#ParsedReport #CompletenessHigh
13-08-2025
Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability
https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/
Report completeness: High
Actors/Campaigns:
Paper_werewolf (motivation: cyber_espionage, cyber_criminal)
Threats:
Spear-phishing_technique
Victims:
Russian organizations
Industry:
Government
Geo:
Russian, Russia
CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 30
Path: 4
IP: 5
Url: 7
Hash: 21
Domain: 3
Algorithms:
md5, sha256, sha1
Platforms:
x64
13-08-2025
Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability
https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/
Report completeness: High
Actors/Campaigns:
Paper_werewolf (motivation: cyber_espionage, cyber_criminal)
Threats:
Spear-phishing_technique
Victims:
Russian organizations
Industry:
Government
Geo:
Russian, Russia
CVEs:
CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)
TTPs:
Tactics: 6
Technics: 0
IOCs:
File: 30
Path: 4
IP: 5
Url: 7
Hash: 21
Domain: 3
Algorithms:
md5, sha256, sha1
Platforms:
x64
BI.ZONE
Paper Werewolf атакует Россию с использованием уязвимости нулевого дня в WinRAR
Кластер Paper Werewolf продолжает атаковать российские организации — на этот раз с использованием уязвимостей в WinRAR
CTT Report Hub
#ParsedReport #CompletenessHigh 13-08-2025 Paper Werewolf Attacks Russia Using WinRAR Zero-Day Vulnerability https://bi.zone/expertise/blog/paper-werewolf-atakuet-rossiyu-s-ispolzovaniem-uyazvimosti-nulevogo-dnya-v-winrar/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Paper Werewolf использовал WinRAR zero‑day с помощью созданных архивов RAR/SFX для запуска выполнения кода при открытии или извлечении. При первоначальном выполнении были отключены бэкдоры/загрузчики для установки C2 и обеспечения возможности кражи учетных данных, перемещения внутри компании, закрепления (задачи/службы/ключи запуска) и эксфильтрации данных. Использование WinRAR позволяет злоумышленникам обходить средства защиты, которые не проверяют сжатые файлы и не связывают извлечение с последующими процессами.
-----
В отчетах указывается, что кластер Paper Werewolf нацелился на российские организации, используя уязвимость WinRAR zero‑day. Использование zero‑day в широко используемой утилите архивирования предполагает, что злоумышленники добились первоначального выполнения кода, предоставив созданные архивы RAR или самораспаковывающиеся архивы, которые запускают уязвимость при открытии или извлечении на хостах‑жертвах.
Тактика, вероятно, следует типичной цепочке от эксплуатации до последующего компрометирования: архивы с оружием, доставляемые по электронной почте, веб-загрузки или приманки, используют уязвимость WinRAR для запуска кода без ведома пользователя. Ожидается, что на этом этапе выполнения будет удалена и запущена вторичная полезная нагрузка, такая как бэкдоры или загрузчики, которые устанавливают каналы управления. Как только точки опоры существуют, акторы обычно выполняют сбор учетных записей, перемещение внутри компании с помощью встроенных инструментов или украденных учетных данных, закрепление с помощью запланированных задач, служб или ключей запуска, а также сбор/эксфильтрацию данных. Выбор WinRAR в качестве вектора позволяет обойти средства защиты, которые недостаточно проверяют сжатые полезные нагрузки или не соотносят события извлечения архива с последующей активностью процесса.
Обнаружение должно быть сосредоточено на обработке архивов и последовательности выполнения, происходящей из процессов WinRAR: неожиданные дочерние процессы, порожденные WinRAR, создание исполняемых файлов из извлеченных архивов, артефакты SFX, аномальные сетевые подключения сразу после извлечения архива и индикаторы изменений закрепления. Судебно-медицинская экспертиза должна собрать исходные файлы RAR, пути извлечения, память затронутых процессов и сетевые журналы, чтобы определить места назначения C2. Для смягчения последствий требуется быстрое внесение исправлений, как только исправление становится доступным, блокирование или помещение в карантин ненадежных архивов, улучшение проверки сжатых файлов почтой и веб-шлюзом и настройка EDR для пометки WinRAR о появлении подозрительных двоичных файлов или записи в общие места закрепления. Средства контроля выхода из сети и обнаружения C2 помогают ограничить эксфильтрацию и дальнейшую компрометацию.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Paper Werewolf использовал WinRAR zero‑day с помощью созданных архивов RAR/SFX для запуска выполнения кода при открытии или извлечении. При первоначальном выполнении были отключены бэкдоры/загрузчики для установки C2 и обеспечения возможности кражи учетных данных, перемещения внутри компании, закрепления (задачи/службы/ключи запуска) и эксфильтрации данных. Использование WinRAR позволяет злоумышленникам обходить средства защиты, которые не проверяют сжатые файлы и не связывают извлечение с последующими процессами.
-----
В отчетах указывается, что кластер Paper Werewolf нацелился на российские организации, используя уязвимость WinRAR zero‑day. Использование zero‑day в широко используемой утилите архивирования предполагает, что злоумышленники добились первоначального выполнения кода, предоставив созданные архивы RAR или самораспаковывающиеся архивы, которые запускают уязвимость при открытии или извлечении на хостах‑жертвах.
Тактика, вероятно, следует типичной цепочке от эксплуатации до последующего компрометирования: архивы с оружием, доставляемые по электронной почте, веб-загрузки или приманки, используют уязвимость WinRAR для запуска кода без ведома пользователя. Ожидается, что на этом этапе выполнения будет удалена и запущена вторичная полезная нагрузка, такая как бэкдоры или загрузчики, которые устанавливают каналы управления. Как только точки опоры существуют, акторы обычно выполняют сбор учетных записей, перемещение внутри компании с помощью встроенных инструментов или украденных учетных данных, закрепление с помощью запланированных задач, служб или ключей запуска, а также сбор/эксфильтрацию данных. Выбор WinRAR в качестве вектора позволяет обойти средства защиты, которые недостаточно проверяют сжатые полезные нагрузки или не соотносят события извлечения архива с последующей активностью процесса.
Обнаружение должно быть сосредоточено на обработке архивов и последовательности выполнения, происходящей из процессов WinRAR: неожиданные дочерние процессы, порожденные WinRAR, создание исполняемых файлов из извлеченных архивов, артефакты SFX, аномальные сетевые подключения сразу после извлечения архива и индикаторы изменений закрепления. Судебно-медицинская экспертиза должна собрать исходные файлы RAR, пути извлечения, память затронутых процессов и сетевые журналы, чтобы определить места назначения C2. Для смягчения последствий требуется быстрое внесение исправлений, как только исправление становится доступным, блокирование или помещение в карантин ненадежных архивов, улучшение проверки сжатых файлов почтой и веб-шлюзом и настройка EDR для пометки WinRAR о появлении подозрительных двоичных файлов или записи в общие места закрепления. Средства контроля выхода из сети и обнаружения C2 помогают ограничить эксфильтрацию и дальнейшую компрометацию.
#ParsedReport #CompletenessLow
14-08-2025
RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis
https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis
Report completeness: Low
Actors/Campaigns:
Unc3886
Apt31
Threats:
Ringreaper_tool
Netstat_tool
Melofee
Victims:
Linux environments
TTPs:
Tactics: 4
Technics: 5
Soft:
Linux, ChatGPT
14-08-2025
RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis
https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis
Report completeness: Low
Actors/Campaigns:
Unc3886
Apt31
Threats:
Ringreaper_tool
Netstat_tool
Melofee
Victims:
Linux environments
TTPs:
Tactics: 4
Technics: 5
Soft:
Linux, ChatGPT
Picussecurity
RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis
Analysis of RingReaper malware’s tactics and techniques, revealing its io_uring-based evasion methods targeting Linux environments.
CTT Report Hub
#ParsedReport #CompletenessLow 14-08-2025 RingReaper Linux Malware: EDR Evasion Tactics and Technical Analysis https://www.picussecurity.com/resource/blog/ringreaper-linux-malware-edr-evasion-tactics-and-technical-analysis Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring для асинхронного ввода-вывода ядра, чтобы минимизировать использование системных вызовов и избежать перехватов EDR. В нем реализованы методы MITRE: T1057 (перечисление процессов), T1049 (подключение к сети через netstatConnections), T1033 (сеансы через /dev/pts и /proc), T1005 (чтение файлов из /etc/passwd), T1068 (проверка доступа) и T1564 (самоуничтожение). Агент уменьшает количество заметных следов системных вызовов и удаляет артефакты, чтобы ограничить видимость для криминалистов.
-----
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring, современный асинхронный интерфейс ввода-вывода ядра, чтобы свести к минимуму использование традиционных системных вызовов и избежать перехватов обнаружения конечных точек и ответа (EDR). Выполняя операции ввода-вывода и взаимодействия с ядром через io_uring, вредоносное ПО уменьшает количество отслеживаемых системных вызовов и обходит мониторинг, нацеленный на распространенные API, такие как чтение/запись, netstat или ss.
Наблюдаемый охват техники сопоставляется с несколькими идентификаторами MITRE ATT&CK: Изучение процесса T1057 осуществляется с помощью перечисления /proc на основе io_uring для составления списка процессов и сеансов; Изучение сетевых подключений T1049 выполняется с помощью полезной нагрузки с именем "$WORKDIR"/netstatConnections, которая перечисляет активные подключения, минуя стандартные инструменты; владелец системы/обнаружение пользователя T1033 достигается с помощью асинхронных запросов /dev/pts и /proc для получения активных сеансов, имен пользователей и назначений терминалов; Данные из локальной системы T1005 реализуются с помощью "$WORKDIR"/FileRead для сбора содержимого /etc/passwd; Эксплуатация уязвимостей для повышения привилегий T1068 проверяется с помощью "$WORKDIR"/privescChecker для идентификации эксплуатируемых векторов для повышения уровня; и скрытие артефакта T1564 выполняется с помощью "$WORKDIR"/selfDestruct, который удаляет двоичные файлы и очищает следы, чтобы уменьшить видимость для криминалистов.
Возможности обнаружения включают мониторинг процессов, которые используют io_uring для доступа к сетевым таблицам ядра или /proc и /dev/pts вместо вызова стандартных пользовательских утилит, а также помечают программы, которые перечисляют состояние сети или пользовательские сеансы с необычно низкой активностью системных вызовов. Соотнесение подозрительной активности процесса с выполнением известных имен полезной нагрузки или с поведением сетевого перечислителя с низкими издержками может помочь идентифицировать операции RingReaper. Видимость отправок и завершений io_uring, а также таблиц ядра, к которым можно получить доступ через этот интерфейс, может сыграть важную роль в обнаружении этого класса обходных инструментов Linux после эксплуатации.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring для асинхронного ввода-вывода ядра, чтобы минимизировать использование системных вызовов и избежать перехватов EDR. В нем реализованы методы MITRE: T1057 (перечисление процессов), T1049 (подключение к сети через netstatConnections), T1033 (сеансы через /dev/pts и /proc), T1005 (чтение файлов из /etc/passwd), T1068 (проверка доступа) и T1564 (самоуничтожение). Агент уменьшает количество заметных следов системных вызовов и удаляет артефакты, чтобы ограничить видимость для криминалистов.
-----
RingReaper ‑ это постэксплуатационный агент Linux, который использует io_uring, современный асинхронный интерфейс ввода-вывода ядра, чтобы свести к минимуму использование традиционных системных вызовов и избежать перехватов обнаружения конечных точек и ответа (EDR). Выполняя операции ввода-вывода и взаимодействия с ядром через io_uring, вредоносное ПО уменьшает количество отслеживаемых системных вызовов и обходит мониторинг, нацеленный на распространенные API, такие как чтение/запись, netstat или ss.
Наблюдаемый охват техники сопоставляется с несколькими идентификаторами MITRE ATT&CK: Изучение процесса T1057 осуществляется с помощью перечисления /proc на основе io_uring для составления списка процессов и сеансов; Изучение сетевых подключений T1049 выполняется с помощью полезной нагрузки с именем "$WORKDIR"/netstatConnections, которая перечисляет активные подключения, минуя стандартные инструменты; владелец системы/обнаружение пользователя T1033 достигается с помощью асинхронных запросов /dev/pts и /proc для получения активных сеансов, имен пользователей и назначений терминалов; Данные из локальной системы T1005 реализуются с помощью "$WORKDIR"/FileRead для сбора содержимого /etc/passwd; Эксплуатация уязвимостей для повышения привилегий T1068 проверяется с помощью "$WORKDIR"/privescChecker для идентификации эксплуатируемых векторов для повышения уровня; и скрытие артефакта T1564 выполняется с помощью "$WORKDIR"/selfDestruct, который удаляет двоичные файлы и очищает следы, чтобы уменьшить видимость для криминалистов.
Возможности обнаружения включают мониторинг процессов, которые используют io_uring для доступа к сетевым таблицам ядра или /proc и /dev/pts вместо вызова стандартных пользовательских утилит, а также помечают программы, которые перечисляют состояние сети или пользовательские сеансы с необычно низкой активностью системных вызовов. Соотнесение подозрительной активности процесса с выполнением известных имен полезной нагрузки или с поведением сетевого перечислителя с низкими издержками может помочь идентифицировать операции RingReaper. Видимость отправок и завершений io_uring, а также таблиц ядра, к которым можно получить доступ через этот интерфейс, может сыграть важную роль в обнаружении этого класса обходных инструментов Linux после эксплуатации.
#ParsedReport #CompletenessLow
13-08-2025
Personalization in Phishing: Advanced Tactics for Malware Delivery
https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery
Report completeness: Low
Threats:
Screenconnect_tool
Remcos_rat
Jrat_rat
Vidar_stealer
Pikabot
Victims:
Finance, Taxes, Notification, Travel assistance, Response
Industry:
Energy, Financial
ChatGPT TTPs:
T1027, T1204.001, T1204.002, T1566.001, T1566.002
Languages:
java
Platforms:
cross-platform
13-08-2025
Personalization in Phishing: Advanced Tactics for Malware Delivery
https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery
Report completeness: Low
Threats:
Screenconnect_tool
Remcos_rat
Jrat_rat
Vidar_stealer
Pikabot
Victims:
Finance, Taxes, Notification, Travel assistance, Response
Industry:
Energy, Financial
ChatGPT TTPs:
do not use without manual checkT1027, T1204.001, T1204.002, T1566.001, T1566.002
Languages:
java
Platforms:
cross-platform
Cofense
Personalization in Phishing: Advanced Tactics for Malware
Subject customization is widely used in targeted malware phishing campaigns to make the email appear more authentic and increase the chances of the malicious payload being run. When combined with
CTT Report Hub
#ParsedReport #CompletenessLow 13-08-2025 Personalization in Phishing: Advanced Tactics for Malware Delivery https://cofense.com/blog/personalization-in-phishing-advanced-tactics-for-malware-delivery Report completeness: Low Threats: Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Третий квартал 2023–третий квартал 2024 фишинг все чаще использует персонализацию темы/вложений (PII, контекстные темы, настраиваемые имена файлов) с полезной нагрузкой, размещенной на файлообменных сайтах, защищенных паролем архивах или HTML‑вложениях, которые извлекают полезную нагрузку. Замечено вредоносное ПО: PikaBot (загрузчик/RAT с обходом sandbox/виртуальной машины), jRAT (Java, кроссплатформенная кража учетных данных), Remcos (Регистрация нажатий клавиш, эксфильтрация, вторичные полезные нагрузки) и WSH RAT. Эти RATs/stealers обеспечивают кражу учетных данных и удаленный доступ, часто при посредничестве операторов программ-вымогателей.
-----
Данные за 3 квартал 2023– 3 квартал 2024 года показывают, что целевые кампании по фишингу все чаще используют персонализацию темы и вложений для повышения вовлеченности и стимулирования выполнения вредоносного ПО. Злоумышленники встраивают личные данные или контекстуально релевантные темы и настраивают имена вложений или загружаемых файлов; при публикации эти поля редактируются для защиты личных данных. Распространенные наблюдаемые методы включают размещение полезных данных на платформах обмена файлами, распространение архивов, защищенных паролем, для обхода защищенных шлюзов электронной почты, использование HTML‑вложений со встроенными ссылками, которые извлекают полезные данные, и предоставление кроссплатформенных RAT на основе Java или нативных RATS и средств кражи информации, которые обеспечивают кражу учетных данных и удаленный доступ для перепродажи.
Корреляция темы с вредоносным ПО: Электронные письма на тему ответов (30,58% отредактированных по теме образцов) чаще всего доставлял PikaBot, загрузчик / RAT, известный методами обхода "песочницы" и виртуальных машин, а также сбросом дополнительной полезной нагрузки. Сообщения финансовой тематики (21,90%) обычно доставляются jRAT; jRAT основан на Java и является кроссплатформенным, обеспечивая широкий удаленный доступ и сбор учетных записей. Выборки по финансам часто содержали PDF-файлы (9,43% электронных писем с отредактированной финансовой тематикой) и показали рост объема с 1 по 3 квартал 2024 года. Электронные письма на налоговую тематику (3,72%) часто ассоциировались с Remcos RAT, обычно размещаемыми в защищенных паролем архивах на файлообменных сайтах; Remcos реализует Регистрацию нажатий клавиш, эксфильтрацию файлов и может внедрять вторичное вредоносное ПО. Электронные письма на тему уведомлений (3,72%) содержали смешанное вредоносное ПО (не доминировало ни одно семейство), причем были замечены WSH RAT и jRAT; в 22% отредактированных по теме уведомлений образцов использовались HTML‑файлы со встроенными ссылками на скачивание, что коррелирует с поставками WSH RAT.
Remcos и jRAT были особенно привязаны к сообщениям, в которых имена загружаемых файлов были настроены индивидуально, причем пользовательские загрузки часто привязывались к приманкам финансовой тематики. В отчете подчеркивается, что RATs и похитители информации, доставляемые с помощью персонализированных приманок, примечательны в качестве источников первоначального доступа: украденные учетные данные или удаленный доступ часто передаются операторам программ‑вымогателей, поддерживая цепочку атак программ-вымогателей, несмотря на сбои в работе правоохранительных органов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Третий квартал 2023–третий квартал 2024 фишинг все чаще использует персонализацию темы/вложений (PII, контекстные темы, настраиваемые имена файлов) с полезной нагрузкой, размещенной на файлообменных сайтах, защищенных паролем архивах или HTML‑вложениях, которые извлекают полезную нагрузку. Замечено вредоносное ПО: PikaBot (загрузчик/RAT с обходом sandbox/виртуальной машины), jRAT (Java, кроссплатформенная кража учетных данных), Remcos (Регистрация нажатий клавиш, эксфильтрация, вторичные полезные нагрузки) и WSH RAT. Эти RATs/stealers обеспечивают кражу учетных данных и удаленный доступ, часто при посредничестве операторов программ-вымогателей.
-----
Данные за 3 квартал 2023– 3 квартал 2024 года показывают, что целевые кампании по фишингу все чаще используют персонализацию темы и вложений для повышения вовлеченности и стимулирования выполнения вредоносного ПО. Злоумышленники встраивают личные данные или контекстуально релевантные темы и настраивают имена вложений или загружаемых файлов; при публикации эти поля редактируются для защиты личных данных. Распространенные наблюдаемые методы включают размещение полезных данных на платформах обмена файлами, распространение архивов, защищенных паролем, для обхода защищенных шлюзов электронной почты, использование HTML‑вложений со встроенными ссылками, которые извлекают полезные данные, и предоставление кроссплатформенных RAT на основе Java или нативных RATS и средств кражи информации, которые обеспечивают кражу учетных данных и удаленный доступ для перепродажи.
Корреляция темы с вредоносным ПО: Электронные письма на тему ответов (30,58% отредактированных по теме образцов) чаще всего доставлял PikaBot, загрузчик / RAT, известный методами обхода "песочницы" и виртуальных машин, а также сбросом дополнительной полезной нагрузки. Сообщения финансовой тематики (21,90%) обычно доставляются jRAT; jRAT основан на Java и является кроссплатформенным, обеспечивая широкий удаленный доступ и сбор учетных записей. Выборки по финансам часто содержали PDF-файлы (9,43% электронных писем с отредактированной финансовой тематикой) и показали рост объема с 1 по 3 квартал 2024 года. Электронные письма на налоговую тематику (3,72%) часто ассоциировались с Remcos RAT, обычно размещаемыми в защищенных паролем архивах на файлообменных сайтах; Remcos реализует Регистрацию нажатий клавиш, эксфильтрацию файлов и может внедрять вторичное вредоносное ПО. Электронные письма на тему уведомлений (3,72%) содержали смешанное вредоносное ПО (не доминировало ни одно семейство), причем были замечены WSH RAT и jRAT; в 22% отредактированных по теме уведомлений образцов использовались HTML‑файлы со встроенными ссылками на скачивание, что коррелирует с поставками WSH RAT.
Remcos и jRAT были особенно привязаны к сообщениям, в которых имена загружаемых файлов были настроены индивидуально, причем пользовательские загрузки часто привязывались к приманкам финансовой тематики. В отчете подчеркивается, что RATs и похитители информации, доставляемые с помощью персонализированных приманок, примечательны в качестве источников первоначального доступа: украденные учетные данные или удаленный доступ часто передаются операторам программ‑вымогателей, поддерживая цепочку атак программ-вымогателей, несмотря на сбои в работе правоохранительных органов.
#ParsedReport #CompletenessMedium
14-08-2025
Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform
https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/
Report completeness: Medium
Threats:
Vextrio
Cloaking_technique
Lospollos
Victims:
Adtech industry, Social media users
Industry:
Software_development, Entertainment
Geo:
Russian, Switzerland, Italian, Turkmenistan
ChatGPT TTPs:
T1036, T1071.001, T1102, T1204.001, T1583.001, T1583.003, T1583.004
IOCs:
Domain: 15
IP: 2
File: 3
Soft:
Binom, RollerAds, nginx, AdsBridge, Instagram
Languages:
javascript
Platforms:
arm
Links:
14-08-2025
Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform
https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/
Report completeness: Medium
Threats:
Vextrio
Cloaking_technique
Lospollos
Victims:
Adtech industry, Social media users
Industry:
Software_development, Entertainment
Geo:
Russian, Switzerland, Italian, Turkmenistan
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1102, T1204.001, T1583.001, T1583.003, T1583.004
IOCs:
Domain: 15
IP: 2
File: 3
Soft:
Binom, RollerAds, nginx, AdsBridge, Instagram
Languages:
javascript
Platforms:
arm
Links:
https://github.com/infobloxopen/threat-intelligence/tree/mainInfoblox Blog
The Hidden Infrastructure Behind VexTrio's TDS
VexTrio's traffic distribution system (TDS) processes billons of transactions daily, powering digital fraud on a global scale. Here's how we unraveled it.
CTT Report Hub
#ParsedReport #CompletenessMedium 14-08-2025 Inside the Robot: Deconstructing VexTrios Affiliate Advertising Platform https://blogs.infoblox.com/threat-intelligence/inside-the-robot-deconstructing-vextrios-affiliate-advertising-platform/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VexTrio запускает устойчивую TDS на основе Cloudflare/прозрачных прокси-серверов, распределенных по хостам с поддержкой Hetzner, AlexHost и CDN, используя nginx/HAProxy и массовые почтовые программы для обработки больших объемов. Стек DevOps включает в себя Terraform, Consul, Vault, Kubernetes, Proxmox, GitLab и Argo для быстрой оркестровки. Трекеры в стиле Binom обеспечивают обнаружение мошенничества, аналитику и cloaking; маскировщики IMKLO/IM GROUP уклоняются от сканеров, а ключевые домены CDN служат в качестве выключателей.
-----
Исследование выявило, что VexTrio управляет крупной, устойчивой Системой распределения трафика (TDS), которая намеренно является гибкой и временной, чтобы избежать обнаружения. Большая часть TDS скрыта за Cloudflare и прозрачными прокси-серверами; атрибуция была улучшена после привязки компонента под названием Los Pollos к URL-адресам VexTrio. Инфраструктура распределена между центрами обработки данных и хостинг-провайдерами, включая Hetzner и AlexHost, и использует CDN для масштабирования и резервирования.
Автоматизация и инструменты DevOps занимают центральное место в работе: продукты HashiCorp (Terraform, Consul, Vault) используются наряду с Kubernetes, Proxmox, GitLab и Argo для оркестрации и конвейерного управления. Стек поддерживается nginx и HAProxy и дополняется инфраструктурой массовой почтовой рассылки, что позволяет платформе обрабатывать чрезвычайно высокие объемы транзакций (миллиарды в день). Такое сочетание автоматизации, балансировки нагрузки и хостинга с поддержкой CDN обеспечивает надежную и быстро перемещаемую TDS.
Инфраструктура отслеживания использует трекеры в стиле Binom для мониторинга транзакций кампании и выявления мошенничества. Трекеры выполняют несколько функций: внешний монитор для обнаружения трафика ботов или обмана издателя / рекламодателя (например, “бритье”), аналитика кампаний для измерения рентабельности инвестиций и облегченная cloaking путем перенаправления пользователей на страницы-приманки на основе настраиваемых критериев. Таким образом, трекеры как поддерживают операции adtech, так и облегчают уклонение.
Для проведения кампаний в Социальных сетях VexTrio использует специальное программное обеспечение для маскировки, в частности IMKLO. Авторство разработчика указывает на Дмитрия Езипова и IM GROUP, которая продает такие инструменты, как IM Klo, IM Comments Cleaner, MaskFb и Keyof. Эти инструменты предназначены для скрытия вредоносной рекламы от сканеров безопасности, выявления причин отклонений социальных платформ для улучшения креативов, удаления негативных комментариев в социальных сетях и фильтрации входящего трафика ботов или сканеров.
Оперативный контроль включает в себя централизованные “выключатели” зависимостей: определенные домены CDN имеют решающее значение для вертикальных кампаний. Сбои в работе или недоступность этих доменов приводит к неработоспособности значительной части экосистемы, что указывает на проблемы, которые могут помешать проведению кампании.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
VexTrio запускает устойчивую TDS на основе Cloudflare/прозрачных прокси-серверов, распределенных по хостам с поддержкой Hetzner, AlexHost и CDN, используя nginx/HAProxy и массовые почтовые программы для обработки больших объемов. Стек DevOps включает в себя Terraform, Consul, Vault, Kubernetes, Proxmox, GitLab и Argo для быстрой оркестровки. Трекеры в стиле Binom обеспечивают обнаружение мошенничества, аналитику и cloaking; маскировщики IMKLO/IM GROUP уклоняются от сканеров, а ключевые домены CDN служат в качестве выключателей.
-----
Исследование выявило, что VexTrio управляет крупной, устойчивой Системой распределения трафика (TDS), которая намеренно является гибкой и временной, чтобы избежать обнаружения. Большая часть TDS скрыта за Cloudflare и прозрачными прокси-серверами; атрибуция была улучшена после привязки компонента под названием Los Pollos к URL-адресам VexTrio. Инфраструктура распределена между центрами обработки данных и хостинг-провайдерами, включая Hetzner и AlexHost, и использует CDN для масштабирования и резервирования.
Автоматизация и инструменты DevOps занимают центральное место в работе: продукты HashiCorp (Terraform, Consul, Vault) используются наряду с Kubernetes, Proxmox, GitLab и Argo для оркестрации и конвейерного управления. Стек поддерживается nginx и HAProxy и дополняется инфраструктурой массовой почтовой рассылки, что позволяет платформе обрабатывать чрезвычайно высокие объемы транзакций (миллиарды в день). Такое сочетание автоматизации, балансировки нагрузки и хостинга с поддержкой CDN обеспечивает надежную и быстро перемещаемую TDS.
Инфраструктура отслеживания использует трекеры в стиле Binom для мониторинга транзакций кампании и выявления мошенничества. Трекеры выполняют несколько функций: внешний монитор для обнаружения трафика ботов или обмана издателя / рекламодателя (например, “бритье”), аналитика кампаний для измерения рентабельности инвестиций и облегченная cloaking путем перенаправления пользователей на страницы-приманки на основе настраиваемых критериев. Таким образом, трекеры как поддерживают операции adtech, так и облегчают уклонение.
Для проведения кампаний в Социальных сетях VexTrio использует специальное программное обеспечение для маскировки, в частности IMKLO. Авторство разработчика указывает на Дмитрия Езипова и IM GROUP, которая продает такие инструменты, как IM Klo, IM Comments Cleaner, MaskFb и Keyof. Эти инструменты предназначены для скрытия вредоносной рекламы от сканеров безопасности, выявления причин отклонений социальных платформ для улучшения креативов, удаления негативных комментариев в социальных сетях и фильтрации входящего трафика ботов или сканеров.
Оперативный контроль включает в себя централизованные “выключатели” зависимостей: определенные домены CDN имеют решающее значение для вертикальных кампаний. Сбои в работе или недоступность этих доменов приводит к неработоспособности значительной части экосистемы, что указывает на проблемы, которые могут помешать проведению кампании.
#ParsedReport #CompletenessMedium
13-08-2025
Android.Backdoor.916.origin
https://vms.drweb.ru/virus/?i=30393608&lng=ru
Report completeness: Medium
Threats:
Anubis_stealer
Exobot
Victims:
Android users, Consumers
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 5
Technics: 25
IOCs:
File: 5
Hash: 1
Soft:
Android, Telegram, android.chrome, Google Chrome, Gmail, WhatsApp, Unix, Google Play
Algorithms:
sha1
Functions:
Random, getSMS
Languages:
kotlin
Links:
13-08-2025
Android.Backdoor.916.origin
https://vms.drweb.ru/virus/?i=30393608&lng=ru
Report completeness: Medium
Threats:
Anubis_stealer
Exobot
Victims:
Android users, Consumers
Industry:
Healthcare
Geo:
Russian
TTPs:
Tactics: 5
Technics: 25
IOCs:
File: 5
Hash: 1
Soft:
Android, Telegram, android.chrome, Google Chrome, Gmail, WhatsApp, Unix, Google Play
Algorithms:
sha1
Functions:
Random, getSMS
Languages:
kotlin
Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.916.origin/README.adocDr.Web
Android.Backdoor.916.origin — Как быстро найти вирус в вирусной базе антивируса Dr.Web
Бэкдор для устройств под управлением ОС Android, написанный на языке Kotlin. Выполняет множество вредоносных действий по команде злоумышленников и используется для похищения ...
CTT Report Hub
#ParsedReport #CompletenessMedium 13-08-2025 Android.Backdoor.916.origin https://vms.drweb.ru/virus/?i=30393608&lng=ru Report completeness: Medium Threats: Anubis_stealer Exobot Victims: Android users, Consumers Industry: Healthcare Geo: Russian TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Андроид.Backdoor.916.origin - это встроенный в Kotlin бэкдор для Android, замаскированный под поддельные антивирусные приложения, нацеленный на российских пользователей, использующий обман пользовательского интерфейса и, вероятно, распространяемый через сторонние магазины. Он реализует канал C2 для выполнения команд злоумышленника для сбора данных и эксфильтрации и имитирует антивирусное сканирование, генерируя запрограммированные ложные срабатывания. Вероятность ложноположительного результата увеличивается со временем, прошедшим с момента последнего имитированного сканирования, но не превышает 30%, и приложение использует типичную упаковку Kotlin / DEX для Android.
-----
Андроид.Backdoor.916.origin - это написанный на Kotlin бэкдор, предназначенный для устройств Android и используемый для кибершпионажа и кражи конфиденциальных данных. Вредоносное ПО распространяется в виде мошеннических антивирусных приложений, нацеленных на российских пользователей, использующих антивирусный маскарад, чтобы представить безвредный пользовательский интерфейс и заставить жертв социальной инженерии установить его и довериться.
В оперативном плане бэкдор реализует модель управления: он принимает и выполняет команды, выданные злоумышленником, для выполнения множества вредоносных действий, в первую очередь сбора данных и эксфильтрации. При обычном использовании оно намеренно имитирует антивирусную проверку; приложение генерирует запрограммированные "обнаружения" в виде ложных срабатываний, чтобы поддержать версию о поддельном антивирусе. Вероятность обнаружения зависит от времени, прошедшего с момента последнего имитируемого сканирования (увеличивается со временем), но явно ограничена 30%, что указывает на встроенную логику, позволяющую сбалансировать правдоподобие и избежать очевидных повторений.
Технические показатели включают реализацию Kotlin (подразумевающую типичную упаковку Android и байт-код DEX) и использование обмана на уровне пользовательского интерфейса (поддельные результаты сканирования). Распространение через поддельные приложения для обеспечения безопасности предполагает использование социальной инженерии и потенциальной дополнительной загрузки или сторонних магазинов приложений, а не официальных механизмов маркетплейса. Сочетание удаленного выполнения команд, целей кражи данных и Имперсонации законного программного обеспечения безопасности обеспечивает постоянную шпионскую деятельность и затрудняет обнаружение пользователями, которые доверяют очевидной функции приложения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Андроид.Backdoor.916.origin - это встроенный в Kotlin бэкдор для Android, замаскированный под поддельные антивирусные приложения, нацеленный на российских пользователей, использующий обман пользовательского интерфейса и, вероятно, распространяемый через сторонние магазины. Он реализует канал C2 для выполнения команд злоумышленника для сбора данных и эксфильтрации и имитирует антивирусное сканирование, генерируя запрограммированные ложные срабатывания. Вероятность ложноположительного результата увеличивается со временем, прошедшим с момента последнего имитированного сканирования, но не превышает 30%, и приложение использует типичную упаковку Kotlin / DEX для Android.
-----
Андроид.Backdoor.916.origin - это написанный на Kotlin бэкдор, предназначенный для устройств Android и используемый для кибершпионажа и кражи конфиденциальных данных. Вредоносное ПО распространяется в виде мошеннических антивирусных приложений, нацеленных на российских пользователей, использующих антивирусный маскарад, чтобы представить безвредный пользовательский интерфейс и заставить жертв социальной инженерии установить его и довериться.
В оперативном плане бэкдор реализует модель управления: он принимает и выполняет команды, выданные злоумышленником, для выполнения множества вредоносных действий, в первую очередь сбора данных и эксфильтрации. При обычном использовании оно намеренно имитирует антивирусную проверку; приложение генерирует запрограммированные "обнаружения" в виде ложных срабатываний, чтобы поддержать версию о поддельном антивирусе. Вероятность обнаружения зависит от времени, прошедшего с момента последнего имитируемого сканирования (увеличивается со временем), но явно ограничена 30%, что указывает на встроенную логику, позволяющую сбалансировать правдоподобие и избежать очевидных повторений.
Технические показатели включают реализацию Kotlin (подразумевающую типичную упаковку Android и байт-код DEX) и использование обмана на уровне пользовательского интерфейса (поддельные результаты сканирования). Распространение через поддельные приложения для обеспечения безопасности предполагает использование социальной инженерии и потенциальной дополнительной загрузки или сторонних магазинов приложений, а не официальных механизмов маркетплейса. Сочетание удаленного выполнения команд, целей кражи данных и Имперсонации законного программного обеспечения безопасности обеспечивает постоянную шпионскую деятельность и затрудняет обнаружение пользователями, которые доверяют очевидной функции приложения.
#ParsedReport #CompletenessHigh
13-08-2025
Cato CTRL Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign
https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/
Report completeness: High
Threats:
Oyster
Putty_tool
Typosquatting_technique
Rhysida
Junk_code_technique
Stealthloader
Lolbin_technique
Victims:
Technical users, It administrators
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1071.001, T1105, T1202
IOCs:
Domain: 2
File: 5
Command: 1
IP: 1
Hash: 2
Soft:
Microsoft Teams, WordPress
Algorithms:
sha256
Win API:
InternetOpenW, DllRegisterServer
13-08-2025
Cato CTRL Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign
https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/
Report completeness: High
Threats:
Oyster
Putty_tool
Typosquatting_technique
Rhysida
Junk_code_technique
Stealthloader
Lolbin_technique
Victims:
Technical users, It administrators
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1071.001, T1105, T1202
IOCs:
Domain: 2
File: 5
Command: 1
IP: 1
Hash: 2
Soft:
Microsoft Teams, WordPress
Algorithms:
sha256
Win API:
InternetOpenW, DllRegisterServer
Cato Networks
Cato CTRL™ Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign
Cato CTRL recently observed a new malvertising campaign from Oyster, which is a malware loader used in malicious activities. Cato customers? Already protected.
CTT Report Hub
#ParsedReport #CompletenessHigh 13-08-2025 Cato CTRL Threat Research: Oyster Malware Loader Targets Tech-Savvy Users with Smarter Techniques During Summer Malvertising Campaign https://www.catonetworks.com/blog/cato-ctrl-oyster-malware-campaign/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Oyster (2025) - это модульный загрузчик DLL, который извлекает модули по запросу из облачных CDN, маскируя доставку под трафик плагинов / обновлений с помощью Вредоносной рекламы и поддельных загрузок, предназначенных для администратора. C2 работает по путям CDN с поддельными пользовательскими агентами (наблюдаемый “WordPressAgent”), необычными HTTP-заголовками и жестко закодированным резервным IP-адресом, подавая сигнал примерно каждые 3 минуты. Evasion использует GDI no-ops, junk /padding для уклонения от статического / эвристического обнаружения и выполнения через LOLBins (rundll32.exe , conhost.exe ).
-----
Oyster в 2025 году - это модульный загрузчик DLL во время выполнения, который позволяет избежать встраивания полезных нагрузок; вместо этого он извлекает библиотеки DLL по запросу из облачных путей доставки, Маскировка передачи под трафик плагинов или обновлений через законную инфраструктуру CDN. Коммуникации C2 перешли от простых доменных трюков к облачным CDN-путям с поддельными пользовательскими агентами и подозрительными заголовками (наблюдается “WordPressAgent”), а загрузчик также содержит жестко закодированный IP-адрес, который может использоваться для вторичной связи или резервного копирования. В ходе этой кампании использовалась Вредоносная реклама и поддельные загрузки, ориентированные на технически подкованных пользователей и администраторов, а не на широкое распространение среди потребителей.
Методы уклонения включают преднамеренное Bloat кода и графические операции без операций: загрузчик выполняет обширные вызовы интерфейса графического устройства (GDI) (смена кисти, палитры, перемещения пера), чтобы увеличить объем импорта и замаскировать вредоносную логику среди подпрограмм графического интерфейса, выглядящих безобидно. Большие объемы junk code и дополнений направлены на то, чтобы обойти статические сигнатуры и увеличить сложность эвристического анализа. Использование облачных CDN и имитируемое поведение при обновлении используются для смешивания вредоносного трафика с законной доставкой контента, снижая вероятность обнаружения по сети.
Поведение в режиме закрепления и управления более агрессивно: выполнение и подача сигналов происходит с трехминутной периодичностью для поддержания жесткого дистанционного контроля и устойчивости. Загрузчик полагается на двоичные файлы Living-Off-The-Land для выполнения и уклонения, в частности, используя rundll32.exe и conhost.exe для запуска выбранных модулей, помогающих обойти традиционные средства обнаружения AV/EDR. Индикаторы включают частые маяки с короткими интервалами, доставку DLL, замаскированную под обновления плагинов по CDN, поддельные пользовательские агенты, необычные HTTP-заголовки и наличие жестко закодированного резервного IP-адреса. Никаких эксплойтов zero-day замечено не было; кампания делает упор на скрытую доставку, модульность во время выполнения и многоуровневое уклонение, а не на цепочку эксплойтов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Oyster (2025) - это модульный загрузчик DLL, который извлекает модули по запросу из облачных CDN, маскируя доставку под трафик плагинов / обновлений с помощью Вредоносной рекламы и поддельных загрузок, предназначенных для администратора. C2 работает по путям CDN с поддельными пользовательскими агентами (наблюдаемый “WordPressAgent”), необычными HTTP-заголовками и жестко закодированным резервным IP-адресом, подавая сигнал примерно каждые 3 минуты. Evasion использует GDI no-ops, junk /padding для уклонения от статического / эвристического обнаружения и выполнения через LOLBins (rundll32.exe , conhost.exe ).
-----
Oyster в 2025 году - это модульный загрузчик DLL во время выполнения, который позволяет избежать встраивания полезных нагрузок; вместо этого он извлекает библиотеки DLL по запросу из облачных путей доставки, Маскировка передачи под трафик плагинов или обновлений через законную инфраструктуру CDN. Коммуникации C2 перешли от простых доменных трюков к облачным CDN-путям с поддельными пользовательскими агентами и подозрительными заголовками (наблюдается “WordPressAgent”), а загрузчик также содержит жестко закодированный IP-адрес, который может использоваться для вторичной связи или резервного копирования. В ходе этой кампании использовалась Вредоносная реклама и поддельные загрузки, ориентированные на технически подкованных пользователей и администраторов, а не на широкое распространение среди потребителей.
Методы уклонения включают преднамеренное Bloat кода и графические операции без операций: загрузчик выполняет обширные вызовы интерфейса графического устройства (GDI) (смена кисти, палитры, перемещения пера), чтобы увеличить объем импорта и замаскировать вредоносную логику среди подпрограмм графического интерфейса, выглядящих безобидно. Большие объемы junk code и дополнений направлены на то, чтобы обойти статические сигнатуры и увеличить сложность эвристического анализа. Использование облачных CDN и имитируемое поведение при обновлении используются для смешивания вредоносного трафика с законной доставкой контента, снижая вероятность обнаружения по сети.
Поведение в режиме закрепления и управления более агрессивно: выполнение и подача сигналов происходит с трехминутной периодичностью для поддержания жесткого дистанционного контроля и устойчивости. Загрузчик полагается на двоичные файлы Living-Off-The-Land для выполнения и уклонения, в частности, используя rundll32.exe и conhost.exe для запуска выбранных модулей, помогающих обойти традиционные средства обнаружения AV/EDR. Индикаторы включают частые маяки с короткими интервалами, доставку DLL, замаскированную под обновления плагинов по CDN, поддельные пользовательские агенты, необычные HTTP-заголовки и наличие жестко закодированного резервного IP-адреса. Никаких эксплойтов zero-day замечено не было; кампания делает упор на скрытую доставку, модульность во время выполнения и многоуровневое уклонение, а не на цепочку эксплойтов.
#ParsedReport #CompletenessMedium
12-08-2025
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
https://blog.talosintelligence.com/ps1bot-malvertising-campaign/
Report completeness: Medium
Threats:
Ps1bot
Ahkbot
Skitnet
Seo_poisoning_technique
Victims:
General users
Industry:
Foodtech, Financial
Geo:
Canadian, Czech
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1041, T1047, T1053.005, T1056.001, T1059.001, T1059.007, T1082, T1105, have more...
IOCs:
File: 2
Soft:
Google Chrome, Chromium, Kometa, Microsoft Edge, 7Star, Maxthon, Opera, Netbox, Orbitum, Vivaldi, have more...
Wallets:
metamask, trezor, atomicwallet, bitkeep_wallet, coinbase, xverse_wallet, exodus_wallet, coin98, kardiachain, terra_station, have more...
Crypto:
binance, uniswap, ethereum
Algorithms:
zip, base64
Functions:
Sleep, SetWindowsHookEx
Languages:
jscript, powershell
Links:
12-08-2025
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
https://blog.talosintelligence.com/ps1bot-malvertising-campaign/
Report completeness: Medium
Threats:
Ps1bot
Ahkbot
Skitnet
Seo_poisoning_technique
Victims:
General users
Industry:
Foodtech, Financial
Geo:
Canadian, Czech
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1041, T1047, T1053.005, T1056.001, T1059.001, T1059.007, T1082, T1105, have more...
IOCs:
File: 2
Soft:
Google Chrome, Chromium, Kometa, Microsoft Edge, 7Star, Maxthon, Opera, Netbox, Orbitum, Vivaldi, have more...
Wallets:
metamask, trezor, atomicwallet, bitkeep_wallet, coinbase, xverse_wallet, exodus_wallet, coin98, kardiachain, terra_station, have more...
Crypto:
binance, uniswap, ethereum
Algorithms:
zip, base64
Functions:
Sleep, SetWindowsHookEx
Languages:
jscript, powershell
Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/08/ps1bot-malvertising-campaign.txtCisco Talos
Malvertising campaign leads to PS1Bot, a multi-stage malware framework
Cisco Talos has observed an ongoing malware campaign that seeks to infect victims with a multi-stage malware framework, implemented in PowerShell and C#, which we are referring to as “PS1Bot.”