#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 4, code: 16

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа APT36, известная как Transparent Tribe, нацелена на индийское правительство и оборонные структуры с помощью кампании кибершпионажа, используя вредоносные файлы Linux ".desktop", доставляемые с помощью фишинга в ZIP-архивах, которые загружают полезные файлы с Google Диска. Эти файлы маскируют вредоносные компоненты, встраивая значок в кодировке Base64, чтобы избежать обнаружения. Вредоносное ПО подключается к серверу C2 с помощью технологии WebSocket и использует такие тактики, как фиктивные проверки уклонения, чтобы помешать анализу, что указывает на изощренные и развивающиеся методы атаки APT36's.
-----

Группа APT36, также известная как Transparent Tribe, запустила кампанию кибершпионажа, специально нацеленную на индийское правительство и оборонные структуры, по крайней мере, с августа 2025 года. Эта кампания включает в себя сложные методы, использующие вредоносные файлы Linux ".desktop", которые обычно являются файлами конфигурации, используемыми для создания ярлыков приложений и средств запуска в средах Linux. Кампания по фишингу доставляет эти файлы в ZIP-архивах, из которых они загружают вредоносные полезные файлы, размещенные на Google Диске.

Файлы .desktop, используемые в этой атаке, маскируются путем встраивания изображения значка в кодировке Base64. Эта тактика помогает файлам выдавать себя за подлинные документы, что снижает вероятность возникновения подозрений. Кроме того, встроенный вредоносный компонент скрывается под данными значка, что позволяет избежать случайного обнаружения.

После запуска вредоносное ПО устанавливает закрепление и подключается к серверу управления (C2), идентифицированному с помощью технологии WebSocket, в частности к домену seemysitelive.store. Сообщается, что этот сервер отправляет обратно сообщение, указывающее на то, что это "Скрытый сервер", намекая на уровень запутывания, используемый APT36. Вредоносное ПО также включает в себя механизмы выполнения, такие как "фиктивные проверки уклонения", которые предназначены для того, чтобы помешать усилиям по отладке и анализу, тратя впустую время и обнаруживая средства мониторинга.

Переход к использованию Google Диска в качестве способа доставки знаменует собой заметную эволюцию в стратегиях APT36's атак. Этот метод не только облегчает Целевой фишинг, но и представляет значительный риск для систем на базе Linux в государственном и военном секторах из-за растущей зависимости от Облачных сервисов для обмена файлами.

Исследователи рекомендуют принять немедленные меры по устранению этой угрозы, включая блокировку идентифицированного домена C2, проверку на наличие признаков компрометации и усиление защиты электронной почты и конечных точек в целевых организациях. Постоянное внимание группы APT36 к сбору учетных записей и более изощренным векторам атак продолжает подчеркивать их угрозу чувствительным средам.

#ParsedReport #CompletenessLow
21-08-2025

Phishing in the Cloud: SendGrid Campaign Exploits Account Security

https://cofense.com/blog/phishing-in-the-cloud-sendgrid-campaign-exploits-account-security

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Sendgrid users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1566.002, T1589.003

IOCs:
Url: 6
IP: 10

Soft:
SendGrid

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена недавняя кампания по сбору учетных записей, использующая электронные письма с фишингом, отправляемые через SendGrid, надежный почтовый сервис. Злоумышленники используют поддельные адреса отправителей и срочные темы, чтобы обманом заставить получателей действовать быстро и раскрыть учетные данные для входа в систему. Это указывает на серьезную угрозу, когда злоумышленники используют надежные платформы электронной почты для обхода мер безопасности.
-----

Недавние наблюдения Центра защиты от фишинга Cofense свидетельствуют о кампании по сбору учетных записей с использованием фишингов электронных писем, отправляемых через SendGrid, авторитетный облачный сервис электронной почты. Злоумышленники используют надежную репутацию SendGrid для создания электронных писем, которые кажутся законными, эффективно обходя стандартные меры безопасности электронной почты. Эта атака характеризуется использованием поддельных адресов отправителей, что усиливает иллюзию того, что электронные письма являются подлинными сообщениями от SendGrid.

Кампания по фишингу состоит из трех различных тем электронной почты, каждая из которых предназначена для того, чтобы вызвать у получателя ощущение срочности. Эта срочность передается как в строках темы, так и в тексте сообщения, побуждая получателей действовать быстро, не проверяя подлинность электронного письма. Используя такую тактику, злоумышленники повышают вероятность того, что получатели попадутся на схему фишинга и невольно раскроют свои учетные данные.

Поскольку организации все больше полагаются на законные сторонние сервисы для обмена сообщениями по электронной почте, кампании фишинга, использующие эти платформы, создают значительные угрозы безопасности учетных записей. Осведомленность об этой тактике крайне важна для пользователей и организаций, чтобы распознавать потенциальные попытки фишинга и принимать соответствующие меры для защиты конфиденциальной информации.

#ParsedReport #CompletenessMedium
21-08-2025

IBM X-Force Threat Analysis: QuirkyLoader - A new malware loader delivering infostealers and RATs

https://www.ibm.com/think/x-force/ibm-x-force-threat-analysis-quirkyloader

Report completeness: Medium

Threats:
Quirkyloader
Dll_sideloading_technique
Process_hollowing_technique
Snake_keylogger
Remcos_rat
Asyncrat
Agent_tesla

Victims:
Nusoft taiwan, Individuals

Industry:
Telco

Geo:
Mexico, Taiwan

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1566.001, T1574.002, T1583.006, T1587.001

IOCs:
File: 3
Domain: 2
IP: 2
Coin: 2

Soft:
Instagram, Zimbra

Algorithms:
xor

Functions:
ZwUnmapViewOfSection, ZwWriteVirtualMemory

Win API:
CreateFileW, ReadFile, CreateProcessW, SetThreadContext, ResumeThread, GetProcAddress, OpenProcess, TerminateProcess, CloseHandle, GetThreadContext, have more...

Links:
https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/ibm-xti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
QuirkyLoader - это недавно обнаруженный загрузчик вредоносного ПО, который распространяет различные вредоносные программы, в том числе инфокрадеры и трояны удаленного доступа, в основном через вредоносные архивные файлы в спам-письмах. Он оснащен модулем загрузки DLL, реализованным на C# .NET с использованием предварительной компиляции (AOT), что повышает его скрытность за счет имитации собственных двоичных файлов. Недавние кампании были нацелены на такие регионы, как Тайвань и Мексика, распространяя хорошо известные семейства вредоносных ПО, такие как Agent Tesla и Remcos, демонстрируя сложный многоэтапный подход к заражению.
-----

QuirkyLoader - это недавно идентифицированный загрузчик вредоносного ПО, который облегчает распространение различных вредоносных полезных нагрузок, включая инфокрадов и троянов удаленного доступа (RATs). Заражение обычно начинается, когда пользователь открывает вредоносный архивный файл, прикрепленный к спам-письму. Этот архив часто содержит законный исполняемый файл вместе с зашифрованной полезной нагрузкой, замаскированной под библиотеку DLL, а также модуль загрузки библиотеки DLL. В определенных случаях архив может содержать дополнительные законные библиотеки DLL, чтобы еще больше скрыть злонамеренные намерения загрузчика.

Модуль загрузки DLL в QuirkyLoader примечателен тем, что для его реализации последовательно используется C# .NET. В нем используется предварительная компиляция (AOT), которая сначала компилирует код C# в Microsoft Intermediate Language (MSIL), а затем преобразует MSIL в машинный код. Этот метод отличается от общепринятого.Процесс сетевой компиляции, эффективно позволяющий конечному двоичному файлу напоминать программу, построенную на C или C++. Этот метод повышает скрытность вредоносного ПО, маскируя его истинную природу.

Недавние виктимологические исследования показывают, что QuirkyLoader активно участвовал в конкретных кампаниях в июле 2025 года, нацеленных на такие регионы, как Тайвань и Мексика. Кампания на Тайване была сосредоточена на сотрудниках Nusoft Taiwan, исследовательской фирмы по безопасности, распространявшей Snake Keylogger infostealer. В Мексике злоумышленники атаковали различных лиц как с помощью Remcos RAT, так и с помощью AsyncRAT.

В ходе дальнейших расследований была обнаружена сетевая инфраструктура, связанная с распространением этих вредоносных электронных писем, которая ведет к домену catherinereynolds.info. Этот домен имеет IP-адрес 157.66.225.11 и содержит веб-клиент Zimbra. Он использует SSL-сертификат, связанный с общим именем mail.catherinereynolds.info. Дополнительные IP-адреса, 103.75.77.90 и 161.248.178.212, были подключены к той же инфраструктуре из-за схожих характеристик, что свидетельствует о скоординированных усилиях.

Таким образом, QuirkyLoader является примером многоэтапной методологии заражения, которая использует хорошо известные семейства вредоносных ПО, такие как Agent Tesla, AsyncRAT и Remcos. Используя вредоносные кампании по электронной почте и сложные методы DLL side-loading, QuirkyLoader способен запускать свой основной модуль DLL, который впоследствии расшифровывает и вводит предполагаемую полезную нагрузку. Этот загрузчик вредоносного ПО представляет собой серьезную угрозу в сфере кибербезопасности, подчеркивая меняющуюся тактику злоумышленников.

#ParsedReport #CompletenessMedium
20-08-2025

Cybercriminals Abuse AI Website Creation App For Phishing

https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_framework
Aitm_technique
Doiloader
Quasar_rat
Clickfix_technique

Victims:
Organizations, Users, Ups customers, Aave users, German software company customers

Industry:
Logistic, Transport, Financial

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566.002, T1584.001

IOCs:
File: 4
Url: 8
IP: 1

Soft:
Telegram, Azure Active Directory, SendGrid, Dropbox, ChatGPT, OpenAI

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют созданный искусственным интеллектом конструктор веб-сайтов Lovable для создания мошеннических сайтов для фишинга учетных данных и распространения вредоносных ПО, а недавние кампании выдают себя за известные бренды и используют CAPTCHA для фильтрации автоматизированного трафика. Например, кампания фишинга Tycoon в феврале 2025 года была нацелена на более чем 5000 организаций, что привело пользователей к подделке страниц входа в Microsoft. Кроме того, кампании в июне 2025 года использовали криптовалютные платформы и пытались собирать платежные и личные данные, отправляя конфиденциальную информацию непосредственно в Telegram, выявляя уязвимости в мерах безопасности против этих стратегий фишинга.
-----

Киберпреступники все чаще используют созданный искусственным интеллектом конструктор веб-сайтов, в частности платформу под названием Lovable, для создания мошеннических веб-сайтов, нацеленных на фишинг учетных данных и распространение вредоносного ПО. Недавние наблюдения Proofpoint указывают на всплеск кампаний, использующих эти сервисы искусственного интеллекта для создания веб-сайтов, выдающих себя за известные бренды. Эти сайты часто заставляют пользователей вводить конфиденциальную информацию с помощью таких тактик, как проверка с помощью CAPTCHA, которые фильтруют потенциальный автоматический трафик, в конечном счете направляя введенные учетные данные в такие каналы, как Telegram.

Кампания фишинга от Tycoon, выявленная Proofpoint в феврале 2025 года, является примером этой тенденции. В этой конкретной кампании широко использовались темы для обмена файлами для распространения наборов для фишинга учетных данных, что привело к появлению сотен тысяч сообщений и затронуло более 5000 организаций. Пользователи были перенаправлены на URL-адреса сайтов, созданных с помощью Lovable, которые содержали математическую капчу, ведущую их на поддельную страницу аутентификации Microsoft после решения проблемы.

В дополнение к сбору учетных записей, эти веб-сайты, созданные искусственным интеллектом, также использовались для кражи платежных и личных данных. Proofpoint задокументировала кампанию в июне 2025 года, которая выдавала себя за UPS, используя почти 3500 сообщений, направленных на получение конфиденциальной финансовой информации и личных данных от ничего не подозревающих жертв.

Доставка вредоносного ПО также была интегрирована в эти операции, уделяя особое внимание опустошению криптовалютных кошельков. Примечательно, что было обнаружено, что несколько подозрительных веб-сайтов, связанных с платформой Lovable, связаны с криптовалютой и услугами DeFi (децентрализованные финансы). В конкретной кампании, наблюдавшейся в июне 2025 года, участвовали злоумышленники, Маскировки под платформу DeFi Aave, что указывает на целенаправленные усилия по эксплуатации пользователей в сфере криптовалют.

Более того, в конце июля 2025 года исследователи обнаружили немецкоязычную кампанию, которая притворялась связанной с законной немецкой компанией-разработчиком программного обеспечения. В ходе дальнейших исследований исследователи отметили, что сборщики учетных данных кредитных карт были не только способны собирать конфиденциальные данные, но и передавали эту информацию непосредственно в Telegram. Это открытие вызвало обеспокоенность по поводу отсутствия адекватных мер защиты в приложении, ставя под сомнение уровень безопасности от таких растущих методов фишинга.

#ParsedReport #CompletenessHigh
21-08-2025

APT MuddyWater Deploys Multi-Stage Phishing to Target CFOs

https://hunt.io/blog/apt-muddywater-deploys-multi-stage-phishing-to-target-cfos

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Spear-phishing_technique
Netbird_tool
Gophish_tool
Atera_tool

Victims:
Finance executives, Cfos

Industry:
Financial

Geo:
Asia, French, New york, Africa, America

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1566.002

IOCs:
IP: 2
File: 4
Domain: 13
Url: 17
Path: 1
Hash: 6

Soft:
OpenSSH, CryptoJS, OpenSSL, Twitter, Microsoft SharePoint

Algorithms:
zip, aes, aes-ecb, base64, md5

Functions:
decryptAndRedirect

Languages:
javascript

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_muddywater.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 10, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT MuddyWater использует сложные многоэтапные атаки фишинга, нацеленные на финансовых директоров по всему миру, используя тактику социальной инженерии и размещенные на Firebase страницы фишинга для сбора конфиденциальной информации. Первоначальный доступ осуществляется с помощью загрузчиков VBS в ZIP-файлах, которые устанавливают средство удаленного доступа NetBird для постоянного управления системой, используя различные механизмы закрепления и несколько путей размещения инфраструктуры. Эволюция кампании и дублирующие друг друга TTP связывают ее с предыдущими мероприятиями MuddyWater, подчеркивая ее систематическую направленность на проникновение в финансовый сектор.
-----

APT MuddyWater нацелен на финансовых директоров и руководителей финансового отдела с помощью передовых многоступенчатых методов фишинга. Атака начинается с Целевого фишинга электронных писем, ведущих на размещенные в Firebase страницы фишинга, которые используют математические запросы CAPTCHA для сбора конфиденциальной информации. Первоначальный доступ осуществляется с помощью загрузчиков VBS в ZIP-архивах, которые при запуске устанавливают NetBird ПО для удаленного доступа. NetBird обеспечивает постоянный доступ с использованием скрытых учетных записей локального администратора, включает Протокол удаленного рабочего стола (RDP) и запланированные задачи для автоматического перезапуска после загрузки системы. Злоумышленники переместили свою инфраструктуру с IP-адреса 192.3.95.152 на 198.46.178.135, чтобы обойти сетевую защиту. Кампания демонстрирует организованное распространение наборов для фишинга по нескольким путям размещения в проектах Firebase/Web App. Полезная нагрузка VBS может выполнять команды и скрывает свое присутствие, удаляя связанные ярлыки на рабочих столах пользователей. Сходство с предыдущими действиями MuddyWater, такими как идентичные названия служб и конфигурации, усиливает атрибуцию. Стратегии смягчения последствий включают блокировку определенных IP-адресов и доменов, аудит законных ПО для удаленного доступа, внедрение списка разрешенных приложений и улучшение правил обнаружения скриптов VBS и создания подозрительных учетных записей. APT MuddyWater демонстрирует систематические операции, нацеленные на финансовый сектор с помощью изощренной тактики фишинга и вредоносного ПО.

#ParsedReport #CompletenessLow
21-08-2025

Internet Archive Abused for Hosting Stealthy JScript Loader Malware

https://cybersecuritynews.com/internet-archive-abused/

Report completeness: Low

Threats:
Remcos_rat
X2anylock

Victims:
Internet archive users

ChatGPT TTPs:
do not use without manual check
T1027

IOCs:
File: 5
Registry: 1

Algorithms:
base64

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты выявили новый метод распространения вредоносного ПО, использующий Internet Archive для доставки запутанного вредоносного ПО JScript loader, что позволяет злоумышленникам обходить традиционные меры безопасности. Загрузчик уклоняется от обнаружения с помощью обфускации, усложняя анализ и используя легитимность архива для сокрытия вредоносных действий. Эта тактика подчеркивает существующие уязвимости, позволяя злоумышленникам распространять вредоносную полезную нагрузку, приводящую к компрометации системы или эксфильтрации данных, что свидетельствует о повышении изощренности злоумышленников.
-----

Недавнее исследование выявило новый метод распространения вредоносного ПО, который использует инфраструктуру Internet Archive для доставки вредоносного ПО JScript loader. Этот подход предполагает использование законных ресурсов архива для размещения скрытой полезной нагрузки, что позволяет злоумышленникам обходить традиционные меры безопасности и повышать скрытность своих операций.

Загрузчик JScript разработан таким образом, чтобы избежать обнаружения с помощью различных методов, таких как обфускация, которая усложняет анализ и затрудняет идентификацию с помощью средств безопасности. Используя такую авторитетную платформу, как Internet Archive, злоумышленники могут скрывать свою деятельность, поскольку законный трафик на этот широко используемый ресурс может не вызывать немедленного беспокойства у систем безопасности.

Исследования цепочки доставки показывают, как этот метод может способствовать дальнейшему распространению вредоносных программ, потенциально приводя к целому ряду вредных последствий, включая компрометацию системы, эксфильтрацию данных или развертывание дополнительного вредоносного ПО. Эта тактика выявляет сохраняющиеся уязвимости как в инфраструктуре, так и в протоколах безопасности, подчеркивая необходимость бдительности и адаптивности в стратегиях обнаружения и предотвращения угроз.

Общий смысл этой тактики предполагает, что злоумышленники становятся все более изощренными в использовании надежных платформ в неблаговидных целях, тем самым ставя под сомнение эффективность обычных мер безопасности. Организации должны оставаться в курсе таких развивающихся угроз и усиливать свою защиту от подобных атак в будущем.

#ParsedReport #CompletenessMedium
21-08-2025

Malicious Go Module Disguised as SSH Brute Forcer Exfiltrates Credentials via Telegram

https://socket.dev/blog/malicious-go-module-disguised-as-ssh-brute-forcer-exfiltrates-credentials

Report completeness: Medium

Actors/Campaigns:
Illdieanyway

Threats:
Webadmin_tool
Selica-c2
Supply_chain_technique

Victims:
Ssh services, Software supply chain users

Industry:
Telco, Iot

Geo:
Russian

TTPs:
Tactics: 2
Technics: 8

IOCs:
File: 9
Url: 1

Soft:
Telegram, Outlook, alpine, Linux, phpMyAdmin, Fortnite

Platforms:
cross-platform

Links:
https://github.com/IllDieAnyway
have more...
https://pkg.go.dev/github.com/illdieanyway/golang-random-ip-ssh-bruteforce@v0.0.0-20220624110449-9d819518d4fc
https://socket.dev/go/package/github.com/illdieanyway/golang-random-ip-ssh-bruteforce?version=v0.0.0-20220624110449-9d819518d4fc

#ParsedReport #GeneratedSchema
Generated with GPT-4