#ParsedReport #CompletenessMedium
26-08-2025

Major Cyber Attacks in August 2025: 7-Stage Tycoon2FA Phishing, New ClickFix Campaign, and Salty2FA

https://any.run/cybersecurity-blog/cyber-attacks-august-2025/

Report completeness: Medium

Actors/Campaigns:
Storm-1575
Storm-1747

Threats:
Tycoon_2fa
Clickfix_technique
Salty_2fa_tool
Rhadamanthys
Steganography_technique
Tycoon_framework
Netsupportmanager_rat
Asyncrat
Aitm_technique
Dadsec_tool

Victims:
Microsoft 365 users, Us region, Canada region, Europe region

Industry:
Military, Government, Financial, Energy, Healthcare, Telco, Education, Logistic

Geo:
Canada

TTPs:

IOCs:
Domain: 14
Url: 4
IP: 4

Soft:
Cloudflare Turnstile

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года участились изощренные кампании фишинга, особенно с помощью фреймворка Tycoon2FA, который использует семиэтапную стратегию атаки, включающую капчи и экраны проверки, чтобы обойти меры безопасности. Программа-похититель Rhadamanthys, поставляемая с помощью фреймворков ClickFix и использующая Стеганографию в формате PNG, нацелена на масштабную кражу данных, используя тактику уклонения. Кроме того, платформа Salty2FA, связанная с группой Storm-1575, эффективно обходит двухфакторную аутентификацию, предназначенную для учетных записей Microsoft 365, что подчеркивает эволюцию тактики фишинга.
-----

В августе 2025 года в киберпространстве произошел заметный рост числа изощренных кампаний фишинга, о чем свидетельствует появление фреймворка Tycoon2FA, который использует уникальную семиэтапную стратегию фишинг-атаки. Этот подход значительно отличается от обычных методов фишинга, повышая его эффективность за счет включения таких элементов, как капчи, проверки удержания кнопки и экраны проверки подлинности. Каждая фаза выполнения Tycoon2FA тщательно продумана, чтобы исчерпать средства защиты пользователя, эффективно обходя автоматизированные меры безопасности. К тому времени, когда жертвы добираются до последней панели фишинга, многие системы безопасности уже скомпрометированы или обойдены.

Другой выявленной важной кампанией является программа Rhadamanthys Stealer, которая поставляется с помощью фреймворков ClickFix, использующих Стеганографию в формате PNG для эксфильтрации данных. Rhadamanthys - это infostealer на базе C++, известный своей способностью осуществлять масштабную кражу данных, используя при этом изощренную тактику уклонения от систем кибербезопасности.

Кроме того, платформа Salty2FA, которая была впервые зарегистрирована в июне 2025 года, стала платформой для фишинга как услуги (PhaaS), нацеленной на учетные записи Microsoft 365 в США, Канаде, Европе и на мировых рынках. Storm-1575, группа, стоящая за этим фреймворком, известна своими связями с более ранними инструментами для фишинга, такими как набор для фишинга Dadsec. Тактика работы Salty2FA претерпела значительную эволюцию, что указывает на способность актора обходить почти все известные протоколы двухфакторной аутентификации (2FA).

Сочетание достижений в тактике фишинга, таких как многоэтапное выполнение Tycoon2FA и использование Стеганографии с вредоносным ПО, таким как Rhadamanthys, подчеркивает необходимость разработки организациями надежных мер защиты. Обычных статических индикаторов компрометации становится все более недостаточно; переход к проактивному мониторингу поведения и анализу угроз в режиме реального времени имеет решающее значение для противодействия этим эволюционирующим угрозам. Поскольку киберугрозы продолжают развиваться, понимание их механизмов и возможностей вовлеченных злоумышленников будет иметь важное значение для эффективной защиты.

#ParsedReport #CompletenessLow
25-08-2025

New Netflix scam is trying to steal your Facebook credentials

https://moonlock.com/new-netflix-scam-facebook-credentials

Report completeness: Low

Victims:
Job seekers, Facebook users, Netflix users

Industry:
Media

ChatGPT TTPs:
do not use without manual check
T1056.003, T1204, T1566.001, T1566.002, T1583.001

IOCs:
Domain: 5
Url: 1

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошенничество с фишингом, нацеленное на соискателей работы, использует поддельные предложения о работе Netflix для сбора учетных данных Facebook, используя методы, которые перехватывают пароли в режиме реального времени. Электронные письма, кажущиеся законными, направляют жертв на подозрительные ссылки для сбора персональных данных, и эта афера является частью более широкой схемы мошеннических действий, связанных с Netflix, включая обещания финансового вознаграждения за просмотр контента. Продолжающаяся серия инцидентов подчеркивает повышенный уровень угрозы и потенциальную возможность усиления виктимизации среди пользователей.
-----

Недавние сообщения указывают на то, что мошенничество с фишингом, нацеленное на соискателей работы, использует поддельные предложения о работе, связанные с Netflix, для получения учетных данных Facebook. Атака была отмечена отсутствием изощренности, но подчеркивает опыт злоумышленников в совершении кибератак. Они используют методы, которые позволяют им перехватывать пароли в режиме реального времени, что свидетельствует об уровне технической проницательности, повышающем доверие к мошенничеству.

Мошенничество обычно заключается в рассылке электронных писем, которые кажутся законными, и привлечении пользователей, которые активно ищут работу. Эта тактика является частью более широкой кампании, в ходе которой за последние недели произошло множество инцидентов, демонстрирующих сохраняющуюся угрозу и потенциальную возможность увеличения числа жертв. Электронные письма часто приводят жертв к неизвестным ссылкам, по которым в дальнейшем может быть запрошена личная информация, что создает значительные риски для их онлайн-безопасности.

Помимо мошеннических предложений о работе, была обнаружена сеть других подозрительных действий, связанных с Netflix. К ним относятся мошеннические действия, обещающие финансовое вознаграждение за просмотр контента Netflix. Такие подходы перенаправляют жертв на различные сомнительные сайты, которые могут еще больше скомпрометировать пользовательские данные.

Netflix предпринял шаги для информирования пользователей о том, как сообщать о таких попытках фишинга, и подчеркивает важность бдительности. Компания советует частным лицам воздерживаться от перехода по ссылкам или ответа на подозрительные сообщения, тем самым снижая вероятность стать жертвой подобных мошенничеств. Пользователям рекомендуется усилить свои меры безопасности, включая использование Многофакторной аутентификации на платформах Социальных сетей, особенно подверженных этим схемам фишинга.

#ParsedReport #CompletenessHigh
26-08-2025

ZipLine Campaign: A Sophisticated Phishing Attack Targeting US Companies

https://research.checkpoint.com/2025/zipline-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Unk_greensec (motivation: cyber_criminal)

Threats:
Zipline
Mixshell
Procmon_tool
Dns_tunneling_technique
Transferloader
Supply_chain_technique

Industry:
Semiconductor_industry, Aerospace, Energy, Healthcare

Geo:
Japan, Switzerland, Singapore

IOCs:
Command: 2
File: 6
Domain: 20
IP: 5
Hash: 14
Url: 14

Soft:
Internet Explorer, Windows Explorer, qemu

Wallets:
harmony_wallet

Algorithms:
base64, xor, zip, crc-32

Functions:
MixShell

Win API:
GetProcAddress, VirtualAlloc

Languages:
jscript, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, dump: 1, code: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ZipLine - это сложная операция фишинга, нацеленная на критически важные сектора цепочки поставок в США, использующая тактику социальной инженерии для установления доверия посредством длительных коммуникаций. Злоумышленники используют домены, имитирующие законные американские компании, для доставки вредоносной полезной нагрузки в ZIP-файлах, которые содержат доброкачественные документы и вредоносный LNK-файл, который выполняет скрытый скрипт PowerShell, известный как "MixShell". Этот имплантат использует туннелирование DNS TXT для командования и контроля, обеспечивая универсальные возможности эксплуатации в различных отраслях промышленности, в частности в промышленном производстве и здравоохранении.
-----

Кампания ZipLine - это сложная операция фишинга, нацеленная на производственные сектора, критически важные для цепочки поставок в США. Злоумышленник использует тактику социальной инженерии, инициируя общение через публичные формы "Свяжитесь с нами", чтобы создать видимость законности. Жертв заманивают к взаимодействию с злоумышленниками, которые ведут длительные переписки по электронной почте — длящиеся неделями — для укрепления доверия, прежде чем отправлять вредоносную полезную нагрузку.

Злоумышленники обычно используют такие темы, как "трансформация искусственного интеллекта", в своих мошеннических сообщениях, используя домены, имитирующие американские компании, включая ныне заброшенные домены с прежними законными деловыми связями. Эта стратегия направлена на обход систем безопасности путем повышения доверия, связанного с давно существующими доменами. Вредоносная полезная нагрузка, обычно доставляемая в виде ZIP-файла, содержит безобидные на вид документы наряду с вредоносным LNK-файлом, который активирует механизм эксплойта. Этот файл LNK инициирует сценарий PowerShell, встроенный в ZIP-файл, который выполняется в памяти, гарантируя, что атака останется незаметной.

Встроенный скрипт PowerShell изменяет себя, вставляя соответствующие пути перед выполнением. Полученный в результате имплантат, получивший название "MixShell", использует передовые технологии, такие как туннелирование DNS TXT для обмена данными между командами и контролем (C2), что позволяет выполнять скрытые оперативные команды с помощью DNS-запросов. MixShell поддерживает широкий спектр команд, позволяя выполнять файловые операции, интерактивное обратное проксирование и выполнение команд, что делает его универсальным в своих эксплуатационных возможностях.

Кампания нацелена на различные секторы, преимущественно на промышленное производство, машиностроение и здравоохранение, что отражает широкий подход к компрометации организаций, имеющих решающее значение для supply chains. Мотивы злоумышленника, по-видимому, выходят за рамки простой финансовой выгоды, предполагая потенциальные скрытые цели.

Подводя итог, можно сказать, что кампания ZipLine иллюстрирует эволюцию тактики фишинга, изменяя типичную динамику, уговаривая жертв связаться первыми. Используя кажущиеся законными коммуникации, продвинутые многоступенчатые полезные нагрузки и сложные методы C2, он эффективно использует доверие для проникновения в системы, не вызывая немедленной защиты. Эта сложная стратегия подчеркивает необходимость повышенной бдительности в отношении таких все более изощренных схем фишинга.

#ParsedReport #CompletenessLow
26-08-2025

Widespread Data Theft Targets Salesforce Instances via Salesloft Drift

https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift/

Report completeness: Low

Actors/Campaigns:
Unc6395 (motivation: information_theft)

Victims:
Salesforce customers

ChatGPT TTPs:
do not use without manual check
T1078, T1090.003, T1213, T1528

IOCs:
IP: 20

Soft:
Salesloft Drift

Functions:
COUNT

Languages:
python

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Google по анализу угроз предупредила о масштабной кампании по краже данных со стороны злоумышленника UNC6395, нацеленного на экземпляры Salesforce с помощью скомпрометированных токенов OAuth, привязанных к приложению Salesloft Drift. Злоумышленники выполняли запросы SOQL для извлечения данных из различных объектов Salesforce, демонстрируя сложные манипуляции с API. Индикаторами компрометации являются конкретные IP-адреса и строки пользовательского агента, связанные с выходными узлами Tor, что требует тщательного изучения журналов Salesforce и запросов на предмет потенциального доступа к данным.
-----

Google Threat Intelligence Group (GTIG) выпустила предупреждение относительно масштабной кампании по краже данных, организованной злоумышленником, известным как UNC6395. Эта кампания, которая проявляла активность с 8 по 18 августа 2025 года, в первую очередь была нацелена на экземпляры Salesforce с помощью скомпрометированных токенов OAuth, связанных с приложением Salesloft Drift. Злоумышленники использовали различные запросы для извлечения данных из объектов Salesforce, включая обращения, учетные записи, пользователей и возможности, что указывает на целенаправленный подход в их усилиях по поиску данных.

Вредоносные действия UNC6395 включали выполнение определенных последовательностей запросов SOQL (Salesforce Object Query Language), предназначенных для сбора уникальных данных и релевантной информации с платформы Salesforce. Этот метод подчеркивает способность актора манипулировать законными API-интерфейсами и использовать их для доступа к конфиденциальной информации.

Реагирование на эту угрозу требует тщательного изучения протоколов. Организациям рекомендуется изучить индикаторы компрометации (IOC), которые включают конкретные IP-адреса и строки пользовательского агента, некоторые из которых связаны с узлами выхода из сети Tor. Чтобы оценить возможные риски, организациям следует провести всестороннюю проверку журналов мониторинга событий Salesforce на предмет любых необычных действий, связанных с приложением Drift. Это включает аудит событий аутентификации, связанных с подключенным приложением Drift, и событий UniqueQuery, которые документируют выполненные запросы.

Кроме того, важно упростить взаимодействие со службой поддержки Salesforce для получения подробной информации о конкретных запросах, используемых злоумышленником. Организациям также следует проводить поиск в объектах Salesforce на предмет потенциального раскрытия секретов, таких как ключи доступа AWS и, возможно, встроенные учетные данные, связанные с такими сервисами, как Snowflake. Изучение строк, указывающих на URL-адреса для входа в организацию, может дополнительно помочь выявить неправильное использование учетных данных. Использование таких инструментов, как Trufflehog, может помочь в обнаружении любых жестко закодированных учетных данных или секретов, которые могут быть раскрыты в системе. Таким образом, упреждающие меры имеют решающее значение для организаций для снижения риска, связанного с UNC6395 и аналогичными будущими угрозами.

#ParsedReport #CompletenessMedium
26-08-2025

Updated Fairy Trickster Clique Tools and Possible Link to Lifting Zmiy

https://1.rt-solar.ru/solar-4rays/blog/5931/?_x_tr_enc=1

Report completeness: Medium

Actors/Campaigns:
Head_mare
Bo_team
Anonymous_sudan

Threats:
T1ck3tdump_tool
Phantomremote
Phantomtaskshell
Brockendoor
Phantomrshall
Rclone_tool
Meshagent_tool
Netstat_tool
Xenarmor_tool

Industry:
Petroleum

IOCs:
Path: 3
Command: 1
File: 2
IP: 9
Domain: 1
Hash: 24

Soft:
rsocx, XenAllPasswordPro

Algorithms:
sha256, zip, md5, sha1

Functions:
Get-Service

Win API:
WinExec

Languages:
powershell

Links:
have more...
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/b23r0/rsocx
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/jun7th/tsocks

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Fairy Trickster, также известная как Rainbow Hyena, демонстрирует возможности сложных целенаправленных атак с помощью сложного и развивающегося инструментария, включая пользовательские варианты вредоносного ПО и эксплойты для скрытности и закрепления. Их методы атак часто начинаются с кампаний фишинга, использующих социальную инженерию для распространения вредоносного ПО, которое обеспечивает эксфильтрацию данных или создает плацдарм для дальнейших атак. Существуют потенциальные связи с группой Lifting Zmiy, предполагающие общую тактику или оперативные цели, которые повышают их эффективность.
-----

Недавние сведения о группе Fairy Trickster, также известной как Rainbow Hyena, подчеркивают их эволюционирующий набор инструментов и потенциальные связи с другими хакерскими группировками, такими как Lifting Zmiy. Эта группа характеризуется сложными технологиями, которые указывают на высокий уровень операционной зрелости и адаптивности.

Были задокументированы значительные обновления их инструментов, что подчеркивает необходимость постоянного мониторинга и анализа. Группа Fairy Trickster использует множество вредоносных ПО и эксплойтов, которые позволяют им проводить сложные целенаправленные атаки (APT) против нескольких целевых организаций. Их инструментарий включает в себя пользовательские варианты вредоносного ПО, которые часто обновляются, чтобы избежать обнаружения и обойти протоколы безопасности. Кроме того, эти обновления предполагают растущее внимание к скрытности и закреплению в рамках их операционной системы.

Среди известных тактик, используемых группой Fairy Trickster, - стратегии социальной инженерии в сочетании с техническими подвигами. Они часто инициируют атаки с помощью кампаний фишинга, распространяя вредоносное ПО по, казалось бы, безобидным каналам для проникновения в системы своих целей. Оказавшись внутри, их пользовательское вредоносное ПО может незаметно отфильтровать конфиденциальные данные или создать плацдарм для дальнейших вредоносных действий.

Потенциальная связь с группой Lifting Zmiy открывает возможность использования общих методов или сходных оперативных целей этими двумя группами. Хотя точные детали их оперативной синергии остаются неясными, совпадающее поведение и тактика указывают на аспект сотрудничества или, по крайней мере, на общий пул разведывательных данных, который расширяет их соответствующие возможности.

#ParsedReport #CompletenessLow
26-08-2025

First AI Ransomware PromptLock Uses OpenAI gpt-oss-20b Model for Encryption

https://cybersecuritynews.com/first-ai-ransomware/

Report completeness: Low

Threats:
Promptlock
Filecoder
Screenconnect_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1486, T1587

IOCs:
IP: 1
Hash: 6

Soft:
OpenAI, Ollama, twitter, Linux, macOS, citrix netscaler adc

Crypto:
bitcoin

Algorithms:
sha1

Languages:
golang, lua

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptLock представляет собой новаторский сдвиг в области программ-вымогателей, поскольку является первым штаммом, использующим локальную модель искусственного интеллекта, в частности gpt-oss-20b от OpenAI, для генерации кода в режиме реального времени. Закодированный на Golang, он работает как в Windows, так и в Linux, что позволяет ему динамически создавать свою полезную нагрузку, что улучшает методы уклонения. Такое использование искусственного интеллекта для генерации кода может также привести к более сложным методам шифрования, усложняя восстановление данных для жертв и сигнализируя о тенденции к более совершенной тактике киберпреступников.
-----

Появление PromptLock знаменует собой значительное событие в мире программ-вымогателей, поскольку оно характеризуется как первый вид программ-вымогателей, использующий локальную модель искусственного интеллекта, в частности OpenAI gpt-oss-20b, для создания своих вредоносных компонентов. Это нововведение означает заметный сдвиг в сторону использования Искусственного интеллекта в тактике киберпреступников, позволяющий генерировать код программы-вымогателя в режиме реального времени.

PromptLock закодирован на Golang и был обнаружен как в средах Windows, так и в Linux, что указывает на его универсальность и потенциал воздействия на широкий спектр систем. Конструкция программы-вымогателя позволяет ей создавать свою полезную нагрузку "на лету", что может улучшить ее методы уклонения от традиционных мер безопасности.

Используя искусственный интеллект для генерации кода, PromptLock также может повысить сложность своих методов шифрования, что затруднит жертвам восстановление своих данных без уплаты выкупа. Интеграция искусственного интеллекта в программы-вымогатели свидетельствует о более широкой тенденции в киберпреступности, когда злоумышленники все чаще внедряют передовые технологии для повышения эффективности своих атак. Это событие вызывает серьезные опасения у специалистов по кибербезопасности и организаций, поскольку потенциально может привести к волне более адаптивных и сложных угроз со стороны программ-вымогателей в будущем.

#ParsedReport #CompletenessLow
26-08-2025

You dont find ManualFinder, ManualFinder finds you

https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/

Report completeness: Low

Threats:
Manualfinder
Residential_proxy_technique
Justaskjacky
Apollo

Geo:
Malaysia, Panama

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.007, T1090.001, T1105, T1218.005

IOCs:
File: 6
Path: 4
Command: 2
Hash: 23
Domain: 48

Soft:
Windows service

Algorithms:
sha256

Functions:
count

Languages:
javascript

Platforms:
intel