#ParsedReport #CompletenessLow
23-08-2025
The Expanding AI Attack Surface
https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed
Report completeness: Low
Threats:
Promptfix_technique
Fakecaptcha_technique
Clickfix_technique
Seo_poisoning_technique
Captchageddon_technique
Victims:
Consumers, Online shoppers, Bank customers, Ai browser users
Industry:
E-commerce, Financial
ChatGPT TTPs:
T1204.001, T1204.002, T1566.001, T1566.002, T1584.006, T1587.001, T1608.006, T1656
Soft:
OpenAI, ProtonMail
Platforms:
apple
23-08-2025
The Expanding AI Attack Surface
https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed
Report completeness: Low
Threats:
Promptfix_technique
Fakecaptcha_technique
Clickfix_technique
Seo_poisoning_technique
Captchageddon_technique
Victims:
Consumers, Online shoppers, Bank customers, Ai browser users
Industry:
E-commerce, Financial
ChatGPT TTPs:
do not use without manual checkT1204.001, T1204.002, T1566.001, T1566.002, T1584.006, T1587.001, T1608.006, T1656
Soft:
OpenAI, ProtonMail
Platforms:
apple
guard.io
"Scamlexity": When Agentic AI Browsers Get Scammed
We Put Agentic AI Browsers to the Test - They Clicked, They Paid, They Failed
CTT Report Hub
#ParsedReport #CompletenessLow 23-08-2025 The Expanding AI Attack Surface https://guard.io/labs/scamlexity-we-put-agentic-ai-browsers-to-the-test-they-clicked-they-paid-they-failed Report completeness: Low Threats: Promptfix_technique Fakecaptcha_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье обсуждаются возникающие угрозы, исходящие от векторов атак, ориентированных на искусственный интеллект, с особым акцентом на злонамеренное использование процессов принятия решений ИИ с помощью таких методов, как быстрое внедрение. Этот метод манипулирует искусственным интеллектом для выполнения вредоносных действий, создавая такие риски, как направление пользователей на мошеннические сайты или фишинг-аферы. Концепция "гибкости мошенничества" подчеркивает сложную природу этих мошенничеств по мере того, как системы искусственного интеллекта интегрируются в повседневные задачи, подчеркивая уязвимости, которые необходимо устранять в протоколах безопасности искусственного интеллекта.
-----
Исследование освещает возникающие угрозы, создаваемые векторами атак, ориентированными на искусственный интеллект, уделяя особое внимание тому, как вредоносные акторы используют процессы принятия решений как человеком, так и искусственным интеллектом. Традиционные мошенники полагаются на аналогичную тактику, которая годами использовала уязвимости человека, но уникальные характеристики систем искусственного интеллекта могут сделать их более восприимчивыми к этим атакам из-за отсутствия у них инстинктивного скептицизма. Модели искусственного интеллекта, такие как Copilot от Microsoft и Comet от Perplexity, подвержены риску применения методов быстрого внедрения, которые напрямую манипулируют их возможностями принятия решений.
Быстрое внедрение, известный метод атаки, предполагает внедрение скрытых инструкций в контент, обрабатываемый искусственным интеллектом, которые могут диктовать действия, которые могут быть вредоносными или несанкционированными. Проиллюстрирован пример такой атаки, когда браузер с искусственным интеллектом можно заставить перейти к мошенническому интернет-магазину или использовать фишингов электронные письма под видом подлинных банковских сообщений. Мошенники могут не только нацеливаться на множество людей, но и совершенствовать свои атаки, используя единую модель искусственного интеллекта, что позволяет использовать масштабируемый и изощренный метод обмана.
В тексте также подчеркивается концепция, называемая "Scamlexity", которая относится к сложности мошенничества, возникающего по мере того, как интерфейсы искусственного интеллекта становятся все более интегрированными в повседневную деятельность, от покупок до управления электронной почтой. По мере того как агенты искусственного интеллекта играют более активную роль в выполнении этих задач, присущие им уязвимости становятся критическими. Проблемы, связанные с этими уязвимостями, требуют внедрения надежных мер безопасности, специально разработанных для процессов принятия решений с использованием искусственного интеллекта, включая обнаружение фишинга, проверку репутации URL-адресов, оповещения о подмене домена и обнаружение поведенческих аномалий.
Таким образом, поскольку системы искусственного интеллекта все чаще справляются с функциями, традиционно выполняемыми людьми, возникает настоятельная необходимость в разработке протоколов безопасности для устранения уникальных уязвимостей, которые создают эти технологии, гарантируя, что искусственный интеллект сможет безопасно и эффективно выполнять задачи, для которых он предназначен.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье обсуждаются возникающие угрозы, исходящие от векторов атак, ориентированных на искусственный интеллект, с особым акцентом на злонамеренное использование процессов принятия решений ИИ с помощью таких методов, как быстрое внедрение. Этот метод манипулирует искусственным интеллектом для выполнения вредоносных действий, создавая такие риски, как направление пользователей на мошеннические сайты или фишинг-аферы. Концепция "гибкости мошенничества" подчеркивает сложную природу этих мошенничеств по мере того, как системы искусственного интеллекта интегрируются в повседневные задачи, подчеркивая уязвимости, которые необходимо устранять в протоколах безопасности искусственного интеллекта.
-----
Исследование освещает возникающие угрозы, создаваемые векторами атак, ориентированными на искусственный интеллект, уделяя особое внимание тому, как вредоносные акторы используют процессы принятия решений как человеком, так и искусственным интеллектом. Традиционные мошенники полагаются на аналогичную тактику, которая годами использовала уязвимости человека, но уникальные характеристики систем искусственного интеллекта могут сделать их более восприимчивыми к этим атакам из-за отсутствия у них инстинктивного скептицизма. Модели искусственного интеллекта, такие как Copilot от Microsoft и Comet от Perplexity, подвержены риску применения методов быстрого внедрения, которые напрямую манипулируют их возможностями принятия решений.
Быстрое внедрение, известный метод атаки, предполагает внедрение скрытых инструкций в контент, обрабатываемый искусственным интеллектом, которые могут диктовать действия, которые могут быть вредоносными или несанкционированными. Проиллюстрирован пример такой атаки, когда браузер с искусственным интеллектом можно заставить перейти к мошенническому интернет-магазину или использовать фишингов электронные письма под видом подлинных банковских сообщений. Мошенники могут не только нацеливаться на множество людей, но и совершенствовать свои атаки, используя единую модель искусственного интеллекта, что позволяет использовать масштабируемый и изощренный метод обмана.
В тексте также подчеркивается концепция, называемая "Scamlexity", которая относится к сложности мошенничества, возникающего по мере того, как интерфейсы искусственного интеллекта становятся все более интегрированными в повседневную деятельность, от покупок до управления электронной почтой. По мере того как агенты искусственного интеллекта играют более активную роль в выполнении этих задач, присущие им уязвимости становятся критическими. Проблемы, связанные с этими уязвимостями, требуют внедрения надежных мер безопасности, специально разработанных для процессов принятия решений с использованием искусственного интеллекта, включая обнаружение фишинга, проверку репутации URL-адресов, оповещения о подмене домена и обнаружение поведенческих аномалий.
Таким образом, поскольку системы искусственного интеллекта все чаще справляются с функциями, традиционно выполняемыми людьми, возникает настоятельная необходимость в разработке протоколов безопасности для устранения уникальных уязвимостей, которые создают эти технологии, гарантируя, что искусственный интеллект сможет безопасно и эффективно выполнять задачи, для которых он предназначен.
#ParsedReport #CompletenessMedium
21-08-2025
The Silent, Fileless Threat of VShell
https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/
Report completeness: Medium
Threats:
Vshell
Snowlight
Spear-phishing_technique
Victims:
Linux servers
Industry:
Military, Government, Iot
Geo:
Asia, Chinese
TTPs:
Tactics: 4
Technics: 11
IOCs:
File: 7
Hash: 7
IP: 1
Soft:
Linux, curl, Unix
Algorithms:
base64, xor
Functions:
recv, main, fexecve
Languages:
python
Platforms:
x86, x64, arm
21-08-2025
The Silent, Fileless Threat of VShell
https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/
Report completeness: Medium
Threats:
Vshell
Snowlight
Spear-phishing_technique
Victims:
Linux servers
Industry:
Military, Government, Iot
Geo:
Asia, Chinese
TTPs:
Tactics: 4
Technics: 11
IOCs:
File: 7
Hash: 7
IP: 1
Soft:
Linux, curl, Unix
Algorithms:
base64, xor
Functions:
recv, main, fexecve
Languages:
python
Platforms:
x86, x64, arm
Trellix
The Silent, Fileless Threat of VShell
Malicious filename in a RAR archive to silently trigger Bash commands and drop a memory-only Vshell backdoor
CTT Report Hub
#ParsedReport #CompletenessMedium 21-08-2025 The Silent, Fileless Threat of VShell https://www.trellix.com/blogs/research/the-silent-fileless-threat-of-vshell/ Report completeness: Medium Threats: Vshell Snowlight Spear-phishing_technique Victims: Linux…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО VShell представляет собой продвинутую угрозу, нацеленную на системы Linux, использующую уникальный способ доставки через спам-письма, содержащие файл .rar, замаскированный под обзор косметических средств. При выполнении скрипт Bash декодирует команду Base64, связанную со специально созданными именами файлов, которые невозможно создать вручную, намекая на участие внешнего инструмента. Последняя полезная нагрузка, бэкдор на базе Go, обеспечивает злоумышленникам обширный удаленный доступ, повышая риски для зараженных серверов, подчеркивая тревожную тенденцию в тактике вредоносного ПО для Linux.
-----
Вредоносное ПО VShell представляет собой сложную эволюцию угроз Linux, использующую уникальную технологию заражения, которая использует спам-рассылку по электронной почте для доставки архива .rar, содержащего Вредоносный файл. В отличие от типичных попыток фишинга, направленных на кражу учетных данных, эта стратегия, замаскированная под опрос о косметических товарах, предлагающий денежные поощрения, эффективно использует любопытство и доверие пользователей. Встроенный Bash-совместимый код во вредоносном имени файла остается бездействующим до тех пор, пока не произойдет определенное взаимодействие с оболочкой, обходящее традиционные меры безопасности.
Процесс заражения начинается, когда запускается скрипт Bash, который манипулирует именами файлов, содержащих встроенные команды. Первый этап включает в себя выполнение этого скриптового кода, который вычисляет имя файла и расшифровывает команду Base64, передаваемую в Bash. Дизайн этих имен файлов заслуживает внимания, поскольку они созданы для использования специальных символов таким образом, что их невозможно создать вручную через командную строку, что предполагает использование внешнего инструмента или языка для их создания.
После этого первоначального выполнения скрипт загрузки вредоносного ПО идентифицирует архитектуру системы — поддерживает x86, x64, ARM и ARM64 — и автоматически запускает загруженный двоичный файл ELF в нескольких резервных каталогах, не привлекая внимания. Этот этап имеет решающее значение, поскольку он закладывает основу для фактической доставки вредоносного ПО.
Конечная полезная нагрузка - это бэкдор VShell, вариант вредоносного ПО на основе Go, который в основном используется китайскими группами сложных целенаправленных атак на основе сложных целенаправленных атак. Он предоставляет широкие возможности удаленного доступа, позволяя злоумышленникам контролировать зараженные серверы Linux, которым профессионалы обычно доверяют из-за их стабильности и безопасности. VShell позволяет выполнять такие действия, как файловые операции и контроль после эксплуатации, что значительно увеличивает риск, связанный с этим вектором атаки.
Этот анализ подчеркивает тревожную тенденцию в методах доставки вредоносного ПО Linux, когда уязвимости для внедрения команд в циклы оболочки и разрешающую среду выполнения используются для запуска сложных операций вредоносного ПО. Эта операция не только иллюстрирует необходимость тщательного соблюдения правил безопасности в системах Linux, но и подчеркивает развивающиеся возможности злоумышленников, использующих, казалось бы, безобидные взаимодействия для запуска серьезных атак.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО VShell представляет собой продвинутую угрозу, нацеленную на системы Linux, использующую уникальный способ доставки через спам-письма, содержащие файл .rar, замаскированный под обзор косметических средств. При выполнении скрипт Bash декодирует команду Base64, связанную со специально созданными именами файлов, которые невозможно создать вручную, намекая на участие внешнего инструмента. Последняя полезная нагрузка, бэкдор на базе Go, обеспечивает злоумышленникам обширный удаленный доступ, повышая риски для зараженных серверов, подчеркивая тревожную тенденцию в тактике вредоносного ПО для Linux.
-----
Вредоносное ПО VShell представляет собой сложную эволюцию угроз Linux, использующую уникальную технологию заражения, которая использует спам-рассылку по электронной почте для доставки архива .rar, содержащего Вредоносный файл. В отличие от типичных попыток фишинга, направленных на кражу учетных данных, эта стратегия, замаскированная под опрос о косметических товарах, предлагающий денежные поощрения, эффективно использует любопытство и доверие пользователей. Встроенный Bash-совместимый код во вредоносном имени файла остается бездействующим до тех пор, пока не произойдет определенное взаимодействие с оболочкой, обходящее традиционные меры безопасности.
Процесс заражения начинается, когда запускается скрипт Bash, который манипулирует именами файлов, содержащих встроенные команды. Первый этап включает в себя выполнение этого скриптового кода, который вычисляет имя файла и расшифровывает команду Base64, передаваемую в Bash. Дизайн этих имен файлов заслуживает внимания, поскольку они созданы для использования специальных символов таким образом, что их невозможно создать вручную через командную строку, что предполагает использование внешнего инструмента или языка для их создания.
После этого первоначального выполнения скрипт загрузки вредоносного ПО идентифицирует архитектуру системы — поддерживает x86, x64, ARM и ARM64 — и автоматически запускает загруженный двоичный файл ELF в нескольких резервных каталогах, не привлекая внимания. Этот этап имеет решающее значение, поскольку он закладывает основу для фактической доставки вредоносного ПО.
Конечная полезная нагрузка - это бэкдор VShell, вариант вредоносного ПО на основе Go, который в основном используется китайскими группами сложных целенаправленных атак на основе сложных целенаправленных атак. Он предоставляет широкие возможности удаленного доступа, позволяя злоумышленникам контролировать зараженные серверы Linux, которым профессионалы обычно доверяют из-за их стабильности и безопасности. VShell позволяет выполнять такие действия, как файловые операции и контроль после эксплуатации, что значительно увеличивает риск, связанный с этим вектором атаки.
Этот анализ подчеркивает тревожную тенденцию в методах доставки вредоносного ПО Linux, когда уязвимости для внедрения команд в циклы оболочки и разрешающую среду выполнения используются для запуска сложных операций вредоносного ПО. Эта операция не только иллюстрирует необходимость тщательного соблюдения правил безопасности в системах Linux, но и подчеркивает развивающиеся возможности злоумышленников, использующих, казалось бы, безобидные взаимодействия для запуска серьезных атак.
#ParsedReport #CompletenessMedium
23-08-2025
APT-C-08 (Crane Spirit Flower) Organization's New Payload Revealed
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507312&idx=1&sn=9088d1146e263cf86bb240654dcac24f&chksm=f9c1ee79ceb6676f8b8f06a70b6f19caf3e6805ba23357944813eed078b3d39772ff4dd305c9&scene=178&cur_album_id=1955835290309230595&search_click_id
Report completeness: Medium
Actors/Campaigns:
Bitter
Blindeagle
Threats:
Spirit_tool
Wmrat
Orpcbackdoor
Miyarat
Gmrat
Victims:
Governments, Overseas institutions, Universities, Military industry
Industry:
Government, Education, Military
Geo:
Asia, Asian
IOCs:
File: 2
Hash: 3
Domain: 1
IP: 1
Algorithms:
md5
Win API:
MoveFileExW
Languages:
powershell
23-08-2025
APT-C-08 (Crane Spirit Flower) Organization's New Payload Revealed
https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507312&idx=1&sn=9088d1146e263cf86bb240654dcac24f&chksm=f9c1ee79ceb6676f8b8f06a70b6f19caf3e6805ba23357944813eed078b3d39772ff4dd305c9&scene=178&cur_album_id=1955835290309230595&search_click_id
Report completeness: Medium
Actors/Campaigns:
Bitter
Blindeagle
Threats:
Spirit_tool
Wmrat
Orpcbackdoor
Miyarat
Gmrat
Victims:
Governments, Overseas institutions, Universities, Military industry
Industry:
Government, Education, Military
Geo:
Asia, Asian
IOCs:
File: 2
Hash: 3
Domain: 1
IP: 1
Algorithms:
md5
Win API:
MoveFileExW
Languages:
powershell
CTT Report Hub
#ParsedReport #CompletenessMedium 23-08-2025 APT-C-08 (Crane Spirit Flower) Organization's New Payload Revealed https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507312&idx=1&sn=9088d1146e263cf86bb240654dcac24f&chksm=f9c1ee79ceb6676f8b8f06a70b6f…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-08, известный как Crane Spirit Flower, является злоумышленником, связанным с правительством Южной Азии, нацеленным на такие секторы, как правительство, научные круги и военные в Южной Азии. Недавно они внедрили новую пользовательскую полезную нагрузку вредоносного ПО, направленную на использование конкретных уязвимостей, продолжая использовать фишинг и непатентованные программные эксплойты. Их деятельность подчеркивает сохраняющиеся киберриски и эволюцию их тактики, подчеркивая необходимость проявлять бдительность среди потенциальных целей.
-----
APT-C-08, также известная как Crane Spirit Flower, является организацией, осуществляющей сложные целенаправленные атаки, связанной с правительством Южной Азии. Эта группа регулярно участвовала в сложных кибероперациях, нацеленных на различные секторы, включая правительственные учреждения, академические институты, военную промышленность и зарубежные организации по всей Южной Азии и соседним регионам. Непрерывное участие в этих сложных целенаправленных атаках демонстрирует их стратегическое намерение собирать разведданные или срывать операции в этих критически важных областях.
Недавние разоблачения указывают на то, что APT-C-08 разработала и внедрила новую полезную нагрузку, которая отражает их эволюционирующую тактику и постоянный ландшафт угроз. Такие полезные программы обычно содержат пользовательское вредоносное ПО, предназначенное для использования определенных уязвимостей в сетях выбранных ими целей. Хотя точные технические детали этого нового варианта вредоносного ПО не разглашаются, его разработка согласуется с историческим методом работы группы — предпочтение целенаправленным нарушениям, часто посредством фишингов-атак или использования незатронутых уязвимостей программного обеспечения.
Поскольку эта организация продолжает совершенствовать свои возможности, предвидение поведения такого вредоносного ПО становится критичным для потенциальных жертв. Организациям в Южной Азии и близлежащих регионах следует сохранять бдительность и внедрять надежные меры безопасности для противодействия этим развивающимся угрозам, обеспечивая исправление сетей и обучение сотрудников распознаванию потенциальных попыток фишинга. Учитывая репутацию APT-C-08's, ориентированной на крупные организации, ее деятельность служит напоминанием о сохраняющихся киберрисках, с которыми сталкиваются организации в различных секторах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT-C-08, известный как Crane Spirit Flower, является злоумышленником, связанным с правительством Южной Азии, нацеленным на такие секторы, как правительство, научные круги и военные в Южной Азии. Недавно они внедрили новую пользовательскую полезную нагрузку вредоносного ПО, направленную на использование конкретных уязвимостей, продолжая использовать фишинг и непатентованные программные эксплойты. Их деятельность подчеркивает сохраняющиеся киберриски и эволюцию их тактики, подчеркивая необходимость проявлять бдительность среди потенциальных целей.
-----
APT-C-08, также известная как Crane Spirit Flower, является организацией, осуществляющей сложные целенаправленные атаки, связанной с правительством Южной Азии. Эта группа регулярно участвовала в сложных кибероперациях, нацеленных на различные секторы, включая правительственные учреждения, академические институты, военную промышленность и зарубежные организации по всей Южной Азии и соседним регионам. Непрерывное участие в этих сложных целенаправленных атаках демонстрирует их стратегическое намерение собирать разведданные или срывать операции в этих критически важных областях.
Недавние разоблачения указывают на то, что APT-C-08 разработала и внедрила новую полезную нагрузку, которая отражает их эволюционирующую тактику и постоянный ландшафт угроз. Такие полезные программы обычно содержат пользовательское вредоносное ПО, предназначенное для использования определенных уязвимостей в сетях выбранных ими целей. Хотя точные технические детали этого нового варианта вредоносного ПО не разглашаются, его разработка согласуется с историческим методом работы группы — предпочтение целенаправленным нарушениям, часто посредством фишингов-атак или использования незатронутых уязвимостей программного обеспечения.
Поскольку эта организация продолжает совершенствовать свои возможности, предвидение поведения такого вредоносного ПО становится критичным для потенциальных жертв. Организациям в Южной Азии и близлежащих регионах следует сохранять бдительность и внедрять надежные меры безопасности для противодействия этим развивающимся угрозам, обеспечивая исправление сетей и обучение сотрудников распознаванию потенциальных попыток фишинга. Учитывая репутацию APT-C-08's, ориентированной на крупные организации, ее деятельность служит напоминанием о сохраняющихся киберрисках, с которыми сталкиваются организации в различных секторах.
#ParsedReport #CompletenessLow
23-08-2025
Phishing Emails Are Now Aimed at Users and AI Defenses
https://malwr-analysis.com/2025/08/24/phishing-emails-are-now-aimed-at-users-and-ai-defenses/
Report completeness: Low
Threats:
Credential_harvesting_technique
Victims:
Users, Ai defenses
Geo:
Pakistan, Asian
ChatGPT TTPs:
T1562, T1566
IOCs:
Url: 4
Domain: 3
Soft:
Gmail, ChatGPT, SendGrid, CryptoJS
Algorithms:
base64, aes-cbc
Languages:
javascript
23-08-2025
Phishing Emails Are Now Aimed at Users and AI Defenses
https://malwr-analysis.com/2025/08/24/phishing-emails-are-now-aimed-at-users-and-ai-defenses/
Report completeness: Low
Threats:
Credential_harvesting_technique
Victims:
Users, Ai defenses
Geo:
Pakistan, Asian
ChatGPT TTPs:
do not use without manual checkT1562, T1566
IOCs:
Url: 4
Domain: 3
Soft:
Gmail, ChatGPT, SendGrid, CryptoJS
Algorithms:
base64, aes-cbc
Languages:
javascript
Malware Analysis, Phishing, and Email Scams
Phishing Emails Are Now Aimed at Users and AI Defenses
Phishing has always been about deceiving people. But in this campaign, I discovered something new. The attackers weren’t only targeting users, they also attempted to manipulate AI-based defences. T…
CTT Report Hub
#ParsedReport #CompletenessLow 23-08-2025 Phishing Emails Are Now Aimed at Users and AI Defenses https://malwr-analysis.com/2025/08/24/phishing-emails-are-now-aimed-at-users-and-ai-defenses/ Report completeness: Low Threats: Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В последнее время тактика фишинга эволюционирует, нацеливаясь как на отдельных лиц, так и на механизмы безопасности на основе искусственного интеллекта, демонстрируя возросшую изощренность злоумышленников. Теперь злоумышленники создают электронные письма, предназначенные для обхода алгоритмов машинного обучения, используя методы запутывания, такие как орфографические ошибки и вводящие в заблуждение URL-адреса, чтобы обойти автоматическую защиту. Этот сдвиг указывает на то, что злоумышленники становятся все более искусными в использовании слабых мест как в человеческой, так и в алгоритмической защите, что создает проблемы для традиционных методов обнаружения в области кибербезопасности.
-----
Недавние разработки в тактике фишинга перешли от простого обмана отдельных лиц к использованию механизмов безопасности, основанных на Искусственном интеллекте (ИИ). Этот двойной подход подчеркивает растущую изощренность злоумышленников, которые используют социальную инженерию не только для использования уязвимостей человека, но и для обхода автоматизированных средств защиты, которые полагаются на алгоритмы машинного обучения для обнаружения попыток фишинга.
В этих новых кампаниях по фишингу злоумышленники создают электронные письма, предназначенные для обмана как пользователей, так и систем искусственного интеллекта. Они используют методы, направленные на имитацию законных сообщений, чтобы избежать обнаружения фильтрами безопасности. Например, они могут использовать стратегии запутывания — такие как орфографические ошибки, необычные символы или вводящие в заблуждение URL—адреса - чтобы сбить с толку как пользователей, так и искусственный интеллект, используемый для идентификации вредоносного контента. Эта манипуляция подчеркивает необходимость усовершенствованных методов обнаружения с помощью искусственного интеллекта, которые могут лучше распознавать закономерности и аномалии, не становясь жертвой этой тактики.
Кроме того, эти кампании по фишингу отражают стратегическую эволюцию, когда злоумышленники все больше осведомлены о средствах защиты, используемых организациями. По мере того как меры безопасности, основанные на искусственном интеллекте, становятся все более распространенными, злоумышленники адаптируют свои стратегии, чтобы использовать слабые места не только в человеческом познании, но и в алгоритмах, направленных на защиту пользователей. Это представляет серьезную проблему для специалистов по кибербезопасности, поскольку обычные методы обнаружения могут стать менее эффективными против противников, использующих специальную тактику, разработанную для обхода передовых средств защиты.
Таким образом, новая волна кампаний по фишингу характеризуется инновационной стратегией, которая атакует как пользователей, так и их защитные системы искусственного интеллекта, что требует переоценки текущей тактики борьбы с фишингом и возможностей обнаружения искусственного интеллекта. Организации должны повысить уровень своей безопасности, интегрируя передовые методы обнаружения и обучающие программы, которые готовят пользователей к распознаванию этих сложных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В последнее время тактика фишинга эволюционирует, нацеливаясь как на отдельных лиц, так и на механизмы безопасности на основе искусственного интеллекта, демонстрируя возросшую изощренность злоумышленников. Теперь злоумышленники создают электронные письма, предназначенные для обхода алгоритмов машинного обучения, используя методы запутывания, такие как орфографические ошибки и вводящие в заблуждение URL-адреса, чтобы обойти автоматическую защиту. Этот сдвиг указывает на то, что злоумышленники становятся все более искусными в использовании слабых мест как в человеческой, так и в алгоритмической защите, что создает проблемы для традиционных методов обнаружения в области кибербезопасности.
-----
Недавние разработки в тактике фишинга перешли от простого обмана отдельных лиц к использованию механизмов безопасности, основанных на Искусственном интеллекте (ИИ). Этот двойной подход подчеркивает растущую изощренность злоумышленников, которые используют социальную инженерию не только для использования уязвимостей человека, но и для обхода автоматизированных средств защиты, которые полагаются на алгоритмы машинного обучения для обнаружения попыток фишинга.
В этих новых кампаниях по фишингу злоумышленники создают электронные письма, предназначенные для обмана как пользователей, так и систем искусственного интеллекта. Они используют методы, направленные на имитацию законных сообщений, чтобы избежать обнаружения фильтрами безопасности. Например, они могут использовать стратегии запутывания — такие как орфографические ошибки, необычные символы или вводящие в заблуждение URL—адреса - чтобы сбить с толку как пользователей, так и искусственный интеллект, используемый для идентификации вредоносного контента. Эта манипуляция подчеркивает необходимость усовершенствованных методов обнаружения с помощью искусственного интеллекта, которые могут лучше распознавать закономерности и аномалии, не становясь жертвой этой тактики.
Кроме того, эти кампании по фишингу отражают стратегическую эволюцию, когда злоумышленники все больше осведомлены о средствах защиты, используемых организациями. По мере того как меры безопасности, основанные на искусственном интеллекте, становятся все более распространенными, злоумышленники адаптируют свои стратегии, чтобы использовать слабые места не только в человеческом познании, но и в алгоритмах, направленных на защиту пользователей. Это представляет серьезную проблему для специалистов по кибербезопасности, поскольку обычные методы обнаружения могут стать менее эффективными против противников, использующих специальную тактику, разработанную для обхода передовых средств защиты.
Таким образом, новая волна кампаний по фишингу характеризуется инновационной стратегией, которая атакует как пользователей, так и их защитные системы искусственного интеллекта, что требует переоценки текущей тактики борьбы с фишингом и возможностей обнаружения искусственного интеллекта. Организации должны повысить уровень своей безопасности, интегрируя передовые методы обнаружения и обучающие программы, которые готовят пользователей к распознаванию этих сложных угроз.
#ParsedReport #CompletenessMedium
22-08-2025
Android Document Readers and Deception: Tracking the Latest Updates to Anatsa
https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa
Report completeness: Medium
Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot
Victims:
Financial institutions, Cryptocurrency platforms, Android users
Industry:
Financial
Geo:
Korea, Germany
ChatGPT TTPs:
T1027, T1056, T1406, T1418, T1555, T1622, T1647
IOCs:
Url: 9
Hash: 4
Soft:
Android, Google Play
Algorithms:
xor, zip, des
Languages:
java
22-08-2025
Android Document Readers and Deception: Tracking the Latest Updates to Anatsa
https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa
Report completeness: Medium
Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot
Victims:
Financial institutions, Cryptocurrency platforms, Android users
Industry:
Financial
Geo:
Korea, Germany
ChatGPT TTPs:
do not use without manual checkT1027, T1056, T1406, T1418, T1555, T1622, T1647
IOCs:
Url: 9
Hash: 4
Soft:
Android, Google Play
Algorithms:
xor, zip, des
Languages:
java
Zscaler
Anatsa’s Latest Updates | ThreatLabz
This analysis explores the latest updates to the Anatsa Android malware family.
CTT Report Hub
#ParsedReport #CompletenessMedium 22-08-2025 Android Document Readers and Deception: Tracking the Latest Updates to Anatsa https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Anatsa, или TeaBot, - это развивающийся банковский троян для Android, который расширил список своих целей до более чем 831 финансового учреждения, включив в него новые страны и криптовалютные платформы. В последнем варианте используется прямая установка полезной нагрузки, минуя динамическую загрузку DEX, и предусмотрены расширенные меры защиты от анализа, включая расшифровку во время выполнения и проверку устройства, чтобы избежать обнаружения. Наряду с этим, в Google Play Store было выявлено в общей сложности 77 вредоносных приложений, что указывает на растущую тенденцию распространения вредоносного ПО через легальные платформы.
-----
Anatsa, также известный как TeaBot, - это банковский троян для Android, который был впервые обнаружен в 2020 году и продолжает представлять значительную угрозу для пользователей финансовых приложений. Первоначально ориентированный примерно на 650 финансовых учреждений, последний вариант Anatsa расширил свой таргетинг на более чем 831 финансовую организацию, включая недавно добавленные страны, такие как Германия и Южная Корея, а также различные криптовалютные платформы. Это вредоносное ПО печально известно своими возможностями, которые включают в себя кражу учетных данных пользователей, Регистрацию нажатий клавиш и содействие мошенническим транзакциям.
Недавняя версия Anatsa внесла заметные изменения в методы заражения и доставки полезной нагрузки. В отличие от своих предшественников, эта версия использует упрощенный процесс установки полезной нагрузки, обходя динамическую загрузку кода удаленных форматов исполняемых файлов Dalvik (DEX) в пользу прямой установки полезной нагрузки. Кроме того, Anatsa использует сложные методы антианализа, включая расшифровку строк во время выполнения с использованием динамически генерируемого ключа стандарта шифрования данных (DES). Эта тактика повышает его устойчивость к инструментам статического анализа, усложняя попытки проанализировать его поведение.
Более того, Anatsa укрепила свои стратегии уклонения, внедрив проверки эмуляции и модели устройств, чтобы помешать работе сред динамического анализа. Эти достижения свидетельствуют о согласованных усилиях разработчиков вредоносного ПО, направленных на то, чтобы избежать обнаружения и поддерживать закрепление на зараженных устройствах.
Одновременно с появлением Anatsa ThreatLabZ от Zscaler выявил в общей сложности 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store. Это подчеркивает тревожную тенденцию, связанную с использованием законных платформ злоумышленниками для эффективного распространения вредоносного ПО.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Anatsa, или TeaBot, - это развивающийся банковский троян для Android, который расширил список своих целей до более чем 831 финансового учреждения, включив в него новые страны и криптовалютные платформы. В последнем варианте используется прямая установка полезной нагрузки, минуя динамическую загрузку DEX, и предусмотрены расширенные меры защиты от анализа, включая расшифровку во время выполнения и проверку устройства, чтобы избежать обнаружения. Наряду с этим, в Google Play Store было выявлено в общей сложности 77 вредоносных приложений, что указывает на растущую тенденцию распространения вредоносного ПО через легальные платформы.
-----
Anatsa, также известный как TeaBot, - это банковский троян для Android, который был впервые обнаружен в 2020 году и продолжает представлять значительную угрозу для пользователей финансовых приложений. Первоначально ориентированный примерно на 650 финансовых учреждений, последний вариант Anatsa расширил свой таргетинг на более чем 831 финансовую организацию, включая недавно добавленные страны, такие как Германия и Южная Корея, а также различные криптовалютные платформы. Это вредоносное ПО печально известно своими возможностями, которые включают в себя кражу учетных данных пользователей, Регистрацию нажатий клавиш и содействие мошенническим транзакциям.
Недавняя версия Anatsa внесла заметные изменения в методы заражения и доставки полезной нагрузки. В отличие от своих предшественников, эта версия использует упрощенный процесс установки полезной нагрузки, обходя динамическую загрузку кода удаленных форматов исполняемых файлов Dalvik (DEX) в пользу прямой установки полезной нагрузки. Кроме того, Anatsa использует сложные методы антианализа, включая расшифровку строк во время выполнения с использованием динамически генерируемого ключа стандарта шифрования данных (DES). Эта тактика повышает его устойчивость к инструментам статического анализа, усложняя попытки проанализировать его поведение.
Более того, Anatsa укрепила свои стратегии уклонения, внедрив проверки эмуляции и модели устройств, чтобы помешать работе сред динамического анализа. Эти достижения свидетельствуют о согласованных усилиях разработчиков вредоносного ПО, направленных на то, чтобы избежать обнаружения и поддерживать закрепление на зараженных устройствах.
Одновременно с появлением Anatsa ThreatLabZ от Zscaler выявил в общей сложности 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store. Это подчеркивает тревожную тенденцию, связанную с использованием законных платформ злоумышленниками для эффективного распространения вредоносного ПО.
#ParsedReport #CompletenessMedium
21-08-2025
Hunting for Malware Networks
https://dti.domaintools.com/hunting-for-malware-networks/
Report completeness: Medium
Threats:
Lumma_stealer
Amadey
Deerstealer
Redline_stealer
Rugmi
Blackbasta
Darkgate
Industry:
Energy, Telco
Geo:
Ukrainian, Ukraine
ChatGPT TTPs:
T1059.001, T1071.001, T1105, T1583.004, T1583.006
IOCs:
IP: 4
Domain: 38
File: 2
Hash: 3
Url: 15
Algorithms:
sha256
Languages:
powershell
21-08-2025
Hunting for Malware Networks
https://dti.domaintools.com/hunting-for-malware-networks/
Report completeness: Medium
Threats:
Lumma_stealer
Amadey
Deerstealer
Redline_stealer
Rugmi
Blackbasta
Darkgate
Industry:
Energy, Telco
Geo:
Ukrainian, Ukraine
ChatGPT TTPs:
do not use without manual checkT1059.001, T1071.001, T1105, T1583.004, T1583.006
IOCs:
IP: 4
Domain: 38
File: 2
Hash: 3
Url: 15
Algorithms:
sha256
Languages:
powershell
DomainTools Investigations | DTI
Hunting for Malware Networks - DomainTools Investigations | DTI
Hunting for new malware delivery infrastructure often entails the identification and tracking of common techniques to deliver various stages of malware. See what our researchers stumbled upon.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-08-2025 Hunting for Malware Networks https://dti.domaintools.com/hunting-for-malware-networks/ Report completeness: Medium Threats: Lumma_stealer Amadey Deerstealer Redline_stealer Rugmi Blackbasta Darkgate Industry:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ показывает, что поставщики вредоносного ПО как услуги все чаще используют размещенные скрипты PowerShell для облегчения многоэтапного развертывания вредоносного ПО. Несмотря на действия правоохранительных органов против LummaStealer, он сохраняется в экосистеме киберпреступников, часто распространяясь через пуленепробиваемые хостинговые сервисы, в частности, привязанный к определенным IP-адресам C2. Продолжающаяся зависимость от известных семейств вредоносных ПО, таких как LummaStealer, отражает способность злоумышленников адаптироваться к попыткам нарушить их работу.
-----
Недавний анализ методов доставки вредоносного ПО выявляет текущие проблемы в выявлении и отслеживании новой инфраструктуры вредоносного ПО. Заметная тенденция среди поставщиков вредоносного ПО как услуги включает использование размещенных сценариев PowerShell, которые служат ссылками для последующей загрузки и выполнения вредоносного ПО. Этот метод демонстрирует изощренность, которую используют злоумышленники для облегчения многоэтапного развертывания вредоносного ПО.
Несмотря на усилия правоохранительных органов, включая значительное удаление LummaStealer в мае 2025 года, семейство вредоносных ПО продолжает проявлять постоянную активность, оставаясь предпочтительным выбором среди киберпреступников. В частности, LummaStealer часто развертывается с помощью пуленепробиваемых служб хостинга, которые обеспечивают устойчивую инфраструктуру для вредоносных операций. Расследование IP—адресов Command and Control (C2), а именно 185.156.72.96 и 185.156.72.2 — оба связаны с AS61432, предположительно функционирующим как пуленепробиваемый хостинг-сервис - выявляет продолжение операций LummaStealer.
Кроме того, хотя в июне были признаки экспериментов с альтернативным вредоносным ПО, данные свидетельствуют о том, что эти попытки не оказали существенного воздействия на распространенность LummaStealer, который остается укоренившимся в ландшафте угроз. Это подчеркивает адаптивность и закрепление злоумышленников, использующих известные семейства вредоносных ПО, несмотря на попытки нарушить их работу. Анализ показывает, что инфраструктура LummaStealer's и методы доставки по-прежнему активно используются, что отражает продолжающуюся эволюцию киберугроз и сложности, связанные с борьбой с ними.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавний анализ показывает, что поставщики вредоносного ПО как услуги все чаще используют размещенные скрипты PowerShell для облегчения многоэтапного развертывания вредоносного ПО. Несмотря на действия правоохранительных органов против LummaStealer, он сохраняется в экосистеме киберпреступников, часто распространяясь через пуленепробиваемые хостинговые сервисы, в частности, привязанный к определенным IP-адресам C2. Продолжающаяся зависимость от известных семейств вредоносных ПО, таких как LummaStealer, отражает способность злоумышленников адаптироваться к попыткам нарушить их работу.
-----
Недавний анализ методов доставки вредоносного ПО выявляет текущие проблемы в выявлении и отслеживании новой инфраструктуры вредоносного ПО. Заметная тенденция среди поставщиков вредоносного ПО как услуги включает использование размещенных сценариев PowerShell, которые служат ссылками для последующей загрузки и выполнения вредоносного ПО. Этот метод демонстрирует изощренность, которую используют злоумышленники для облегчения многоэтапного развертывания вредоносного ПО.
Несмотря на усилия правоохранительных органов, включая значительное удаление LummaStealer в мае 2025 года, семейство вредоносных ПО продолжает проявлять постоянную активность, оставаясь предпочтительным выбором среди киберпреступников. В частности, LummaStealer часто развертывается с помощью пуленепробиваемых служб хостинга, которые обеспечивают устойчивую инфраструктуру для вредоносных операций. Расследование IP—адресов Command and Control (C2), а именно 185.156.72.96 и 185.156.72.2 — оба связаны с AS61432, предположительно функционирующим как пуленепробиваемый хостинг-сервис - выявляет продолжение операций LummaStealer.
Кроме того, хотя в июне были признаки экспериментов с альтернативным вредоносным ПО, данные свидетельствуют о том, что эти попытки не оказали существенного воздействия на распространенность LummaStealer, который остается укоренившимся в ландшафте угроз. Это подчеркивает адаптивность и закрепление злоумышленников, использующих известные семейства вредоносных ПО, несмотря на попытки нарушить их работу. Анализ показывает, что инфраструктура LummaStealer's и методы доставки по-прежнему активно используются, что отражает продолжающуюся эволюцию киберугроз и сложности, связанные с борьбой с ними.
#ParsedReport #CompletenessLow
25-08-2025
Warlock ransomware: Opportunistic campaigns with strategic implications
https://fieldeffect.com/blog/warlock-ransomware
Report completeness: Low
Actors/Campaigns:
Warlock
Storm-2603
Threats:
X2anylock
Lockbit
Toolshell_vuln
Blackbasta
Victims:
Telecommunications
Industry:
Telco, Financial, E-commerce, Government
Geo:
China, Chinese
Soft:
Microsoft SharePoint
Languages:
javascript
25-08-2025
Warlock ransomware: Opportunistic campaigns with strategic implications
https://fieldeffect.com/blog/warlock-ransomware
Report completeness: Low
Actors/Campaigns:
Warlock
Storm-2603
Threats:
X2anylock
Lockbit
Toolshell_vuln
Blackbasta
Victims:
Telecommunications
Industry:
Telco, Financial, E-commerce, Government
Geo:
China, Chinese
Soft:
Microsoft SharePoint
Languages:
javascript
Fieldeffect
Warlock ransomware: Opportunistic campaigns with strategic implications
Warlock, a newly emerged ransomware family, is at the center of a high-impact cyberattack campaign affecting the victim's operations across 40 countries.