#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SpyNote нацелено на устройства Android через поддельные веб-сайты, имитирующие законные загрузки из Google Play, функционируя как троян удаленного доступа (RAT) с возможностями наблюдения, эксфильтрации данных и удаленного управления. Он поддерживает Регистрацию нажатий клавиш и может управлять функциональными возможностями устройств, такими как камеры, микрофоны и звонки, используя методы перехвата кликов. Вредоносное ПО распространяется через скомпрометированные веб-сайты с использованием закодированных процедур для установки полезной нагрузки, демонстрируя устойчивую тактику с ограниченной адаптивностью, в основном использующую поддельные приложения для социальной инженерии.
-----

Вредоносное ПО SpyNote вновь стало серьезной угрозой кибербезопасности, в первую очередь нацеливаясь на устройства Android через поддельные веб-сайты, имитирующие страницы загрузки законных приложений из магазина Google Play. Этот троян для удаленного доступа к Android (RAT) может похвастаться обширными возможностями, ориентированными на наблюдение, эксфильтрацию данных и удаленное управление зараженными устройствами. Недавние действия указывают на продолжение тактики, применяемой тем же злоумышленником, о котором говорилось в предыдущих отчетах, с незначительными корректировками IP-адресов и улучшенными методами антианализа, внедренными в их APK-дроппер, чтобы избежать обнаружения.

Функциональные возможности SpyNote's вызывают тревогу; он может управлять камерой и микрофоном устройства, управлять вызовами и выполнять команды удаленно. Одной из его наиболее опасных функций является Регистрация нажатий клавиш, позволяющая получать важные учетные данные пользователя и коды двухфакторной аутентификации (2FA) с помощью специальных служб Android. Вредоносное ПО еще больше расширяет свой охват, занимаясь перехватом кликов с помощью оверлейных атак. Если вредоносное ПО получает права администратора, оно обладает способностью удаленно стирать данные с устройств, блокировать их или устанавливать дополнительные вредоносные приложения, что делает его серьезной угрозой для кибершпионажа и связанной с ним преступной деятельности.

Доставка вредоносного ПО осуществляется с помощью обманных функций загрузки, встроенных в скомпрометированные веб-сайты, в частности, с использованием закодированных процедур, которые расшифровывают и активируют полезную нагрузку SpyNote при установке. Исходный APK-файл действует как дроппер, который использует зашифрованные ресурсы для облегчения этого процесса, подчеркивая детальный и стратегический метод, лежащий в основе его распространения.

Актор, распространяющий SpyNote, проявляет закрепление, но ограниченную адаптивность в своих методах. Центральное место в их стратегии занимает неоднократное использование поддельных приложений Google Play Store в качестве приманки, представляющее собой подход социальной инженерии, который по-прежнему имеет решающее значение для их деятельности. Несмотря на то, что они поменяли конкретные IP-адреса для своей инфраструктуры, они преимущественно работают только с двух основных адресов, что указывает на несколько ограниченные возможности диверсификации. Меры защиты от анализа в их APK-файлах относительно элементарны и включают базовые методы запутывания и динамическое дешифрование полезной нагрузки, предназначенные для маскировки истинных операций SpyNote.

#ParsedReport #CompletenessHigh
22-08-2025

Fortune telling on Goffee grounds: current tools and features of the Goffee group in attacks on Russia

https://www.ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/fortune-telling-on-goffee-grounds/

Report completeness: High

Actors/Campaigns:
Paper_werewolf

Threats:
Sauropsida
Dquic
Bindsycler
Mirat
Powertaskel
Ebowla_tool
Owowa
Mythic_c2
Chisel_tool
Tinyshell
Sliver_c2_tool
Dll_sideloading_technique
Infinity_loader
Rawcopy_tool
Impacket_tool
Reptile
Garble_tool
Gophish_tool
Metasploit_tool
Powerprepare
Powermodule
Spear-phishing_technique
Goloader
Qwakmyagent

Victims:
Defense industry, Military industrial complex, Russian organizations

Industry:
Government

Geo:
Russian, Russia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)

CVE-2021-4034 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- polkit_project polkit (<121)

CVE-2025-6218 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.12)


TTPs:
Tactics: 9
Technics: 27

IOCs:
File: 20
IP: 9
Path: 4
Command: 3
Domain: 2
Url: 4
Hash: 32

Soft:
Unix, Linux, OpenSSH

Algorithms:
fnv-1a, base64, aes, hmac, xor, sha1, rolmod13

Functions:
Get-ProcAddress, Get-DelegateType, Emit-CallThreadStub, CreateThread

Win API:
MI_Application_InitializeV1, recvfrom, CreateThread, VirtualProtect, irtualAlloc дл, я загрузки шел

Win Services:
eventlog

Languages:
dotnet, powershell, golang

Links:
https://github.com/fortra/impacket
have more...
https://github.com/milabs/khook
https://github.com/jpillora/chisel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа компаний Goffee с 2022 года настойчиво нацеливается на российские организации, использующие сочетание инструментов с открытым исходным кодом и проприетарных инструментов. Их кампания включает в себя настроенное вредоносное ПО, такое как модифицированный owowa для сбора учетных записей и DQuic для туннелирования UDP, наряду с использованием инструмента PowerTaskel для промежуточной установки модулей. Они проводили изощренные атаки с использованием методов запутывания и скомпрометированных учетных записей, используя тактику фишинга для проникновения в системы и эксплуатации их, особенно в сообщениях, имитирующих официальные российские агентства.
-----

Группа Goffee была связана с серией кибератак, нацеленных на российские организации с 2022 года, используя для проведения своих кампаний целый ряд как открытых, так и проприетарных инструментов. Примечательно, что группа использовала уникальные модификации известного вредоносного ПО и разработала свои собственные вредоносные скрипты, которые используют системы Unix. Их деятельность, в частности, связана с использованием средства обфускации трафика, Ebowla packer и алгоритма шифрования как трафика, так и файлов, что усложняет судебно-медицинский анализ их деятельности.

В июле 2024 года группа Goffee была вовлечена в атаку с использованием инструмента PowerTaskel, который был усовершенствован для поэтапной загрузки дополнительных модулей. Такой уровень модификации свидетельствует об адаптивности и техническом мастерстве группы. Впоследствии, в октябре 2024 года, Goffee нацелился на другую российскую организацию с помощью модифицированной версии вредоносного ПО owowa, предназначенной для сбора учетных данных пользователей, а также новых форматов для Nim-дропперов Infinity Loader, сохранив Sliver в качестве конечной полезной нагрузки.

К концу 2024 года группа продемонстрировала свою способность к сложному проникновению, используя скомпрометированную учетную запись и уязвимость для доступа к интерпретатору bash в системе жертвы. Они использовали команды, направленные на сбор данных об инфраструктуре и установление удаленного соединения.

Среди вредоносных инструментов, используемых группой Goffee, выделяются DQuic и BindSycler. DQuic использует протокол QUIC для туннелирования оболочки UDP bind, основанный на более старой версии библиотеки picoquic, что указывает на график разработки, простирающийся до 2023 года. BindSycler, инструмент на базе Golang, также облегчает туннелирование трафика по SSH, демонстрируя запутывание с помощью инструмента garble, таким образом скрывая его рабочие параметры.

О том, что группа полагалась на структурированную сетевую инфраструктуру, свидетельствовало обнаружение различных цепочек атак. Для проведения кампаний по фишингу Goffee преимущественно регистрировала вредоносные домены в зонах .ru и .com/.org, используя часто используемые российские IP-адреса и хостинговые сервисы, известные своей снисходительной позицией в отношении вредоносных действий. GoPhish был определен как инструмент, используемый для выполнения фишинг-атак.

Понимание операционной методологии позволяет выявить отдельные этапы атаки, каждый из которых имеет специфические сетевые характеристики и показатели компрометации, которые были собраны и проанализированы. Например, на этапе фишинга Goffee нацеливается на российские организации, в том числе в военно-промышленном секторе, с помощью тщательно разработанных вредоносных сообщений. Инцидент, произошедший в июле 2025 года, был связан с получением электронного письма, замаскированного под сообщение Министерства промышленности и торговли России, содержащего вредоносный архив, предназначенный для использования системы получателя.

#ParsedReport #CompletenessLow
23-08-2025

StardustChollima/BlueNoroff stole TG accounts and launched ZoomClickFIX phishing attacks

https://mp.weixin.qq.com/s/r1FAt-vHn-Yuw2wu54s5Rg

Report completeness: Low

Actors/Campaigns:
Bluenoroff
Zoomclickfix
Lazarus
Cryptocore
Tradertraitor
Famous_chollima

Geo:
North korean, Dprk

ChatGPT TTPs:
do not use without manual check
T1036, T1204.001, T1204.002, T1566.002, T1583.001, T1608.004

IOCs:
Url: 3
Domain: 12

Soft:
Zoom

Languages:
applescript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
StardustChollima, также известная как BlueNoroff, использует метод фишинга под названием "ZoomClickFIX" для кражи учетных записей Telegram. Атака включает в себя поддельную ссылку Zoom meeting, которая перенаправляет пользователей на замаскированный URL-адрес, ведущий к загрузке вредоносного ПО под предлогом необходимости исправить функциональность Zoom. Этот метод подчеркивает использование социальной инженерии для использования доверия пользователей в злонамеренных целях, подчеркивая постоянные риски, связанные со схемами фишинга.
-----

StardustChollima, также известная как BlueNoroff, недавно была вовлечена в кражу учетных записей Telegram (TG) для облегчения фишингов -атак с использованием метода, получившего название “ZoomClickFIX”. Эта тактика заключается в создании обманчивой ссылки на встречу Zoom, которая кажется законной. При атаке обычный URL-адрес Zoom, предоставляемый пользователям, - это hxxps://reforge.zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt. Однако, как только ссылка нажата, пользователи перенаправляются на замаскированный адрес, который изменяет исходный URL на hxxps://reforge.web05zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt.

При переходе по этой мошеннической ссылке пользователи сталкиваются с сообщением, указывающим на то, что Zoom не может работать корректно и что им необходимо выполнить определенные инструкции по ремонту. Предоставленный контент для этого исправления на самом деле является загрузкой вредоносного ПО, расположенной по ссылке hxxp://web21zoom.us/audio/fix/2721598407. Эта методология фишинга подчеркивает подход злоумышленника к использованию тактики социальной инженерии для использования доверия пользователей и облегчения распространения вредоносного ПО под видом законного сервиса. Эта операция подчеркивает сохраняющийся риск, создаваемый схемами фишинга, особенно теми, которые используют популярные платформы и инструменты, широко используемые для удаленной коммуникации. Меры по кибербезопасности должны быть направлены на выявление и смягчение этих типов угроз, чтобы защитить пользователей от того, чтобы они не стали жертвами таких обманчивых практик.

#ParsedReport #CompletenessHigh
23-08-2025

UAC-0057 keeps applying pressure on Ukraine and Poland

https://harfanglab.io/insidethelab/uac-0057-pressure-ukraine-poland/

Report completeness: High

Actors/Campaigns:
Ghostwriter (motivation: cyber_espionage)

Threats:
Cobalt_strike_tool
Spear-phishing_technique
Confuserex_tool
Macropack_tool

Victims:
Government services, Media organizations

Industry:
Entertainment, Government

Geo:
Ukraine, Belarusian, Polish, Russia, Poland, Ukrainian

CVEs:
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.005, T1071.001, T1082, T1090, T1102, T1105, T1132.001, T1547.001, T1566.001, have more...

IOCs:
Hash: 25
File: 25
Path: 29
Url: 9
Domain: 7
Command: 1
Registry: 4

Soft:
Slack, OpenSSL, Mac OS, Task Scheduler, protonmail

Algorithms:
rc4, xor, zip, base64, sha256

Functions:
TaskScheduler

Win API:
CopyFile, VirtualProtect, CreateDirectory

Languages:
dotnet

Platforms:
intel, apple, x64

YARA: Found

Links:
https://github.com/HarfangLab/iocs/tree/main/TRR250801

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Белорусский злоумышленник UAC-0057 занимается кибершпионажем, нацеленным на Украину и Польшу, используя тактику spearphishing и дезинформации. В их кампаниях используются сжатые архивные файлы и создаются документы-приманки для обмана целей, используя встроенную библиотеку DLL на C# и вариант, написанный на C++, для эксфильтрации данных и обмена данными C2. Инфраструктура обеих стран демонстрирует сходство: серверы C2 замаскированы, чтобы казаться законными, что усложняет обнаружение, и используют макро-эксплойты в XLS-файлах для дополнительного вторжения.
-----

Злоумышленник UAC-0057, связанный с белорусскими интересами, продолжает свою кампанию кибершпионажа, нацеленную на Украину и Польшу. Их тактика в первую очередь связана с использованием дезинформации и методов spearphishing. В ходе недавнего расследования были выявлены сжатые архивные файлы, которые, вероятно, были направлены украинским организациям в период с конца мая 2025 года по июль 2025 года. Хотя способ доставки остается неподтвержденным, есть подозрение, что эти архивы были распространены с помощью spearphishing электронных писем, либо в виде вложений, либо по ссылкам.

Вредоносное ПО, используемое в этих кампаниях, включает в себя имплантат первой стадии - библиотеку DLL на C#, написанную для постоянного закрепления на скомпрометированных системах. Этот имплантат, запутанный с помощью ConfuserEx, предназначен для сбора системной информации, передачи ее на сервер командования и контроля (C2) и периодического запроса дополнительных вредоносных полезных нагрузок. Злоумышленники использовали поддельные документы, напоминающие законные сообщения Министерства цифровой трансформации Украины, чтобы повысить вероятность успеха в своих попытках фишинга.

Параллельно деятельность UAC-0057's в Польше в апреле и мае 2025 года продемонстрировала использование аналогичных методов, но с вариантом имплантата первой стадии, написанным на C++. Эти имплантаты также собирают системную информацию и взаимодействуют с серверами C2 для эксфильтрации данных. Было отмечено заметное совпадение в инфраструктуре, используемой как для украинской, так и для польской кампаний, что указывает на скоординированные операции. Серверы C2 размещены в доменах со структурами, имитирующими законные веб-сайты, иногда скрытыми с помощью сервисов Cloudflare, что еще больше усложняет усилия по обнаружению.

В арсенале злоумышленника также есть XLS-файлы, содержащие эксплойты на основе макросов, частично замаскированные с помощью таких инструментов, как MacroPack. Кроме того, в некоторых случаях коммуникации C2 выполняются по каналам Slack, при этом злоумышленник использует модели бесплатной подписки, чтобы сохранить анонимность и избежать обнаружения.

#ParsedReport #CompletenessLow
23-08-2025

MURKY PANDA: A Trusted-Relationship Threat in the Cloud

https://www.crowdstrike.com/en-us/blog/murky-panda-trusted-relationship-threat-in-cloud/

Report completeness: Low

Actors/Campaigns:
Hafnium (motivation: cyber_espionage)
Volt_typhoon

Threats:
Neo-regeorg_tool
Cloudedhope
Garble_tool

Victims:
Government, Technology, Academic, Legal, Professional services, Saas providers, Cloud solution providers

Industry:
Education, Government

Geo:
China, America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1190, T1199, T1505.003

Soft:
Outlook, Citrix NetScaler ADC

Languages:
golang

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MURKY PANDA, связанный с Китаем злоумышленник, с конца 2024 года активно атакует различные секторы в Северной Америке, специализируясь на компрометации доверительных отношений в облачных средах и использовании уязвимостей n-day и zero-day для первоначального доступа через устройства, подключенные к Интернету. В их операциях используются Веб-шеллы, в частности оболочка Neo-reGeorg, и малораспространенное вредоносное ПО под названием CloudedHope, нацеленное на скрытность и закрепление. Примечательная операция включает в себя взлом облачного провайдера Microsoft для доступа к нижестоящим клиентам через скомпрометированные административные привилегии, что подчеркивает сложный характер их тактики перемещения внутри компании в облачных инфраструктурах.
-----

MURKY PANDA, связанный с Китаем злоумышленник, проявляет высокую активность с конца 2024 года, нацеливаясь на организации в различных секторах Северной Америки, включая правительство, технологии и профессиональные услуги. Этот противник известен своей способностью нарушать доверительные отношения в облачных средах, демонстрируя глубокое понимание облачной инфраструктуры и логики приложений. Их операции характеризуются быстрым внедрением уязвимостей "n-day" и "zero-day", в основном получающих первоначальный доступ за счет использования устройств, подключенных к Интернету.

MURKY PANDA использует Веб-шеллы, в частности оболочку Neo-reGeorg, во время своей деятельности по кибершпионажу. Они также использовали семейство малораспространенных вредоносных ПО под названием CloudedHope, что отражает их стремление к скрытности и закреплению в скомпрометированных средах. Операции этого противника в первую очередь продиктованы целями сбора разведывательной информации, и в прошлом он уже отфильтровывал конфиденциальные электронные письма и документы от высокопоставленных целей.

Одна из уникальных тактик MURKY PANDA заключается в перемещении внутри компании с помощью компромиссов в доверительных отношениях в облаке. Этот вектор атаки остается недостаточно отслеживаемым по сравнению с более распространенными стратегиями проникновения. Используя уязвимости в поставщиках программного обеспечения как услуги (SaaS) и облачных решений, MURKY PANDA продемонстрировала способность получать доступ к нижестоящим клиентам и поддерживать длительный необнаруженный доступ. Например, они успешно скомпрометировали SaaS-среды, используя уязвимости zero-day, что позволило им анализировать логику среды и облегчать перемещение внутри компании по клиентским базам.

Один из известных случаев был связан со взломом поставщика облачных решений Microsoft. В данном случае они использовали делегированные административные привилегии для облегчения доступа между клиентами. Эта сложность подчеркивает трудности, с которыми сталкиваются организации при мониторинге основных действий служб в облачных средах. Для противодействия этим угрозам организациям рекомендуется включить журналы действий Microsoft Graph, которые обеспечивают критически важную информацию о доступе участников к службе и задействованных ресурсах. К аномалиям в схемах входа в систему или несанкционированному доступу к непредвиденным ресурсам следует относиться с подозрением.

CrowdStrike рекомендует использовать возможности мониторинга и поиска угроз в инфраструктурах безопасности. Они подчеркивают важность тщательного изучения входов в систему основных пользователей сервиса и оценки отклонений от нормального поведения, поскольку они могут указывать на потенциальные вторжения или действия с использованием бэкдора. В целом, передовые операции MURKY PANDA's демонстрируют изощренность их угроз, используя редко отслеживаемые точки доступа и методы обфускации, чтобы избежать обнаружения и при этом достичь своих гнусных целей в облаке.

#ParsedReport #CompletenessMedium
23-08-2025

APT: Android, Phishing, microsofT

https://strikeready.com/blog/apt-android-phishing-microsoft/

Report completeness: Medium

Actors/Campaigns:
Unk_armydrive

Threats:
Aitm_technique
Rafel_rat

Victims:
Military personnel

Industry:
Government, Military

Geo:
Turkish, Bangladesh, Pakistan, Pakistani, Sri lanka, Nepal, Turkey, India, Asian, Saudi arabia, Turkiye, Italy

IOCs:
File: 9
Domain: 64
Hash: 23
Email: 4
Url: 2
Path: 6

Soft:
Android, discord, unix, Twitter, Securechat, whatsapp, gmail

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/pxb1988/dex2jar
https://github.com/swagkarna/Rafel-Rat/blob/e1d8c338209382c0ec9e5971a7d3291458e283da/BlackMart/app/src/main/java/com/velociraptor/raptor/InternalService.java#L257
have more...
https://github.com/StrikeReady-Inc/research/tree/main/2025-08-14%20APT%20android\_phish\_microsofT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Южноазиатская группа сложных целенаправленных атак нацелена на военных и оборонный персонал в Шри-Ланке, Бангладеш, Пакистане и Турции, используя передовые методы для взлома устройств Android. Их основным вектором атаки является фишинг, приводящий к загрузке вредоносных приложений, которые обеспечивают эксфильтрацию данных и слежку. Эта кампания демонстрирует их изощренное использование социальной инженерии и использование уязвимостей Android в шпионских целях.
-----

Южноазиатская группировка по сложной целенаправленной атаке (Сложная целенаправленная атака) активно нацеливалась на лиц, связанных с военными и оборонным сектором в Шри-Ланке, Бангладеш, Пакистане и Турции. Этот злоумышленник использует комбинацию сложных методов для компрометации мобильных устройств, в частности телефонов на базе Android. Инфраструктура группы и новые инструменты для работы с вредоносным ПО были разработаны для обхода мер безопасности и облегчения шпионских операций.

В качестве основного вектора атаки в рамках сложной целенаправленной атаки используется фишинг, направленный на то, чтобы заманить жертв к загрузке вредоносных приложений или переходу по вредоносным ссылкам, что в конечном итоге приводит к эксплуатации устройства. Как только устройство жертвы скомпрометировано, вредоносное ПО может выполнять различные вредоносные действия, включая эксфильтрацию данных и слежку, тем самым потенциально позволяя злоумышленнику собирать конфиденциальную информацию от правительственных и военных сотрудников.

Эта продолжающаяся кампания подчеркивает растущую изощренность угроз, нацеленных на мобильные платформы, особенно в регионах, представляющих стратегический геополитический интерес. Методы, применяемые в ходе сложной целенаправленной атаки, не только используют тактику социальной инженерии, но и используют уязвимости, характерные для операционной системы Android, что делает необходимым для организаций, связанных с оборонными секторами, усилить свои позиции в области кибербезопасности и внедрить более надежные защитные меры против таких целенаправленных атак.

#ParsedReport #CompletenessMedium
22-08-2025

FileFix The Evolved ClickFix

https://www.bridewell.com/insights/blogs/detail/filefix-the-evolved-clickfix

Report completeness: Medium

Actors/Campaigns:
Ta571
Ta569
Br-unc-011
Tag-124
Shadowsyndicate

Threats:
Filefix_technique
Clickfix_technique
Seo_poisoning_technique
Clearfake
Socgholish_loader
Fakecaptcha_technique
Kongtuke
Mintsloader
Ghostweaver
Stealc
Interlock
8base
Akira_ransomware
Blackcat
Rhysida

ChatGPT TTPs:
do not use without manual check
T1059.003, T1204, T1566

IOCs:
File: 11
Domain: 41
Command: 1
Url: 65
Registry: 2
Path: 1
IP: 4
Hash: 10

Soft:
Microsoft Defender, chrome, WordPress, trycloudflare

Algorithms:
sha256, base64

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года исследователь, известный как MrD0x, представил FileFix, вариант метода ClickFix, расширяющий первоначальный доступ для злоумышленников, используя адресную строку проводника для выполнения команд, таким образом избегая традиционных методов обнаружения, основанных на диалоге запуска Windows. Этот метод включает в себя социальную инженерию, требующую взаимодействия с пользователем для выполнения вредоносного кода, используемого такими группами, как TA571 и TA569. Появление FileFix отражает тенденцию злоумышленников адаптироваться к использованию обычных пользовательских взаимодействий, что требует повышения осведомленности пользователей о подозрительных действиях.
-----

В июне 2025 года исследователь, известный как MrD0x, представил новый вариант метода ClickFix под названием FileFix, который расширяет возможности первоначального доступа, используемые злоумышленниками. В отличие от традиционных атак ClickFix, использующих диалог запуска Windows, FileFix использует адресную строку проводника для выполнения команд, тем самым обходя методы обнаружения, которые основаны на диалоговом взаимодействии запуска.

ClickFix появился в 2024 году и стал излюбленным методом среди различных злоумышленников, включая группы TA571 и TA569, а также брокеров множественного первоначального доступа. Этот метод в значительной степени основан на социальной инженерии, требуя от пользователей вручную выполнять вредоносный код, следуя конкретным инструкциям, приведенным на веб-странице. Такое прямое взаимодействие с пользователями имеет важное значение для успеха атаки, позволяя злоумышленникам эффективно получать доступ к целевым системам.

Появление технологии FileFix подчеркивает эволюционирующий ландшафт киберугроз, когда злоумышленники адаптируют свои методы для использования обычных пользовательских взаимодействий в операционных системах. Это усовершенствование подчеркивает необходимость расширенного информирования пользователей о потенциальных киберугрозах и важность распознавания подозрительной активности, особенно связанной с выполнением команд через проводник файлов. Продолжающийся анализ действий FileFix указывает на растущую тенденцию среди киберпреступников оптимизировать свои стратегии получения первоначального доступа, подчеркивая необходимость постоянной бдительности и мер безопасности для противодействия таким развивающимся методам.