#ParsedReport #CompletenessMedium
20-08-2025

Cybercriminals Abuse AI Website Creation App For Phishing

https://www.proofpoint.com/us/blog/threat-insight/cybercriminals-abuse-ai-website-creation-app-phishing

Report completeness: Medium

Actors/Campaigns:
Saad_tycoon

Threats:
Tycoon_framework
Aitm_technique
Doiloader
Quasar_rat
Clickfix_technique

Victims:
Organizations, Users, Ups customers, Aave users, German software company customers

Industry:
Logistic, Transport, Financial

Geo:
German

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204.001, T1566.002, T1584.001

IOCs:
File: 4
Url: 8
IP: 1

Soft:
Telegram, Azure Active Directory, SendGrid, Dropbox, ChatGPT, OpenAI

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще используют созданный искусственным интеллектом конструктор веб-сайтов Lovable для создания мошеннических сайтов для фишинга учетных данных и распространения вредоносных ПО, а недавние кампании выдают себя за известные бренды и используют CAPTCHA для фильтрации автоматизированного трафика. Например, кампания фишинга Tycoon в феврале 2025 года была нацелена на более чем 5000 организаций, что привело пользователей к подделке страниц входа в Microsoft. Кроме того, кампании в июне 2025 года использовали криптовалютные платформы и пытались собирать платежные и личные данные, отправляя конфиденциальную информацию непосредственно в Telegram, выявляя уязвимости в мерах безопасности против этих стратегий фишинга.
-----

Киберпреступники все чаще используют созданный искусственным интеллектом конструктор веб-сайтов, в частности платформу под названием Lovable, для создания мошеннических веб-сайтов, нацеленных на фишинг учетных данных и распространение вредоносного ПО. Недавние наблюдения Proofpoint указывают на всплеск кампаний, использующих эти сервисы искусственного интеллекта для создания веб-сайтов, выдающих себя за известные бренды. Эти сайты часто заставляют пользователей вводить конфиденциальную информацию с помощью таких тактик, как проверка с помощью CAPTCHA, которые фильтруют потенциальный автоматический трафик, в конечном счете направляя введенные учетные данные в такие каналы, как Telegram.

Кампания фишинга от Tycoon, выявленная Proofpoint в феврале 2025 года, является примером этой тенденции. В этой конкретной кампании широко использовались темы для обмена файлами для распространения наборов для фишинга учетных данных, что привело к появлению сотен тысяч сообщений и затронуло более 5000 организаций. Пользователи были перенаправлены на URL-адреса сайтов, созданных с помощью Lovable, которые содержали математическую капчу, ведущую их на поддельную страницу аутентификации Microsoft после решения проблемы.

В дополнение к сбору учетных записей, эти веб-сайты, созданные искусственным интеллектом, также использовались для кражи платежных и личных данных. Proofpoint задокументировала кампанию в июне 2025 года, которая выдавала себя за UPS, используя почти 3500 сообщений, направленных на получение конфиденциальной финансовой информации и личных данных от ничего не подозревающих жертв.

Доставка вредоносного ПО также была интегрирована в эти операции, уделяя особое внимание опустошению криптовалютных кошельков. Примечательно, что было обнаружено, что несколько подозрительных веб-сайтов, связанных с платформой Lovable, связаны с криптовалютой и услугами DeFi (децентрализованные финансы). В конкретной кампании, наблюдавшейся в июне 2025 года, участвовали злоумышленники, Маскировки под платформу DeFi Aave, что указывает на целенаправленные усилия по эксплуатации пользователей в сфере криптовалют.

Более того, в конце июля 2025 года исследователи обнаружили немецкоязычную кампанию, которая притворялась связанной с законной немецкой компанией-разработчиком программного обеспечения. В ходе дальнейших исследований исследователи отметили, что сборщики учетных данных кредитных карт были не только способны собирать конфиденциальные данные, но и передавали эту информацию непосредственно в Telegram. Это открытие вызвало обеспокоенность по поводу отсутствия адекватных мер защиты в приложении, ставя под сомнение уровень безопасности от таких растущих методов фишинга.

#ParsedReport #CompletenessHigh
21-08-2025

APT MuddyWater Deploys Multi-Stage Phishing to Target CFOs

https://hunt.io/blog/apt-muddywater-deploys-multi-stage-phishing-to-target-cfos

Report completeness: High

Actors/Campaigns:
Muddywater

Threats:
Spear-phishing_technique
Netbird_tool
Gophish_tool
Atera_tool

Victims:
Finance executives, Cfos

Industry:
Financial

Geo:
Asia, French, New york, Africa, America

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1071.001, T1105, T1204.002, T1566.001, T1566.002

IOCs:
IP: 2
File: 4
Domain: 13
Url: 17
Path: 1
Hash: 6

Soft:
OpenSSH, CryptoJS, OpenSSL, Twitter, Microsoft SharePoint

Algorithms:
zip, aes, aes-ecb, base64, md5

Functions:
decryptAndRedirect

Languages:
javascript

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_muddywater.txt

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 10, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT MuddyWater использует сложные многоэтапные атаки фишинга, нацеленные на финансовых директоров по всему миру, используя тактику социальной инженерии и размещенные на Firebase страницы фишинга для сбора конфиденциальной информации. Первоначальный доступ осуществляется с помощью загрузчиков VBS в ZIP-файлах, которые устанавливают средство удаленного доступа NetBird для постоянного управления системой, используя различные механизмы закрепления и несколько путей размещения инфраструктуры. Эволюция кампании и дублирующие друг друга TTP связывают ее с предыдущими мероприятиями MuddyWater, подчеркивая ее систематическую направленность на проникновение в финансовый сектор.
-----

APT MuddyWater нацелен на финансовых директоров и руководителей финансового отдела с помощью передовых многоступенчатых методов фишинга. Атака начинается с Целевого фишинга электронных писем, ведущих на размещенные в Firebase страницы фишинга, которые используют математические запросы CAPTCHA для сбора конфиденциальной информации. Первоначальный доступ осуществляется с помощью загрузчиков VBS в ZIP-архивах, которые при запуске устанавливают NetBird ПО для удаленного доступа. NetBird обеспечивает постоянный доступ с использованием скрытых учетных записей локального администратора, включает Протокол удаленного рабочего стола (RDP) и запланированные задачи для автоматического перезапуска после загрузки системы. Злоумышленники переместили свою инфраструктуру с IP-адреса 192.3.95.152 на 198.46.178.135, чтобы обойти сетевую защиту. Кампания демонстрирует организованное распространение наборов для фишинга по нескольким путям размещения в проектах Firebase/Web App. Полезная нагрузка VBS может выполнять команды и скрывает свое присутствие, удаляя связанные ярлыки на рабочих столах пользователей. Сходство с предыдущими действиями MuddyWater, такими как идентичные названия служб и конфигурации, усиливает атрибуцию. Стратегии смягчения последствий включают блокировку определенных IP-адресов и доменов, аудит законных ПО для удаленного доступа, внедрение списка разрешенных приложений и улучшение правил обнаружения скриптов VBS и создания подозрительных учетных записей. APT MuddyWater демонстрирует систематические операции, нацеленные на финансовый сектор с помощью изощренной тактики фишинга и вредоносного ПО.

#ParsedReport #CompletenessLow
21-08-2025

Internet Archive Abused for Hosting Stealthy JScript Loader Malware

https://cybersecuritynews.com/internet-archive-abused/

Report completeness: Low

Threats:
Remcos_rat
X2anylock

Victims:
Internet archive users

ChatGPT TTPs:
do not use without manual check
T1027

IOCs:
File: 5
Registry: 1

Algorithms:
base64

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние результаты выявили новый метод распространения вредоносного ПО, использующий Internet Archive для доставки запутанного вредоносного ПО JScript loader, что позволяет злоумышленникам обходить традиционные меры безопасности. Загрузчик уклоняется от обнаружения с помощью обфускации, усложняя анализ и используя легитимность архива для сокрытия вредоносных действий. Эта тактика подчеркивает существующие уязвимости, позволяя злоумышленникам распространять вредоносную полезную нагрузку, приводящую к компрометации системы или эксфильтрации данных, что свидетельствует о повышении изощренности злоумышленников.
-----

Недавнее исследование выявило новый метод распространения вредоносного ПО, который использует инфраструктуру Internet Archive для доставки вредоносного ПО JScript loader. Этот подход предполагает использование законных ресурсов архива для размещения скрытой полезной нагрузки, что позволяет злоумышленникам обходить традиционные меры безопасности и повышать скрытность своих операций.

Загрузчик JScript разработан таким образом, чтобы избежать обнаружения с помощью различных методов, таких как обфускация, которая усложняет анализ и затрудняет идентификацию с помощью средств безопасности. Используя такую авторитетную платформу, как Internet Archive, злоумышленники могут скрывать свою деятельность, поскольку законный трафик на этот широко используемый ресурс может не вызывать немедленного беспокойства у систем безопасности.

Исследования цепочки доставки показывают, как этот метод может способствовать дальнейшему распространению вредоносных программ, потенциально приводя к целому ряду вредных последствий, включая компрометацию системы, эксфильтрацию данных или развертывание дополнительного вредоносного ПО. Эта тактика выявляет сохраняющиеся уязвимости как в инфраструктуре, так и в протоколах безопасности, подчеркивая необходимость бдительности и адаптивности в стратегиях обнаружения и предотвращения угроз.

Общий смысл этой тактики предполагает, что злоумышленники становятся все более изощренными в использовании надежных платформ в неблаговидных целях, тем самым ставя под сомнение эффективность обычных мер безопасности. Организации должны оставаться в курсе таких развивающихся угроз и усиливать свою защиту от подобных атак в будущем.

#ParsedReport #CompletenessMedium
21-08-2025

Malicious Go Module Disguised as SSH Brute Forcer Exfiltrates Credentials via Telegram

https://socket.dev/blog/malicious-go-module-disguised-as-ssh-brute-forcer-exfiltrates-credentials

Report completeness: Medium

Actors/Campaigns:
Illdieanyway

Threats:
Webadmin_tool
Selica-c2
Supply_chain_technique

Victims:
Ssh services, Software supply chain users

Industry:
Telco, Iot

Geo:
Russian

TTPs:
Tactics: 2
Technics: 8

IOCs:
File: 9
Url: 1

Soft:
Telegram, Outlook, alpine, Linux, phpMyAdmin, Fortnite

Platforms:
cross-platform

Links:
https://github.com/IllDieAnyway
have more...
https://pkg.go.dev/github.com/illdieanyway/golang-random-ip-ssh-bruteforce@v0.0.0-20220624110449-9d819518d4fc
https://socket.dev/go/package/github.com/illdieanyway/golang-random-ip-ssh-bruteforce?version=v0.0.0-20220624110449-9d819518d4fc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно идентифицированный вредоносный модуль Go "golang-random-ip-ssh-bruteforce", связанный с русскоязычным злоумышленником, использует случайную генерацию IPv4-адресов для поиска открытых SSH-портов для брутфорса учетных данных. Он использует статический список слов для попыток входа в систему и имеет небезопасный обратный вызов ключа хоста, позволяющий избежать проверок сервера. Успешный вход в систему запускает немедленную эксфильтрацию учетных данных пользователя в жестко запрограммированный Telegram-бот, подчеркивая автономные возможности модуля и методы скрытой передачи данных, которые могут обойти базовые системы обнаружения.
-----

Недавно выявленный вредоносный модуль Go, замаскированный под брутфорсер SSH с именем "golang-random-ip-ssh-bruteforce", был связан с русскоязычным злоумышленником, который использует Telegram для эксфильтрации учетных данных. Этот модуль работает путем генерации случайных IPv4-адресов и проверки наличия открытого TCP-порта 22, типичного для служб SSH. При обнаружении открытого порта он пытается выполнить одновременный вход в систему по SSH, используя локально сохраненный короткий статический список слов. Реализация включает в себя небезопасный обратный вызов ключа хоста, который обходит проверки идентификации сервера, позволяя вредоносному ПО работать без разбора.

После успешной аутентификации модуль передает IP-адрес, имя пользователя и пароль идентифицированной цели жестко запрограммированному Telegram-боту, которым управляет злоумышленник. Такой конструктивный выбор, наряду с отсутствием возможности подключения к сети, позволяет модулю функционировать полностью автономно до тех пор, пока не будет достигнут успешный вход в систему, после чего он подключается к Telegram для немедленной передачи данных перед выходом.

Такой подход иллюстрирует четкую стратегию; выпуская быструю и эффективную утилиту сканирования, злоумышленник может переложить риск обнаружения на тех, кто работает с вредоносным ПО, одновременно объединяя успешные учетные данные в единый централизованный канал. Практика отключения проверки ключа хоста в сочетании с высоким уровнем параллелизма между случайными IP-адресами повышает эффективность работы, маскируя вредоносный трафик под безопасные HTTPS-запросы. Такая скрытность может позволить коммуникациям злоумышленника избежать обнаружения базовыми системами мониторинга исходящих данных.

Однако операторам, использующим этот модуль, крайне важно понимать юридические и эксплуатационные последствия. Использование сканирования портов и подбора учетных данных может привести к нарушению местных законов или политик допустимого использования, а также может привести к внесению в черный список интернет-провайдеров или Облачных сервисов.

Затронутые методы соответствуют нескольким тактикам, описанным в MITRE ATT&CK framework: T1195.002 охватывает компрометации, связанные с supply chain программного обеспечения; T1608.001 относится к загрузке вредоносного ПО; T1204.002 касается Выполнения с участием пользователя через Вредоносные файлы; T1046 посвящен Изучению сетевых служб; T1110.001 подробно Угадывание пароля стратегии; T1021.004 включает удаленные службы SSH; T1071.001 обсуждает эксфильтрацию через Веб-протоколы; и T1567 рассматривает Эксфильтрацию через веб-службы. Это всеобъемлющее описание тактики подчеркивает многогранную угрозу, которую представляет модуль Go.

#ParsedReport #CompletenessLow
21-08-2025

MITM6 + NTLM Relay: How IPv6 Auto-Configuration Leads to Full Domain Compromise

https://www.resecurity.com/blog/article/mitm6-ntlm-relay-how-ipv6-auto-configuration-leads-to-full-domain-compromise

Report completeness: Low

Threats:
Mitm6_technique
Ntlmrelayx_tool
Impacket_tool
Credential_stealing_technique
Crackmapexec_tool
Wmiexec_tool

Victims:
Active directory environments, Corporate environments

Industry:
Iot, Critical_infrastructure, Government

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1003.006, T1021.002, T1047, T1098, T1136.002, T1550.002, T1557, T1557.001

IOCs:
File: 1
Hash: 2

Soft:
Active Directory, Sudo, PsExec

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 8, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ретрансляционная атака MITM6 + NTLM нацелена на среды Active Directory, используя автоматическую настройку IPv6, что позволяет злоумышленникам настраивать поддельные серверы DHCPv6, которые перенаправляют сетевой трафик. Эта манипуляция позволяет перехватывать учетные данные с помощью ретрансляции NTLM, облегчая создание вредоносных учетных записей в домене, извлечение хэшей паролей и дальнейший доступ к сети. Такие инструменты, как mitm6, ntlmrelayx, CrackMapExec, WMIExec и PsExec, обычно используются для выполнения этой сложной последовательности атак.
-----

Ретрансляционная атака MITM6 + NTLM представляет собой серьезную угрозу для сред Active Directory, особенно из-за использования автоматической настройки IPv6 — процесса, который часто упускается из виду системными администраторами. Эта атака основана на том факте, что клиенты Windows автоматически отправляют запросы DHCPv6 при загрузке или подключении к сети, независимо от того, активно ли организация использует IPv6. Манипулируя этими запросами, злоумышленники могут установить вредоносные службы DHCPv6 и DNS, которые служат вредоносным целям.

Последовательность атак начинается с того, что злоумышленник развертывает вредоносный сервер DHCPv6, используя инструмент под названием mitm6. Этот сервер обманом заставляет сетевых клиентов перенаправлять свой трафик через компьютер злоумышленника. Как только эти клиенты пройдут аутентификацию, злоумышленник может затем ретранслировать попытки аутентификации в службу LDAP через NTLM relay, используя такой инструмент, как ntlmrelayx. Этот шаг имеет решающее значение, поскольку он облегчает сбор учетных данных, которые затем могут быть использованы для создания вредоносной учетной записи компьютера в домене.

Как только вредоносная учетная запись установлена, злоумышленник может изменить ее свойства, чтобы выдать себя за пользователя и извлечь хэши паролей из домена. Успешное получение действительных хэшей NTLM — будь то из учетных записей администратора или служб — обеспечивает дальнейший доступ к другим компьютерам в сети. Злоумышленники могут использовать CrackMapExec для проверки подлинности по различным IP-адресам, чтобы идентифицировать доступные цели, обеспечивая путь к более глубокому компрометированию системы.

Чтобы взять под контроль эти скомпрометированные системы, злоумышленники могут использовать такие инструменты, как WMIExec, который обеспечивает скрытый доступ без необходимости загрузки файлов, или PsExec, который позволяет проводить больше интерактивных сеансов, но влечет за собой отключение служб на удаленных хостах. Это подчеркивает критический характер поддержания надлежащих конфигураций безопасности и системных атрибутов мониторинга, поскольку разрешения по умолчанию, предоставляемые пользователям домена в отношении добавления учетных записей компьютеров, могут легко подорвать целостность всего домена.

Таким образом, ретрансляционная атака MITM6 + NTLM служит убедительным напоминанием о том, как упущенные конфигурации по умолчанию в средах Windows могут быть использованы для достижения полной компрометации домена. Это подчеркивает необходимость принятия упреждающих мер безопасности для снижения рисков, связанных с IPv6 по умолчанию, даже в средах, где этот протокол активно не применяется.

#ParsedReport #CompletenessLow
21-08-2025

Proxyware malware distributed on YouTube video download sites 2

https://asec.ahnlab.com/ko/89737/

Report completeness: Low

Threats:
Dropper/win.proxyware.c5783593
Dropper/win.proxyware.c5790716

IOCs:
Hash: 5
Url: 5
Domain: 5

Algorithms:
md5

Languages:
powershell

#ParsedReport #CompletenessHigh
21-08-2025

DragonForce Ransomware Attack Analysis Targets, TTPs and IoCs

https://cybersecuritynews.com/dragonforce-ransomware-attack/

Report completeness: High

Actors/Campaigns:
Dragonforce
Dragonforce_malaysia (motivation: hacktivism)

Threats:
Dragonforce_ransomware
Lockbit
Conti
Spear-phishing_technique
Log4shell_vuln
Anydesk_tool
Systembc

Industry:
Critical_infrastructure, Retail, Government

Geo:
Iran, Palau, Chinese

CVEs:
CVE-2024-21893 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 21.9, 21.12, 22.1)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21412 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1809 (<10.0.17763.5458)
- microsoft windows_10_21h2 (<10.0.19044.4046)
- microsoft windows_10_22h2 (<10.0.19045.4046)
- microsoft windows_11_21h2 (<10.0.22000.2777)
- microsoft windows_11_22h2 (<10.0.22621.3155)
have more...
CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2021-44228 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- siemens 6bk1602-0aa12-0tp0_firmware (<2.7.0)


TTPs:
Tactics: 5
Technics: 12

IOCs:
IP: 3
Hash: 3
Path: 4
File: 3

Soft:
Ivanti

Algorithms:
sha256

Win API:
DuplicateTokenEx

Languages:
powershell, golang

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4