#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Южноазиатская группа сложных целенаправленных атак нацелена на военных и оборонный персонал в Шри-Ланке, Бангладеш, Пакистане и Турции, используя передовые методы для взлома устройств Android. Их основным вектором атаки является фишинг, приводящий к загрузке вредоносных приложений, которые обеспечивают эксфильтрацию данных и слежку. Эта кампания демонстрирует их изощренное использование социальной инженерии и использование уязвимостей Android в шпионских целях.
-----

Южноазиатская группировка по сложной целенаправленной атаке (Сложная целенаправленная атака) активно нацеливалась на лиц, связанных с военными и оборонным сектором в Шри-Ланке, Бангладеш, Пакистане и Турции. Этот злоумышленник использует комбинацию сложных методов для компрометации мобильных устройств, в частности телефонов на базе Android. Инфраструктура группы и новые инструменты для работы с вредоносным ПО были разработаны для обхода мер безопасности и облегчения шпионских операций.

В качестве основного вектора атаки в рамках сложной целенаправленной атаки используется фишинг, направленный на то, чтобы заманить жертв к загрузке вредоносных приложений или переходу по вредоносным ссылкам, что в конечном итоге приводит к эксплуатации устройства. Как только устройство жертвы скомпрометировано, вредоносное ПО может выполнять различные вредоносные действия, включая эксфильтрацию данных и слежку, тем самым потенциально позволяя злоумышленнику собирать конфиденциальную информацию от правительственных и военных сотрудников.

Эта продолжающаяся кампания подчеркивает растущую изощренность угроз, нацеленных на мобильные платформы, особенно в регионах, представляющих стратегический геополитический интерес. Методы, применяемые в ходе сложной целенаправленной атаки, не только используют тактику социальной инженерии, но и используют уязвимости, характерные для операционной системы Android, что делает необходимым для организаций, связанных с оборонными секторами, усилить свои позиции в области кибербезопасности и внедрить более надежные защитные меры против таких целенаправленных атак.

#ParsedReport #CompletenessMedium
22-08-2025

FileFix The Evolved ClickFix

https://www.bridewell.com/insights/blogs/detail/filefix-the-evolved-clickfix

Report completeness: Medium

Actors/Campaigns:
Ta571
Ta569
Br-unc-011
Tag-124
Shadowsyndicate

Threats:
Filefix_technique
Clickfix_technique
Seo_poisoning_technique
Clearfake
Socgholish_loader
Fakecaptcha_technique
Kongtuke
Mintsloader
Ghostweaver
Stealc
Interlock
8base
Akira_ransomware
Blackcat
Rhysida

ChatGPT TTPs:
do not use without manual check
T1059.003, T1204, T1566

IOCs:
File: 11
Domain: 41
Command: 1
Url: 65
Registry: 2
Path: 1
IP: 4
Hash: 10

Soft:
Microsoft Defender, chrome, WordPress, trycloudflare

Algorithms:
sha256, base64

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июне 2025 года исследователь, известный как MrD0x, представил FileFix, вариант метода ClickFix, расширяющий первоначальный доступ для злоумышленников, используя адресную строку проводника для выполнения команд, таким образом избегая традиционных методов обнаружения, основанных на диалоге запуска Windows. Этот метод включает в себя социальную инженерию, требующую взаимодействия с пользователем для выполнения вредоносного кода, используемого такими группами, как TA571 и TA569. Появление FileFix отражает тенденцию злоумышленников адаптироваться к использованию обычных пользовательских взаимодействий, что требует повышения осведомленности пользователей о подозрительных действиях.
-----

В июне 2025 года исследователь, известный как MrD0x, представил новый вариант метода ClickFix под названием FileFix, который расширяет возможности первоначального доступа, используемые злоумышленниками. В отличие от традиционных атак ClickFix, использующих диалог запуска Windows, FileFix использует адресную строку проводника для выполнения команд, тем самым обходя методы обнаружения, которые основаны на диалоговом взаимодействии запуска.

ClickFix появился в 2024 году и стал излюбленным методом среди различных злоумышленников, включая группы TA571 и TA569, а также брокеров множественного первоначального доступа. Этот метод в значительной степени основан на социальной инженерии, требуя от пользователей вручную выполнять вредоносный код, следуя конкретным инструкциям, приведенным на веб-странице. Такое прямое взаимодействие с пользователями имеет важное значение для успеха атаки, позволяя злоумышленникам эффективно получать доступ к целевым системам.

Появление технологии FileFix подчеркивает эволюционирующий ландшафт киберугроз, когда злоумышленники адаптируют свои методы для использования обычных пользовательских взаимодействий в операционных системах. Это усовершенствование подчеркивает необходимость расширенного информирования пользователей о потенциальных киберугрозах и важность распознавания подозрительной активности, особенно связанной с выполнением команд через проводник файлов. Продолжающийся анализ действий FileFix указывает на растущую тенденцию среди киберпреступников оптимизировать свои стратегии получения первоначального доступа, подчеркивая необходимость постоянной бдительности и мер безопасности для противодействия таким развивающимся методам.

#ParsedReport #CompletenessLow
23-08-2025

A new, cheaper Mac stealer is quickly spreading on the dark web

https://moonlock.com/new-mac-stealer-spreading

Report completeness: Low

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Amos_stealer
Traffer_technique

Victims:
Apple users, Mac users, Cryptocurrency users

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566

IOCs:
File: 2
Domain: 1

Soft:
macOS, Ledger Live, Google Chrome, Chrome

Wallets:
trezor, metamask, electrum, coinomi, wassabi

Crypto:
binance, monero

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Moonlock Lab выявила новый похититель macOS под названием Mac.c, который продается в даркнете за ежемесячную абонентскую плату в размере 1500 долларов и обладает ключевыми функциями, такими как компонент фишинга для кошельков Trezor. Злоумышленник, известный как mentalpositive, поделился подробностями о разработке вредоносного ПО, выявив его сходство с AMOS stealer в кодировании и функциях. Mac.c инициирует атаки с помощью фишинга с целью компрометации пользователей и в первую очередь нацелен на кражу криптовалютных активов.
-----

Недавнее расследование, проведенное Moonlock Lab, выявило появление нового похитителя компьютеров Mac, известного как Mac.c, который быстро набирает популярность в даркнете. Это вредоносное ПО можно приобрести по подписке за 1500 долларов в месяц, дополнительные функции оплачиваются отдельно; например, компонент для фишинга, нацеленный на кошельки Trezor, доступен за единовременную плату в размере 1000 долларов. Такая цена значительно ниже, чем у его предшественника, AMOS, что подчеркивает новую конкурентную среду среди Stealer.

Разработка Mac.c была особенно прозрачной: злоумышленник, известный как mentalpositive, делился информацией о кодировании и усовершенствованиях вредоносного ПО в режиме онлайн. Аналитики отметили, что Mac.c имеет значительное сходство с AMOS, причем большая часть его кода практически идентична. Несмотря на то, что его называют урезанной версией, сохраняются вопросы относительно его эффективности и общих возможностей по сравнению с AMOS.

С точки зрения жертвы, работа Mac.c начинается с атаки фишинга, когда пользователи непреднамеренно загружают вредоносные файлы или переходят по Вредоносным ссылкам во время просмотра. После активации вредоносное ПО может имитировать игру, чтобы обманом заставить пользователей предоставить необходимые разрешения для ее эффективной работы. Основной целью Mac.c является ориентация на цифровую валюту, активное использование финансовых активов энтузиастов криптовалюты.

Появление Mac.c также вызывает опасения по поводу потенциальной борьбы за власть в экосистеме даркнета, поскольку различные злоумышленники и группы программ-вымогателей соперничают за доминирование. Что отличает этот экземпляр от других, так это не просто техническое функционирование Mac.c, но и его последствия для безопасности macOS, которая когда-то считалась очень устойчивой к подобным угрозам. В связи с ростом числа кибератак, нацеленных на устройства Apple, пользователи должны сохранять бдительность и принимать превентивные меры для защиты своей информации и активов от этих возникающих угроз.

#ParsedReport #CompletenessLow
23-08-2025

The Masked Man in Cyber Attacks: Analysis of the DupeDog Software Framework

https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247510770&idx=1&sn=04157e348efd8561bf452fa29a4b97c5&poc_token=HOyeqWij6BF6JyuCOP40ZTmTmX7hSDYz_kzweynI

Report completeness: Low

Threats:
Dupedog
Viper

Victims:
Multiple sectors

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.009, T1036, T1041, T1071.001, T1105, T1204.002, T1486, T1566.001, T1573.001, have more...

IOCs:
File: 16
Path: 2
Hash: 12

Algorithms:
gzip, md5, base64, aes-128-cbc, aes-cbc

Functions:
getServerConfig, getTaskTypeConfig

Win API:
GetCurrentDirectory, SystemParametersInfoW

Languages:
golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DupeDog - это многофункциональная платформа для разработки вредоносного ПО, написанная на Golang, способная к удаленному доступу и функциям программ-вымогателей, обычно замаскированных под безобидные файлы. Он использует фишинг для распространения и использует Viper для управления конфигурацией, обработки сжатых ресурсов YAML для сетевых операций и шифрования. Заслуживающая внимания тактика уклонения включает отключение проверки сертификата, изменение сетевых заголовков и использование AES-128-CBC для шифрования, при этом компонент программы-вымогателя в настоящее время находится в стадии разработки.
-----

Программный фреймворк DupeDog, идентифицированный командой Tencent Cloud Security Threat Intelligence Team, представляет собой сложный класс многофункционального вредоносного ПО, написанного преимущественно на Golang. Замаскированная под доброкачественные файлы, такие как "резюме" и "видео с ошибкой", вредоносная ПО использует тактику фишинга для распространения. Его конструкция показывает, что он работает с двойными возможностями: удаленным доступом и функциями программ-вымогателей. Фреймворк, в частности, назван DupeDog из-за повторяющегося использования термина "DupeDog" в различных названиях функций, что подчеркивает его архитектуру.

Управление конфигурацией в DupeDog облегчается с помощью Viper, который обрабатывает ввод и извлечение сжатых в gzip ресурсов YAML, интегрированных в двоичный файл. Это включает в себя важный конфигурационный файл ("assets/application.yml"), который загружается в глобальные переменные и используется для управления сетевыми подключениями, протоколами шифрования и задачами выполнения.

Что касается сетевого взаимодействия, DupeDog использует настройку, которая включает отключение проверки сертификата и реализацию определенных тайм-аутов для HTTP-запросов, подчеркивая тактику уклонения фреймворка от стандартных методов анализа. Параметры конфигурации, относящиеся к взаимодействиям командования и контроля (C2), извлекаются с помощью Viper, детализируя различные конечные точки и рабочие настройки. Кроме того, вредоносное ПО предназначено для запутывания сетевого трафика, изменяя заголовки, такие как Referer, User-Agent и Cookie, чтобы уменьшить вероятность обнаружения.

Механизмы шифрования, используемые как для связи, так и для функций программ-вымогателей, основаны на AES-128-CBC. Во время шифрования фреймворк извлекает криптографический ключ, обеспечивая его соответствие необходимой длине (16 байт) путем либо заполнения, либо усечения ключа. Затем данные шифруются и впоследствии передаются в формате Base64. Процедуры расшифровки поддерживают согласованную структуру, что позволяет ит-отделу точно интерпретировать входящие задачи с сервера.

Функциональность, связанная с компонентом программы-вымогателя, все еще находится в разработке, а записка о выкупе оформлена в минималистичном стиле. Этот аспект намекает на потенциальные будущие усовершенствования его вредоносных возможностей, подчеркивая акцент на запугивании пользователей путем включения фиксированных языковых шаблонов в коммуникации. В целом, платформа DupeDog демонстрирует продвинутый дизайн вредоносного ПО с убедительными методологиями обхода, шифрования и операционной функциональности.

#ParsedReport #CompletenessLow
23-08-2025

The Expanding AI Attack Surface

https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed

Report completeness: Low

Threats:
Promptfix_technique
Fakecaptcha_technique
Clickfix_technique
Seo_poisoning_technique
Captchageddon_technique

Victims:
Consumers, Online shoppers, Bank customers, Ai browser users

Industry:
E-commerce, Financial

ChatGPT TTPs:
do not use without manual check
T1204.001, T1204.002, T1566.001, T1566.002, T1584.006, T1587.001, T1608.006, T1656

Soft:
OpenAI, ProtonMail

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье обсуждаются возникающие угрозы, исходящие от векторов атак, ориентированных на искусственный интеллект, с особым акцентом на злонамеренное использование процессов принятия решений ИИ с помощью таких методов, как быстрое внедрение. Этот метод манипулирует искусственным интеллектом для выполнения вредоносных действий, создавая такие риски, как направление пользователей на мошеннические сайты или фишинг-аферы. Концепция "гибкости мошенничества" подчеркивает сложную природу этих мошенничеств по мере того, как системы искусственного интеллекта интегрируются в повседневные задачи, подчеркивая уязвимости, которые необходимо устранять в протоколах безопасности искусственного интеллекта.
-----

Исследование освещает возникающие угрозы, создаваемые векторами атак, ориентированными на искусственный интеллект, уделяя особое внимание тому, как вредоносные акторы используют процессы принятия решений как человеком, так и искусственным интеллектом. Традиционные мошенники полагаются на аналогичную тактику, которая годами использовала уязвимости человека, но уникальные характеристики систем искусственного интеллекта могут сделать их более восприимчивыми к этим атакам из-за отсутствия у них инстинктивного скептицизма. Модели искусственного интеллекта, такие как Copilot от Microsoft и Comet от Perplexity, подвержены риску применения методов быстрого внедрения, которые напрямую манипулируют их возможностями принятия решений.

Быстрое внедрение, известный метод атаки, предполагает внедрение скрытых инструкций в контент, обрабатываемый искусственным интеллектом, которые могут диктовать действия, которые могут быть вредоносными или несанкционированными. Проиллюстрирован пример такой атаки, когда браузер с искусственным интеллектом можно заставить перейти к мошенническому интернет-магазину или использовать фишингов электронные письма под видом подлинных банковских сообщений. Мошенники могут не только нацеливаться на множество людей, но и совершенствовать свои атаки, используя единую модель искусственного интеллекта, что позволяет использовать масштабируемый и изощренный метод обмана.

В тексте также подчеркивается концепция, называемая "Scamlexity", которая относится к сложности мошенничества, возникающего по мере того, как интерфейсы искусственного интеллекта становятся все более интегрированными в повседневную деятельность, от покупок до управления электронной почтой. По мере того как агенты искусственного интеллекта играют более активную роль в выполнении этих задач, присущие им уязвимости становятся критическими. Проблемы, связанные с этими уязвимостями, требуют внедрения надежных мер безопасности, специально разработанных для процессов принятия решений с использованием искусственного интеллекта, включая обнаружение фишинга, проверку репутации URL-адресов, оповещения о подмене домена и обнаружение поведенческих аномалий.

Таким образом, поскольку системы искусственного интеллекта все чаще справляются с функциями, традиционно выполняемыми людьми, возникает настоятельная необходимость в разработке протоколов безопасности для устранения уникальных уязвимостей, которые создают эти технологии, гарантируя, что искусственный интеллект сможет безопасно и эффективно выполнять задачи, для которых он предназначен.

#ParsedReport #CompletenessMedium
21-08-2025

The Silent, Fileless Threat of VShell

https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/

Report completeness: Medium

Threats:
Vshell
Snowlight
Spear-phishing_technique

Victims:
Linux servers

Industry:
Military, Government, Iot

Geo:
Asia, Chinese

TTPs:
Tactics: 4
Technics: 11

IOCs:
File: 7
Hash: 7
IP: 1

Soft:
Linux, curl, Unix

Algorithms:
base64, xor

Functions:
recv, main, fexecve

Languages:
python

Platforms:
x86, x64, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО VShell представляет собой продвинутую угрозу, нацеленную на системы Linux, использующую уникальный способ доставки через спам-письма, содержащие файл .rar, замаскированный под обзор косметических средств. При выполнении скрипт Bash декодирует команду Base64, связанную со специально созданными именами файлов, которые невозможно создать вручную, намекая на участие внешнего инструмента. Последняя полезная нагрузка, бэкдор на базе Go, обеспечивает злоумышленникам обширный удаленный доступ, повышая риски для зараженных серверов, подчеркивая тревожную тенденцию в тактике вредоносного ПО для Linux.
-----

Вредоносное ПО VShell представляет собой сложную эволюцию угроз Linux, использующую уникальную технологию заражения, которая использует спам-рассылку по электронной почте для доставки архива .rar, содержащего Вредоносный файл. В отличие от типичных попыток фишинга, направленных на кражу учетных данных, эта стратегия, замаскированная под опрос о косметических товарах, предлагающий денежные поощрения, эффективно использует любопытство и доверие пользователей. Встроенный Bash-совместимый код во вредоносном имени файла остается бездействующим до тех пор, пока не произойдет определенное взаимодействие с оболочкой, обходящее традиционные меры безопасности.

Процесс заражения начинается, когда запускается скрипт Bash, который манипулирует именами файлов, содержащих встроенные команды. Первый этап включает в себя выполнение этого скриптового кода, который вычисляет имя файла и расшифровывает команду Base64, передаваемую в Bash. Дизайн этих имен файлов заслуживает внимания, поскольку они созданы для использования специальных символов таким образом, что их невозможно создать вручную через командную строку, что предполагает использование внешнего инструмента или языка для их создания.

После этого первоначального выполнения скрипт загрузки вредоносного ПО идентифицирует архитектуру системы — поддерживает x86, x64, ARM и ARM64 — и автоматически запускает загруженный двоичный файл ELF в нескольких резервных каталогах, не привлекая внимания. Этот этап имеет решающее значение, поскольку он закладывает основу для фактической доставки вредоносного ПО.

Конечная полезная нагрузка - это бэкдор VShell, вариант вредоносного ПО на основе Go, который в основном используется китайскими группами сложных целенаправленных атак на основе сложных целенаправленных атак. Он предоставляет широкие возможности удаленного доступа, позволяя злоумышленникам контролировать зараженные серверы Linux, которым профессионалы обычно доверяют из-за их стабильности и безопасности. VShell позволяет выполнять такие действия, как файловые операции и контроль после эксплуатации, что значительно увеличивает риск, связанный с этим вектором атаки.

Этот анализ подчеркивает тревожную тенденцию в методах доставки вредоносного ПО Linux, когда уязвимости для внедрения команд в циклы оболочки и разрешающую среду выполнения используются для запуска сложных операций вредоносного ПО. Эта операция не только иллюстрирует необходимость тщательного соблюдения правил безопасности в системах Linux, но и подчеркивает развивающиеся возможности злоумышленников, использующих, казалось бы, безобидные взаимодействия для запуска серьезных атак.

#ParsedReport #CompletenessMedium
23-08-2025

APT-C-08 (Crane Spirit Flower) Organization's New Payload Revealed

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507312&idx=1&sn=9088d1146e263cf86bb240654dcac24f&chksm=f9c1ee79ceb6676f8b8f06a70b6f19caf3e6805ba23357944813eed078b3d39772ff4dd305c9&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Bitter
Blindeagle

Threats:
Spirit_tool
Wmrat
Orpcbackdoor
Miyarat
Gmrat

Victims:
Governments, Overseas institutions, Universities, Military industry

Industry:
Government, Education, Military

Geo:
Asia, Asian

IOCs:
File: 2
Hash: 3
Domain: 1
IP: 1

Algorithms:
md5

Win API:
MoveFileExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, известный как Crane Spirit Flower, является злоумышленником, связанным с правительством Южной Азии, нацеленным на такие секторы, как правительство, научные круги и военные в Южной Азии. Недавно они внедрили новую пользовательскую полезную нагрузку вредоносного ПО, направленную на использование конкретных уязвимостей, продолжая использовать фишинг и непатентованные программные эксплойты. Их деятельность подчеркивает сохраняющиеся киберриски и эволюцию их тактики, подчеркивая необходимость проявлять бдительность среди потенциальных целей.
-----

APT-C-08, также известная как Crane Spirit Flower, является организацией, осуществляющей сложные целенаправленные атаки, связанной с правительством Южной Азии. Эта группа регулярно участвовала в сложных кибероперациях, нацеленных на различные секторы, включая правительственные учреждения, академические институты, военную промышленность и зарубежные организации по всей Южной Азии и соседним регионам. Непрерывное участие в этих сложных целенаправленных атаках демонстрирует их стратегическое намерение собирать разведданные или срывать операции в этих критически важных областях.

Недавние разоблачения указывают на то, что APT-C-08 разработала и внедрила новую полезную нагрузку, которая отражает их эволюционирующую тактику и постоянный ландшафт угроз. Такие полезные программы обычно содержат пользовательское вредоносное ПО, предназначенное для использования определенных уязвимостей в сетях выбранных ими целей. Хотя точные технические детали этого нового варианта вредоносного ПО не разглашаются, его разработка согласуется с историческим методом работы группы — предпочтение целенаправленным нарушениям, часто посредством фишингов-атак или использования незатронутых уязвимостей программного обеспечения.

Поскольку эта организация продолжает совершенствовать свои возможности, предвидение поведения такого вредоносного ПО становится критичным для потенциальных жертв. Организациям в Южной Азии и близлежащих регионах следует сохранять бдительность и внедрять надежные меры безопасности для противодействия этим развивающимся угрозам, обеспечивая исправление сетей и обучение сотрудников распознаванию потенциальных попыток фишинга. Учитывая репутацию APT-C-08's, ориентированной на крупные организации, ее деятельность служит напоминанием о сохраняющихся киберрисках, с которыми сталкиваются организации в различных секторах.