CTT Report Hub
#ParsedReport #CompletenessMedium 08-08-2025 Scammers mass-mailing the Efimer Trojan to steal crypto https://securelist.com/efimer-trojan/117148/ Report completeness: Medium Threats: Efimer Typosquatting_technique Clipbanker Victims: Cryptocurrency users…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Efimer - это троян типа ClipBanker, который крадет криптовалюту путем замены адресов кошельков в буфере обмена и может запускать код со своего C2 через постоянный процесс с поддержкой Tor с опросом на основе GUID. Он распространяется через фишинг, выдающий себя за юристов, и скомпрометированные сайты WordPress, на которых размещаются архивы, защищенные паролем; модули перебора паролей WP и сбора электронных писем на C2. Активно с октября 2024 по июль 2025 года, он затронул тысячи (пик в Бразилии), используя C2s на основе onion и модульный, многоэтапный рабочий процесс для заражения, передачи данных. сбор данных и действия, управляемые C2.
-----
Проанализированные кампании описывают троянца Efimer, вредоносную программу типа ClipBanker, предназначенную для кражи криптовалюты путем подмены адресов кошельков, скопированных в буфер обмена. Июньская операция объединила массовые фишинговые электронные письма, выдававшие себя за юристов крупной компании, с вредоносным архивом, содержащим полезную нагрузку Efimer. Архив включает вложенный, защищенный паролем пакет и файл пароля с именем “PASSWORD - 47692”, где в имени файла пароля используется символ Юникода (U+1D5E6), чтобы предотвратить автоматическое извлечение. Похоже, что Efimer появился в конце 2024 года, первоначально распространяясь через скомпрометированные сайты WordPress, а затем распространился по электронной почте.
Основное поведение Efimer заключается в манипулировании хранилищем в буфере обмена, заменяя адреса, скопированные пользователем, на адреса, контролируемые злоумышленником. Вредоносная программа способна выполнять внешний код, полученный со своего сервера управления (C2), обеспечивая расширяемую поверхность атаки. Основной операционный цикл состоит из постоянного процесса, который, если не завершен, взаимодействует со своим C2 по сети Tor. Он передает GUID в запросе и выполняет команды, возвращаемые сервером, с механизмом таймера (p_timer) для регулирования частоты опроса и предотвращения аномальных объемов трафика.
Инфраструктура распространения включает в себя скомпрометированные сайты WordPress, где злоумышленники используют слабые учетные данные и размещают ссылки на защищенные паролем архивы для загрузки через торрент. Этот подход, основанный на watering-hole, дополняет кампании по электронной почте и расширяет пути заражения. На скомпрометированных хостах наблюдаются дополнительные скрипты, все они сообщают об одних и тех же конечных точках C2 на основе .onion. Один модуль, btdlg.js (MD5: 0f5404aa252f28c61b08390d52b7a054), явно перебирающий пароли WordPress. Отдельный скрипт с именем Liame собирает адреса электронной почты с проинструктированных целевых сайтов и отправляет их в C2, предлагая возможности разведки и рассылки спама в одной и той же инфраструктуре. Альтернативный вариант Efimer считывает уникальный идентификатор пользователя из C:\Users\Public\assembly\GUID , и, если недоступен, генерирует M11-XXXX-YYYY; он также проверяет наличие виртуализации для обнаружения изолированных сред.
С октября 2024 по июль 2025 года Efimer затронул около 5015 пользователей Kaspersky, причем наибольшая активность наблюдалась в Бразилии (1476 пользователей). Другие заметные регионы воздействия включают Индию, Испанию, Россию, Италию и Германию. Кампания демонстрирует многоэтапную модульную архитектуру угроз: первоначальный фишинг плюс распространение скомпрометированных сайтов, кража кошельков на основе буфера обмена, выполнение кода, управляемого C2, и вспомогательные скрипты для компрометации сайтов и сбора данных, все это работает через скрытые сервисы Tor, чтобы избежать слежки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Efimer - это троян типа ClipBanker, который крадет криптовалюту путем замены адресов кошельков в буфере обмена и может запускать код со своего C2 через постоянный процесс с поддержкой Tor с опросом на основе GUID. Он распространяется через фишинг, выдающий себя за юристов, и скомпрометированные сайты WordPress, на которых размещаются архивы, защищенные паролем; модули перебора паролей WP и сбора электронных писем на C2. Активно с октября 2024 по июль 2025 года, он затронул тысячи (пик в Бразилии), используя C2s на основе onion и модульный, многоэтапный рабочий процесс для заражения, передачи данных. сбор данных и действия, управляемые C2.
-----
Проанализированные кампании описывают троянца Efimer, вредоносную программу типа ClipBanker, предназначенную для кражи криптовалюты путем подмены адресов кошельков, скопированных в буфер обмена. Июньская операция объединила массовые фишинговые электронные письма, выдававшие себя за юристов крупной компании, с вредоносным архивом, содержащим полезную нагрузку Efimer. Архив включает вложенный, защищенный паролем пакет и файл пароля с именем “PASSWORD - 47692”, где в имени файла пароля используется символ Юникода (U+1D5E6), чтобы предотвратить автоматическое извлечение. Похоже, что Efimer появился в конце 2024 года, первоначально распространяясь через скомпрометированные сайты WordPress, а затем распространился по электронной почте.
Основное поведение Efimer заключается в манипулировании хранилищем в буфере обмена, заменяя адреса, скопированные пользователем, на адреса, контролируемые злоумышленником. Вредоносная программа способна выполнять внешний код, полученный со своего сервера управления (C2), обеспечивая расширяемую поверхность атаки. Основной операционный цикл состоит из постоянного процесса, который, если не завершен, взаимодействует со своим C2 по сети Tor. Он передает GUID в запросе и выполняет команды, возвращаемые сервером, с механизмом таймера (p_timer) для регулирования частоты опроса и предотвращения аномальных объемов трафика.
Инфраструктура распространения включает в себя скомпрометированные сайты WordPress, где злоумышленники используют слабые учетные данные и размещают ссылки на защищенные паролем архивы для загрузки через торрент. Этот подход, основанный на watering-hole, дополняет кампании по электронной почте и расширяет пути заражения. На скомпрометированных хостах наблюдаются дополнительные скрипты, все они сообщают об одних и тех же конечных точках C2 на основе .onion. Один модуль, btdlg.js (MD5: 0f5404aa252f28c61b08390d52b7a054), явно перебирающий пароли WordPress. Отдельный скрипт с именем Liame собирает адреса электронной почты с проинструктированных целевых сайтов и отправляет их в C2, предлагая возможности разведки и рассылки спама в одной и той же инфраструктуре. Альтернативный вариант Efimer считывает уникальный идентификатор пользователя из C:\Users\Public\assembly\GUID , и, если недоступен, генерирует M11-XXXX-YYYY; он также проверяет наличие виртуализации для обнаружения изолированных сред.
С октября 2024 по июль 2025 года Efimer затронул около 5015 пользователей Kaspersky, причем наибольшая активность наблюдалась в Бразилии (1476 пользователей). Другие заметные регионы воздействия включают Индию, Испанию, Россию, Италию и Германию. Кампания демонстрирует многоэтапную модульную архитектуру угроз: первоначальный фишинг плюс распространение скомпрометированных сайтов, кража кошельков на основе буфера обмена, выполнение кода, управляемого C2, и вспомогательные скрипты для компрометации сайтов и сбора данных, все это работает через скрытые сервисы Tor, чтобы избежать слежки.
#ParsedReport #CompletenessMedium
07-08-2025
Odyssey Stealer: ClickFix Malware Attacks macOS Users for Credentials and Crypto Wallet Details
https://www.forcepoint.com/blog/x-labs/odyssey-stealer-attacks-macos-users
Report completeness: Medium
Threats:
Odyssey_stealer
Clickfix_technique
Fakecaptcha_technique
Victims:
Macos users, Windows users, Browser users, Cryptocurrency wallet users, Online account holders
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1059.004, T1071.001, T1204.002, T1555.003, T1566.002
IOCs:
Url: 16
IP: 2
Hash: 1
Soft:
macOS, curl, firefox, Chrome, Google Chrome, Microsoft Edge, Opera
Wallets:
electrum, exodus_wallet, wassabi
Crypto:
litecoin
Algorithms:
zip, base64
Languages:
applescript, powershell
Platforms:
apple
07-08-2025
Odyssey Stealer: ClickFix Malware Attacks macOS Users for Credentials and Crypto Wallet Details
https://www.forcepoint.com/blog/x-labs/odyssey-stealer-attacks-macos-users
Report completeness: Medium
Threats:
Odyssey_stealer
Clickfix_technique
Fakecaptcha_technique
Victims:
Macos users, Windows users, Browser users, Cryptocurrency wallet users, Online account holders
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1059.004, T1071.001, T1204.002, T1555.003, T1566.002
IOCs:
Url: 16
IP: 2
Hash: 1
Soft:
macOS, curl, firefox, Chrome, Google Chrome, Microsoft Edge, Opera
Wallets:
electrum, exodus_wallet, wassabi
Crypto:
litecoin
Algorithms:
zip, base64
Languages:
applescript, powershell
Platforms:
apple
Forcepoint
Odyssey Stealer: ClickFix Malware Attacks macOS Users for Credentials and Crypto Wallet Details
The Odyssey Stealer comes in the form of a phishing campaign that targets macOS via a ClickFix technique that delivers malware designed to steal credentials.
CTT Report Hub
#ParsedReport #CompletenessMedium 07-08-2025 Odyssey Stealer: ClickFix Malware Attacks macOS Users for Credentials and Crypto Wallet Details https://www.forcepoint.com/blog/x-labs/odyssey-stealer-attacks-macos-users Report completeness: Medium Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Odyssey Stealer - это ориентированный на macOS вариант фреймворка ClickFix, ориентированный на учетные данные и данные крипто-кошелька. Он основан на социальной инженерии с помощью фишингового сайта с капчей; AppleScript запускается в терминале и запрашивает системный пароль для эскалации и доступа к данным из Firefox и Chromium. Собранные артефакты архивируются в /tmp/out.zip и отфильтрован в hxxp://45.146.130.131/log с помощью curl.
-----
Odyssey Stealer описывается как ориентированный на macOS вариант вредоносной платформы ClickFix, обнаруженный после предыдущей работы в Windows. Цепочка атак начинается с фишинговой кампании, которая направляет пользователей на сайт по адресу hxxps://tradingviewen . com, где требуется запрос CAPTCHA и взаимодействие с пользователем. Этот подход использует социальную инженерию и запутанную доставку, чтобы заманить жертв к выполнению полезной нагрузки.
Основная полезная нагрузка в macOS доставляется с помощью AppleScript, который запускается в терминале и явно запрашивает у пользователя системный пароль для выполнения действий с повышенными правами. Эта эскалация позволяет вредоносному ПО получить доступ к широкому набору конфиденциальных данных с хоста. В дополнение к общему credential harvesting, вредоносная программа перечисляет криптокошельки и нацелена на браузеры, в частности на браузеры на базе Firefox и Chromium, для извлечения файлов cookie, сохраненных логинов, истории форм и ключей шифрования. Украденные данные браузера копируются во временный рабочий каталог для этапа эксфильтрации.
Для эксфильтрации данных вредоносная программа упаковывает собранную информацию в ZIP-архив и хранит его по адресу /tmp/out.zip . Эксфильтрация выполняется путем загрузки этого архива на удаленный сервер по адресу hxxp://45.146.130.131/log с использованием команды curl, указывающей на простой конвейер данных в стиле C2. Общая цель состоит в том, чтобы собрать учетные данные и сведения о криптовалютном кошельке путем сохранения на хосте, сбора артефактов целевого браузера и передачи их на удаленную конечную точку.
Отмечается, что кампания эволюционировала от нацеливания на компьютеры с Windows к macOS, при этом использовались методы обфускации для обхода обычных средств обнаружения и вектор социальной инженерии на основе терминала, облегчающий первоначальный доступ. Упомянутые меры защиты включают блокировку вредоносных URL-адресов на этапе приманки, блокировку AppleScript-дроппера (.scpt) в базах данных безопасности и ограничение трафика звонков домой известной инфраструктурой C2. При обнаружении NGFW фишинговый сайт идентифицируется как “Похититель файловой текстовой информации, использующий поддельные диалоговые окна браузера". В целом, кампания иллюстрирует ориентированный на macOS похититель учетных данных и информации о крипто-кошельках, использующий обман пользователей, выполнение на базе AppleScript и простую фильтрацию по протоколу HTTP на удаленный сервер.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Odyssey Stealer - это ориентированный на macOS вариант фреймворка ClickFix, ориентированный на учетные данные и данные крипто-кошелька. Он основан на социальной инженерии с помощью фишингового сайта с капчей; AppleScript запускается в терминале и запрашивает системный пароль для эскалации и доступа к данным из Firefox и Chromium. Собранные артефакты архивируются в /tmp/out.zip и отфильтрован в hxxp://45.146.130.131/log с помощью curl.
-----
Odyssey Stealer описывается как ориентированный на macOS вариант вредоносной платформы ClickFix, обнаруженный после предыдущей работы в Windows. Цепочка атак начинается с фишинговой кампании, которая направляет пользователей на сайт по адресу hxxps://tradingviewen . com, где требуется запрос CAPTCHA и взаимодействие с пользователем. Этот подход использует социальную инженерию и запутанную доставку, чтобы заманить жертв к выполнению полезной нагрузки.
Основная полезная нагрузка в macOS доставляется с помощью AppleScript, который запускается в терминале и явно запрашивает у пользователя системный пароль для выполнения действий с повышенными правами. Эта эскалация позволяет вредоносному ПО получить доступ к широкому набору конфиденциальных данных с хоста. В дополнение к общему credential harvesting, вредоносная программа перечисляет криптокошельки и нацелена на браузеры, в частности на браузеры на базе Firefox и Chromium, для извлечения файлов cookie, сохраненных логинов, истории форм и ключей шифрования. Украденные данные браузера копируются во временный рабочий каталог для этапа эксфильтрации.
Для эксфильтрации данных вредоносная программа упаковывает собранную информацию в ZIP-архив и хранит его по адресу /tmp/out.zip . Эксфильтрация выполняется путем загрузки этого архива на удаленный сервер по адресу hxxp://45.146.130.131/log с использованием команды curl, указывающей на простой конвейер данных в стиле C2. Общая цель состоит в том, чтобы собрать учетные данные и сведения о криптовалютном кошельке путем сохранения на хосте, сбора артефактов целевого браузера и передачи их на удаленную конечную точку.
Отмечается, что кампания эволюционировала от нацеливания на компьютеры с Windows к macOS, при этом использовались методы обфускации для обхода обычных средств обнаружения и вектор социальной инженерии на основе терминала, облегчающий первоначальный доступ. Упомянутые меры защиты включают блокировку вредоносных URL-адресов на этапе приманки, блокировку AppleScript-дроппера (.scpt) в базах данных безопасности и ограничение трафика звонков домой известной инфраструктурой C2. При обнаружении NGFW фишинговый сайт идентифицируется как “Похититель файловой текстовой информации, использующий поддельные диалоговые окна браузера". В целом, кампания иллюстрирует ориентированный на macOS похититель учетных данных и информации о крипто-кошельках, использующий обман пользователей, выполнение на базе AppleScript и простую фильтрацию по протоколу HTTP на удаленный сервер.
#ParsedReport #CompletenessMedium
08-08-2025
GreedyBear: 650 Attack Tools, One Coordinated Campaign
https://blog.koi.security/greedy-bear-massive-crypto-wallet-attack-spans-across-multiple-vectors-3e8628831a05
Report completeness: Medium
Actors/Campaigns:
Greedybear (motivation: cyber_criminal)
Threats:
Lumma_stealer
Luca_stealer
Iobit_tool
Karma
Auslogics
Mobaxterm_tool
Softperfect_networx_tool
Victims:
Cryptocurrency sector, Digital wallet providers
Industry:
E-commerce
Geo:
Russian
ChatGPT TTPs:
T1036, T1176, T1555.003
IOCs:
Domain: 23
IP: 20
Hash: 499
Soft:
Firefox, Chrome, VSCode, Hugging Face
Wallets:
metamask, tronlink, exodus_wallet, rabby, trezor, leapwallet, xverse_wallet, braavos_wallet, coin98
Crypto:
filecoin
Algorithms:
zip
Languages:
javascript, powershell
Platforms:
x64, x86, arm, apple
08-08-2025
GreedyBear: 650 Attack Tools, One Coordinated Campaign
https://blog.koi.security/greedy-bear-massive-crypto-wallet-attack-spans-across-multiple-vectors-3e8628831a05
Report completeness: Medium
Actors/Campaigns:
Greedybear (motivation: cyber_criminal)
Threats:
Lumma_stealer
Luca_stealer
Iobit_tool
Karma
Auslogics
Mobaxterm_tool
Softperfect_networx_tool
Victims:
Cryptocurrency sector, Digital wallet providers
Industry:
E-commerce
Geo:
Russian
ChatGPT TTPs:
do not use without manual checkT1036, T1176, T1555.003
IOCs:
Domain: 23
IP: 20
Hash: 499
Soft:
Firefox, Chrome, VSCode, Hugging Face
Wallets:
metamask, tronlink, exodus_wallet, rabby, trezor, leapwallet, xverse_wallet, braavos_wallet, coin98
Crypto:
filecoin
Algorithms:
zip
Languages:
javascript, powershell
Platforms:
x64, x86, arm, apple
www.koi.ai
GreedyBear: 650 Attack Tools, One Coordinated Campaign
GreedyBear’s campaign deployed 650 attack tools in a single coordinated operation, targeting global systems and exposing massive security risks.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-08-2025 GreedyBear: 650 Attack Tools, One Coordinated Campaign https://blog.koi.security/greedy-bear-massive-crypto-wallet-attack-spans-across-multiple-vectors-3e8628831a05 Report completeness: Medium Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GreedyBear проводит промышленную кампанию по краже учетных данных, ориентированную на криптопользователей, развертывая около 650 инструментов через централизованную инфраструктуру, включая расширения Firefox, выдающие себя за кошельки (MetaMask, TronLink, Exodus, Rabby) и мошеннические сайты. Второй компонент включает в себя почти 500 исполняемых файлов Windows из нескольких семейств вредоносных ПО, привязанных к одному C2, что свидетельствует о диверсифицированном подходе к полезной нагрузке. Эволюционируя от Foxy Wallet, он теперь включает расширение Chrome (Filecoin Wallet), использующее ту же логику кражи учетных данных, с доменами на одном IP (185.208.156.66) и массированными атаками с помощью искусственного интеллекта.
-----
GreedyBear представлен как хакерская кАмпания промышленного масштаба, нацеленная на пользователей криптовалют, в которой утверждается, что 650 инструментов атаки развернуты в скоординированной инфраструктуре. Операция объединяет вредоносные расширения, исполняемые файлы Windows и мошеннические веб-сайты для сбора учетных данных и вывода средств, сигнализируя о переходе к крупномасштабному, многовекторному подходу, а не к изолированным инцидентам.
Первый компонент кампании состоит из вредоносных расширений Firefox, которых было выявлено более 150. Эти дополнения выдают себя за популярные криптокошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet, с целью обмана пользователей при вводе учетных данных или секретных ключей в поддельных интерфейсах. Второй компонент включает в себя почти 500 вредоносных исполняемых файлов Windows, связанных с одной и той же инфраструктурой и охватывающих несколько семейств вредоносных программ, что предполагает диверсифицированную стратегию полезной нагрузки, разработанную для максимального компрометирования в различных средах. VirusTotal отслеживает эти образцы в общей экосистеме управления, делая упор на централизованные операции.
В дополнение к полезной нагрузке на программное обеспечение GreedyBear управляет мошенническими веб—сайтами, которые представляют себя как законные криптопродукты или услуги - целевые страницы для цифровых кошельков, аппаратных устройств или услуг по ремонту кошельков — создавая более широкую сеть мошенничества, выходящую за рамки вредоносного ПО и расширений. Инфраструктура выглядит в высшей степени централизованной, поскольку почти все домены разрешаются по одному IP-адресу, что указывает на жестко контролируемую плоскость управления, которая координирует разрозненные каналы доставки под одним баннером.
Кампания, по-видимому, развилась из более ранней деятельности под эгидой Foxy Wallet, которая первоначально выявила 40 вредоносных расширений Firefox. Распространяясь за пределы Firefox, вредоносное расширение Chrome под названием Filecoin Wallet использовало ту же логику кражи учетных данных и взаимодействовало с тем же сервером, о чем свидетельствует домен, размещенный на 185.208.156.66. Появление этой централизованной многопользовательской браузерной системы совпадает с более широкими тенденциями в области инструментов с поддержкой искусственного интеллекта, позволяющих увеличить объем, скорость и сложность атак, что повышает риски для защитников, отслеживающих кражу учетных данных и мошенничество, связанное с криптографией, с помощью расширений, исполняемых файлов и сайтов с мошенническими продуктами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
GreedyBear проводит промышленную кампанию по краже учетных данных, ориентированную на криптопользователей, развертывая около 650 инструментов через централизованную инфраструктуру, включая расширения Firefox, выдающие себя за кошельки (MetaMask, TronLink, Exodus, Rabby) и мошеннические сайты. Второй компонент включает в себя почти 500 исполняемых файлов Windows из нескольких семейств вредоносных ПО, привязанных к одному C2, что свидетельствует о диверсифицированном подходе к полезной нагрузке. Эволюционируя от Foxy Wallet, он теперь включает расширение Chrome (Filecoin Wallet), использующее ту же логику кражи учетных данных, с доменами на одном IP (185.208.156.66) и массированными атаками с помощью искусственного интеллекта.
-----
GreedyBear представлен как хакерская кАмпания промышленного масштаба, нацеленная на пользователей криптовалют, в которой утверждается, что 650 инструментов атаки развернуты в скоординированной инфраструктуре. Операция объединяет вредоносные расширения, исполняемые файлы Windows и мошеннические веб-сайты для сбора учетных данных и вывода средств, сигнализируя о переходе к крупномасштабному, многовекторному подходу, а не к изолированным инцидентам.
Первый компонент кампании состоит из вредоносных расширений Firefox, которых было выявлено более 150. Эти дополнения выдают себя за популярные криптокошельки, такие как MetaMask, TronLink, Exodus и Rabby Wallet, с целью обмана пользователей при вводе учетных данных или секретных ключей в поддельных интерфейсах. Второй компонент включает в себя почти 500 вредоносных исполняемых файлов Windows, связанных с одной и той же инфраструктурой и охватывающих несколько семейств вредоносных программ, что предполагает диверсифицированную стратегию полезной нагрузки, разработанную для максимального компрометирования в различных средах. VirusTotal отслеживает эти образцы в общей экосистеме управления, делая упор на централизованные операции.
В дополнение к полезной нагрузке на программное обеспечение GreedyBear управляет мошенническими веб—сайтами, которые представляют себя как законные криптопродукты или услуги - целевые страницы для цифровых кошельков, аппаратных устройств или услуг по ремонту кошельков — создавая более широкую сеть мошенничества, выходящую за рамки вредоносного ПО и расширений. Инфраструктура выглядит в высшей степени централизованной, поскольку почти все домены разрешаются по одному IP-адресу, что указывает на жестко контролируемую плоскость управления, которая координирует разрозненные каналы доставки под одним баннером.
Кампания, по-видимому, развилась из более ранней деятельности под эгидой Foxy Wallet, которая первоначально выявила 40 вредоносных расширений Firefox. Распространяясь за пределы Firefox, вредоносное расширение Chrome под названием Filecoin Wallet использовало ту же логику кражи учетных данных и взаимодействовало с тем же сервером, о чем свидетельствует домен, размещенный на 185.208.156.66. Появление этой централизованной многопользовательской браузерной системы совпадает с более широкими тенденциями в области инструментов с поддержкой искусственного интеллекта, позволяющих увеличить объем, скорость и сложность атак, что повышает риски для защитников, отслеживающих кражу учетных данных и мошенничество, связанное с криптографией, с помощью расширений, исполняемых файлов и сайтов с мошенническими продуктами.
#ParsedReport #CompletenessMedium
08-08-2025
Eleven Malicious Go Packages Deploy Obfuscated Remote Payloads in Sophisticated Supply Chain Attack
https://www.secureblink.com/cyber-security-news/eleven-malicious-go-packages-deploy-obfuscated-remote-payloads-in-sophisticated-supply-chain-attack
Report completeness: Medium
Actors/Campaigns:
Blindeagle
Threats:
Supply_chain_technique
Typosquatting_technique
Royal_ransomware
Blacksuit_ransomware
Victims:
Open source software ecosystem, Cryptocurrency ecosystem, Mobile application developers, Software developers, Government organizations, African organizations, Latin american organizations, Users of chromium based browsers
Industry:
Aerospace, Government
Geo:
Latin american, German, South africa, Indonesian, Chinese, Vietnam, African, Dutch, Ukrainian
CVEs:
CVE-2024-6778 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<126.0.6478.182)
ChatGPT TTPs:
T1027, T1041, T1059, T1070, T1090, T1105, T1195, T1203, T1218, T1485, have more...
IOCs:
File: 1
Domain: 1
Url: 1
Soft:
Linux, macOS, whatsapp, telegram, chrome, microsoft sharepoint, microsoft sharepoint server
Languages:
swift, javascript
08-08-2025
Eleven Malicious Go Packages Deploy Obfuscated Remote Payloads in Sophisticated Supply Chain Attack
https://www.secureblink.com/cyber-security-news/eleven-malicious-go-packages-deploy-obfuscated-remote-payloads-in-sophisticated-supply-chain-attack
Report completeness: Medium
Actors/Campaigns:
Blindeagle
Threats:
Supply_chain_technique
Typosquatting_technique
Royal_ransomware
Blacksuit_ransomware
Victims:
Open source software ecosystem, Cryptocurrency ecosystem, Mobile application developers, Software developers, Government organizations, African organizations, Latin american organizations, Users of chromium based browsers
Industry:
Aerospace, Government
Geo:
Latin american, German, South africa, Indonesian, Chinese, Vietnam, African, Dutch, Ukrainian
CVEs:
CVE-2024-6778 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<126.0.6478.182)
ChatGPT TTPs:
do not use without manual checkT1027, T1041, T1059, T1070, T1090, T1105, T1195, T1203, T1218, T1485, have more...
IOCs:
File: 1
Domain: 1
Url: 1
Soft:
Linux, macOS, whatsapp, telegram, chrome, microsoft sharepoint, microsoft sharepoint server
Languages:
swift, javascript
Secureblink
Eleven Malicious Go Packages Deploy Obfuscated Remote Payloads in Sophisticated Supply Chain Attack
Socket uncovers 11 malicious Go packages with obfuscated payloads targeting Linux/Windows. AI-generated npm malware & supply chain attacks surge.
CTT Report Hub
#ParsedReport #CompletenessMedium 08-08-2025 Eleven Malicious Go Packages Deploy Obfuscated Remote Payloads in Sophisticated Supply Chain Attack https://www.secureblink.com/cyber-security-news/eleven-malicious-go-packages-deploy-obfuscated-remote-payloads…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Картина CTI на 2025 год показывает расширенную область атак за счет компрометации supply-chain, инструментов искусственного интеллекта и zero-day в разных экосистемах. При атаках используются запутанные пакеты Go, предоставляющие межосевые бэкдоры (ELF/PE), которые извлекают полезную нагрузку второго этапа из C2, повторно используют инфраструктуру и сохраняются после сбоев. Вредоносное ПО, генерируемое искусственным интеллектом, регионально ограниченная полезная нагрузка, риски быстрого внедрения, а также SharePoint zero-day и активность национальных государств сигнализируют о широком распространении угроз по всему миру.
-----
Одиннадцать вредоносных пакетов Go развертывают скрытую удаленную полезную нагрузку, предназначенную для Linux и Windows.
Код Go скрывает команды оболочки и использует /bin/sh в Linux и certutil.exe в Windows.
Во время выполнения скомпрометированные пакеты запускают оболочки и извлекают полезную нагрузку ELF или PE второго этапа из конечных точек C2, используя взаимозаменяемые домены .icu и .tech.
Имплантаты второго этапа перечисляют системы и извлекают учетные данные, а также автоматически повторно инициализируются при сбоях для поддержания закрепления.
Большинство URL-адресов полезной нагрузки остаются активными, что указывает на продолжающуюся операцию, вероятно, выполняемую одним актором, повторно использующим инфраструктуру C2 и зеркальное кэширование модуля Go; повторяет компромисс с BoltDB, который сохранялся в течение многих лет.
Это демонстрирует запутывание, надежное закрепление и возможности кросс-операционной системы при угрозах supply-chain.
Компоненты, генерируемые искусственным интеллектом, все чаще используются в вредоносном ПО и социальной инженерии; пакет npm @kodane/patch-manager показывает код с помощью искусственного интеллекта для опустошения криптовалютных кошельков тысячами загрузок перед удалением.
Два пакета npm, naya-flore и nvlore-hsc, маскируются под инструменты разработчика WhatsApp, но включают логику деструктивной очистки данных и функцию отключения на основе телефонного номера, которая запускает рекурсивное Удаление файлов в системах, не соответствующих индонезийским номерам.
Два пакета RubyGems, fastlane-plugin-telegram-proxy и fastlane-plugin-proxy_telegram, перенаправляют трафик Telegram API через работников Cloudflare, контролируемых злоумышленниками, для перехвата коммуникаций, злоупотребляя доверенными экосистемами.
Chrome DevTools CVE-2024-6778 выявляет критическое состояние гонки, позволяющее внедрять привилегированный код через скомпрометированные расширения, позволяя внедрять HTML/JavaScript на привилегированные страницы через API DevTools; CVSS около 8.8 с широким воздействием на браузер.
Корпоративные кампании включают в себя использование Microsoft SharePoint zero-day в африканской инфраструктуре с использованием безфайлового выполнения и методов защиты от судебной экспертизы.
Платформа модели отчетности Национальной казначейской инфраструктуры Южной Африки была скомпрометирована; защита предотвратила сбои в обслуживании, продемонстрировав сложную эксплуатацию непатченных корпоративных систем.
Intel отмечает, что в начале 2025 года китайские хакеры nexus будут использовать несколько нулевых дней; BlindEagle проводит сложную целенаправленную атаку на Латинскую Америку с помощью социальной инженерии и вредоносных программ на заказ; операция правоохранительных органов по демонтажу инфраструктуры BlackSuit сигнализирует о продолжающемся давлении в регионе.
Эволюция угроз, управляемая искусственным интеллектом, и риски быстрого внедрения обеспечивают персонализированный фишинг, адаптацию стратегии в режиме реального времени и отравление моделей, что указывает на широкое распространение кросс-сценарных атак в 2025 году.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Картина CTI на 2025 год показывает расширенную область атак за счет компрометации supply-chain, инструментов искусственного интеллекта и zero-day в разных экосистемах. При атаках используются запутанные пакеты Go, предоставляющие межосевые бэкдоры (ELF/PE), которые извлекают полезную нагрузку второго этапа из C2, повторно используют инфраструктуру и сохраняются после сбоев. Вредоносное ПО, генерируемое искусственным интеллектом, регионально ограниченная полезная нагрузка, риски быстрого внедрения, а также SharePoint zero-day и активность национальных государств сигнализируют о широком распространении угроз по всему миру.
-----
Одиннадцать вредоносных пакетов Go развертывают скрытую удаленную полезную нагрузку, предназначенную для Linux и Windows.
Код Go скрывает команды оболочки и использует /bin/sh в Linux и certutil.exe в Windows.
Во время выполнения скомпрометированные пакеты запускают оболочки и извлекают полезную нагрузку ELF или PE второго этапа из конечных точек C2, используя взаимозаменяемые домены .icu и .tech.
Имплантаты второго этапа перечисляют системы и извлекают учетные данные, а также автоматически повторно инициализируются при сбоях для поддержания закрепления.
Большинство URL-адресов полезной нагрузки остаются активными, что указывает на продолжающуюся операцию, вероятно, выполняемую одним актором, повторно использующим инфраструктуру C2 и зеркальное кэширование модуля Go; повторяет компромисс с BoltDB, который сохранялся в течение многих лет.
Это демонстрирует запутывание, надежное закрепление и возможности кросс-операционной системы при угрозах supply-chain.
Компоненты, генерируемые искусственным интеллектом, все чаще используются в вредоносном ПО и социальной инженерии; пакет npm @kodane/patch-manager показывает код с помощью искусственного интеллекта для опустошения криптовалютных кошельков тысячами загрузок перед удалением.
Два пакета npm, naya-flore и nvlore-hsc, маскируются под инструменты разработчика WhatsApp, но включают логику деструктивной очистки данных и функцию отключения на основе телефонного номера, которая запускает рекурсивное Удаление файлов в системах, не соответствующих индонезийским номерам.
Два пакета RubyGems, fastlane-plugin-telegram-proxy и fastlane-plugin-proxy_telegram, перенаправляют трафик Telegram API через работников Cloudflare, контролируемых злоумышленниками, для перехвата коммуникаций, злоупотребляя доверенными экосистемами.
Chrome DevTools CVE-2024-6778 выявляет критическое состояние гонки, позволяющее внедрять привилегированный код через скомпрометированные расширения, позволяя внедрять HTML/JavaScript на привилегированные страницы через API DevTools; CVSS около 8.8 с широким воздействием на браузер.
Корпоративные кампании включают в себя использование Microsoft SharePoint zero-day в африканской инфраструктуре с использованием безфайлового выполнения и методов защиты от судебной экспертизы.
Платформа модели отчетности Национальной казначейской инфраструктуры Южной Африки была скомпрометирована; защита предотвратила сбои в обслуживании, продемонстрировав сложную эксплуатацию непатченных корпоративных систем.
Intel отмечает, что в начале 2025 года китайские хакеры nexus будут использовать несколько нулевых дней; BlindEagle проводит сложную целенаправленную атаку на Латинскую Америку с помощью социальной инженерии и вредоносных программ на заказ; операция правоохранительных органов по демонтажу инфраструктуры BlackSuit сигнализирует о продолжающемся давлении в регионе.
Эволюция угроз, управляемая искусственным интеллектом, и риски быстрого внедрения обеспечивают персонализированный фишинг, адаптацию стратегии в режиме реального времени и отравление моделей, что указывает на широкое распространение кросс-сценарных атак в 2025 году.
#ParsedReport #CompletenessHigh
09-08-2025
Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability
https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/
Report completeness: High
Actors/Campaigns:
Paper_werewolf (motivation: cyber_criminal, cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Russian organizations
Industry:
Government
Geo:
Russian, Russia
CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 30
Path: 4
IP: 5
Url: 9
Hash: 21
Domain: 3
Algorithms:
sha1, sha256, md5
Platforms:
x64
09-08-2025
Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability
https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/
Report completeness: High
Actors/Campaigns:
Paper_werewolf (motivation: cyber_criminal, cyber_espionage)
Threats:
Spear-phishing_technique
Victims:
Russian organizations
Industry:
Government
Geo:
Russian, Russia
CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 30
Path: 4
IP: 5
Url: 9
Hash: 21
Domain: 3
Algorithms:
sha1, sha256, md5
Platforms:
x64
BI.ZONE
Paper Werewolf атакует Россию с использованием уязвимости нулевого дня в WinRAR
Кластер Paper Werewolf продолжает атаковать российские организации — на этот раз с использованием уязвимостей в WinRAR
CTT Report Hub
#ParsedReport #CompletenessHigh 09-08-2025 Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Paper Werewolf продолжает нацеливаться на российские организации, используя недостатки WinRAR в качестве отправной точки. В отчете освещается WinRAR zero-day, указывающий на уязвимость высокой степени серьезности, которая используется для быстрых целенаправленных вторжений и скрытого первоначального доступа. Заголовки указывают на многочисленные недостатки WinRAR или кампании, указывая на архивы или созданные архивы в качестве механизма доставки, без указания подробной информации о полезной нагрузке.
-----
В резюме описывается текущая деятельность кластера Paper Werewolf, нацеленного на российские организации, что свидетельствует о продолжении их кампаний. В отчете подчеркивается, что эта группа использует недостатки WinRAR как часть своей работы, что указывает на акцент на эксплойтах, связанных с инструментом архивации WinRAR.
Центральной технической деталью является использование уязвимости WinRAR zero-day. Термин zero-day означает, что по крайней мере одна уязвимость в WinRAR ранее была неизвестна поставщикам и защитникам, подразумевая, что Paper Werewolf использует уязвимость высокой степени серьезности. Упоминание о zero-day требует внимания к потенциальным быстрым целенаправленным вторжениям и вероятности скрытых векторов первоначального доступа, связанных с использованием WinRAR.
В заголовках статей также упоминаются уязвимости WinRAR во множественном числе, что указывает либо на множественные недостатки, либо на последовательные кампании в рамках деятельности этого актора. Хотя точный метод эксплуатации, полезные нагрузки или поведение вредоносного ПО в отрывке не описаны, акцент на WinRAR в качестве точки входа указывает на использование скомпрометированных архивов или созданных вручную архивов в качестве механизма доставки для первоначального доступа.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Paper Werewolf продолжает нацеливаться на российские организации, используя недостатки WinRAR в качестве отправной точки. В отчете освещается WinRAR zero-day, указывающий на уязвимость высокой степени серьезности, которая используется для быстрых целенаправленных вторжений и скрытого первоначального доступа. Заголовки указывают на многочисленные недостатки WinRAR или кампании, указывая на архивы или созданные архивы в качестве механизма доставки, без указания подробной информации о полезной нагрузке.
-----
В резюме описывается текущая деятельность кластера Paper Werewolf, нацеленного на российские организации, что свидетельствует о продолжении их кампаний. В отчете подчеркивается, что эта группа использует недостатки WinRAR как часть своей работы, что указывает на акцент на эксплойтах, связанных с инструментом архивации WinRAR.
Центральной технической деталью является использование уязвимости WinRAR zero-day. Термин zero-day означает, что по крайней мере одна уязвимость в WinRAR ранее была неизвестна поставщикам и защитникам, подразумевая, что Paper Werewolf использует уязвимость высокой степени серьезности. Упоминание о zero-day требует внимания к потенциальным быстрым целенаправленным вторжениям и вероятности скрытых векторов первоначального доступа, связанных с использованием WinRAR.
В заголовках статей также упоминаются уязвимости WinRAR во множественном числе, что указывает либо на множественные недостатки, либо на последовательные кампании в рамках деятельности этого актора. Хотя точный метод эксплуатации, полезные нагрузки или поведение вредоносного ПО в отрывке не описаны, акцент на WinRAR в качестве точки входа указывает на использование скомпрометированных архивов или созданных вручную архивов в качестве механизма доставки для первоначального доступа.
#ParsedReport #CompletenessMedium
09-08-2025
Echoes in the Shell: Legacy Tooling Behind Ongoing SharePoint ToolShell Exploitation
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/echoes-in-the-shell-legacy-tooling-behind-ongoing-sharepoint-toolshell-exploitation/
Report completeness: Medium
Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603
Red_delta
Silver_fox
Threats:
Toolshell_vuln
Credential_harvesting_technique
Chinachopper
Antsword
Proxynotshell_vuln
Valleyrat
Victims:
Organizations using microsoft sharepoint on premises
Geo:
Chinese, China
CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)
TTPs:
Tactics: 3
Technics: 12
IOCs:
File: 7
Domain: 1
Hash: 4
Soft:
Microsoft SharePoint, ASP.NET, Active Directory, curl, Visual Studio Code
Algorithms:
base64
Functions:
GetApplicationConfig, WriteAllBytes, eval
Languages:
jscript, powershell
Platforms:
cross-platform
Links:
09-08-2025
Echoes in the Shell: Legacy Tooling Behind Ongoing SharePoint ToolShell Exploitation
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/echoes-in-the-shell-legacy-tooling-behind-ongoing-sharepoint-toolshell-exploitation/
Report completeness: Medium
Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603
Red_delta
Silver_fox
Threats:
Toolshell_vuln
Credential_harvesting_technique
Chinachopper
Antsword
Proxynotshell_vuln
Valleyrat
Victims:
Organizations using microsoft sharepoint on premises
Geo:
Chinese, China
CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)
CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)
CVE-2019-0604 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_foundation (2013)
- microsoft sharepoint_server (2010, 2019)
CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)
TTPs:
Tactics: 3
Technics: 12
IOCs:
File: 7
Domain: 1
Hash: 4
Soft:
Microsoft SharePoint, ASP.NET, Active Directory, curl, Visual Studio Code
Algorithms:
base64
Functions:
GetApplicationConfig, WriteAllBytes, eval
Languages:
jscript, powershell
Platforms:
cross-platform
Links:
https://github.com/AntSwordProject/antSwordLevelblue
Echoes in the Shell: Legacy Tooling Behind Ongoing SharePoint ‘ToolShell’ Exploitation
Trustwave SpiderLabs CTI analyzed enterprise telemetry to address widespread Microsoft SharePoint on-premises exploitation.
CTT Report Hub
#ParsedReport #CompletenessMedium 09-08-2025 Echoes in the Shell: Legacy Tooling Behind Ongoing SharePoint ToolShell Exploitation https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/echoes-in-the-shell-legacy-tooling-behind-ongoing-sharepoint…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Trustwave SpiderLabs CTI отмечает быстрое использование SharePoint на этапе подготовки, когда злоумышленники переходят от первоначального доступа к рекогносцировке, краже учетных данных и развертыванию веб-оболочки, а также исходящему трафику C2. Метод веб-оболочки использует Base64 PowerShell и WriteAllBytes() для удаления ASP.NET страницы (list_display.aspx/listdisplay.aspx) в папку LAYOUTS через IIS worker. Кампании ссылаются на домены RequestRepo C2 и пересекаются с действиями AntSword/China Chopper и ProxyNotShell эпохи, используя устаревшие ASP.NET такие компоненты, как ViewState и machineKey.
-----
Исследователи Trustwave SpiderLabs CTI наблюдали быстро развивающийся ландшафт угроз, сосредоточенный на широкомасштабном использовании локального Microsoft SharePoint. Действие охватывает несколько корпоративных сред, при этом злоумышленники переходят от первоначального компрометирования к операциям после эксплуатации, которые включают разведку, credential harvesting и развертывание веб-оболочки, за которыми следуют исходящие подключения к инфраструктуре, контролируемой злоумышленником, что указывает на вторжение с клавиатуры и устойчивый доступ.
Процесс эксплуатации согласуется с раскрытием корпорацией Майкрософт уязвимостей на локальных серверах SharePoint. После первоначального доступа участники проводят целенаправленную внутреннюю разведку и действия по краже учетных данных, кульминацией которых является развертывание веб-оболочек. В нескольких случаях телеметрия показывала исходящие соединения от скомпрометированных систем к инфраструктуре командования и контроля (C2), контролируемой злоумышленником, что сигнализировало о продолжающемся контроле и мониторинге со стороны злоумышленников.
Поведение после эксплуатации часто связано с рабочим процессом IIS, при этом подозрительная активность исходит из различных пулов приложений SharePoint и часто нацелена на внутренние службы Active Directory. Примечательная тактика веб-оболочки включает в себя больше команд PowerShell в кодировке Base64, используемых в сочетании с функцией WriteAllBytes() для удаления ASP.NET страницы в каталоге SharePoint LAYOUTS, в частности файлы с именами list_display.aspx и listdisplay.aspx.
В дополнение к локальному сохранению, кампании включали попытки установить исходящую связь C2 с доменами, связанными с RequestRepo, что подчеркивает способность акторов поддерживать каналы удаленного доступа и эксфильтрации.
Атрибуция остается неопределенной, но исследователи заметили совпадения с такими инструментами, как AntSword и China Chopper, в кампаниях по использованию SharePoint в середине 2025 года, с историческими связями с активностью эпохи ProxyNotShell в 2022 году, что предполагает потенциальные связи между кампаниями и общими TTP.
В выводах подчеркиваются уроки защиты: несмотря на то, что SharePoint является современной платформой, в локальной среде по-прежнему присутствуют уязвимости, связанные с устаревшими версиями ASP.NET компоненты, включая конфигурации ViewState и machineKey. Эти проблемы сохраняются из-за требований обратной совместимости и несогласованного усиления безопасности в разных развертываниях, что оставляет незащищенными области, которыми могут злоупотреблять злоумышленники.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Trustwave SpiderLabs CTI отмечает быстрое использование SharePoint на этапе подготовки, когда злоумышленники переходят от первоначального доступа к рекогносцировке, краже учетных данных и развертыванию веб-оболочки, а также исходящему трафику C2. Метод веб-оболочки использует Base64 PowerShell и WriteAllBytes() для удаления ASP.NET страницы (list_display.aspx/listdisplay.aspx) в папку LAYOUTS через IIS worker. Кампании ссылаются на домены RequestRepo C2 и пересекаются с действиями AntSword/China Chopper и ProxyNotShell эпохи, используя устаревшие ASP.NET такие компоненты, как ViewState и machineKey.
-----
Исследователи Trustwave SpiderLabs CTI наблюдали быстро развивающийся ландшафт угроз, сосредоточенный на широкомасштабном использовании локального Microsoft SharePoint. Действие охватывает несколько корпоративных сред, при этом злоумышленники переходят от первоначального компрометирования к операциям после эксплуатации, которые включают разведку, credential harvesting и развертывание веб-оболочки, за которыми следуют исходящие подключения к инфраструктуре, контролируемой злоумышленником, что указывает на вторжение с клавиатуры и устойчивый доступ.
Процесс эксплуатации согласуется с раскрытием корпорацией Майкрософт уязвимостей на локальных серверах SharePoint. После первоначального доступа участники проводят целенаправленную внутреннюю разведку и действия по краже учетных данных, кульминацией которых является развертывание веб-оболочек. В нескольких случаях телеметрия показывала исходящие соединения от скомпрометированных систем к инфраструктуре командования и контроля (C2), контролируемой злоумышленником, что сигнализировало о продолжающемся контроле и мониторинге со стороны злоумышленников.
Поведение после эксплуатации часто связано с рабочим процессом IIS, при этом подозрительная активность исходит из различных пулов приложений SharePoint и часто нацелена на внутренние службы Active Directory. Примечательная тактика веб-оболочки включает в себя больше команд PowerShell в кодировке Base64, используемых в сочетании с функцией WriteAllBytes() для удаления ASP.NET страницы в каталоге SharePoint LAYOUTS, в частности файлы с именами list_display.aspx и listdisplay.aspx.
В дополнение к локальному сохранению, кампании включали попытки установить исходящую связь C2 с доменами, связанными с RequestRepo, что подчеркивает способность акторов поддерживать каналы удаленного доступа и эксфильтрации.
Атрибуция остается неопределенной, но исследователи заметили совпадения с такими инструментами, как AntSword и China Chopper, в кампаниях по использованию SharePoint в середине 2025 года, с историческими связями с активностью эпохи ProxyNotShell в 2022 году, что предполагает потенциальные связи между кампаниями и общими TTP.
В выводах подчеркиваются уроки защиты: несмотря на то, что SharePoint является современной платформой, в локальной среде по-прежнему присутствуют уязвимости, связанные с устаревшими версиями ASP.NET компоненты, включая конфигурации ViewState и machineKey. Эти проблемы сохраняются из-за требований обратной совместимости и несогласованного усиления безопасности в разных развертываниях, что оставляет незащищенными области, которыми могут злоупотреблять злоумышленники.
#ParsedReport #CompletenessLow
08-08-2025
CastleLoader
https://blog.polyswarm.io/castleloader
Report completeness: Low
Threats:
Castleloader
Netsupportmanager_rat
Stealc
Redline_stealer
Deerstealer
Hijackloader
Sectop_rat
Clickfix_technique
Victims:
Us government entities
Industry:
Software_development, Government
ChatGPT TTPs:
T1036, T1204, T1566, T1583.006
IOCs:
Hash: 1
Soft:
SQL Server Management Studio, Docker
Languages:
autoit, powershell
08-08-2025
CastleLoader
https://blog.polyswarm.io/castleloader
Report completeness: Low
Threats:
Castleloader
Netsupportmanager_rat
Stealc
Redline_stealer
Deerstealer
Hijackloader
Sectop_rat
Clickfix_technique
Victims:
Us government entities
Industry:
Software_development, Government
ChatGPT TTPs:
do not use without manual checkT1036, T1204, T1566, T1583.006
IOCs:
Hash: 1
Soft:
SQL Server Management Studio, Docker
Languages:
autoit, powershell
blog.polyswarm.io
CastleLoader
CastleLoader, a versatile malware loader, has infected 469 devices since May 2025, leveraging Cloudflare-themed ClickFix phishing and fake GitHub repositories to deliver information stealers and RATs.
CTT Report Hub
#ParsedReport #CompletenessLow 08-08-2025 CastleLoader https://blog.polyswarm.io/castleloader Report completeness: Low Threats: Castleloader Netsupportmanager_rat Stealc Redline_stealer Deerstealer Hijackloader Sectop_rat Clickfix_technique Victims: Us…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CastleLoader - это модульный загрузчик вредоносных программ, который будет запущен в 2025 году и который внедряет похитителей информации и крыс по модульной цепочке. Кампании используют фишинг на тему Cloudflare с помощью ClickFix и поддельных репозиториев GitHub для доставки полезной нагрузки, причем 469 из 1634 попыток (28,7%) были нацелены на государственные структуры США. Загрузчик обеспечивает быстрое переключение полезной нагрузки для постоянной фильтрации данных и удаленного доступа, используя надежные платформы.
-----
CastleLoader - это модульный загрузчик вредоносных программ, появившийся в начале 2025 года, разработанный для доставки похитителей информации и троянов удаленного доступа (RATs) по сложной цепочке атак. По данным исследователей PRODAFT, с мая 2025 года кампании заразили 469 устройств из 1634 попыток, что составляет 28,7%, что указывает на высокий уровень эффективности использования поведения пользователей и надежных платформ. Загрузчик действует как дроппер, способный развертывать целый ряд полезных нагрузок, обеспечивая быстрое переключение между модулями для кражи информации и возможностями дистанционного управления, с заметным акцентом на нацеливание на правительственные учреждения США.
Метод кампании основан на фишинговых приманках, разработанных так, чтобы напоминать коммуникации на тему Cloudflare с помощью фишинга ClickFix и использования поддельных репозиториев GitHub для размещения и доставки полезных данных. Этот подход использует социальную инженерию и доверие к популярным платформам для облегчения первоначального доступа с последующим внедрением похитителей информации и RATs с помощью модульной платформы CastleLoader. Сочетание обманчивого брендинга, полезных нагрузок, размещенных на GitHub, и модульного механизма доставки отражает сложную цепочку атак, направленную на обеспечение постоянной фильтрации данных и удаленного доступа. Наблюдаемый уровень инфицирования и нацеленность на цели, связанные с правительством, подчеркивают стратегическую ценность и потенциальное воздействие этих кампаний на чувствительные сети.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
CastleLoader - это модульный загрузчик вредоносных программ, который будет запущен в 2025 году и который внедряет похитителей информации и крыс по модульной цепочке. Кампании используют фишинг на тему Cloudflare с помощью ClickFix и поддельных репозиториев GitHub для доставки полезной нагрузки, причем 469 из 1634 попыток (28,7%) были нацелены на государственные структуры США. Загрузчик обеспечивает быстрое переключение полезной нагрузки для постоянной фильтрации данных и удаленного доступа, используя надежные платформы.
-----
CastleLoader - это модульный загрузчик вредоносных программ, появившийся в начале 2025 года, разработанный для доставки похитителей информации и троянов удаленного доступа (RATs) по сложной цепочке атак. По данным исследователей PRODAFT, с мая 2025 года кампании заразили 469 устройств из 1634 попыток, что составляет 28,7%, что указывает на высокий уровень эффективности использования поведения пользователей и надежных платформ. Загрузчик действует как дроппер, способный развертывать целый ряд полезных нагрузок, обеспечивая быстрое переключение между модулями для кражи информации и возможностями дистанционного управления, с заметным акцентом на нацеливание на правительственные учреждения США.
Метод кампании основан на фишинговых приманках, разработанных так, чтобы напоминать коммуникации на тему Cloudflare с помощью фишинга ClickFix и использования поддельных репозиториев GitHub для размещения и доставки полезных данных. Этот подход использует социальную инженерию и доверие к популярным платформам для облегчения первоначального доступа с последующим внедрением похитителей информации и RATs с помощью модульной платформы CastleLoader. Сочетание обманчивого брендинга, полезных нагрузок, размещенных на GitHub, и модульного механизма доставки отражает сложную цепочку атак, направленную на обеспечение постоянной фильтрации данных и удаленного доступа. Наблюдаемый уровень инфицирования и нацеленность на цели, связанные с правительством, подчеркивают стратегическую ценность и потенциальное воздействие этих кампаний на чувствительные сети.
#ParsedReport #CompletenessHigh
09-08-2025
From Bitmaps to Payloads: Echoes of TA558 in Italian-Language Campaigns
https://raw.githubusercontent.com/ShadowOpCode/From-Bitmaps-to-Payloads/main/From%20Bitmaps%20to%20Payloads.pdf
Report completeness: High
Actors/Campaigns:
Ta558
Steganoamor
Blindeagle
Sticky_werewolf
Comment_crew
Threats:
Steganography_technique
Purelogs
Remcos_rat
Ngrok_tool
Stego_loader
Purehvnc_tool
Terminator_tool
Opendir_technique
Victims:
Italy, Colombia
Geo:
Italy, Colombian, Spanish, French, Italian, Latin american, Italia, Portuguese
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027.003, T1027.009, T1027.009, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1203, T1204.002, have more...
IOCs:
Url: 6
Domain: 1
IP: 4
File: 20
Path: 4
Hash: 5
Command: 1
Soft:
Microsoft Visual C++, Windows PowerShell
Algorithms:
sha256, base64
Functions:
VAI, Replace
Languages:
cscript, powershell
YARA: Found
09-08-2025
From Bitmaps to Payloads: Echoes of TA558 in Italian-Language Campaigns
https://raw.githubusercontent.com/ShadowOpCode/From-Bitmaps-to-Payloads/main/From%20Bitmaps%20to%20Payloads.pdf
Report completeness: High
Actors/Campaigns:
Ta558
Steganoamor
Blindeagle
Sticky_werewolf
Comment_crew
Threats:
Steganography_technique
Purelogs
Remcos_rat
Ngrok_tool
Stego_loader
Purehvnc_tool
Terminator_tool
Opendir_technique
Victims:
Italy, Colombia
Geo:
Italy, Colombian, Spanish, French, Italian, Latin american, Italia, Portuguese
CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft office (2007, 2010, 2013, 2016)
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027.003, T1027.009, T1027.009, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1203, T1204.002, have more...
IOCs:
Url: 6
Domain: 1
IP: 4
File: 20
Path: 4
Hash: 5
Command: 1
Soft:
Microsoft Visual C++, Windows PowerShell
Algorithms:
sha256, base64
Functions:
VAI, Replace
Languages:
cscript, powershell
YARA: Found