#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО VShell представляет собой продвинутую угрозу, нацеленную на системы Linux, использующую уникальный способ доставки через спам-письма, содержащие файл .rar, замаскированный под обзор косметических средств. При выполнении скрипт Bash декодирует команду Base64, связанную со специально созданными именами файлов, которые невозможно создать вручную, намекая на участие внешнего инструмента. Последняя полезная нагрузка, бэкдор на базе Go, обеспечивает злоумышленникам обширный удаленный доступ, повышая риски для зараженных серверов, подчеркивая тревожную тенденцию в тактике вредоносного ПО для Linux.
-----

Вредоносное ПО VShell представляет собой сложную эволюцию угроз Linux, использующую уникальную технологию заражения, которая использует спам-рассылку по электронной почте для доставки архива .rar, содержащего Вредоносный файл. В отличие от типичных попыток фишинга, направленных на кражу учетных данных, эта стратегия, замаскированная под опрос о косметических товарах, предлагающий денежные поощрения, эффективно использует любопытство и доверие пользователей. Встроенный Bash-совместимый код во вредоносном имени файла остается бездействующим до тех пор, пока не произойдет определенное взаимодействие с оболочкой, обходящее традиционные меры безопасности.

Процесс заражения начинается, когда запускается скрипт Bash, который манипулирует именами файлов, содержащих встроенные команды. Первый этап включает в себя выполнение этого скриптового кода, который вычисляет имя файла и расшифровывает команду Base64, передаваемую в Bash. Дизайн этих имен файлов заслуживает внимания, поскольку они созданы для использования специальных символов таким образом, что их невозможно создать вручную через командную строку, что предполагает использование внешнего инструмента или языка для их создания.

После этого первоначального выполнения скрипт загрузки вредоносного ПО идентифицирует архитектуру системы — поддерживает x86, x64, ARM и ARM64 — и автоматически запускает загруженный двоичный файл ELF в нескольких резервных каталогах, не привлекая внимания. Этот этап имеет решающее значение, поскольку он закладывает основу для фактической доставки вредоносного ПО.

Конечная полезная нагрузка - это бэкдор VShell, вариант вредоносного ПО на основе Go, который в основном используется китайскими группами сложных целенаправленных атак на основе сложных целенаправленных атак. Он предоставляет широкие возможности удаленного доступа, позволяя злоумышленникам контролировать зараженные серверы Linux, которым профессионалы обычно доверяют из-за их стабильности и безопасности. VShell позволяет выполнять такие действия, как файловые операции и контроль после эксплуатации, что значительно увеличивает риск, связанный с этим вектором атаки.

Этот анализ подчеркивает тревожную тенденцию в методах доставки вредоносного ПО Linux, когда уязвимости для внедрения команд в циклы оболочки и разрешающую среду выполнения используются для запуска сложных операций вредоносного ПО. Эта операция не только иллюстрирует необходимость тщательного соблюдения правил безопасности в системах Linux, но и подчеркивает развивающиеся возможности злоумышленников, использующих, казалось бы, безобидные взаимодействия для запуска серьезных атак.

#ParsedReport #CompletenessMedium
23-08-2025

APT-C-08 (Crane Spirit Flower) Organization's New Payload Revealed

https://mp.weixin.qq.com/s?__biz=MzUyMjk4NzExMA==&mid=2247507312&idx=1&sn=9088d1146e263cf86bb240654dcac24f&chksm=f9c1ee79ceb6676f8b8f06a70b6f19caf3e6805ba23357944813eed078b3d39772ff4dd305c9&scene=178&cur_album_id=1955835290309230595&search_click_id

Report completeness: Medium

Actors/Campaigns:
Bitter
Blindeagle

Threats:
Spirit_tool
Wmrat
Orpcbackdoor
Miyarat
Gmrat

Victims:
Governments, Overseas institutions, Universities, Military industry

Industry:
Government, Education, Military

Geo:
Asia, Asian

IOCs:
File: 2
Hash: 3
Domain: 1
IP: 1

Algorithms:
md5

Win API:
MoveFileExW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-08, известный как Crane Spirit Flower, является злоумышленником, связанным с правительством Южной Азии, нацеленным на такие секторы, как правительство, научные круги и военные в Южной Азии. Недавно они внедрили новую пользовательскую полезную нагрузку вредоносного ПО, направленную на использование конкретных уязвимостей, продолжая использовать фишинг и непатентованные программные эксплойты. Их деятельность подчеркивает сохраняющиеся киберриски и эволюцию их тактики, подчеркивая необходимость проявлять бдительность среди потенциальных целей.
-----

APT-C-08, также известная как Crane Spirit Flower, является организацией, осуществляющей сложные целенаправленные атаки, связанной с правительством Южной Азии. Эта группа регулярно участвовала в сложных кибероперациях, нацеленных на различные секторы, включая правительственные учреждения, академические институты, военную промышленность и зарубежные организации по всей Южной Азии и соседним регионам. Непрерывное участие в этих сложных целенаправленных атаках демонстрирует их стратегическое намерение собирать разведданные или срывать операции в этих критически важных областях.

Недавние разоблачения указывают на то, что APT-C-08 разработала и внедрила новую полезную нагрузку, которая отражает их эволюционирующую тактику и постоянный ландшафт угроз. Такие полезные программы обычно содержат пользовательское вредоносное ПО, предназначенное для использования определенных уязвимостей в сетях выбранных ими целей. Хотя точные технические детали этого нового варианта вредоносного ПО не разглашаются, его разработка согласуется с историческим методом работы группы — предпочтение целенаправленным нарушениям, часто посредством фишингов-атак или использования незатронутых уязвимостей программного обеспечения.

Поскольку эта организация продолжает совершенствовать свои возможности, предвидение поведения такого вредоносного ПО становится критичным для потенциальных жертв. Организациям в Южной Азии и близлежащих регионах следует сохранять бдительность и внедрять надежные меры безопасности для противодействия этим развивающимся угрозам, обеспечивая исправление сетей и обучение сотрудников распознаванию потенциальных попыток фишинга. Учитывая репутацию APT-C-08's, ориентированной на крупные организации, ее деятельность служит напоминанием о сохраняющихся киберрисках, с которыми сталкиваются организации в различных секторах.

#ParsedReport #CompletenessLow
23-08-2025

Phishing Emails Are Now Aimed at Users and AI Defenses

https://malwr-analysis.com/2025/08/24/phishing-emails-are-now-aimed-at-users-and-ai-defenses/

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Users, Ai defenses

Geo:
Pakistan, Asian

ChatGPT TTPs:
do not use without manual check
T1562, T1566

IOCs:
Url: 4
Domain: 3

Soft:
Gmail, ChatGPT, SendGrid, CryptoJS

Algorithms:
base64, aes-cbc

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последнее время тактика фишинга эволюционирует, нацеливаясь как на отдельных лиц, так и на механизмы безопасности на основе искусственного интеллекта, демонстрируя возросшую изощренность злоумышленников. Теперь злоумышленники создают электронные письма, предназначенные для обхода алгоритмов машинного обучения, используя методы запутывания, такие как орфографические ошибки и вводящие в заблуждение URL-адреса, чтобы обойти автоматическую защиту. Этот сдвиг указывает на то, что злоумышленники становятся все более искусными в использовании слабых мест как в человеческой, так и в алгоритмической защите, что создает проблемы для традиционных методов обнаружения в области кибербезопасности.
-----

Недавние разработки в тактике фишинга перешли от простого обмана отдельных лиц к использованию механизмов безопасности, основанных на Искусственном интеллекте (ИИ). Этот двойной подход подчеркивает растущую изощренность злоумышленников, которые используют социальную инженерию не только для использования уязвимостей человека, но и для обхода автоматизированных средств защиты, которые полагаются на алгоритмы машинного обучения для обнаружения попыток фишинга.

В этих новых кампаниях по фишингу злоумышленники создают электронные письма, предназначенные для обмана как пользователей, так и систем искусственного интеллекта. Они используют методы, направленные на имитацию законных сообщений, чтобы избежать обнаружения фильтрами безопасности. Например, они могут использовать стратегии запутывания — такие как орфографические ошибки, необычные символы или вводящие в заблуждение URL—адреса - чтобы сбить с толку как пользователей, так и искусственный интеллект, используемый для идентификации вредоносного контента. Эта манипуляция подчеркивает необходимость усовершенствованных методов обнаружения с помощью искусственного интеллекта, которые могут лучше распознавать закономерности и аномалии, не становясь жертвой этой тактики.

Кроме того, эти кампании по фишингу отражают стратегическую эволюцию, когда злоумышленники все больше осведомлены о средствах защиты, используемых организациями. По мере того как меры безопасности, основанные на искусственном интеллекте, становятся все более распространенными, злоумышленники адаптируют свои стратегии, чтобы использовать слабые места не только в человеческом познании, но и в алгоритмах, направленных на защиту пользователей. Это представляет серьезную проблему для специалистов по кибербезопасности, поскольку обычные методы обнаружения могут стать менее эффективными против противников, использующих специальную тактику, разработанную для обхода передовых средств защиты.

Таким образом, новая волна кампаний по фишингу характеризуется инновационной стратегией, которая атакует как пользователей, так и их защитные системы искусственного интеллекта, что требует переоценки текущей тактики борьбы с фишингом и возможностей обнаружения искусственного интеллекта. Организации должны повысить уровень своей безопасности, интегрируя передовые методы обнаружения и обучающие программы, которые готовят пользователей к распознаванию этих сложных угроз.

#ParsedReport #CompletenessMedium
22-08-2025

Android Document Readers and Deception: Tracking the Latest Updates to Anatsa

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

Report completeness: Medium

Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot

Victims:
Financial institutions, Cryptocurrency platforms, Android users

Industry:
Financial

Geo:
Korea, Germany

ChatGPT TTPs:
do not use without manual check
T1027, T1056, T1406, T1418, T1555, T1622, T1647

IOCs:
Url: 9
Hash: 4

Soft:
Android, Google Play

Algorithms:
xor, zip, des

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это развивающийся банковский троян для Android, который расширил список своих целей до более чем 831 финансового учреждения, включив в него новые страны и криптовалютные платформы. В последнем варианте используется прямая установка полезной нагрузки, минуя динамическую загрузку DEX, и предусмотрены расширенные меры защиты от анализа, включая расшифровку во время выполнения и проверку устройства, чтобы избежать обнаружения. Наряду с этим, в Google Play Store было выявлено в общей сложности 77 вредоносных приложений, что указывает на растущую тенденцию распространения вредоносного ПО через легальные платформы.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который был впервые обнаружен в 2020 году и продолжает представлять значительную угрозу для пользователей финансовых приложений. Первоначально ориентированный примерно на 650 финансовых учреждений, последний вариант Anatsa расширил свой таргетинг на более чем 831 финансовую организацию, включая недавно добавленные страны, такие как Германия и Южная Корея, а также различные криптовалютные платформы. Это вредоносное ПО печально известно своими возможностями, которые включают в себя кражу учетных данных пользователей, Регистрацию нажатий клавиш и содействие мошенническим транзакциям.

Недавняя версия Anatsa внесла заметные изменения в методы заражения и доставки полезной нагрузки. В отличие от своих предшественников, эта версия использует упрощенный процесс установки полезной нагрузки, обходя динамическую загрузку кода удаленных форматов исполняемых файлов Dalvik (DEX) в пользу прямой установки полезной нагрузки. Кроме того, Anatsa использует сложные методы антианализа, включая расшифровку строк во время выполнения с использованием динамически генерируемого ключа стандарта шифрования данных (DES). Эта тактика повышает его устойчивость к инструментам статического анализа, усложняя попытки проанализировать его поведение.

Более того, Anatsa укрепила свои стратегии уклонения, внедрив проверки эмуляции и модели устройств, чтобы помешать работе сред динамического анализа. Эти достижения свидетельствуют о согласованных усилиях разработчиков вредоносного ПО, направленных на то, чтобы избежать обнаружения и поддерживать закрепление на зараженных устройствах.

Одновременно с появлением Anatsa ThreatLabZ от Zscaler выявил в общей сложности 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store. Это подчеркивает тревожную тенденцию, связанную с использованием законных платформ злоумышленниками для эффективного распространения вредоносного ПО.

#ParsedReport #CompletenessMedium
21-08-2025

Hunting for Malware Networks

https://dti.domaintools.com/hunting-for-malware-networks/

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Deerstealer
Redline_stealer
Rugmi
Blackbasta
Darkgate

Industry:
Energy, Telco

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1105, T1583.004, T1583.006

IOCs:
IP: 4
Domain: 38
File: 2
Hash: 3
Url: 15

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает, что поставщики вредоносного ПО как услуги все чаще используют размещенные скрипты PowerShell для облегчения многоэтапного развертывания вредоносного ПО. Несмотря на действия правоохранительных органов против LummaStealer, он сохраняется в экосистеме киберпреступников, часто распространяясь через пуленепробиваемые хостинговые сервисы, в частности, привязанный к определенным IP-адресам C2. Продолжающаяся зависимость от известных семейств вредоносных ПО, таких как LummaStealer, отражает способность злоумышленников адаптироваться к попыткам нарушить их работу.
-----

Недавний анализ методов доставки вредоносного ПО выявляет текущие проблемы в выявлении и отслеживании новой инфраструктуры вредоносного ПО. Заметная тенденция среди поставщиков вредоносного ПО как услуги включает использование размещенных сценариев PowerShell, которые служат ссылками для последующей загрузки и выполнения вредоносного ПО. Этот метод демонстрирует изощренность, которую используют злоумышленники для облегчения многоэтапного развертывания вредоносного ПО.

Несмотря на усилия правоохранительных органов, включая значительное удаление LummaStealer в мае 2025 года, семейство вредоносных ПО продолжает проявлять постоянную активность, оставаясь предпочтительным выбором среди киберпреступников. В частности, LummaStealer часто развертывается с помощью пуленепробиваемых служб хостинга, которые обеспечивают устойчивую инфраструктуру для вредоносных операций. Расследование IP—адресов Command and Control (C2), а именно 185.156.72.96 и 185.156.72.2 — оба связаны с AS61432, предположительно функционирующим как пуленепробиваемый хостинг-сервис - выявляет продолжение операций LummaStealer.

Кроме того, хотя в июне были признаки экспериментов с альтернативным вредоносным ПО, данные свидетельствуют о том, что эти попытки не оказали существенного воздействия на распространенность LummaStealer, который остается укоренившимся в ландшафте угроз. Это подчеркивает адаптивность и закрепление злоумышленников, использующих известные семейства вредоносных ПО, несмотря на попытки нарушить их работу. Анализ показывает, что инфраструктура LummaStealer's и методы доставки по-прежнему активно используются, что отражает продолжающуюся эволюцию киберугроз и сложности, связанные с борьбой с ними.

#ParsedReport #CompletenessLow
25-08-2025

Warlock ransomware: Opportunistic campaigns with strategic implications

https://fieldeffect.com/blog/warlock-ransomware

Report completeness: Low

Actors/Campaigns:
Warlock
Storm-2603

Threats:
X2anylock
Lockbit
Toolshell_vuln
Blackbasta

Victims:
Telecommunications

Industry:
Telco, Financial, E-commerce, Government

Geo:
China, Chinese

Soft:
Microsoft SharePoint

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
21 августа 2025 года Colt Technology Services столкнулась с несанкционированным доступом к своим внутренним системам из-за Warlock ransomware, связанного с хакерской группировкой Storm-2603. Этот инцидент указывает на более широкую модель "Вымогательство как услуга", когда различные операторы могут совместно использовать инструменты для вымогательства, что усложняет идентификацию угроз. Эволюционирующий характер этих атак подчеркивает сохраняющиеся риски, которые представляют программы-вымогатели для критически важной инфраструктуры.
-----

21 августа 2025 года Colt Technology Services, телекоммуникационный провайдер в Великобритании, сообщил о несанкционированном доступе к своим внутренним системам, подтвердив извлечение некоторых данных после того, как ранее, 12 августа, были отмечены сбои в работе. Этот инцидент подчеркивает угрозу, исходящую от Warlock ransomware, которая связана с хакерской группировкой, известной как Storm-2603. Однако окончательная атрибуция все еще неясна, что указывает на то, что Storm-2603 может работать не исключительно с Warlock, а может быть клиентом в рамках более широкой модели "Программа-вымогатель как услуга" (RaaS).

Действия, приписываемые Warlock, предполагают совместные усилия различных операторов в рамках RaaS, которые совместно используют доступ к различным наборам программ-вымогателей, включая LockBit Black. Это открытие подтверждает предположение о том, что множество преступных организаций могут использовать штамм Warlock, что делает его важным инструментом для оппортунистических киберкампаний. Такая динамика в ландшафте киберугроз усложняет выявление и смягчение угроз, создаваемых такими акторами, как Storm-2603, поскольку их участие в использовании множества программ-вымогателей может затуманить их операционные схемы и методологии.

Ситуация подчеркивает необходимость того, чтобы организации сохраняли бдительность в отношении возникающих угроз со стороны программ-вымогателей и соответствующим образом адаптировали свои стратегии кибербезопасности, учитывая эволюционирующие методы и совместный характер внедрения программ-вымогателей в экосистеме киберпреступников. Инцидент служит напоминанием о постоянном риске, который программа-вымогатель представляет для критически важной инфраструктуры, и о важности надежных механизмов защиты для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
25-08-2025

The Resurgence of IoT Malware: Inside the Mirai-Based Gayfemboy Botnet Campaign

https://www.fortinet.com/blog/threat-research/iot-malware-gayfemboy-mirai-based-botnet-campaign

Report completeness: Medium

Threats:
Mirai
Gayfemboy
Xmrig_miner
Bashlite
Netstat_tool
Tcpsynflood_technique
Udpflood_technique
Tcpflood_technique
Synflood_technique
Icmpflood_technique

Victims:
Iot device vendors products

Industry:
Iot

Geo:
Chinese, Switzerland, France, Mexico, Germany, Israel, Brazil, Vietnam

ChatGPT TTPs:
do not use without manual check
T1027, T1190

IOCs:
IP: 7
Domain: 5
Hash: 51

Soft:
zyxel, Linux, curl

Algorithms:
base64

Platforms:
arm, intel, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Gayfemboy, усовершенствованный вариант вредоносного ПО Mirai, нацелен на различные устройства Интернета вещей и сетевое оборудование таких поставщиков, как DrayTek и Cisco, демонстрируя передовые методики атак. Он использует новую технику запутывания, присваивая архитектурам устройств уникальные имена, что усложняет традиционные усилия по обнаружению. Эта эволюция подчеркивает тревожную тенденцию к усложнению вредоносного ПО, требующую улучшения анализа угроз для эффективного устранения возникающих киберрисков.
-----

Возрождающаяся ботнет-кампания Gayfemboy, основанная на хорошо известном вредоносном ПО Mirai, отслеживалась главным образом FortiGuard Labs, поскольку она использует различные уязвимости в устройствах Интернета вещей (IoT). Эта кампания, впервые выявленная китайской фирмой по кибербезопасности, недавно активизировала деятельность, направленную на сетевое оборудование от нескольких поставщиков, в частности DrayTek, TP-Link, Raisecom и Cisco. Ботнет демонстрирует значительную эволюцию в своей тактике и оперативном поведении, что указывает на переход к более изощренным методам атак.

Вредоносное ПО демонстрирует начальный уровень запутывания при выполнении процесса загрузки. В отличие от традиционных вариантов вредоносного ПО Mirai и Gafgyt, которые обычно используют предсказуемые соглашения об именах, основанные на архитектуре Linux, Gayfemboy присваивает уникальные имена для каждой архитектуры устройства. Такая стратегия не только усиливает его маскировку, но и усложняет усилия по обнаружению с помощью традиционных мер безопасности.

Эволюция Gayfemboy демонстрирует тревожную тенденцию в сфере кибербезопасности, где вредоносное ПО становится все более сложным и искусным в обходе протоколов безопасности. Эта тенденция подчеркивает настоятельную необходимость принятия организациями упреждающих мер безопасности, которые включают регулярное исправление программного обеспечения и всесторонний анализ угроз. Поскольку ландшафт угроз продолжает развиваться, эффективные контрмеры потребуют не только стратегий реагирования, но и подхода, основанного на разведданных, для предвидения и снижения рисков, создаваемых возникающими угрозами, такими как Gayfemboy.

#ParsedReport #CompletenessHigh
25-08-2025

APT36: Targets Indian BOSS Linux Systems with Weaponized AutoStart Files

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Credential_dumping_technique

Victims:
Indian government, Military, Diplomatic institutions, Education sector, Defense contractors, Critical infrastructure

Industry:
Military, Education, Critical_infrastructure, Government

Geo:
Seychelles, Pakistan, Indian

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 3
Domain: 2
Url: 1
IP: 1
Hash: 5

Soft:
Linux, curl, Firefox, systemd, Unix

Algorithms:
exhibit, md5, sha256

YARA: Found