#ParsedReport #ExtractedSchema

Classified images:
schema: 5, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Белорусский злоумышленник UAC-0057 занимается кибершпионажем, нацеленным на Украину и Польшу, используя тактику spearphishing и дезинформации. В их кампаниях используются сжатые архивные файлы и создаются документы-приманки для обмана целей, используя встроенную библиотеку DLL на C# и вариант, написанный на C++, для эксфильтрации данных и обмена данными C2. Инфраструктура обеих стран демонстрирует сходство: серверы C2 замаскированы, чтобы казаться законными, что усложняет обнаружение, и используют макро-эксплойты в XLS-файлах для дополнительного вторжения.
-----

Злоумышленник UAC-0057, связанный с белорусскими интересами, продолжает свою кампанию кибершпионажа, нацеленную на Украину и Польшу. Их тактика в первую очередь связана с использованием дезинформации и методов spearphishing. В ходе недавнего расследования были выявлены сжатые архивные файлы, которые, вероятно, были направлены украинским организациям в период с конца мая 2025 года по июль 2025 года. Хотя способ доставки остается неподтвержденным, есть подозрение, что эти архивы были распространены с помощью spearphishing электронных писем, либо в виде вложений, либо по ссылкам.

Вредоносное ПО, используемое в этих кампаниях, включает в себя имплантат первой стадии - библиотеку DLL на C#, написанную для постоянного закрепления на скомпрометированных системах. Этот имплантат, запутанный с помощью ConfuserEx, предназначен для сбора системной информации, передачи ее на сервер командования и контроля (C2) и периодического запроса дополнительных вредоносных полезных нагрузок. Злоумышленники использовали поддельные документы, напоминающие законные сообщения Министерства цифровой трансформации Украины, чтобы повысить вероятность успеха в своих попытках фишинга.

Параллельно деятельность UAC-0057's в Польше в апреле и мае 2025 года продемонстрировала использование аналогичных методов, но с вариантом имплантата первой стадии, написанным на C++. Эти имплантаты также собирают системную информацию и взаимодействуют с серверами C2 для эксфильтрации данных. Было отмечено заметное совпадение в инфраструктуре, используемой как для украинской, так и для польской кампаний, что указывает на скоординированные операции. Серверы C2 размещены в доменах со структурами, имитирующими законные веб-сайты, иногда скрытыми с помощью сервисов Cloudflare, что еще больше усложняет усилия по обнаружению.

В арсенале злоумышленника также есть XLS-файлы, содержащие эксплойты на основе макросов, частично замаскированные с помощью таких инструментов, как MacroPack. Кроме того, в некоторых случаях коммуникации C2 выполняются по каналам Slack, при этом злоумышленник использует модели бесплатной подписки, чтобы сохранить анонимность и избежать обнаружения.

#ParsedReport #CompletenessLow
23-08-2025

MURKY PANDA: A Trusted-Relationship Threat in the Cloud

https://www.crowdstrike.com/en-us/blog/murky-panda-trusted-relationship-threat-in-cloud/

Report completeness: Low

Actors/Campaigns:
Hafnium (motivation: cyber_espionage)
Volt_typhoon

Threats:
Neo-regeorg_tool
Cloudedhope
Garble_tool

Victims:
Government, Technology, Academic, Legal, Professional services, Saas providers, Cloud solution providers

Industry:
Education, Government

Geo:
China, America

CVEs:
CVE-2023-3519 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.297, <13.0-91.13, <13.1-37.159, <13.1-49.13)
- citrix netscaler_gateway (<13.0-91.13, <13.1-49.13)


ChatGPT TTPs:
do not use without manual check
T1190, T1199, T1505.003

Soft:
Outlook, Citrix NetScaler ADC

Languages:
golang

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MURKY PANDA, связанный с Китаем злоумышленник, с конца 2024 года активно атакует различные секторы в Северной Америке, специализируясь на компрометации доверительных отношений в облачных средах и использовании уязвимостей n-day и zero-day для первоначального доступа через устройства, подключенные к Интернету. В их операциях используются Веб-шеллы, в частности оболочка Neo-reGeorg, и малораспространенное вредоносное ПО под названием CloudedHope, нацеленное на скрытность и закрепление. Примечательная операция включает в себя взлом облачного провайдера Microsoft для доступа к нижестоящим клиентам через скомпрометированные административные привилегии, что подчеркивает сложный характер их тактики перемещения внутри компании в облачных инфраструктурах.
-----

MURKY PANDA, связанный с Китаем злоумышленник, проявляет высокую активность с конца 2024 года, нацеливаясь на организации в различных секторах Северной Америки, включая правительство, технологии и профессиональные услуги. Этот противник известен своей способностью нарушать доверительные отношения в облачных средах, демонстрируя глубокое понимание облачной инфраструктуры и логики приложений. Их операции характеризуются быстрым внедрением уязвимостей "n-day" и "zero-day", в основном получающих первоначальный доступ за счет использования устройств, подключенных к Интернету.

MURKY PANDA использует Веб-шеллы, в частности оболочку Neo-reGeorg, во время своей деятельности по кибершпионажу. Они также использовали семейство малораспространенных вредоносных ПО под названием CloudedHope, что отражает их стремление к скрытности и закреплению в скомпрометированных средах. Операции этого противника в первую очередь продиктованы целями сбора разведывательной информации, и в прошлом он уже отфильтровывал конфиденциальные электронные письма и документы от высокопоставленных целей.

Одна из уникальных тактик MURKY PANDA заключается в перемещении внутри компании с помощью компромиссов в доверительных отношениях в облаке. Этот вектор атаки остается недостаточно отслеживаемым по сравнению с более распространенными стратегиями проникновения. Используя уязвимости в поставщиках программного обеспечения как услуги (SaaS) и облачных решений, MURKY PANDA продемонстрировала способность получать доступ к нижестоящим клиентам и поддерживать длительный необнаруженный доступ. Например, они успешно скомпрометировали SaaS-среды, используя уязвимости zero-day, что позволило им анализировать логику среды и облегчать перемещение внутри компании по клиентским базам.

Один из известных случаев был связан со взломом поставщика облачных решений Microsoft. В данном случае они использовали делегированные административные привилегии для облегчения доступа между клиентами. Эта сложность подчеркивает трудности, с которыми сталкиваются организации при мониторинге основных действий служб в облачных средах. Для противодействия этим угрозам организациям рекомендуется включить журналы действий Microsoft Graph, которые обеспечивают критически важную информацию о доступе участников к службе и задействованных ресурсах. К аномалиям в схемах входа в систему или несанкционированному доступу к непредвиденным ресурсам следует относиться с подозрением.

CrowdStrike рекомендует использовать возможности мониторинга и поиска угроз в инфраструктурах безопасности. Они подчеркивают важность тщательного изучения входов в систему основных пользователей сервиса и оценки отклонений от нормального поведения, поскольку они могут указывать на потенциальные вторжения или действия с использованием бэкдора. В целом, передовые операции MURKY PANDA's демонстрируют изощренность их угроз, используя редко отслеживаемые точки доступа и методы обфускации, чтобы избежать обнаружения и при этом достичь своих гнусных целей в облаке.

#ParsedReport #CompletenessMedium
23-08-2025

APT: Android, Phishing, microsofT

https://strikeready.com/blog/apt-android-phishing-microsoft/

Report completeness: Medium

Actors/Campaigns:
Unk_armydrive

Threats:
Aitm_technique
Rafel_rat

Victims:
Military personnel

Industry:
Government, Military

Geo:
Turkish, Bangladesh, Pakistan, Pakistani, Sri lanka, Nepal, Turkey, India, Asian, Saudi arabia, Turkiye, Italy

IOCs:
File: 9
Domain: 64
Hash: 23
Email: 4
Url: 2
Path: 6

Soft:
Android, discord, unix, Twitter, Securechat, whatsapp, gmail

Algorithms:
zip

Languages:
javascript

Links:
https://github.com/pxb1988/dex2jar
https://github.com/swagkarna/Rafel-Rat/blob/e1d8c338209382c0ec9e5971a7d3291458e283da/BlackMart/app/src/main/java/com/velociraptor/raptor/InternalService.java#L257
have more...
https://github.com/StrikeReady-Inc/research/tree/main/2025-08-14%20APT%20android\_phish\_microsofT

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Южноазиатская группа сложных целенаправленных атак нацелена на военных и оборонный персонал в Шри-Ланке, Бангладеш, Пакистане и Турции, используя передовые методы для взлома устройств Android. Их основным вектором атаки является фишинг, приводящий к загрузке вредоносных приложений, которые обеспечивают эксфильтрацию данных и слежку. Эта кампания демонстрирует их изощренное использование социальной инженерии и использование уязвимостей Android в шпионских целях.
-----

Южноазиатская группировка по сложной целенаправленной атаке (Сложная целенаправленная атака) активно нацеливалась на лиц, связанных с военными и оборонным сектором в Шри-Ланке, Бангладеш, Пакистане и Турции. Этот злоумышленник использует комбинацию сложных методов для компрометации мобильных устройств, в частности телефонов на базе Android. Инфраструктура группы и новые инструменты для работы с вредоносным ПО были разработаны для обхода мер безопасности и облегчения шпионских операций.

В качестве основного вектора атаки в рамках сложной целенаправленной атаки используется фишинг, направленный на то, чтобы заманить жертв к загрузке вредоносных приложений или переходу по вредоносным ссылкам, что в конечном итоге приводит к эксплуатации устройства. Как только устройство жертвы скомпрометировано, вредоносное ПО может выполнять различные вредоносные действия, включая эксфильтрацию данных и слежку, тем самым потенциально позволяя злоумышленнику собирать конфиденциальную информацию от правительственных и военных сотрудников.

Эта продолжающаяся кампания подчеркивает растущую изощренность угроз, нацеленных на мобильные платформы, особенно в регионах, представляющих стратегический геополитический интерес. Методы, применяемые в ходе сложной целенаправленной атаки, не только используют тактику социальной инженерии, но и используют уязвимости, характерные для операционной системы Android, что делает необходимым для организаций, связанных с оборонными секторами, усилить свои позиции в области кибербезопасности и внедрить более надежные защитные меры против таких целенаправленных атак.

#ParsedReport #CompletenessMedium
22-08-2025

FileFix The Evolved ClickFix

https://www.bridewell.com/insights/blogs/detail/filefix-the-evolved-clickfix

Report completeness: Medium

Actors/Campaigns:
Ta571
Ta569
Br-unc-011
Tag-124
Shadowsyndicate

Threats:
Filefix_technique
Clickfix_technique
Seo_poisoning_technique
Clearfake
Socgholish_loader
Fakecaptcha_technique
Kongtuke
Mintsloader
Ghostweaver
Stealc
Interlock
8base
Akira_ransomware
Blackcat
Rhysida

ChatGPT TTPs:
do not use without manual check
T1059.003, T1204, T1566

IOCs:
File: 11
Domain: 41
Command: 1
Url: 65
Registry: 2
Path: 1
IP: 4
Hash: 10

Soft:
Microsoft Defender, chrome, WordPress, trycloudflare

Algorithms:
sha256, base64

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года исследователь, известный как MrD0x, представил FileFix, вариант метода ClickFix, расширяющий первоначальный доступ для злоумышленников, используя адресную строку проводника для выполнения команд, таким образом избегая традиционных методов обнаружения, основанных на диалоге запуска Windows. Этот метод включает в себя социальную инженерию, требующую взаимодействия с пользователем для выполнения вредоносного кода, используемого такими группами, как TA571 и TA569. Появление FileFix отражает тенденцию злоумышленников адаптироваться к использованию обычных пользовательских взаимодействий, что требует повышения осведомленности пользователей о подозрительных действиях.
-----

В июне 2025 года исследователь, известный как MrD0x, представил новый вариант метода ClickFix под названием FileFix, который расширяет возможности первоначального доступа, используемые злоумышленниками. В отличие от традиционных атак ClickFix, использующих диалог запуска Windows, FileFix использует адресную строку проводника для выполнения команд, тем самым обходя методы обнаружения, которые основаны на диалоговом взаимодействии запуска.

ClickFix появился в 2024 году и стал излюбленным методом среди различных злоумышленников, включая группы TA571 и TA569, а также брокеров множественного первоначального доступа. Этот метод в значительной степени основан на социальной инженерии, требуя от пользователей вручную выполнять вредоносный код, следуя конкретным инструкциям, приведенным на веб-странице. Такое прямое взаимодействие с пользователями имеет важное значение для успеха атаки, позволяя злоумышленникам эффективно получать доступ к целевым системам.

Появление технологии FileFix подчеркивает эволюционирующий ландшафт киберугроз, когда злоумышленники адаптируют свои методы для использования обычных пользовательских взаимодействий в операционных системах. Это усовершенствование подчеркивает необходимость расширенного информирования пользователей о потенциальных киберугрозах и важность распознавания подозрительной активности, особенно связанной с выполнением команд через проводник файлов. Продолжающийся анализ действий FileFix указывает на растущую тенденцию среди киберпреступников оптимизировать свои стратегии получения первоначального доступа, подчеркивая необходимость постоянной бдительности и мер безопасности для противодействия таким развивающимся методам.

#ParsedReport #CompletenessLow
23-08-2025

A new, cheaper Mac stealer is quickly spreading on the dark web

https://moonlock.com/new-mac-stealer-spreading

Report completeness: Low

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Amos_stealer
Traffer_technique

Victims:
Apple users, Mac users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566

IOCs:
File: 2
Domain: 1

Soft:
macOS, Ledger Live, Google Chrome, Chrome

Wallets:
trezor, metamask, electrum, coinomi, wassabi

Crypto:
binance, monero

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonlock Lab выявила новый похититель macOS под названием Mac.c, который продается в даркнете за ежемесячную абонентскую плату в размере 1500 долларов и обладает ключевыми функциями, такими как компонент фишинга для кошельков Trezor. Злоумышленник, известный как mentalpositive, поделился подробностями о разработке вредоносного ПО, выявив его сходство с AMOS stealer в кодировании и функциях. Mac.c инициирует атаки с помощью фишинга с целью компрометации пользователей и в первую очередь нацелен на кражу криптовалютных активов.
-----

Недавнее расследование, проведенное Moonlock Lab, выявило появление нового похитителя компьютеров Mac, известного как Mac.c, который быстро набирает популярность в даркнете. Это вредоносное ПО можно приобрести по подписке за 1500 долларов в месяц, дополнительные функции оплачиваются отдельно; например, компонент для фишинга, нацеленный на кошельки Trezor, доступен за единовременную плату в размере 1000 долларов. Такая цена значительно ниже, чем у его предшественника, AMOS, что подчеркивает новую конкурентную среду среди Stealer.

Разработка Mac.c была особенно прозрачной: злоумышленник, известный как mentalpositive, делился информацией о кодировании и усовершенствованиях вредоносного ПО в режиме онлайн. Аналитики отметили, что Mac.c имеет значительное сходство с AMOS, причем большая часть его кода практически идентична. Несмотря на то, что его называют урезанной версией, сохраняются вопросы относительно его эффективности и общих возможностей по сравнению с AMOS.

С точки зрения жертвы, работа Mac.c начинается с атаки фишинга, когда пользователи непреднамеренно загружают вредоносные файлы или переходят по Вредоносным ссылкам во время просмотра. После активации вредоносное ПО может имитировать игру, чтобы обманом заставить пользователей предоставить необходимые разрешения для ее эффективной работы. Основной целью Mac.c является ориентация на цифровую валюту, активное использование финансовых активов энтузиастов криптовалюты.

Появление Mac.c также вызывает опасения по поводу потенциальной борьбы за власть в экосистеме даркнета, поскольку различные злоумышленники и группы программ-вымогателей соперничают за доминирование. Что отличает этот экземпляр от других, так это не просто техническое функционирование Mac.c, но и его последствия для безопасности macOS, которая когда-то считалась очень устойчивой к подобным угрозам. В связи с ростом числа кибератак, нацеленных на устройства Apple, пользователи должны сохранять бдительность и принимать превентивные меры для защиты своей информации и активов от этих возникающих угроз.

#ParsedReport #CompletenessLow
23-08-2025

The Masked Man in Cyber Attacks: Analysis of the DupeDog Software Framework

https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247510770&idx=1&sn=04157e348efd8561bf452fa29a4b97c5&poc_token=HOyeqWij6BF6JyuCOP40ZTmTmX7hSDYz_kzweynI

Report completeness: Low

Threats:
Dupedog
Viper

Victims:
Multiple sectors

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036, T1041, T1071.001, T1105, T1204.002, T1486, T1566.001, T1573.001, have more...

IOCs:
File: 16
Path: 2
Hash: 12

Algorithms:
gzip, md5, base64, aes-128-cbc, aes-cbc

Functions:
getServerConfig, getTaskTypeConfig

Win API:
GetCurrentDirectory, SystemParametersInfoW

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DupeDog - это многофункциональная платформа для разработки вредоносного ПО, написанная на Golang, способная к удаленному доступу и функциям программ-вымогателей, обычно замаскированных под безобидные файлы. Он использует фишинг для распространения и использует Viper для управления конфигурацией, обработки сжатых ресурсов YAML для сетевых операций и шифрования. Заслуживающая внимания тактика уклонения включает отключение проверки сертификата, изменение сетевых заголовков и использование AES-128-CBC для шифрования, при этом компонент программы-вымогателя в настоящее время находится в стадии разработки.
-----

Программный фреймворк DupeDog, идентифицированный командой Tencent Cloud Security Threat Intelligence Team, представляет собой сложный класс многофункционального вредоносного ПО, написанного преимущественно на Golang. Замаскированная под доброкачественные файлы, такие как "резюме" и "видео с ошибкой", вредоносная ПО использует тактику фишинга для распространения. Его конструкция показывает, что он работает с двойными возможностями: удаленным доступом и функциями программ-вымогателей. Фреймворк, в частности, назван DupeDog из-за повторяющегося использования термина "DupeDog" в различных названиях функций, что подчеркивает его архитектуру.

Управление конфигурацией в DupeDog облегчается с помощью Viper, который обрабатывает ввод и извлечение сжатых в gzip ресурсов YAML, интегрированных в двоичный файл. Это включает в себя важный конфигурационный файл ("assets/application.yml"), который загружается в глобальные переменные и используется для управления сетевыми подключениями, протоколами шифрования и задачами выполнения.

Что касается сетевого взаимодействия, DupeDog использует настройку, которая включает отключение проверки сертификата и реализацию определенных тайм-аутов для HTTP-запросов, подчеркивая тактику уклонения фреймворка от стандартных методов анализа. Параметры конфигурации, относящиеся к взаимодействиям командования и контроля (C2), извлекаются с помощью Viper, детализируя различные конечные точки и рабочие настройки. Кроме того, вредоносное ПО предназначено для запутывания сетевого трафика, изменяя заголовки, такие как Referer, User-Agent и Cookie, чтобы уменьшить вероятность обнаружения.

Механизмы шифрования, используемые как для связи, так и для функций программ-вымогателей, основаны на AES-128-CBC. Во время шифрования фреймворк извлекает криптографический ключ, обеспечивая его соответствие необходимой длине (16 байт) путем либо заполнения, либо усечения ключа. Затем данные шифруются и впоследствии передаются в формате Base64. Процедуры расшифровки поддерживают согласованную структуру, что позволяет ит-отделу точно интерпретировать входящие задачи с сервера.

Функциональность, связанная с компонентом программы-вымогателя, все еще находится в разработке, а записка о выкупе оформлена в минималистичном стиле. Этот аспект намекает на потенциальные будущие усовершенствования его вредоносных возможностей, подчеркивая акцент на запугивании пользователей путем включения фиксированных языковых шаблонов в коммуникации. В целом, платформа DupeDog демонстрирует продвинутый дизайн вредоносного ПО с убедительными методологиями обхода, шифрования и операционной функциональности.

#ParsedReport #CompletenessLow
23-08-2025

The Expanding AI Attack Surface

https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed

Report completeness: Low

Threats:
Promptfix_technique
Fakecaptcha_technique
Clickfix_technique
Seo_poisoning_technique
Captchageddon_technique

Victims:
Consumers, Online shoppers, Bank customers, Ai browser users

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1566.001, T1566.002, T1584.006, T1587.001, T1608.006, T1656

Soft:
OpenAI, ProtonMail

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4