#cyberthreattech

Переехали обратно на GPT 4o mini для генерации саммари, т.к. GPT5 показал себя плоховато в части лаконичности формируемого текста.

#ParsedReport #CompletenessLow
21-08-2025

Smuggling Requests with Chunked Extensions: A New HTTP Desync Trick

https://www.imperva.com/blog/smuggling-requests-with-chunked-extensions-a-new-http-desync-trick/

Report completeness: Low

Threats:
Smuggling_technique
Desync_technique

ChatGPT TTPs:
do not use without manual check
T1071.001, T1190

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленный метод smuggling HTTP-запросов использует синтаксический анализ несоответствий между интерфейсными системами, такими как CDNS и балансировщики нагрузки, и внутренними серверами, возникающих из-за уязвимостей в протоколе HTTP/1.1. Эта атака использует различия в интерпретации границ запросов, позволяя злоумышленникам отправлять вредоносные запросы, которые могут обойти меры безопасности. Несоответствие происходит из-за различий в реализации спецификаций HTTP с течением времени, что делает различные серверы уязвимыми для этих типов атак.
-----

Исследователи выявили новый метод smuggling HTTP-запросов, который использует расхождения в синтаксическом анализе расширений блоков между интерфейсными системами, такими как CDN и балансировщики нагрузки, и внутренними серверами. Эта атака использует уязвимости, присущие протоколу HTTP/1.1, особенно при отсутствии консенсуса относительно границ запросов. Несоответствие возникает из-за того, что HTTP/1.1 позволяет определять границы с использованием нескольких методов, включая длину содержимого и кодировку передачи: фрагментированные заголовки, что может привести к неправильной интерпретации различными компонентами сети.

Основная причина этой уязвимости связана с изменяющимися со временем реализациями спецификаций HTTP. Различные серверы, часто построенные на различных интерпретациях RFC, регулирующих HTTP, демонстрируют слабый синтаксический анализ неиспользуемых функций протокола, что делает их уязвимыми для атак smuggling запросов. Этот метод позволяет злоумышленникам отправлять вредоносные запросы, которые по-разному интерпретируются различными системами, потенциально обходя реализации безопасности и воздействуя на нижестоящие серверы.

В ответ на это обнаружение развертываются комплексные исправления безопасности для защиты затронутых систем. Ожидается, что организации, использующие брандмауэры облачных веб-приложений (WAFS) и готовые решения WAF, поддерживающие современное программное обеспечение, будут защищены от этой недавно выявленной уязвимости. Постоянный мониторинг любых возникающих вариантов этой атаки является обязательным, подчеркивая необходимость принятия упреждающих мер безопасности в условиях меняющегося ландшафта киберугроз.

#ParsedReport #CompletenessMedium
21-08-2025

Falcon Platform Prevents COOKIE SPIDER s SHAMOS Delivery on macOS

https://www.crowdstrike.com/en-us/blog/falcon-prevents-cookie-spider-shamos-delivery-macos/

Report completeness: Medium

Actors/Campaigns:
Cookie_spider (motivation: cyber_criminal)

Threats:
Amos_stealer
Cuckoo_stealer

Geo:
Japan, Russia, Mexico, Australia, Colombia, Russian, China, Italy, Canada

TTPs:
Tactics: 1
Technics: 5

IOCs:
Domain: 2
Url: 5
File: 1
Hash: 6

Soft:
macOS, Gatekeeper, curl, Ledger Live, Sudo

Algorithms:
zip, base64, sha256

Languages:
applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания SHAMOS по вредоносному ПО, связанная с группой COOKIE SPIDER, нацелилась на более чем 300 пользователей посредством Вредоносной рекламы, перенаправляя их на вредоносные сайты, избегая российских целей из-за местных правил. Процесс установки включал загрузку файла Mach-O, изменение разрешений на выполнение и выполнение проверок на защиту от виртуальных машин, чтобы избежать обнаружения. Конфиденциальные данные, включая криптовалютные кошельки из Связки ключей и браузеров, были отфильтрованы с помощью curl после объединения в ZIP-файл с использованием тактики, задокументированной в MITRE ATT&CK framework.
-----

В период с июня по август 2025 года кампания вредоносного ПО, идентифицированная как SHAMOS, вариант Atomic macOS Stealer (AMOS), связанный с киберпреступной группой COOKIE SPIDER, пыталась скомпрометировать более 300 сред, но была успешно заблокирована платформой CrowdStrike Falcon. В этой кампании использовалась Вредоносная реклама, нацеленная на пользователей, которые ищут проблемы, связанные с macOS, перенаправляя их на вредоносные веб-сайты. Жертвы в основном находились во многих странах, включая США, Великобританию, Японию и Канаду, в то время как кампания избегала нацеливания на физических лиц в России из-за местных правил форума, запрещающих операции с товарным вредоносным ПО.

Процесс установки вредоносного ПО SHAMOS включал загрузку файла Mach-O в каталог /tmp/ и удаление расширенных атрибутов файла, чтобы избежать проверок Gatekeeper. Затем вредоносное ПО изменило разрешения, чтобы разрешить выполнение, выполнило проверку защиты от виртуальных машин, чтобы убедиться, что оно не работает в изолированной среде, и выполнило многочисленные команды AppleScript для разведки и сбора данных. Это включало поиск файлов криптовалютного кошелька и конфиденциальной информации, хранящейся в Связке ключей, AppleNotes и браузерах. После сбора конфиденциальные данные были упакованы в ZIP-файл и отфильтрованы с помощью curl.

Кроме того, кампания была связана со второй попыткой Вредоносной рекламы, в ходе которой использовался репозиторий GitHub, Маскировка под официальный репозиторий iTerm2. В этом репозитории содержались инструкции по загрузке iTerm2, легитимного эмулятора терминала для macOS, еще раз иллюстрирующие, как злоумышленники смешивают законные инструменты с вредоносными методами распространения.

Обнаружению SHAMOS CrowdStrike способствовала комбинация машинного обучения и индикаторов атаки (IOAs), позволяющая платформе идентифицировать и блокировать вредоносное ПО на различных этапах его выполнения, от начальной загрузки до попыток эксфильтрации данных. Кампания подчеркнула распространенную тактику среди акторов электронной преступности, продемонстрировав, как Вредоносная реклама может значительно увеличить посещаемость сайта и, следовательно, потенциальную виктимизацию. Более того, использование упрощенной команды установки иллюстрирует распространенный метод обхода мер безопасности, демонстрируя эволюционирующие стратегии, используемые злоумышленниками при распространении программ-похитителей информации macOS. Тактика и методы, используемые COOKIE SPIDER и SHAMOS, были задокументированы в рамках MITRE ATT&CK framework, что указывает на структурированный подход к киберугрозам.

#ParsedReport #CompletenessHigh
21-08-2025

Investigation Report: APT36 Malware Campaign Using Desktop Entry Files and Google Drive Payload Delivery

https://www.cloudsek.com/blog/investigation-report-apt36-malware-campaign-using-desktop-entry-files-and-google-drive-payload-delivery

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Credential_harvesting_technique
Antidebugging_technique
Spear-phishing_technique
Supply_chain_technique
Credential_dumping_technique

Victims:
Indian government, Defense sector

Industry:
Government

Geo:
Pakistan, Indian

TTPs:
Tactics: 8
Technics: 13

IOCs:
Domain: 1
Hash: 9
File: 2
IP: 1

Soft:
Linux, Unix, Firefox, curl, Gmail, Systemd

Algorithms:
base64, sha256, sha1, md5, zip

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT36, известная как Transparent Tribe, нацелена на индийское правительство и оборонные структуры с помощью кампании кибершпионажа, используя вредоносные файлы Linux ".desktop", доставляемые с помощью фишинга в ZIP-архивах, которые загружают полезные файлы с Google Диска. Эти файлы маскируют вредоносные компоненты, встраивая значок в кодировке Base64, чтобы избежать обнаружения. Вредоносное ПО подключается к серверу C2 с помощью технологии WebSocket и использует такие тактики, как фиктивные проверки уклонения, чтобы помешать анализу, что указывает на изощренные и развивающиеся методы атаки APT36's.
-----

Группа APT36, также известная как Transparent Tribe, запустила кампанию кибершпионажа, специально нацеленную на индийское правительство и оборонные структуры, по крайней мере, с августа 2025 года. Эта кампания включает в себя сложные методы, использующие вредоносные файлы Linux ".desktop", которые обычно являются файлами конфигурации, используемыми для создания ярлыков приложений и средств запуска в средах Linux. Кампания по фишингу доставляет эти файлы в ZIP-архивах, из которых они загружают вредоносные полезные файлы, размещенные на Google Диске.

Файлы .desktop, используемые в этой атаке, маскируются путем встраивания изображения значка в кодировке Base64. Эта тактика помогает файлам выдавать себя за подлинные документы, что снижает вероятность возникновения подозрений. Кроме того, встроенный вредоносный компонент скрывается под данными значка, что позволяет избежать случайного обнаружения.

После запуска вредоносное ПО устанавливает закрепление и подключается к серверу управления (C2), идентифицированному с помощью технологии WebSocket, в частности к домену seemysitelive.store. Сообщается, что этот сервер отправляет обратно сообщение, указывающее на то, что это "Скрытый сервер", намекая на уровень запутывания, используемый APT36. Вредоносное ПО также включает в себя механизмы выполнения, такие как "фиктивные проверки уклонения", которые предназначены для того, чтобы помешать усилиям по отладке и анализу, тратя впустую время и обнаруживая средства мониторинга.

Переход к использованию Google Диска в качестве способа доставки знаменует собой заметную эволюцию в стратегиях APT36's атак. Этот метод не только облегчает Целевой фишинг, но и представляет значительный риск для систем на базе Linux в государственном и военном секторах из-за растущей зависимости от Облачных сервисов для обмена файлами.

Исследователи рекомендуют принять немедленные меры по устранению этой угрозы, включая блокировку идентифицированного домена C2, проверку на наличие признаков компрометации и усиление защиты электронной почты и конечных точек в целевых организациях. Постоянное внимание группы APT36 к сбору учетных записей и более изощренным векторам атак продолжает подчеркивать их угрозу чувствительным средам.

#ParsedReport #CompletenessLow
21-08-2025

Phishing in the Cloud: SendGrid Campaign Exploits Account Security

https://cofense.com/blog/phishing-in-the-cloud-sendgrid-campaign-exploits-account-security

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Sendgrid users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1566.002, T1589.003

IOCs:
Url: 6
IP: 10

Soft:
SendGrid

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена недавняя кампания по сбору учетных записей, использующая электронные письма с фишингом, отправляемые через SendGrid, надежный почтовый сервис. Злоумышленники используют поддельные адреса отправителей и срочные темы, чтобы обманом заставить получателей действовать быстро и раскрыть учетные данные для входа в систему. Это указывает на серьезную угрозу, когда злоумышленники используют надежные платформы электронной почты для обхода мер безопасности.
-----

Недавние наблюдения Центра защиты от фишинга Cofense свидетельствуют о кампании по сбору учетных записей с использованием фишингов электронных писем, отправляемых через SendGrid, авторитетный облачный сервис электронной почты. Злоумышленники используют надежную репутацию SendGrid для создания электронных писем, которые кажутся законными, эффективно обходя стандартные меры безопасности электронной почты. Эта атака характеризуется использованием поддельных адресов отправителей, что усиливает иллюзию того, что электронные письма являются подлинными сообщениями от SendGrid.

Кампания по фишингу состоит из трех различных тем электронной почты, каждая из которых предназначена для того, чтобы вызвать у получателя ощущение срочности. Эта срочность передается как в строках темы, так и в тексте сообщения, побуждая получателей действовать быстро, не проверяя подлинность электронного письма. Используя такую тактику, злоумышленники повышают вероятность того, что получатели попадутся на схему фишинга и невольно раскроют свои учетные данные.

Поскольку организации все больше полагаются на законные сторонние сервисы для обмена сообщениями по электронной почте, кампании фишинга, использующие эти платформы, создают значительные угрозы безопасности учетных записей. Осведомленность об этой тактике крайне важна для пользователей и организаций, чтобы распознавать потенциальные попытки фишинга и принимать соответствующие меры для защиты конфиденциальной информации.

#ParsedReport #CompletenessMedium
21-08-2025

IBM X-Force Threat Analysis: QuirkyLoader - A new malware loader delivering infostealers and RATs

https://www.ibm.com/think/x-force/ibm-x-force-threat-analysis-quirkyloader

Report completeness: Medium

Threats:
Quirkyloader
Dll_sideloading_technique
Process_hollowing_technique
Snake_keylogger
Remcos_rat
Asyncrat
Agent_tesla

Victims:
Nusoft taiwan, Individuals

Industry:
Telco

Geo:
Mexico, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1566.001, T1574.002, T1583.006, T1587.001

IOCs:
File: 3
Domain: 2
IP: 2
Coin: 2

Soft:
Instagram, Zimbra

Algorithms:
xor

Functions:
ZwUnmapViewOfSection, ZwWriteVirtualMemory

Win API:
CreateFileW, ReadFile, CreateProcessW, SetThreadContext, ResumeThread, GetProcAddress, OpenProcess, TerminateProcess, CloseHandle, GetThreadContext, have more...

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
QuirkyLoader - это недавно обнаруженный загрузчик вредоносного ПО, который распространяет различные вредоносные программы, в том числе инфокрадеры и трояны удаленного доступа, в основном через вредоносные архивные файлы в спам-письмах. Он оснащен модулем загрузки DLL, реализованным на C# .NET с использованием предварительной компиляции (AOT), что повышает его скрытность за счет имитации собственных двоичных файлов. Недавние кампании были нацелены на такие регионы, как Тайвань и Мексика, распространяя хорошо известные семейства вредоносных ПО, такие как Agent Tesla и Remcos, демонстрируя сложный многоэтапный подход к заражению.
-----

QuirkyLoader - это недавно идентифицированный загрузчик вредоносного ПО, который облегчает распространение различных вредоносных полезных нагрузок, включая инфокрадов и троянов удаленного доступа (RATs). Заражение обычно начинается, когда пользователь открывает вредоносный архивный файл, прикрепленный к спам-письму. Этот архив часто содержит законный исполняемый файл вместе с зашифрованной полезной нагрузкой, замаскированной под библиотеку DLL, а также модуль загрузки библиотеки DLL. В определенных случаях архив может содержать дополнительные законные библиотеки DLL, чтобы еще больше скрыть злонамеренные намерения загрузчика.

Модуль загрузки DLL в QuirkyLoader примечателен тем, что для его реализации последовательно используется C# .NET. В нем используется предварительная компиляция (AOT), которая сначала компилирует код C# в Microsoft Intermediate Language (MSIL), а затем преобразует MSIL в машинный код. Этот метод отличается от общепринятого.Процесс сетевой компиляции, эффективно позволяющий конечному двоичному файлу напоминать программу, построенную на C или C++. Этот метод повышает скрытность вредоносного ПО, маскируя его истинную природу.

Недавние виктимологические исследования показывают, что QuirkyLoader активно участвовал в конкретных кампаниях в июле 2025 года, нацеленных на такие регионы, как Тайвань и Мексика. Кампания на Тайване была сосредоточена на сотрудниках Nusoft Taiwan, исследовательской фирмы по безопасности, распространявшей Snake Keylogger infostealer. В Мексике злоумышленники атаковали различных лиц как с помощью Remcos RAT, так и с помощью AsyncRAT.

В ходе дальнейших расследований была обнаружена сетевая инфраструктура, связанная с распространением этих вредоносных электронных писем, которая ведет к домену catherinereynolds.info. Этот домен имеет IP-адрес 157.66.225.11 и содержит веб-клиент Zimbra. Он использует SSL-сертификат, связанный с общим именем mail.catherinereynolds.info. Дополнительные IP-адреса, 103.75.77.90 и 161.248.178.212, были подключены к той же инфраструктуре из-за схожих характеристик, что свидетельствует о скоординированных усилиях.

Таким образом, QuirkyLoader является примером многоэтапной методологии заражения, которая использует хорошо известные семейства вредоносных ПО, такие как Agent Tesla, AsyncRAT и Remcos. Используя вредоносные кампании по электронной почте и сложные методы DLL side-loading, QuirkyLoader способен запускать свой основной модуль DLL, который впоследствии расшифровывает и вводит предполагаемую полезную нагрузку. Этот загрузчик вредоносного ПО представляет собой серьезную угрозу в сфере кибербезопасности, подчеркивая меняющуюся тактику злоумышленников.

#ParsedReport #CompletenessMedium
20-08-2025

Cybercriminals Abuse AI Website Creation App For Phishing

https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_framework
Aitm_technique
Doiloader
Quasar_rat
Clickfix_technique

Victims:
Organizations, Users, Ups customers, Aave users, German software company customers

Industry:
Logistic, Transport, Financial

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566.002, T1584.001

IOCs:
File: 4
Url: 8
IP: 1

Soft:
Telegram, Azure Active Directory, SendGrid, Dropbox, ChatGPT, OpenAI

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют созданный искусственным интеллектом конструктор веб-сайтов Lovable для создания мошеннических сайтов для фишинга учетных данных и распространения вредоносных ПО, а недавние кампании выдают себя за известные бренды и используют CAPTCHA для фильтрации автоматизированного трафика. Например, кампания фишинга Tycoon в феврале 2025 года была нацелена на более чем 5000 организаций, что привело пользователей к подделке страниц входа в Microsoft. Кроме того, кампании в июне 2025 года использовали криптовалютные платформы и пытались собирать платежные и личные данные, отправляя конфиденциальную информацию непосредственно в Telegram, выявляя уязвимости в мерах безопасности против этих стратегий фишинга.
-----

Киберпреступники все чаще используют созданный искусственным интеллектом конструктор веб-сайтов, в частности платформу под названием Lovable, для создания мошеннических веб-сайтов, нацеленных на фишинг учетных данных и распространение вредоносного ПО. Недавние наблюдения Proofpoint указывают на всплеск кампаний, использующих эти сервисы искусственного интеллекта для создания веб-сайтов, выдающих себя за известные бренды. Эти сайты часто заставляют пользователей вводить конфиденциальную информацию с помощью таких тактик, как проверка с помощью CAPTCHA, которые фильтруют потенциальный автоматический трафик, в конечном счете направляя введенные учетные данные в такие каналы, как Telegram.

Кампания фишинга от Tycoon, выявленная Proofpoint в феврале 2025 года, является примером этой тенденции. В этой конкретной кампании широко использовались темы для обмена файлами для распространения наборов для фишинга учетных данных, что привело к появлению сотен тысяч сообщений и затронуло более 5000 организаций. Пользователи были перенаправлены на URL-адреса сайтов, созданных с помощью Lovable, которые содержали математическую капчу, ведущую их на поддельную страницу аутентификации Microsoft после решения проблемы.

В дополнение к сбору учетных записей, эти веб-сайты, созданные искусственным интеллектом, также использовались для кражи платежных и личных данных. Proofpoint задокументировала кампанию в июне 2025 года, которая выдавала себя за UPS, используя почти 3500 сообщений, направленных на получение конфиденциальной финансовой информации и личных данных от ничего не подозревающих жертв.

Доставка вредоносного ПО также была интегрирована в эти операции, уделяя особое внимание опустошению криптовалютных кошельков. Примечательно, что было обнаружено, что несколько подозрительных веб-сайтов, связанных с платформой Lovable, связаны с криптовалютой и услугами DeFi (децентрализованные финансы). В конкретной кампании, наблюдавшейся в июне 2025 года, участвовали злоумышленники, Маскировки под платформу DeFi Aave, что указывает на целенаправленные усилия по эксплуатации пользователей в сфере криптовалют.

Более того, в конце июля 2025 года исследователи обнаружили немецкоязычную кампанию, которая притворялась связанной с законной немецкой компанией-разработчиком программного обеспечения. В ходе дальнейших исследований исследователи отметили, что сборщики учетных данных кредитных карт были не только способны собирать конфиденциальные данные, но и передавали эту информацию непосредственно в Telegram. Это открытие вызвало обеспокоенность по поводу отсутствия адекватных мер защиты в приложении, ставя под сомнение уровень безопасности от таких растущих методов фишинга.

#ParsedReport #CompletenessHigh
21-08-2025

APT MuddyWater Deploys Multi-Stage Phishing to Target CFOs

https://hunt.io/blog/apt-muddywater-deploys-multi-stage-phishing-to-target-cfos

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Spear-phishing_technique
Netbird_tool
Gophish_tool
Atera_tool

Victims:
Finance executives, Cfos

Industry:
Financial

Geo:
Asia, French, New york, Africa, America

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1566.002

IOCs:
IP: 2
File: 4
Domain: 13
Url: 17
Path: 1
Hash: 6

Soft:
OpenSSH, CryptoJS, OpenSSL, Twitter, Microsoft SharePoint

Algorithms:
zip, aes, aes-ecb, base64, md5

Functions:
decryptAndRedirect

Languages:
javascript

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_muddywater.txt