#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В последнее время тактика фишинга эволюционирует, нацеливаясь как на отдельных лиц, так и на механизмы безопасности на основе искусственного интеллекта, демонстрируя возросшую изощренность злоумышленников. Теперь злоумышленники создают электронные письма, предназначенные для обхода алгоритмов машинного обучения, используя методы запутывания, такие как орфографические ошибки и вводящие в заблуждение URL-адреса, чтобы обойти автоматическую защиту. Этот сдвиг указывает на то, что злоумышленники становятся все более искусными в использовании слабых мест как в человеческой, так и в алгоритмической защите, что создает проблемы для традиционных методов обнаружения в области кибербезопасности.
-----

Недавние разработки в тактике фишинга перешли от простого обмана отдельных лиц к использованию механизмов безопасности, основанных на Искусственном интеллекте (ИИ). Этот двойной подход подчеркивает растущую изощренность злоумышленников, которые используют социальную инженерию не только для использования уязвимостей человека, но и для обхода автоматизированных средств защиты, которые полагаются на алгоритмы машинного обучения для обнаружения попыток фишинга.

В этих новых кампаниях по фишингу злоумышленники создают электронные письма, предназначенные для обмана как пользователей, так и систем искусственного интеллекта. Они используют методы, направленные на имитацию законных сообщений, чтобы избежать обнаружения фильтрами безопасности. Например, они могут использовать стратегии запутывания — такие как орфографические ошибки, необычные символы или вводящие в заблуждение URL—адреса - чтобы сбить с толку как пользователей, так и искусственный интеллект, используемый для идентификации вредоносного контента. Эта манипуляция подчеркивает необходимость усовершенствованных методов обнаружения с помощью искусственного интеллекта, которые могут лучше распознавать закономерности и аномалии, не становясь жертвой этой тактики.

Кроме того, эти кампании по фишингу отражают стратегическую эволюцию, когда злоумышленники все больше осведомлены о средствах защиты, используемых организациями. По мере того как меры безопасности, основанные на искусственном интеллекте, становятся все более распространенными, злоумышленники адаптируют свои стратегии, чтобы использовать слабые места не только в человеческом познании, но и в алгоритмах, направленных на защиту пользователей. Это представляет серьезную проблему для специалистов по кибербезопасности, поскольку обычные методы обнаружения могут стать менее эффективными против противников, использующих специальную тактику, разработанную для обхода передовых средств защиты.

Таким образом, новая волна кампаний по фишингу характеризуется инновационной стратегией, которая атакует как пользователей, так и их защитные системы искусственного интеллекта, что требует переоценки текущей тактики борьбы с фишингом и возможностей обнаружения искусственного интеллекта. Организации должны повысить уровень своей безопасности, интегрируя передовые методы обнаружения и обучающие программы, которые готовят пользователей к распознаванию этих сложных угроз.

#ParsedReport #CompletenessMedium
22-08-2025

Android Document Readers and Deception: Tracking the Latest Updates to Anatsa

https://www.zscaler.com/blogs/security-research/android-document-readers-and-deception-tracking-latest-updates-anatsa

Report completeness: Medium

Threats:
Anatsa
Robinhood
Joker
Harly
Facestealer
Exobot

Victims:
Financial institutions, Cryptocurrency platforms, Android users

Industry:
Financial

Geo:
Korea, Germany

ChatGPT TTPs:
do not use without manual check
T1027, T1056, T1406, T1418, T1555, T1622, T1647

IOCs:
Url: 9
Hash: 4

Soft:
Android, Google Play

Algorithms:
xor, zip, des

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Anatsa, или TeaBot, - это развивающийся банковский троян для Android, который расширил список своих целей до более чем 831 финансового учреждения, включив в него новые страны и криптовалютные платформы. В последнем варианте используется прямая установка полезной нагрузки, минуя динамическую загрузку DEX, и предусмотрены расширенные меры защиты от анализа, включая расшифровку во время выполнения и проверку устройства, чтобы избежать обнаружения. Наряду с этим, в Google Play Store было выявлено в общей сложности 77 вредоносных приложений, что указывает на растущую тенденцию распространения вредоносного ПО через легальные платформы.
-----

Anatsa, также известный как TeaBot, - это банковский троян для Android, который был впервые обнаружен в 2020 году и продолжает представлять значительную угрозу для пользователей финансовых приложений. Первоначально ориентированный примерно на 650 финансовых учреждений, последний вариант Anatsa расширил свой таргетинг на более чем 831 финансовую организацию, включая недавно добавленные страны, такие как Германия и Южная Корея, а также различные криптовалютные платформы. Это вредоносное ПО печально известно своими возможностями, которые включают в себя кражу учетных данных пользователей, Регистрацию нажатий клавиш и содействие мошенническим транзакциям.

Недавняя версия Anatsa внесла заметные изменения в методы заражения и доставки полезной нагрузки. В отличие от своих предшественников, эта версия использует упрощенный процесс установки полезной нагрузки, обходя динамическую загрузку кода удаленных форматов исполняемых файлов Dalvik (DEX) в пользу прямой установки полезной нагрузки. Кроме того, Anatsa использует сложные методы антианализа, включая расшифровку строк во время выполнения с использованием динамически генерируемого ключа стандарта шифрования данных (DES). Эта тактика повышает его устойчивость к инструментам статического анализа, усложняя попытки проанализировать его поведение.

Более того, Anatsa укрепила свои стратегии уклонения, внедрив проверки эмуляции и модели устройств, чтобы помешать работе сред динамического анализа. Эти достижения свидетельствуют о согласованных усилиях разработчиков вредоносного ПО, направленных на то, чтобы избежать обнаружения и поддерживать закрепление на зараженных устройствах.

Одновременно с появлением Anatsa ThreatLabZ от Zscaler выявил в общей сложности 77 вредоносных приложений из различных семейств, которые в совокупности собрали более 19 миллионов установок через Google Play Store. Это подчеркивает тревожную тенденцию, связанную с использованием законных платформ злоумышленниками для эффективного распространения вредоносного ПО.

#ParsedReport #CompletenessMedium
21-08-2025

Hunting for Malware Networks

https://dti.domaintools.com/hunting-for-malware-networks/

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Deerstealer
Redline_stealer
Rugmi
Blackbasta
Darkgate

Industry:
Energy, Telco

Geo:
Ukrainian, Ukraine

ChatGPT TTPs:
do not use without manual check
T1059.001, T1071.001, T1105, T1583.004, T1583.006

IOCs:
IP: 4
Domain: 38
File: 2
Hash: 3
Url: 15

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает, что поставщики вредоносного ПО как услуги все чаще используют размещенные скрипты PowerShell для облегчения многоэтапного развертывания вредоносного ПО. Несмотря на действия правоохранительных органов против LummaStealer, он сохраняется в экосистеме киберпреступников, часто распространяясь через пуленепробиваемые хостинговые сервисы, в частности, привязанный к определенным IP-адресам C2. Продолжающаяся зависимость от известных семейств вредоносных ПО, таких как LummaStealer, отражает способность злоумышленников адаптироваться к попыткам нарушить их работу.
-----

Недавний анализ методов доставки вредоносного ПО выявляет текущие проблемы в выявлении и отслеживании новой инфраструктуры вредоносного ПО. Заметная тенденция среди поставщиков вредоносного ПО как услуги включает использование размещенных сценариев PowerShell, которые служат ссылками для последующей загрузки и выполнения вредоносного ПО. Этот метод демонстрирует изощренность, которую используют злоумышленники для облегчения многоэтапного развертывания вредоносного ПО.

Несмотря на усилия правоохранительных органов, включая значительное удаление LummaStealer в мае 2025 года, семейство вредоносных ПО продолжает проявлять постоянную активность, оставаясь предпочтительным выбором среди киберпреступников. В частности, LummaStealer часто развертывается с помощью пуленепробиваемых служб хостинга, которые обеспечивают устойчивую инфраструктуру для вредоносных операций. Расследование IP—адресов Command and Control (C2), а именно 185.156.72.96 и 185.156.72.2 — оба связаны с AS61432, предположительно функционирующим как пуленепробиваемый хостинг-сервис - выявляет продолжение операций LummaStealer.

Кроме того, хотя в июне были признаки экспериментов с альтернативным вредоносным ПО, данные свидетельствуют о том, что эти попытки не оказали существенного воздействия на распространенность LummaStealer, который остается укоренившимся в ландшафте угроз. Это подчеркивает адаптивность и закрепление злоумышленников, использующих известные семейства вредоносных ПО, несмотря на попытки нарушить их работу. Анализ показывает, что инфраструктура LummaStealer's и методы доставки по-прежнему активно используются, что отражает продолжающуюся эволюцию киберугроз и сложности, связанные с борьбой с ними.

#ParsedReport #CompletenessLow
25-08-2025

Warlock ransomware: Opportunistic campaigns with strategic implications

https://fieldeffect.com/blog/warlock-ransomware

Report completeness: Low

Actors/Campaigns:
Warlock
Storm-2603

Threats:
X2anylock
Lockbit
Toolshell_vuln
Blackbasta

Victims:
Telecommunications

Industry:
Telco, Financial, E-commerce, Government

Geo:
China, Chinese

Soft:
Microsoft SharePoint

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
21 августа 2025 года Colt Technology Services столкнулась с несанкционированным доступом к своим внутренним системам из-за Warlock ransomware, связанного с хакерской группировкой Storm-2603. Этот инцидент указывает на более широкую модель "Вымогательство как услуга", когда различные операторы могут совместно использовать инструменты для вымогательства, что усложняет идентификацию угроз. Эволюционирующий характер этих атак подчеркивает сохраняющиеся риски, которые представляют программы-вымогатели для критически важной инфраструктуры.
-----

21 августа 2025 года Colt Technology Services, телекоммуникационный провайдер в Великобритании, сообщил о несанкционированном доступе к своим внутренним системам, подтвердив извлечение некоторых данных после того, как ранее, 12 августа, были отмечены сбои в работе. Этот инцидент подчеркивает угрозу, исходящую от Warlock ransomware, которая связана с хакерской группировкой, известной как Storm-2603. Однако окончательная атрибуция все еще неясна, что указывает на то, что Storm-2603 может работать не исключительно с Warlock, а может быть клиентом в рамках более широкой модели "Программа-вымогатель как услуга" (RaaS).

Действия, приписываемые Warlock, предполагают совместные усилия различных операторов в рамках RaaS, которые совместно используют доступ к различным наборам программ-вымогателей, включая LockBit Black. Это открытие подтверждает предположение о том, что множество преступных организаций могут использовать штамм Warlock, что делает его важным инструментом для оппортунистических киберкампаний. Такая динамика в ландшафте киберугроз усложняет выявление и смягчение угроз, создаваемых такими акторами, как Storm-2603, поскольку их участие в использовании множества программ-вымогателей может затуманить их операционные схемы и методологии.

Ситуация подчеркивает необходимость того, чтобы организации сохраняли бдительность в отношении возникающих угроз со стороны программ-вымогателей и соответствующим образом адаптировали свои стратегии кибербезопасности, учитывая эволюционирующие методы и совместный характер внедрения программ-вымогателей в экосистеме киберпреступников. Инцидент служит напоминанием о постоянном риске, который программа-вымогатель представляет для критически важной инфраструктуры, и о важности надежных механизмов защиты для эффективного противодействия таким угрозам.

#ParsedReport #CompletenessMedium
25-08-2025

The Resurgence of IoT Malware: Inside the Mirai-Based Gayfemboy Botnet Campaign

https://www.fortinet.com/blog/threat-research/iot-malware-gayfemboy-mirai-based-botnet-campaign

Report completeness: Medium

Threats:
Mirai
Gayfemboy
Xmrig_miner
Bashlite
Netstat_tool
Tcpsynflood_technique
Udpflood_technique
Tcpflood_technique
Synflood_technique
Icmpflood_technique

Victims:
Iot device vendors products

Industry:
Iot

Geo:
Chinese, Switzerland, France, Mexico, Germany, Israel, Brazil, Vietnam

ChatGPT TTPs:
do not use without manual check
T1027, T1190

IOCs:
IP: 7
Domain: 5
Hash: 51

Soft:
zyxel, Linux, curl

Algorithms:
base64

Platforms:
arm, intel, mips

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет Gayfemboy, усовершенствованный вариант вредоносного ПО Mirai, нацелен на различные устройства Интернета вещей и сетевое оборудование таких поставщиков, как DrayTek и Cisco, демонстрируя передовые методики атак. Он использует новую технику запутывания, присваивая архитектурам устройств уникальные имена, что усложняет традиционные усилия по обнаружению. Эта эволюция подчеркивает тревожную тенденцию к усложнению вредоносного ПО, требующую улучшения анализа угроз для эффективного устранения возникающих киберрисков.
-----

Возрождающаяся ботнет-кампания Gayfemboy, основанная на хорошо известном вредоносном ПО Mirai, отслеживалась главным образом FortiGuard Labs, поскольку она использует различные уязвимости в устройствах Интернета вещей (IoT). Эта кампания, впервые выявленная китайской фирмой по кибербезопасности, недавно активизировала деятельность, направленную на сетевое оборудование от нескольких поставщиков, в частности DrayTek, TP-Link, Raisecom и Cisco. Ботнет демонстрирует значительную эволюцию в своей тактике и оперативном поведении, что указывает на переход к более изощренным методам атак.

Вредоносное ПО демонстрирует начальный уровень запутывания при выполнении процесса загрузки. В отличие от традиционных вариантов вредоносного ПО Mirai и Gafgyt, которые обычно используют предсказуемые соглашения об именах, основанные на архитектуре Linux, Gayfemboy присваивает уникальные имена для каждой архитектуры устройства. Такая стратегия не только усиливает его маскировку, но и усложняет усилия по обнаружению с помощью традиционных мер безопасности.

Эволюция Gayfemboy демонстрирует тревожную тенденцию в сфере кибербезопасности, где вредоносное ПО становится все более сложным и искусным в обходе протоколов безопасности. Эта тенденция подчеркивает настоятельную необходимость принятия организациями упреждающих мер безопасности, которые включают регулярное исправление программного обеспечения и всесторонний анализ угроз. Поскольку ландшафт угроз продолжает развиваться, эффективные контрмеры потребуют не только стратегий реагирования, но и подхода, основанного на разведданных, для предвидения и снижения рисков, создаваемых возникающими угрозами, такими как Gayfemboy.

#ParsedReport #CompletenessHigh
25-08-2025

APT36: Targets Indian BOSS Linux Systems with Weaponized AutoStart Files

https://www.cyfirma.com/research/apt36-targets-indian-boss-linux-systems-with-weaponized-autostart-files/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Spear-phishing_technique
Credential_dumping_technique

Victims:
Indian government, Military, Diplomatic institutions, Education sector, Defense contractors, Critical infrastructure

Industry:
Military, Education, Critical_infrastructure, Government

Geo:
Seychelles, Pakistan, Indian

TTPs:
Tactics: 10
Technics: 22

IOCs:
File: 3
Domain: 2
Url: 1
IP: 1
Hash: 5

Soft:
Linux, curl, Firefox, systemd, Unix

Algorithms:
exhibit, md5, sha256

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT36, также известная как Transparent Tribe, является пакистанской группой кибершпионажа, нацеленной на индийские правительственные структуры, в частности, использующей уязвимости в системах BOSS Linux. Они используют файлы .desktop, чтобы получить первоначальный доступ, запуская оболочку Bash, которая извлекает измененную полезную нагрузку в шестнадцатеричном коде — 64-разрядный исполняемый файл ELF для постоянной связи с сервером C2. Их тактика также включает в себя Целевой фишинг и заказное вредоносное ПО, расширяя цели до образовательных и оборонных подрядчиков для сбора разведывательных данных в соответствии с военными интересами.
-----

APT36, также известная как Transparent Tribe, является пакистанской группой кибершпионажа, нацеленной на индийские правительственные структуры, с недавним акцентом на использование уязвимостей в системах BOSS Linux. Группа демонстрирует возросшую изощренность в своей тактике, используя оружейные файлы .desktop для облегчения первоначального доступа и поддержания закрепления в целевых средах.

Поток атак начинается со вредоносного ПО .файл рабочего стола, предназначенный для запуска оболочки Bash, которая извлекает полезную нагрузку в шестнадцатеричном коде с сервера, контролируемого злоумышленниками. Полезная нагрузка представляет собой 64-разрядный исполняемый файл ELF, идентифицированный с помощью статического анализа, который обладает характеристиками, указывающими на подделку. Вредоносное ПО содержит жестко закодированные ссылки на сервер управления (C2), обеспечивающий постоянную связь для выполнения команд и эксфильтрации данных.

После запуска вредоносное ПО инициирует службу system-update.service, позволяя ей автоматически запускаться во время сеансов на уровне пользователя, обеспечивая тем самым непрерывный доступ. Это развитие отражает эволюцию стратегии APT36's, в которой особое внимание уделяется возможностям двухплатформенности и постоянному доступу как важнейшим компонентам их операций против индийского правительства, военных объектов и инфраструктуры.

Кампании, связанные с APT36, многогранны и, как правило, используют Целевой фишинг электронных писем и пользовательское вредоносное ПО для проникновения в сети. Они расширили параметры своей мишени, включая подрядчиков в сфере образования и обороны, что еще раз подчеркивает их стратегическую цель по сбору конфиденциальных разведывательных данных, соответствующих военным интересам Пакистана.

Недавнее использование защищенных файлов .desktop иллюстрирует адаптивное использование инструментов APT36's для обхода стандартных мер безопасности, подчеркивая важность бдительности в отношении Целевых фишинг-атак и уязвимостей Linux. Установленные вредоносные домены отражают временный характер инфраструктуры группы, позволяя им быстро развертывать полезные нагрузки при минимальном обнаружении. Таким образом, организации должны оставаться осведомленными об этой тактике и усиливать свои меры защиты от таких целенаправленных угроз.

#ParsedReport #CompletenessMedium
25-08-2025

Like PuTTY in Admins Hands

https://levelblue.com/blogs/security-essentials/like-putty-in-admins-hands

Report completeness: Medium

Threats:
Putty_tool
Kerberoasting_technique
Oyster
Nltest_tool
Rubeus_tool
Impacket_tool
Powersploit_tool
Lolbin_technique
Plink_tool
Typosquatting_technique

Victims:
Organizations using privileged user accounts, It administrators

ChatGPT TTPs:
do not use without manual check
T1036, T1053.005, T1059.001, T1218.011, T1553.002

IOCs:
File: 9
Domain: 13
Hash: 12
IP: 5
Url: 8

Soft:
Active Directory, WordPress, FireFox

Algorithms:
aes, sha256

Functions:
GetUserSPNs

Win API:
DllRegisterServer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный вариант SSH-инструмента PuTTY распространялся посредством Вредоносной рекламы, что приводило к компрометации, связанной с действиями привилегированных пользователей. Исполняемый файл, замаскированный под законное программное обеспечение, отображал признаки вредоносного поведения, включая механизмы закрепления с помощью запланированной задачи, которая выполняла вредоносный DLL-файл и пыталась выполнить Керберостинг, метод, предназначенный для учетных записей Active Directory для получения паролей учетных записей служб. Оперативный центр безопасности отреагировал, изолировав уязвимую систему и проведя поиск угроз для получения дополнительных компрометаций.
-----

Описанный инцидент связан с киберугрозой, связанной со вредоносным вариантом законного SSH-инструмента PuTTY, который распространялся посредством Вредоносной рекламы. Недавно Центр операций безопасности LevelBlue (SOC) обнаружил несколько компрометаций, связанных с действиями привилегированных пользователей, инициированными этим вредоносным исполняемым файлом. Красные флажки были подняты, когда предупреждение SentinelOne отметило загрузку файла с именем PuTTY.exe , который был подписан NEW VISION MARKETING LLC, организацией, не связанной с законным программным обеспечением.

При дальнейшем расследовании было выявлено несколько признаков вредоносного поведения, включая потенциальные попытки Керберостинга и подозрительные действия PowerShell. Вредоносный исполняемый файл установил закрепление в уязвимой системе, создав запланированную задачу с именем "Средство обновления безопасности". Эта задача запустила вредоносный файл библиотеки динамических ссылок (DLL), twain_96.dll , с трехминутными интервалами в течение rundll32.exe , указывающий на попытку сохранить долгосрочный доступ к системе.

В ходе анализа особое внимание было уделено Керберостингу. Этот метод нацелен на учетные записи службы Active Directory с использованием протокола аутентификации Kerberos. Это позволяет злоумышленнику с действительной учетной записью пользователя домена запрашивать заявки на обслуживание Kerberos для учетных записей с определенным именем участника службы (SPN). Полученные служебные билеты шифруются с использованием ключа, полученного из пароля учетной записи службы, что позволяет потенциальным злоумышленникам восстановить пароль с помощью автономных атак, как только они получат доступ к билетам.

В ответ на инцидент команда SOC предприняла быстрые действия, отключив скомпрометированный ресурс от сети и посоветовав клиенту отключить соответствующую учетную запись пользователя. Исследователи угроз из LevelBlue расширили свои усилия по реагированию, проведя поиск угроз по всему клиентскому парку, чтобы выявить любые другие признаки компрометации, связанные с этой троянской версией PuTTY. Этот инцидент подчеркивает острую необходимость проявлять бдительность в отношении целостности программного обеспечения и потенциальных рисков, связанных со злоупотреблением привилегиями в организациях.

#ParsedReport #CompletenessLow
26-08-2025

DNS Tunneling: The Blind Spot in Your Network Security Strategy

https://www.netskope.com/blog/dns-tunneling-the-blind-spot-in-your-network-security-strategy

Report completeness: Low

Actors/Campaigns:
Emissary_panda

Threats:
Dns_tunneling_technique
Dnspot_tool
Dnscat2_tool

Victims:
Organizations using dns, Enterprises

ChatGPT TTPs:
do not use without manual check
T1041, T1071.004

IOCs:
File: 5
Path: 3

Soft:
sudo, Docker

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4