#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Campaign распространяет SmartLoader через репозитории GitHub, маскируясь под законные проекты, размещая архивированные полезные файлы в артефактах выпуска и используя бренд взломанного программного обеспечения для привлечения загрузчиков. Десятки URL-адресов релизов в нескольких репозиториях используют запутанные ссылки, чтобы избежать обнаружения и максимально увеличить параллельное распространение. SmartLoader функционирует как загрузчик, доставляющий дополнительную полезную нагрузку после выполнения, обеспечивая закрепление или вторичные компоненты вредоносного ПО.
-----

Краткое описание CTI описывает кампанию, в ходе которой вредоносное ПО SmartLoader распространяется через репозитории GitHub, замаскированные под обычные, законные проекты. Злоумышленники используют артефакты релиза GitHub для размещения архивированных полезных данных, якобы предлагая различные инструменты или взломанное программное обеспечение. Такой подход использует доверие пользователей к релизам GitHub и привлекательность бесплатных или взломанных приложений, повышая вероятность того, что пользователи загрузят и запустят вредоносные ZIP-файлы.

В дистрибутиве используются десятки URL-адресов релизов из нескольких репозиториев на GitHub, а имена файлов имитируют популярные или привлекательные программы и инструменты, связанные с играми. В качестве примера можно привести Maple.Story.Menu, Minecraft.Vape.Client, ms-награды-автоматизация, защита от ddos-атак-откупоривание, strongvpn_pseudobrotherly, VSDC-Профессиональный редактор видео, instagram-накрутчик подписчиков, Desertless (взлом Call of Duty), MCP.Manager.GUI, Project-Zomboid-Hack и общий Software.zip. Ссылки представлены с запутанными схемами (hxxps/http), позволяющими избежать автоматического обнаружения и очистки. Разнообразие и провокационное название указывают на стратегию социальной инженерии, направленную на привлечение геймеров и пользователей, ищущих взломанное или улучшенное программное обеспечение.

SmartLoader оформлен как вредоносная программа типа загрузчика, используемая для доставки дополнительной полезной нагрузки после первоначального выполнения. Хотя точное поведение после первоначального выполнения во фрагменте не описано подробно, надпись “распространение вредоносных программ SmartLoader” подразумевает, что архивы содержат компоненты, которые загружают или извлекают дополнительные вредоносные компоненты, обеспечивая закрепление или выполнение вторичных полезных нагрузок на скомпрометированных хостах. Обилие отдельных выпусков в разных репозиториях предполагает, что операторы полагаются на параллельные каналы распространения, чтобы максимизировать охват и снизить вероятность удаления всех артефактов.

Для защитников эти показатели предполагают сосредоточение внимания на выявлении кампаний с несколькими репозиториями, которые маскируются под законные проекты, повышенное внимание к релизам на GitHub с провокационной маркировкой или взломанным программным обеспечением, а также мониторинг активности, подобной загрузке, после выполнения загруженных архивов. Практические меры по снижению риска включают проверку цифровых подписей и происхождения загруженных артефактов, ограничение выполнения неподписанных или ненадежных архивов ZIP и использование телеметрии сети и хоста, позволяющей отслеживать поведение загрузчика, который извлекает дополнительную полезную нагрузку после первоначального взлома.

#ParsedReport #CompletenessLow
08-08-2025

Silent Watcher: Dissecting Cmimai Stealer s VBS Payload

https://labs.k7computing.com/index.php/silent-watcher-dissecting-cmimai-stealers-vbs-payload/

Report completeness: Low

Threats:
Cmimai_stealer

Victims:
Windows systems, Individual users

ChatGPT TTPs:
do not use without manual check
T1005, T1059.001, T1059.005, T1071.001, T1567

IOCs:
File: 7
Hash: 2

Soft:
Discord, Chrome, chromium

Algorithms:
base64

Functions:
AttemptDiagnosticReportViaPS

Languages:
visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cmimai Stealer - это infostealer на базе VBS, который использует сценарии VBS, PowerShell и Windows для сбора данных хоста и их эксфильтрации через веб-хуки Discord, причем варианты используют разные URL-адреса веб-хуков. Полезная нагрузка обходит ограничения на выполнение, затем генерирует дополнительные полезные нагрузки PowerShell, собирает данные и повторно запускается каждые 60 минут для обеспечения сохраняемости и поэтапной кражи. Артефакты для мониторинга включают скрипты PowerShell vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также изображения с именами vbs_diag_*.png или vbs_diag_*.jpg в %TEMP%.
-----

Cmimai Stealer описывается как infostealer на базе VBS, появившийся в середине 2025 года, использующий Visual Basic Script наряду с PowerShell и собственными сценариями Windows для сбора информации со скомпрометированных хостов. Вредоносная программа отфильтровывает украденные данные с помощью Discord webhooks, метода, который наблюдался во многих вариантах, включая образец от 28 июня, в котором использовался другой URL-адрес webhook. Это семейство infostealers использует выполнение на основе сценариев для сбора системных данных и передачи их по внешнему каналу, при этом альтернативный webhook указывает несколько вариантов кампании.

В рабочем режиме полезная нагрузка VBS запускается с мерами по обходу ограничений на выполнение, а затем генерирует дополнительные файлы PowerShell как часть своего рабочего процесса. Он собирает системную информацию во время выполнения и использует Discord webhooks для эксфильтрации извлеченных данных. Вредоносная программа отслеживает ответ от webhook и повторно запускается по расписанию, в частности, повторяя свою активность каждые 60 минут, обеспечивая закрепление и непрерывный сбор данных на зараженном хосте. Такое поведение подчеркивает поэтапный подход, при котором первоначальное выполнение скрипта облегчает создание дополнительной полезной нагрузки и продолжение кражи данных с течением времени.

Защитные индикаторы, выделенные исследованием, включают в себя конкретные артефакты для мониторинга на конечных точках. Службы безопасности должны следить за скриптами PowerShell с именами vbs_ps_browser.ps1 и vbs_ps_diag.ps1, а также файлами изображений с именами vbs_diag_*.png или vbs_diag_*.jpg, расположенными в папке %TEMP%. Эти артефакты отражают поэтапные компоненты PowerShell вредоносной программы и временные изображения, которые могут сопровождать рабочий процесс эксфильтрации данных, предоставляя конкретные сигналы для обнаружения и локализации.

#ParsedReport #CompletenessMedium
08-08-2025

Scammers mass-mailing the Efimer Trojan to steal crypto

https://securelist.com/efimer-trojan/117148/

Report completeness: Medium

Threats:
Efimer
Typosquatting_technique
Clipbanker

Victims:
Cryptocurrency users, Wordpress websites, Kaspersky users, Email recipients

Geo:
Brazil, Russia, Germany, Spain, India, Italy

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059.007, T1071.001, T1078, T1090.003, T1105, T1110, T1115, T1497.001, have more...

IOCs:
Hash: 12
File: 15
Registry: 1
Url: 12

Soft:
WordPress, Windows Defender, curl, Google Chrome

Wallets:
tron

Crypto:
bitcoin, ethereum, monero, solana

Algorithms:
zip, xor, md5

Functions:
createGUID, PingToOnion, GetWikiWords, GetRandWords, getSeDomains, GetWalletsList, checkUpdate, GetPageLinks

Languages:
powershell, javascript, php

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 24, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Efimer - это троян типа ClipBanker, который крадет криптовалюту путем замены адресов кошельков в буфере обмена и может запускать код со своего C2 через постоянный процесс с поддержкой Tor с опросом на основе GUID. Он распространяется через фишинг, выдающий себя за юристов, и скомпрометированные сайты WordPress, на которых размещаются архивы, защищенные паролем; модули перебора паролей WP и сбора электронных писем на C2. Активно с октября 2024 по июль 2025 года, он затронул тысячи (пик в Бразилии), используя C2s на основе onion и модульный, многоэтапный рабочий процесс для заражения, передачи данных. сбор данных и действия, управляемые C2.
-----

Проанализированные кампании описывают троянца Efimer, вредоносную программу типа ClipBanker, предназначенную для кражи криптовалюты путем подмены адресов кошельков, скопированных в буфер обмена. Июньская операция объединила массовые фишинговые электронные письма, выдававшие себя за юристов крупной компании, с вредоносным архивом, содержащим полезную нагрузку Efimer. Архив включает вложенный, защищенный паролем пакет и файл пароля с именем “PASSWORD - 47692”, где в имени файла пароля используется символ Юникода (U+1D5E6), чтобы предотвратить автоматическое извлечение. Похоже, что Efimer появился в конце 2024 года, первоначально распространяясь через скомпрометированные сайты WordPress, а затем распространился по электронной почте.

Основное поведение Efimer заключается в манипулировании хранилищем в буфере обмена, заменяя адреса, скопированные пользователем, на адреса, контролируемые злоумышленником. Вредоносная программа способна выполнять внешний код, полученный со своего сервера управления (C2), обеспечивая расширяемую поверхность атаки. Основной операционный цикл состоит из постоянного процесса, который, если не завершен, взаимодействует со своим C2 по сети Tor. Он передает GUID в запросе и выполняет команды, возвращаемые сервером, с механизмом таймера (p_timer) для регулирования частоты опроса и предотвращения аномальных объемов трафика.

Инфраструктура распространения включает в себя скомпрометированные сайты WordPress, где злоумышленники используют слабые учетные данные и размещают ссылки на защищенные паролем архивы для загрузки через торрент. Этот подход, основанный на watering-hole, дополняет кампании по электронной почте и расширяет пути заражения. На скомпрометированных хостах наблюдаются дополнительные скрипты, все они сообщают об одних и тех же конечных точках C2 на основе .onion. Один модуль, btdlg.js (MD5: 0f5404aa252f28c61b08390d52b7a054), явно перебирающий пароли WordPress. Отдельный скрипт с именем Liame собирает адреса электронной почты с проинструктированных целевых сайтов и отправляет их в C2, предлагая возможности разведки и рассылки спама в одной и той же инфраструктуре. Альтернативный вариант Efimer считывает уникальный идентификатор пользователя из C:\Users\Public\assembly\GUID , и, если недоступен, генерирует M11-XXXX-YYYY; он также проверяет наличие виртуализации для обнаружения изолированных сред.

С октября 2024 по июль 2025 года Efimer затронул около 5015 пользователей Kaspersky, причем наибольшая активность наблюдалась в Бразилии (1476 пользователей). Другие заметные регионы воздействия включают Индию, Испанию, Россию, Италию и Германию. Кампания демонстрирует многоэтапную модульную архитектуру угроз: первоначальный фишинг плюс распространение скомпрометированных сайтов, кража кошельков на основе буфера обмена, выполнение кода, управляемого C2, и вспомогательные скрипты для компрометации сайтов и сбора данных, все это работает через скрытые сервисы Tor, чтобы избежать слежки.

#ParsedReport #CompletenessMedium
07-08-2025

Odyssey Stealer: ClickFix Malware Attacks macOS Users for Credentials and Crypto Wallet Details

https://www.forcepoint.com/blog/x-labs/odyssey-stealer-attacks-macos-users

Report completeness: Medium

Threats:
Odyssey_stealer
Clickfix_technique
Fakecaptcha_technique

Victims:
Macos users, Windows users, Browser users, Cryptocurrency wallet users, Online account holders

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.004, T1071.001, T1204.002, T1555.003, T1566.002

IOCs:
Url: 16
IP: 2
Hash: 1

Soft:
macOS, curl, firefox, Chrome, Google Chrome, Microsoft Edge, Opera

Wallets:
electrum, exodus_wallet, wassabi

Crypto:
litecoin

Algorithms:
zip, base64

Languages:
applescript, powershell

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Odyssey Stealer - это ориентированный на macOS вариант фреймворка ClickFix, ориентированный на учетные данные и данные крипто-кошелька. Он основан на социальной инженерии с помощью фишингового сайта с капчей; AppleScript запускается в терминале и запрашивает системный пароль для эскалации и доступа к данным из Firefox и Chromium. Собранные артефакты архивируются в /tmp/out.zip и отфильтрован в hxxp://45.146.130.131/log с помощью curl.
-----

Odyssey Stealer описывается как ориентированный на macOS вариант вредоносной платформы ClickFix, обнаруженный после предыдущей работы в Windows. Цепочка атак начинается с фишинговой кампании, которая направляет пользователей на сайт по адресу hxxps://tradingviewen . com, где требуется запрос CAPTCHA и взаимодействие с пользователем. Этот подход использует социальную инженерию и запутанную доставку, чтобы заманить жертв к выполнению полезной нагрузки.

Основная полезная нагрузка в macOS доставляется с помощью AppleScript, который запускается в терминале и явно запрашивает у пользователя системный пароль для выполнения действий с повышенными правами. Эта эскалация позволяет вредоносному ПО получить доступ к широкому набору конфиденциальных данных с хоста. В дополнение к общему credential harvesting, вредоносная программа перечисляет криптокошельки и нацелена на браузеры, в частности на браузеры на базе Firefox и Chromium, для извлечения файлов cookie, сохраненных логинов, истории форм и ключей шифрования. Украденные данные браузера копируются во временный рабочий каталог для этапа эксфильтрации.

Для эксфильтрации данных вредоносная программа упаковывает собранную информацию в ZIP-архив и хранит его по адресу /tmp/out.zip . Эксфильтрация выполняется путем загрузки этого архива на удаленный сервер по адресу hxxp://45.146.130.131/log с использованием команды curl, указывающей на простой конвейер данных в стиле C2. Общая цель состоит в том, чтобы собрать учетные данные и сведения о криптовалютном кошельке путем сохранения на хосте, сбора артефактов целевого браузера и передачи их на удаленную конечную точку.

Отмечается, что кампания эволюционировала от нацеливания на компьютеры с Windows к macOS, при этом использовались методы обфускации для обхода обычных средств обнаружения и вектор социальной инженерии на основе терминала, облегчающий первоначальный доступ. Упомянутые меры защиты включают блокировку вредоносных URL-адресов на этапе приманки, блокировку AppleScript-дроппера (.scpt) в базах данных безопасности и ограничение трафика звонков домой известной инфраструктурой C2. При обнаружении NGFW фишинговый сайт идентифицируется как “Похититель файловой текстовой информации, использующий поддельные диалоговые окна браузера". В целом, кампания иллюстрирует ориентированный на macOS похититель учетных данных и информации о крипто-кошельках, использующий обман пользователей, выполнение на базе AppleScript и простую фильтрацию по протоколу HTTP на удаленный сервер.

#ParsedReport #CompletenessMedium
08-08-2025

GreedyBear: 650 Attack Tools, One Coordinated Campaign

https://blog.koi.security/greedy-bear-massive-crypto-wallet-attack-spans-across-multiple-vectors-3e8628831a05

Report completeness: Medium

Actors/Campaigns:
Greedybear (motivation: cyber_criminal)

Threats:
Lumma_stealer
Luca_stealer
Iobit_tool
Karma
Auslogics
Mobaxterm_tool
Softperfect_networx_tool

Victims:
Cryptocurrency sector, Digital wallet providers

Industry:
E-commerce

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1036, T1176, T1555.003

IOCs:
Domain: 23
IP: 20
Hash: 499

Soft:
Firefox, Chrome, VSCode, Hugging Face

Wallets:
metamask, tronlink, exodus_wallet, rabby, trezor, leapwallet, xverse_wallet, braavos_wallet, coin98

Crypto:
filecoin

Algorithms:
zip

Languages:
javascript, powershell

Platforms:
x64, x86, arm, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GreedyBear проводит промышленную кампанию по краже учетных данных, ориентированную на криптопользователей, развертывая около 650 инструментов через централизованную инфраструктуру, включая расширения Firefox, выдающие себя за кошельки (MetaMask, TronLink, Exodus, Rabby) и мошеннические сайты. Второй компонент включает в себя почти 500 исполняемых файлов Windows из нескольких семейств вредоносных ПО, привязанных к одному C2, что свидетельствует о диверсифицированном подходе к полезной нагрузке. Эволюционируя от Foxy Wallet, он теперь включает расширение Chrome (Filecoin Wallet), использующее ту же логику кражи учетных данных, с доменами на одном IP (185.208.156.66) и массированными атаками с помощью искусственного интеллекта.
-----

GreedyBear представлен как хакерская кАмпания промышленного масштаба, нацеленная на пользователей криптовалют, в которой утверждается, что 650 инструментов атаки развернуты в скоординированной инфраструктуре. Операция объединяет вредоносные расширения, исполняемые файлы Windows и мошеннические веб-сайты для сбора учетных данных и вывода средств, сигнализируя о переходе к крупномасштабному, многовекторному подходу, а не к изолированным инцидентам.

Первый компонент кампании состоит из вредоносных расширений Firefox, которых было выявлено более 150. Эти дополнения выдают себя за популярные криптокошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet, с целью обмана пользователей при вводе учетных данных или секретных ключей в поддельных интерфейсах. Второй компонент включает в себя почти 500 вредоносных исполняемых файлов Windows, связанных с одной и той же инфраструктурой и охватывающих несколько семейств вредоносных программ, что предполагает диверсифицированную стратегию полезной нагрузки, разработанную для максимального компрометирования в различных средах. VirusTotal отслеживает эти образцы в общей экосистеме управления, делая упор на централизованные операции.

В дополнение к полезной нагрузке на программное обеспечение GreedyBear управляет мошенническими веб—сайтами, которые представляют себя как законные криптопродукты или услуги - целевые страницы для цифровых кошельков, аппаратных устройств или услуг по ремонту кошельков — создавая более широкую сеть мошенничества, выходящую за рамки вредоносного ПО и расширений. Инфраструктура выглядит в высшей степени централизованной, поскольку почти все домены разрешаются по одному IP-адресу, что указывает на жестко контролируемую плоскость управления, которая координирует разрозненные каналы доставки под одним баннером.

Кампания, по-видимому, развилась из более ранней деятельности под эгидой Foxy Wallet, которая первоначально выявила 40 вредоносных расширений Firefox. Распространяясь за пределы Firefox, вредоносное расширение Chrome под названием Filecoin Wallet использовало ту же логику кражи учетных данных и взаимодействовало с тем же сервером, о чем свидетельствует домен, размещенный на 185.208.156.66. Появление этой централизованной многопользовательской браузерной системы совпадает с более широкими тенденциями в области инструментов с поддержкой искусственного интеллекта, позволяющих увеличить объем, скорость и сложность атак, что повышает риски для защитников, отслеживающих кражу учетных данных и мошенничество, связанное с криптографией, с помощью расширений, исполняемых файлов и сайтов с мошенническими продуктами.

#ParsedReport #CompletenessMedium
08-08-2025

Eleven Malicious Go Packages Deploy Obfuscated Remote Payloads in Sophisticated Supply Chain Attack

https://www.secureblink.com/cyber-security-news/eleven-malicious-go-packages-deploy-obfuscated-remote-payloads-in-sophisticated-supply-chain-attack

Report completeness: Medium

Actors/Campaigns:
Blindeagle

Threats:
Supply_chain_technique
Typosquatting_technique
Royal_ransomware
Blacksuit_ransomware

Victims:
Open source software ecosystem, Cryptocurrency ecosystem, Mobile application developers, Software developers, Government organizations, African organizations, Latin american organizations, Users of chromium based browsers

Industry:
Aerospace, Government

Geo:
Latin american, German, South africa, Indonesian, Chinese, Vietnam, African, Dutch, Ukrainian

CVEs:
CVE-2024-6778 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<126.0.6478.182)


ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1059, T1070, T1090, T1105, T1195, T1203, T1218, T1485, have more...

IOCs:
File: 1
Domain: 1
Url: 1

Soft:
Linux, macOS, whatsapp, telegram, chrome, microsoft sharepoint, microsoft sharepoint server

Languages:
swift, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Картина CTI на 2025 год показывает расширенную область атак за счет компрометации supply-chain, инструментов искусственного интеллекта и zero-day в разных экосистемах. При атаках используются запутанные пакеты Go, предоставляющие межосевые бэкдоры (ELF/PE), которые извлекают полезную нагрузку второго этапа из C2, повторно используют инфраструктуру и сохраняются после сбоев. Вредоносное ПО, генерируемое искусственным интеллектом, регионально ограниченная полезная нагрузка, риски быстрого внедрения, а также SharePoint zero-day и активность национальных государств сигнализируют о широком распространении угроз по всему миру.
-----

Одиннадцать вредоносных пакетов Go развертывают скрытую удаленную полезную нагрузку, предназначенную для Linux и Windows.

Код Go скрывает команды оболочки и использует /bin/sh в Linux и certutil.exe в Windows.

Во время выполнения скомпрометированные пакеты запускают оболочки и извлекают полезную нагрузку ELF или PE второго этапа из конечных точек C2, используя взаимозаменяемые домены .icu и .tech.

Имплантаты второго этапа перечисляют системы и извлекают учетные данные, а также автоматически повторно инициализируются при сбоях для поддержания закрепления.

Большинство URL-адресов полезной нагрузки остаются активными, что указывает на продолжающуюся операцию, вероятно, выполняемую одним актором, повторно использующим инфраструктуру C2 и зеркальное кэширование модуля Go; повторяет компромисс с BoltDB, который сохранялся в течение многих лет.

Это демонстрирует запутывание, надежное закрепление и возможности кросс-операционной системы при угрозах supply-chain.

Компоненты, генерируемые искусственным интеллектом, все чаще используются в вредоносном ПО и социальной инженерии; пакет npm @kodane/patch-manager показывает код с помощью искусственного интеллекта для опустошения криптовалютных кошельков тысячами загрузок перед удалением.

Два пакета npm, naya-flore и nvlore-hsc, маскируются под инструменты разработчика WhatsApp, но включают логику деструктивной очистки данных и функцию отключения на основе телефонного номера, которая запускает рекурсивное Удаление файлов в системах, не соответствующих индонезийским номерам.

Два пакета RubyGems, fastlane-plugin-telegram-proxy и fastlane-plugin-proxy_telegram, перенаправляют трафик Telegram API через работников Cloudflare, контролируемых злоумышленниками, для перехвата коммуникаций, злоупотребляя доверенными экосистемами.

Chrome DevTools CVE-2024-6778 выявляет критическое состояние гонки, позволяющее внедрять привилегированный код через скомпрометированные расширения, позволяя внедрять HTML/JavaScript на привилегированные страницы через API DevTools; CVSS около 8.8 с широким воздействием на браузер.

Корпоративные кампании включают в себя использование Microsoft SharePoint zero-day в африканской инфраструктуре с использованием безфайлового выполнения и методов защиты от судебной экспертизы.

Платформа модели отчетности Национальной казначейской инфраструктуры Южной Африки была скомпрометирована; защита предотвратила сбои в обслуживании, продемонстрировав сложную эксплуатацию непатченных корпоративных систем.

Intel отмечает, что в начале 2025 года китайские хакеры nexus будут использовать несколько нулевых дней; BlindEagle проводит сложную целенаправленную атаку на Латинскую Америку с помощью социальной инженерии и вредоносных программ на заказ; операция правоохранительных органов по демонтажу инфраструктуры BlackSuit сигнализирует о продолжающемся давлении в регионе.

Эволюция угроз, управляемая искусственным интеллектом, и риски быстрого внедрения обеспечивают персонализированный фишинг, адаптацию стратегии в режиме реального времени и отравление моделей, что указывает на широкое распространение кросс-сценарных атак в 2025 году.

#ParsedReport #CompletenessHigh
09-08-2025

Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability

https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/

Report completeness: High

Actors/Campaigns:
Paper_werewolf (motivation: cyber_criminal, cyber_espionage)

Threats:
Spear-phishing_technique

Victims:
Russian organizations

Industry:
Government

Geo:
Russian, Russia

CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 30
Path: 4
IP: 5
Url: 9
Hash: 21
Domain: 3

Algorithms:
sha1, sha256, md5

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Paper Werewolf продолжает нацеливаться на российские организации, используя недостатки WinRAR в качестве отправной точки. В отчете освещается WinRAR zero-day, указывающий на уязвимость высокой степени серьезности, которая используется для быстрых целенаправленных вторжений и скрытого первоначального доступа. Заголовки указывают на многочисленные недостатки WinRAR или кампании, указывая на архивы или созданные архивы в качестве механизма доставки, без указания подробной информации о полезной нагрузке.
-----

В резюме описывается текущая деятельность кластера Paper Werewolf, нацеленного на российские организации, что свидетельствует о продолжении их кампаний. В отчете подчеркивается, что эта группа использует недостатки WinRAR как часть своей работы, что указывает на акцент на эксплойтах, связанных с инструментом архивации WinRAR.

Центральной технической деталью является использование уязвимости WinRAR zero-day. Термин zero-day означает, что по крайней мере одна уязвимость в WinRAR ранее была неизвестна поставщикам и защитникам, подразумевая, что Paper Werewolf использует уязвимость высокой степени серьезности. Упоминание о zero-day требует внимания к потенциальным быстрым целенаправленным вторжениям и вероятности скрытых векторов первоначального доступа, связанных с использованием WinRAR.

В заголовках статей также упоминаются уязвимости WinRAR во множественном числе, что указывает либо на множественные недостатки, либо на последовательные кампании в рамках деятельности этого актора. Хотя точный метод эксплуатации, полезные нагрузки или поведение вредоносного ПО в отрывке не описаны, акцент на WinRAR в качестве точки входа указывает на использование скомпрометированных архивов или созданных вручную архивов в качестве механизма доставки для первоначального доступа.