#ParsedReport #CompletenessMedium
12-08-2025

Malvertising campaign leads to PS1Bot, a multi-stage malware framework

https://blog.talosintelligence.com/ps1bot-malvertising-campaign/

Report completeness: Medium

Threats:
Ps1bot
Ahkbot
Skitnet
Seo_poisoning_technique

Victims:
General users

Industry:
Foodtech, Financial

Geo:
Canadian, Czech

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1047, T1053.005, T1056.001, T1059.001, T1059.007, T1082, T1105, have more...

IOCs:
File: 2

Soft:
Google Chrome, Chromium, Kometa, Microsoft Edge, 7Star, Maxthon, Opera, Netbox, Orbitum, Vivaldi, have more...

Wallets:
metamask, trezor, atomicwallet, bitkeep_wallet, coinbase, xverse_wallet, exodus_wallet, coin98, kardiachain, terra_station, have more...

Crypto:
binance, uniswap, ethereum

Algorithms:
zip, base64

Functions:
Sleep, SetWindowsHookEx

Languages:
jscript, powershell

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/08/ps1bot-malvertising-campaign.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная реклама/SEO-отравление предоставляет многоступенчатый фреймворк PowerShell/C# с именем PS1Bot через сжатые архивы с названием SEO, которые выполняют скриптлеты JScript, извлеченные из C2, контролируемого злоумышленником. Модульный инструмент компилирует и загружает классы C# в память, чтобы избежать артефактов на диске, и включает в себя AV-перечисление на основе WMI, Захват экрана, кейлоггер / кражу буфера обмена, похититель файлов / кошельков с использованием встроенных списков слов и телеметрию системного опроса. Активный с начала 2025 года, он восстанавливает закрепление для доставки модулей, управляемых C2, и эксфильтрации; код и инфраструктура дублируют шаблоны AHK, подобные PowerShell, и Skitnet/Bossnet (соответствие конструкции URL-адреса C2 и общим переменным), что указывает на вероятного общего автора.
-----

Исследователи наблюдали активную кампанию по Вредоносной рекламе/SEO-отравлению, в ходе которой был внедрен многоэтапный фреймворк PowerShell/C# для вредоносного ПО, получивший название "PS1Bot". Первоначальная доставка представляет собой сжатый архив с именами файлов, ориентированными на SEO; выполнение извлекает и запускает скриптлет JScript с сервера, контролируемого злоумышленником, чтобы начать цепочку. Фреймворк является модульным и предназначен для выполнения в памяти и компиляции во время выполнения, чтобы свести к минимуму артефакты на диске: этапы PowerShell динамически компилируют и загружают классы C# в сборки (библиотеки DLL) во время выполнения вместо записи постоянной полезной нагрузки на диск.

Компоненты, защищающие от компрометации, включают в себя антивирусный модуль перечисления, который запрашивает WMI для перечисления установленных AV-продуктов, модуль захвата экрана, который делает скриншоты и отправляет их в C2, кейлоггер и модуль захвата буфера обмена, реализованный с помощью динамически скомпилированных сборок C#, и "граббер"-похититель информации, нацеленный на конфиденциальные файлы. Похититель встраивает списки слов для перечисления файлов, которые, вероятно, содержат пароли и начальные фразы криптовалюты, и пытается извлечь данные кошелька для эксфильтрации. Модуль обследования системы ("WMIComputerCSHARP") собирает телеметрию хоста и окружающей среды и отправляет отчеты обратно в C2. Модуль закрепления может повторно установить основной механизм зацикливания после перезагрузки или завершения сеанса, чтобы восстановить связь C2 и обеспечить доставку последующих модулей.

Инфраструктура C2 используется для выборки скриптлетов, доставки модулей и эксфильтрации данных. Кампания, активная с начала 2025 года, с частыми новыми образцами, подчеркивает скрытность за счет выполнения в памяти и минимального количества постоянных артефактов. Код и инфраструктура демонстрируют совпадения с ранее описанными инструментами (проекты PowerShell, подобные AHK-ботам, и шаблоны доставки Skitnet/Bossnet), включая сопоставление построения URL-адресов C2, общие переменные и вероятного общего автора для окончательной полезной нагрузки закрепления Деобфускации.

#ParsedReport #CompletenessLow
13-08-2025

Threat Bulletin: Fire in the Woods A New Variant of FireWood

https://intezer.com/blog/threat-bulletin-firewood/

Report completeness: Low

Actors/Campaigns:
Toohash
Gelsemium

Threats:
Firewood
Project_wood

Geo:
Israel, Philippines, China, Iran

IOCs:
File: 1

Soft:
Linux

Algorithms:
sha256

Functions:
SavePidAndCheckKernel, CheckLkmLoad, ConnectToSvr, SetAutoKillEl, HideModule

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вариант FireWood с низким уровнем обнаружения изменяет как код, так и конфигурацию, чтобы избежать обнаружения на основе сигнатур. Правки кода, вероятно, влияют на методы внедрения, использование Windows API, кодирование и упаковку трафика C2; конфигурация меняет местами домены/IP-адреса/порты C2, фрейминг, синхронизацию маяка, наборы команд и закрепление. Эти сдвиги изменяют наблюдаемое поведение и делают недействительными статические IOCS, сохраняя при этом удаленные команды, эксфильтрацию и перемещение внутри компании.
-----

Сообщалось о недавно обнаруженном варианте бэкдора FireWood с низким уровнем обнаружения, который демонстрирует изменения как в реализации, так и в конфигурации по сравнению с предыдущими образцами. Показатели обнаружения остаются низкими, что позволяет предположить, что этот вариант включает в себя методы уклонения или изменения упаковки, которые снижают видимость на основе сигнатур. Ограниченное раскрытие информации сосредоточено на факте изменения, а не на подробных показателях, но сочетание различий в реализации и конфигурации подразумевает модификации как на уровне кода, так и на уровне эксплуатации.

С технической точки зрения, изменения в реализации обычно отражают изменения в том, как реализуется основная функциональность: разные пути кода для Внедрений кода в процесс, измененное использование Windows API, измененное шифрование/кодировка трафика C2 или новые уровни упаковки/обфускации. Изменения конфигурации обычно влияют на инфраструктуру управления (домены, IP-адреса, порты), формирование протоколов, интервалы маяков, включенные наборы команд и механизмы закрепления. В совокупности эти настройки могут изменить поведенческие характеристики и аннулировать предыдущие статические IOCS, сохраняя при этом общие возможности бэкдора, такие как удаленное выполнение команд, эксфильтрация данных и поддержка перемещения внутри компании.

Оперативное воздействие включает в себя повышенную сложность обнаружения на основе сигнатур и потенциал для более широкого успешного развертывания, если исходные данные телеметрии не обновляются. Исследователи должны отдавать приоритет поведенческим показателям, а не статическим хэшам: аномальные исходящие подключения к ранее невидимым доменам или IP-адресам, необычное появление процесса или использование сетевого сокета обычными двоичными файлами, новые записи о закреплении и нетипичное использование Межпроцессного взаимодействия. Анализ памяти и времени выполнения, проверка сетевого трафика на наличие зашифрованных шаблонов маяков и обновленные правила YARA/behavior-based являются важными мерами по смягчению последствий. Сопоставление телеметрии между конечными точками и сетевыми уровнями будет важно для идентификации этого варианта, учитывая его низкую обнаруживаемость и двойственный характер изменений.

#ParsedReport #CompletenessLow
14-08-2025

JustAskJacky: AI causes a Trojan Horse Comeback

https://www.gdatasoftware.com/blog/2025/08/38247-justaskjacky-ai-trojan-horse-comeback

Report completeness: Low

Threats:
Justaskjacky
Tamperedchef
Steganography_technique

Victims:
Software users

Industry:
Foodtech

ChatGPT TTPs:
do not use without manual check
T1036, T1053.005, T1195.001, T1204.002

IOCs:
File: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
JustAskJacky показывает LLM, используемые для массового производства убедительных вредоносных веб-сайтов, выглядящих аутентично, и программ установки троянов, созданных автоматически. Evasion использует новые, разнообразные двоичные файлы и исходный код, в котором отсутствуют исторические подписи, поэтому статические сканеры могут пропускать образцы без упаковки или запутывания. Наблюдаемое поведение во время выполнения включает в себя закрепление и выполнение запланированных задач с произвольными интервалами.
-----

JustAskJacky иллюстрирует сдвиг в распространении троянских программ, когда доступность больших языковых моделей (LLM) позволяет злоумышленникам создавать очень убедительную инфраструктуру доставки и масштабируемые бэкдорные приложения на заказ. Злоумышленники используют LLMS для автоматической генерации аутентичного контента веб-сайта и функциональных средств установки на рабочий стол (например, троянских приложений, продвигаемых наряду с правдоподобным контентом), сокращая обычные человеческие усилия и показатели, которые могут насторожить осторожных пользователей.

Основная техническая проблема заключается в том, что двоичные файлы и варианты исходных текстов, созданные LLM, являются новыми и, следовательно, незнакомы механизмам статической подписи. Поскольку код может быть недавно сгенерирован и изменен, для обхода статических сканеров не требуется упаковка или обфускация; статическое обнаружение на платформах, подобных VirusTotal, может пропустить эти образцы просто из-за отсутствия исторических сигнатур. При распространении используется социальная инженерия, усиленная надежными веб-сайтами и плотностью контента, что повышает успешность установки троянских программ.

В поведенческом плане трояны типа JustAskJacky полагаются на закрепление и шаблоны запланированного выполнения, которые могут быть обнаружены динамически. Одним из наблюдаемых показателей является создание и выполнение запланированных задач, которые выполняются с произвольными интервалами, что отклоняется от законного планирования задач и вызывает сигналы обнаружения. Таким образом, эффективное обнаружение зависит от контекстной и поведенческой телеметрии: динамического анализа/изолированной среды, общих сигнатур, основанных на поведении, мониторинга процессов и планировщика задач и корреляции шаблонов выполнения, а не только от статических хэшей или сигнатур.

Защитные рекомендации, подразумеваемые угрозой, заключаются в том, чтобы расставить приоритеты в динамических и поведенческих методах обнаружения, отслеживать аномальные механизмы закрепления (включая нетипичные запланированные задачи) и соотносить репутацию веб-доставки с телеметрией во время выполнения. Полагаясь исключительно на статические сигнатуры, защитники будут подвержены масштабируемым троянским кампаниям с поддержкой LLM.

#ParsedReport #CompletenessLow
14-08-2025

Muddled Libras Strike Teams: Amalgamated Evil

https://unit42.paloaltonetworks.com/muddled-libras-strike-teams/

Report completeness: Low

Actors/Campaigns:
0ktapus (motivation: cyber_criminal, information_theft)

Threats:
Supply_chain_technique

Victims:
Cryptocurrency industry, Business process outsourcing, Mass marketing, Telecommunications, Authentication providers

Industry:
Telco, Software_development, Entertainment, Retail, Transport, Bp_outsourcing

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Muddled Libra (она же Scattered Spider / Octo Tempest) - это подвижная совокупность отдельных персонажей, организованных через социальные чат-платформы в эфемерные ударные команды на основе ролей с динамичным членством, что усложняет атрибуцию. С конца 2022 года было замечено по меньшей мере семь отдельных команд, которые первоначально ориентировались на высокоценных крипто-“китов”, а затем перешли к операциям меньшей сложности и большего объема. Операции сосредоточены на использовании supply chain криптовалюты — BPO, поставщиков услуг массового маркетинга, телекоммуникаций и аутентификации — с использованием вышестоящих сторонних векторов для получения монетизируемого доступа к криптоактивам и смежным ценным целям.
-----

Muddled Libra (он же Scattered Spider, Octo Tempest) - это не единый иерархический актор, а подвижная совокупность отдельных персонажей, организованных с помощью платформ социальных чатов. Эти персонажи формируют эфемерные ударные команды, которые объединяются вокруг конкретных целей и взаимодополняющих наборов навыков, а не фиксированной организационной структуры. Членство в команде динамично: отдельные люди входят, выходят и мигрируют между командами, что усложняет присвоение и оценку постоянных способностей.

С конца 2022 года было замечено по меньшей мере семь различных ударных групп, каждая из которых определялась сочетанием намеченных целей и используемой ими специфики. Ранние команды были сосредоточены на краже криптовалюты с высокой стоимостью и преследовали крупные “китовые” цели. Другие команды, которые изначально ориентировались на криптовалюту, со временем перешли к более простым и объемным операциям.

Группы нацелены на элементы supply chain криптовалюты, а не только на биржи или кошельки, рассматривая аутсорсинг бизнес-процессов, массовый маркетинг, телекоммуникации и поставщиков аутентификации как векторы или сопутствующие возможности для достижения ценных целей. Ориентация на эти секторы supply-chain указывает на оперативный акцент на использовании вышестоящих поставщиков услуг и третьих сторон, которые облегчают доступ к держателям криптовалют, вместо того, чтобы полагаться исключительно на прямой взлом инфраструктуры обмена. Общая операционная модель делает акцент на децентрализованном сотрудничестве, ролевых ударных командах и целенаправленной торговле, ориентированной на монетизируемый доступ к криптоактивам и смежным ценным целям.

#ParsedReport #CompletenessMedium
14-08-2025

Unexpected guests: F6 analyzed the first large -scale attacks of the Kinsing group on Russian companies

https://www.f6.ru/blog/kinsing/

Report completeness: Medium

Actors/Campaigns:
Money_libra

Threats:
Kinsing_miner
Xmrig_miner
Smuggling_technique

Victims:
Cloud infrastructure, Container infrastructure, Server linux systems

Industry:
Logistic, Financial, Telco

Geo:
Russian, America, Russia, Asia

CVEs:
CVE-2017-9841 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- phpunit_project phpunit (le4.8.27, <5.6.3)


ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1190, T1496, T1595, T1610

IOCs:
File: 9
IP: 15
Hash: 267

Soft:
PHPUnit, Thinkphp, Docker, Apparmor, Crontab, Linux, Redis, PostgreSQL, Apache Log4j, Confluence, have more...

Crypto:
monero

Algorithms:
md5, sha1, sha256

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по криптоджекингу Kinsing (апрель 2025) deploys The Kinsing loader и XMRig на скомпрометированных облачных/контейнерных хостингах Linux для майнинга Monero. Первоначальный доступ использует открытые API-интерфейсы Docker, небезопасные конфигурации Kubernetes, Redis/PostgreSQL и общедоступные ошибки RCE (Log4Shell, Tomcat, NiFi, Confluence, Citrix, WebLogic) с использованием автоматических загрузчиков LH.SH и D.sh Наблюдаемые объекты включают D.sh/LH.SH в контейнере запускаются commands, anomalous XMRig/Kinsing процессы, а также исходящая телеметрия инфраструктуры.
-----

Аналитики F6 расследовали крупномасштабную кампанию криптоджекинга, приписываемую группе To The Kinsing, которая наблюдалась в апреле 2025 года. Kinsing ‑ это давно работающий кластер киберпреступников (активен с 2019 года), который deploys The Kinsing binary и XMRig для скрытого майнинга Monero (XMR) на скомпрометированных серверах Linux, с акцентом на облачные и контейнерные среды.

Группа использует как известные уязвимости программного обеспечения, так и неправильные настройки в работе, чтобы получить первоначальный доступ. Отмеченные векторы атак включают открытые API-интерфейсы Docker, небезопасные конфигурации Kubernetes и уязвимые сервисы, такие как Redis и PostgreSQL. Kinsing также использует общедоступные недостатки в широко используемом корпоративном программном обеспечении — в качестве примеров приводятся Apache Log4j (Log4Shell), Tomcat, NiFi, Confluence, продукты Citrix и WebLogic. Для конкретных эксплойтов актор использует специализированные автоматизированные скрипты (примеры с именем LH.SH для Log4Shell и D.sh ), которые загружают и выполняют полезные нагрузки для развертывания майнеров and The Kinsing loader/binary.

Поиск и разведка сосредоточены на выявлении доступных интерфейсов управления, в частности открытых API-интерфейсов Docker. Анализ конфигураций среды выполнения контейнера может выявить командные строки, которые извлекают и выполняют характерные сценарии (например, D.sh ), служащие убедительными индикаторами компромисса, tied to Kinsing activity. Сетевая телеметрия из SIEM выявила попытки исходящих атак, что привело аналитиков на основе IP-индикаторов к восстановлению Вредоносных файлов и инфраструктуры.

Рабочий процесс F6 перешел от обнаружения сети к отображению артефактов и инфраструктуры, что позволило создавать и развертывать правила обнаружения/поиска. Ключевыми наблюдаемыми артефактами и тактикой мониторинга являются наличие D.sh/LH.SH шаблоны загрузчика в командах запуска контейнера, аномальные процессы, related to XMRig/Kinsing двоичных файлов, и попытки использования перечисленных служб и API-интерфейсов управления.

#ParsedReport #CompletenessMedium
14-08-2025

Recipe For Adware

https://blog.dingusxmcgee.com/blog/2025/06/06/Recipe-For-Adware.html

Report completeness: Medium

Threats:
Xorist

Victims:
Consumers

Industry:
Foodtech

Geo:
New york

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1204.002

IOCs:
File: 5
Path: 4
Command: 3
Url: 1
Domain: 9
Hash: 4

Soft:
discord, linux, NSIS installer, Electron, chrome

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Приманка на тему рецепта доставила исполняемый файл Windows с именем RecipeLister.exe по ссылкам/электронным письмам. RecipeLister.exe это установщик NSIS, который распаковывает, удаляет и запускает дополнительные компоненты; анализ показал, что он запускает рекламное ПО, но может выполнять произвольные команды после установки. Пакет NSIS действует как модульная платформа доставки/загрузчик, способный развертывать бэкдоры или другое вредоносное ПО.
-----

2 июня 2025 года в сообществе InvokeRE Discord был опубликован скриншот JavaScript из приложения для рецептов, и последующий анализ выявил кампанию, в которой использовалась приманка на тему рецептов (например, электронное письмо со ссылкой на рецепт в стиле New York Times) для распространения исполняемого файла Windows с именем RecipeLister.exe . Первоначальная приманка использует безобидный на вид контент, чтобы побудить жертву запустить доставленный двоичный файл.

RecipeLister.exe является установщиком NSIS (Nullsoft Scriptable Install System). Как пакет NSIS, он содержит установочный скрипт, который может распаковывать и загружать файлы на диск и выполнять их, что означает, что установщик является удобным промежуточным механизмом для произвольных полезных нагрузок. Анализ показал, что установщик удалял и запускал дополнительные компоненты; на момент составления отчета наблюдаемое поведение полезной нагрузки проявлялось как рекламное ПО. Поскольку установщики NSIS могут выполнять произвольные команды после установки и запускать удаленные исполняемые файлы, один и тот же механизм может обеспечить широкий спектр дополнительных полезных нагрузок помимо внедрения рекламы - от постоянного рекламного ПО до бэкдоров или других семейств вредоносных ПО.

Авторы отмечают, что обозначать кампанию строго как “рекламное ПО”, скорее всего, неточно: механизм доставки модульный и гибкий, а активная полезная нагрузка может быть приманкой. Это делает угрозу более похожей на платформу доставки или потенциальный загрузчик бэкдора, а не на одноцелевую разновидность рекламного ПО, увеличивая риск того, что операторы могут заменить более вредоносную полезную нагрузку, чтобы избежать обнаружения или расширить доступ.

#ParsedReport #CompletenessHigh
14-08-2025

CrossC2 Expanding Cobalt Strike Beacon to Cross-Platform Attacks

https://blogs.jpcert.or.jp/en/2025/08/crossc2.html

Report completeness: High

Threats:
Cobalt_strike_tool
Crossc2_tool
Plink_tool
Readnimeloader
Junk_code_technique
Dll_sideloading_technique
Odinldr
Systembc
As-rep_roasting_technique
Blackbasta

Victims:
Linux servers, Active directory environments

Geo:
Japan

ChatGPT TTPs:
do not use without manual check
T1021.002, T1021.004, T1027, T1055, T1071.001, T1090, T1140, T1558.004, T1573

IOCs:
File: 5
Path: 3
IP: 12
Domain: 4
Hash: 22

Soft:
Linux, PsExec, macOS, OpenSSL, Task Scheduler

Algorithms:
xor, aes-128-cbc, aes-256-ecb, aes, deflate, gzip

Functions:
ReadNimeLoader, GetNPUsers, GetNPUsers_windows

Win API:
NetBIOS, NtQueueApcThread-s, SetThreadContext, CreateRemoteThread, LoadLibraryA, RtlCreateUserThread, VirtualAllocEx

Languages:
javascript, java, python

Platforms:
cross-platform, x64, x86

Links:
https://github.com/JPCERTCC/aa-tools/blob/master/parse\_crossc2beacon\_config.py

#ParsedReport #ExtractedSchema

Classified images:
dump: 4, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4