP - это сложная разновидность вредоносного ПО, специально разработанная для кражи данных, при этом атаки в первую очередь нацелены на веб-браузеры и учетные данные пользователей. Распространение вредоносного ПО осуществляется с помощью фишинговых кампаний, когда вредоносные электронные письма содержат вложения или ссылки, которые приводят к заражению. В ходе недавней кампании хакеры использовали автоматический It-инжектор для развертывания VIP-кейлоггера, что ознаменовало заметный отход от предыдущих методов распространения.

Кампания начинается с рассылки фишингового электронного письма, содержащего ZIP-файл под названием "платежная квитанция_usd 86 780,00.pdf.pdf.z". В этом архиве содержится вредоносный исполняемый файл, маскирующийся под законный документ под названием "платежная квитанция_usd 86 780,00 pdf.exe ." Когда жертвы открывают этот исполняемый файл, он активирует встроенный Скрипт автозапуска, который удаляет два зашифрованных файла во временную папку системы. Эти файлы, названные leucoryx и avenes, расшифровываются во время выполнения с помощью данных, считываемых из временного каталога, с помощью пользовательской функции XOR. Этот механизм позволяет вредоносной программе избегать обнаружения и традиционных антивирусных решений, запускаясь в памяти.

Скрипт AutoIt сначала расшифровывает полезную нагрузку, которая затем вводится в легитимный процесс RegSvcs.exe с использованием методов "опустошения процессов". Этот скрытый метод позволяет вредоносному ПО запускаться, не вызывая тревоги. Операционный процесс включает в себя использование DllCall для выделения исполняемой памяти и передачи в нее расшифрованной полезной нагрузки с последующим выполнением полезной нагрузки непосредственно из памяти. Кроме того, для обеспечения сохраняемости вредоносная программа помещает в папку автозагрузки скрипт .vbs, который запускает основную полезную нагрузку при каждом входе пользователя в систему, что позволяет ей работать в фоновом режиме.

Последняя полезная нагрузка, VIP-кейлоггер, предназначена для регистрации нажатий клавиш, перехвата учетных данных из основных браузеров, таких как Chrome, Microsoft Edge и Mozilla Firefox, и отслеживания активности в буфере обмена. Используя эти методы, хакеры обеспечивают непрерывную работу вредоносного ПО, избегая при этом механизмов обнаружения. Всесторонний анализ, представленный в предыдущем исследовании, позволяет глубже понять функциональность и поведение VIP-кейлоггера, подчеркивая злонамеренность, присущую таким хакерам.

#ParsedReport #CompletenessHigh
29-07-2025

MaaS Appeal: An Infostealer Rises From TheAshes

https://www.elastic.co/security-labs/maas-appeal-an-infostealer-rises-from-the-ashes

Report completeness: High

Actors/Campaigns:
Sordeal

Threats:
Novablight
Nova_stealer
Malicord
Shadow_copies_delete_technique
Credential_stealing_technique
Xaitax_tool
Big_head

Victims:
Internet users

Industry:
Financial

TTPs:
Tactics: 8
Technics: 0

IOCs:
Url: 9
Domain: 5
File: 12
Registry: 1
Command: 2
Hash: 3

Soft:
Telegram, Discord, Steam, Electron, Windows Defender, virtualbox, qemu, Windows security, chrome, Windows Security Center, have more...

Wallets:
exodus_wallet, atomicwallet

Algorithms:
sha256, zip

Functions:
setValues, setPassphrase, captureSystemInfo, captureScreen, captureTaskList, captureAVDetails, Get-CimInstance, captureClipboardContent, Get-Clipboard, captureWebcamVideo, have more...

Languages:
php, powershell

YARA: Found

Links:
https://github.com/KSCHcuck1
have more...
https://web.archive.org/web/20231216010712/https:/github.com/KSCH-58
https://github.com/CrackedProgramer412/caca

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NOVABLIGHT - это NodeJS-инфокрад от Sordeal Group, который отслеживает учетные данные пользователей и криптовалютные кошельки с помощью загрузки вредоносных установщиков игр. Он использует продвинутую систему обфускации, тактику обхода средств безопасности и такие функции, как мониторинг буфера обмена в поисках криптовалютных адресов, а также эксфильтрацию данных через Telegram и Discord.
-----

NOVABLIGHT - это сложный инфокрад на базе NodeJS, который позиционируется как вредоносное ПО как услуга (MaaS), предназначенное в первую очередь для кражи учетных данных пользователей и компрометации криптовалютных кошельков. Это продукт франкоязычной хакерской группы, известной как Sordeal Group, которая также выпустила другие вредоносные программы, такие как Nova Sentinel и MALICORD. Инфраструктура, поддерживающая NOVABLIGHT, использует Telegram и Discord для продаж, лицензирования и взаимодействия с сообществом, причем лицензии предоставляются на срок от одного до двенадцати месяцев.

Вредоносные кампании, в которых используется NOVABLIGHT, часто инициируются с помощью загрузки поддельных установщиков видеоигр, которые обманом заставляют пользователей запускать вредоносное ПО, замаскированное под законное программное обеспечение. Методы обфускации вредоносного ПО затрудняют его распознавание системами обнаружения, о чем свидетельствует низкий уровень обнаружения в результатах VirusTotal. Infostealer использует модульную архитектуру, позволяющую настраивать его функции, сохраняя при этом неактивный код, который может быть активирован при желании.

Ключевые функциональные возможности NOVABLIGHT включают в себя тактику уклонения, направленную на предотвращение анализа, такую как идентификация среды виртуальных машин, проверка определенных имен пользователей и отключение известных средств безопасности, включая защитник Windows. Вредоносная программа может установить контроль, выполнив пакетные сценарии для отключения функций безопасности Windows и поиска ценных данных в системе. В ней есть функция "clipper", которая отслеживает активность буфера обмена, специально предназначенная для перехвата и подмены адресов криптовалют и платежных сервисов.

Возможности вредоносной программы распространяются на внедрение вредоносного кода в популярные электронные приложения, изменяя их функциональность для облегчения кражи учетных данных. Например, она может изменять основные файлы таких приложений, как VPN-клиент Mullvad, для сбора конфиденциальной информации. Кроме того, NOVABLIGHT может нарушить работоспособность системы, постоянно отключая сетевые подключения и нарушая работу сред восстановления системы.

Процесс кражи данных является комплексным и включает в себя сбор системной информации с помощью методов, которые извлекают содержимое буфера обмена, выполнение процессов и сохранение паролей Wi-Fi. Отфильтрованные данные передаются по различным каналам, включая веб-панель вредоносного ПО и API для Telegram и Discord. Вредоносная программа использует избыточную архитектуру, используя несколько служб размещения файлов, чтобы избежать единой точки сбоя.

#ParsedReport #CompletenessMedium
29-07-2025

Sealed Chain of Deception: Actors leveraging Node.JS to Launch JSCeal

https://research.checkpoint.com/2025/jsceal-targets-crypto-apps/

Report completeness: Medium

Threats:
Jsceal
Weevilproxy
Man-in-the-browser_technique
Zeus
Mitm_technique

Industry:
Financial, Energy, Petroleum, Entertainment

Geo:
Asian, Russian, German

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1053.005, T1056.001, T1056.004, T1059.001, T1070.001, T1078, T1090.002, T1113, have more...

IOCs:
File: 27
Domain: 106
Registry: 1
Url: 1
Hash: 153

Soft:
Node.JS, TradingView, Windows Defender, Telegram

Wallets:
harmony_wallet, bybit, solflare, metamask

Crypto:
binance, kucoin, monero, bitcoin, dogecoin

Algorithms:
zip

Functions:
TaskScheduler, TaskService, GetFolder, TaskCreation, CreateOrUpdate, TaskLogonType, Remove-Item, Get-ChildItem, Set-ItemProperty

Languages:
powershell, javascript

Links:
https://github.com/wixtoolset
https://github.com/rprichard/winpty
have more...
https://github.com/dahall/taskscheduler

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания JSCEAL нацелена на пользователей криптовалюты с помощью вредоносной рекламы, загрузки мошеннических приложений, похожих на популярные торговые платформы. В ней используется модульная стратегия заражения файлами JavaScript, позволяющая в режиме реального времени красть учетные данные и манипулировать крипто-кошельками, что усложняет обнаружение из-за использования действительных сертификатов и средств защиты от анализа.
-----

Исследовательская компания Check Point Research (CPR) выявила сложную хакерскую кампанию под названием JSCEAL, которая нацелена на пользователей криптовалютных приложений. Кампания использует вредоносную рекламу для поощрения загрузки мошеннических приложений, которые выдают себя за почти 50 широко признанных платформ для торговли криптовалютами. Только за первую половину 2025 года хакеры использовали около 35 000 вредоносных рекламных объявлений, которые собрали миллионы просмотров по всей Европе.

Кампания JSCEAL включает в себя модульный и многоуровневый процесс заражения, использующий скомпилированные файлы JavaScript (JSC) с помощью Node.js для запуска вредоносного ПО, которое крадет конфиденциальную информацию, связанную с криптовалютой, такую как учетные данные и кошельки. Разработчики разработали уникальную стратегию развертывания, которая разделяет функциональность установщика на несколько компонентов, включая сценарии проверки, которые требуют одновременной работы как вредоносного сайта, так и установщика, что усложняет усилия по обнаружению. Этот метод, наряду с использованием механизмов антианализа, привел к заметно более низкому уровню обнаружения с помощью решений для обеспечения безопасности, даже после многократной отправки вредоносных компонентов в VirusTotal.

Кампания впервые была запущена в марте 2024 года и с тех пор значительно расширилась, используя передовые методы, позволяющие избежать обнаружения, включая использование действительных сертификатов для установщиков, в основном связанных с российскими компаниями, не связанными с ИТ. Начальный этап работы JSCEAL включает в себя размещение вредоносной рекламы, часто с использованием украденных аккаунтов в социальных сетях, чтобы побудить жертв загрузить вредоносный установщик MSI с сайта, контролируемого злоумышленником. После установки цепочка заражения активирует ряд сложных скриптов, начиная с бэкдора, который облегчает взаимодействие с серверами управления (C2).

Благодаря внедрению JSCEAL злоумышленники могут собирать обширную системную информацию о жертвах, манипулировать крипто-кошельками и выполнять удаленные команды через PowerShell. Возможности вредоносной программы включают в себя захват учетных данных в режиме реального времени посредством перехвата веб-трафика, что соответствует характеристикам троянской программы "Человек в браузере". Среди своих функциональных возможностей JSCEAL может красть файлы cookie браузера, управлять именами пользователей и паролями, а также манипулировать веб-расширениями, связанными с криптографией.

Продолжающееся использование полезных данных JSC в рамках киберпреступности иллюстрирует заметную тенденцию, когда законные структуры используются в качестве оружия для утечки данных и получения финансовой выгоды. Эта меняющаяся ситуация подчеркивает растущую обеспокоенность в отношении кибербезопасности, поскольку сочетание сложной обфускации и скомпилированного кода затрудняет традиционные подходы к анализу и обнаружению. В целом, кампания JSCEAL представляет собой сложную и эволюционирующую угрозу, что подчеркивает необходимость в надежных методах обнаружения вредоносных программ JSC.

#ParsedReport #CompletenessLow
29-07-2025

Geopolitical game under the tariff stick: APT Group target the China-Africa community with a shared future

https://ti.qianxin.com/blog/articles/apt-group-target-the-china-africa-community-with-a-shared-future-en/

Report completeness: Low

Actors/Campaigns:
Oceanlotus (motivation: cyber_espionage)

Threats:
Supply_chain_technique

Victims:
China-africa cooperation units, Domestically produced systems and win platforms

Geo:
Asia, China, Africa, Asian

ChatGPT TTPs:
do not use without manual check
T1055, T1195, T1566.001

IOCs:
Path: 1
File: 2
Hash: 2

Algorithms:
zip, md5

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году OceanLotus (APT10) осуществлял кибершпионаж с помощью атак на цепочки поставок в Юго-Восточной Азии, используя методы загрузки в память троянской программы на базе Rust и проводя фишинговые кампании, нацеленные на китайско-африканское сотрудничество. Это отражает их стратегию сбора разведданных в условиях растущей напряженности в торговле между США и Китаем.
-----

В 2025 году группа OceanLotus, также известная как APT10, занялась кибершпионажем, сосредоточившись на атаках на цепочки поставок, нацеленных на ключевые платформы и системы в Юго-Восточной Азии, на фоне обострения торговой напряженности между регионом и Соединенными Штатами. Эта группа пыталась собрать разведданные о внутренних системах и извлечь информацию, связанную с Пятнадцатым пятилетним планом Китая, в частности, о стратегиях, которые могли бы уменьшить дисбаланс в торговле с США.

Используя эти кибероперации в качестве предвестника политических и экономических маневров, OceanLotus специально инициировала кампании по борьбе с фишингом низкого уровня, направленные против организаций, участвующих в китайско-африканском сотрудничестве. Эта стратегия, вероятно, является частью более широких усилий по сбору данных, которые послужат основой для дипломатических инициатив и экономических стратегий в Африке, что отражает смещение акцентов в некоторых странах Юго-Восточной Азии по мере диверсификации их торговли и цепочки поставок.

Что касается поведения вредоносного ПО, то в отчете указывается, что OceanLotus group использовала технологию загрузки в память, связанную с существующим троянцем на базе Rust, что облегчает выполнение вредоносного кода, не оставляя существенных следов. Этот метод предполагает глубокое понимание тактики уклонения, что позволяет группе оставаться незаметной при выполнении своих операций по кибер-цепочке поставок.

Организациям, обеспокоенным этими угрозами, рекомендуется внедрять специальные решения для обеспечения безопасности, способные блокировать вредоносные вложения, особенно те, которые связаны с такими сложными кампаниями. Акцент на использовании передовых механизмов защиты от угроз подчеркивает необходимость принятия упреждающих мер кибербезопасности во все более враждебной киберпространстве, особенно в условиях, когда геополитическая напряженность выливается в тактику ведения кибервойн.

#ParsedReport #CompletenessHigh
29-07-2025

Who is TraderTraitor?

https://www.wiz.io/blog/north-korean-tradertraitor-crypto-heist

Report completeness: High

Actors/Campaigns:
Tradertraitor (motivation: cyber_espionage, cyber_criminal, financially_motivated)
Bluenoroff
Lazarus (motivation: financially_motivated, cyber_espionage)
Ta444
Dream_job

Threats:
Supply_chain_technique
Jump_cloud_tool
Rn_stealer
Spear-phishing_technique
Volgmer
Rn_loader
Gophergrabber
Go-stealer
Golangghost
Clickfix_technique
Threatneedle
Agamemnon
Wagent
Signbt
Copperhedge
Tiedye
Typosquatting_technique

Victims:
Bybit, Dmm bitcoin, Jumpcloud, Ginco, Safewallet, Ronin network, Axie infinity, Wazirx

Industry:
Software_development, Financial, Government

Geo:
Korea, North korean, Indian, North korea, Korean, Japan, Japanese

TTPs:
Tactics: 11
Technics: 26

IOCs:
File: 1
Domain: 1

Soft:
Slack, Telegram, Node.js, Docker, macOS, Innorix Agent, Electron, Discord

Wallets:
bybit

Crypto:
bitcoin, axie_infinity

Algorithms:
rc4, aes-256, md5

Languages:
javascript, python

Platforms:
cross-platform, apple

Links:
https://github.com/wiz-sec-public/wiz-research-iocs

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4