CTT Report Hub
#ParsedReport #CompletenessHigh 26-08-2025 ZipLine Campaign: A Sophisticated Phishing Attack Targeting US Companies https://research.checkpoint.com/2025/zipline-phishing-campaign/ Report completeness: High Actors/Campaigns: Unk_greensec (motivation: cyber_criminal)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ZipLine - это сложная операция фишинга, нацеленная на критически важные сектора цепочки поставок в США, использующая тактику социальной инженерии для установления доверия посредством длительных коммуникаций. Злоумышленники используют домены, имитирующие законные американские компании, для доставки вредоносной полезной нагрузки в ZIP-файлах, которые содержат доброкачественные документы и вредоносный LNK-файл, который выполняет скрытый скрипт PowerShell, известный как "MixShell". Этот имплантат использует туннелирование DNS TXT для командования и контроля, обеспечивая универсальные возможности эксплуатации в различных отраслях промышленности, в частности в промышленном производстве и здравоохранении.
-----
Кампания ZipLine - это сложная операция фишинга, нацеленная на производственные сектора, критически важные для цепочки поставок в США. Злоумышленник использует тактику социальной инженерии, инициируя общение через публичные формы "Свяжитесь с нами", чтобы создать видимость законности. Жертв заманивают к взаимодействию с злоумышленниками, которые ведут длительные переписки по электронной почте — длящиеся неделями — для укрепления доверия, прежде чем отправлять вредоносную полезную нагрузку.
Злоумышленники обычно используют такие темы, как "трансформация искусственного интеллекта", в своих мошеннических сообщениях, используя домены, имитирующие американские компании, включая ныне заброшенные домены с прежними законными деловыми связями. Эта стратегия направлена на обход систем безопасности путем повышения доверия, связанного с давно существующими доменами. Вредоносная полезная нагрузка, обычно доставляемая в виде ZIP-файла, содержит безобидные на вид документы наряду с вредоносным LNK-файлом, который активирует механизм эксплойта. Этот файл LNK инициирует сценарий PowerShell, встроенный в ZIP-файл, который выполняется в памяти, гарантируя, что атака останется незаметной.
Встроенный скрипт PowerShell изменяет себя, вставляя соответствующие пути перед выполнением. Полученный в результате имплантат, получивший название "MixShell", использует передовые технологии, такие как туннелирование DNS TXT для обмена данными между командами и контролем (C2), что позволяет выполнять скрытые оперативные команды с помощью DNS-запросов. MixShell поддерживает широкий спектр команд, позволяя выполнять файловые операции, интерактивное обратное проксирование и выполнение команд, что делает его универсальным в своих эксплуатационных возможностях.
Кампания нацелена на различные секторы, преимущественно на промышленное производство, машиностроение и здравоохранение, что отражает широкий подход к компрометации организаций, имеющих решающее значение для supply chains. Мотивы злоумышленника, по-видимому, выходят за рамки простой финансовой выгоды, предполагая потенциальные скрытые цели.
Подводя итог, можно сказать, что кампания ZipLine иллюстрирует эволюцию тактики фишинга, изменяя типичную динамику, уговаривая жертв связаться первыми. Используя кажущиеся законными коммуникации, продвинутые многоступенчатые полезные нагрузки и сложные методы C2, он эффективно использует доверие для проникновения в системы, не вызывая немедленной защиты. Эта сложная стратегия подчеркивает необходимость повышенной бдительности в отношении таких все более изощренных схем фишинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания ZipLine - это сложная операция фишинга, нацеленная на критически важные сектора цепочки поставок в США, использующая тактику социальной инженерии для установления доверия посредством длительных коммуникаций. Злоумышленники используют домены, имитирующие законные американские компании, для доставки вредоносной полезной нагрузки в ZIP-файлах, которые содержат доброкачественные документы и вредоносный LNK-файл, который выполняет скрытый скрипт PowerShell, известный как "MixShell". Этот имплантат использует туннелирование DNS TXT для командования и контроля, обеспечивая универсальные возможности эксплуатации в различных отраслях промышленности, в частности в промышленном производстве и здравоохранении.
-----
Кампания ZipLine - это сложная операция фишинга, нацеленная на производственные сектора, критически важные для цепочки поставок в США. Злоумышленник использует тактику социальной инженерии, инициируя общение через публичные формы "Свяжитесь с нами", чтобы создать видимость законности. Жертв заманивают к взаимодействию с злоумышленниками, которые ведут длительные переписки по электронной почте — длящиеся неделями — для укрепления доверия, прежде чем отправлять вредоносную полезную нагрузку.
Злоумышленники обычно используют такие темы, как "трансформация искусственного интеллекта", в своих мошеннических сообщениях, используя домены, имитирующие американские компании, включая ныне заброшенные домены с прежними законными деловыми связями. Эта стратегия направлена на обход систем безопасности путем повышения доверия, связанного с давно существующими доменами. Вредоносная полезная нагрузка, обычно доставляемая в виде ZIP-файла, содержит безобидные на вид документы наряду с вредоносным LNK-файлом, который активирует механизм эксплойта. Этот файл LNK инициирует сценарий PowerShell, встроенный в ZIP-файл, который выполняется в памяти, гарантируя, что атака останется незаметной.
Встроенный скрипт PowerShell изменяет себя, вставляя соответствующие пути перед выполнением. Полученный в результате имплантат, получивший название "MixShell", использует передовые технологии, такие как туннелирование DNS TXT для обмена данными между командами и контролем (C2), что позволяет выполнять скрытые оперативные команды с помощью DNS-запросов. MixShell поддерживает широкий спектр команд, позволяя выполнять файловые операции, интерактивное обратное проксирование и выполнение команд, что делает его универсальным в своих эксплуатационных возможностях.
Кампания нацелена на различные секторы, преимущественно на промышленное производство, машиностроение и здравоохранение, что отражает широкий подход к компрометации организаций, имеющих решающее значение для supply chains. Мотивы злоумышленника, по-видимому, выходят за рамки простой финансовой выгоды, предполагая потенциальные скрытые цели.
Подводя итог, можно сказать, что кампания ZipLine иллюстрирует эволюцию тактики фишинга, изменяя типичную динамику, уговаривая жертв связаться первыми. Используя кажущиеся законными коммуникации, продвинутые многоступенчатые полезные нагрузки и сложные методы C2, он эффективно использует доверие для проникновения в системы, не вызывая немедленной защиты. Эта сложная стратегия подчеркивает необходимость повышенной бдительности в отношении таких все более изощренных схем фишинга.
#ParsedReport #CompletenessLow
26-08-2025
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift
https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift/
Report completeness: Low
Actors/Campaigns:
Unc6395 (motivation: information_theft)
Victims:
Salesforce customers
ChatGPT TTPs:
T1078, T1090.003, T1213, T1528
IOCs:
IP: 20
Soft:
Salesloft Drift
Functions:
COUNT
Languages:
python
Links:
26-08-2025
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift
https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift/
Report completeness: Low
Actors/Campaigns:
Unc6395 (motivation: information_theft)
Victims:
Salesforce customers
ChatGPT TTPs:
do not use without manual checkT1078, T1090.003, T1213, T1528
IOCs:
IP: 20
Soft:
Salesloft Drift
Functions:
COUNT
Languages:
python
Links:
https://github.com/trufflesecurity/trufflehogGoogle Cloud Blog
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift | Google Cloud Blog
UNC6395 stole data from Salesforce instances by exploiting compromised OAuth tokens from the Salesloft Drift app.
CTT Report Hub
#ParsedReport #CompletenessLow 26-08-2025 Widespread Data Theft Targets Salesforce Instances via Salesloft Drift https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift/ Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Google по анализу угроз предупредила о масштабной кампании по краже данных со стороны злоумышленника UNC6395, нацеленного на экземпляры Salesforce с помощью скомпрометированных токенов OAuth, привязанных к приложению Salesloft Drift. Злоумышленники выполняли запросы SOQL для извлечения данных из различных объектов Salesforce, демонстрируя сложные манипуляции с API. Индикаторами компрометации являются конкретные IP-адреса и строки пользовательского агента, связанные с выходными узлами Tor, что требует тщательного изучения журналов Salesforce и запросов на предмет потенциального доступа к данным.
-----
Google Threat Intelligence Group (GTIG) выпустила предупреждение относительно масштабной кампании по краже данных, организованной злоумышленником, известным как UNC6395. Эта кампания, которая проявляла активность с 8 по 18 августа 2025 года, в первую очередь была нацелена на экземпляры Salesforce с помощью скомпрометированных токенов OAuth, связанных с приложением Salesloft Drift. Злоумышленники использовали различные запросы для извлечения данных из объектов Salesforce, включая обращения, учетные записи, пользователей и возможности, что указывает на целенаправленный подход в их усилиях по поиску данных.
Вредоносные действия UNC6395 включали выполнение определенных последовательностей запросов SOQL (Salesforce Object Query Language), предназначенных для сбора уникальных данных и релевантной информации с платформы Salesforce. Этот метод подчеркивает способность актора манипулировать законными API-интерфейсами и использовать их для доступа к конфиденциальной информации.
Реагирование на эту угрозу требует тщательного изучения протоколов. Организациям рекомендуется изучить индикаторы компрометации (IOC), которые включают конкретные IP-адреса и строки пользовательского агента, некоторые из которых связаны с узлами выхода из сети Tor. Чтобы оценить возможные риски, организациям следует провести всестороннюю проверку журналов мониторинга событий Salesforce на предмет любых необычных действий, связанных с приложением Drift. Это включает аудит событий аутентификации, связанных с подключенным приложением Drift, и событий UniqueQuery, которые документируют выполненные запросы.
Кроме того, важно упростить взаимодействие со службой поддержки Salesforce для получения подробной информации о конкретных запросах, используемых злоумышленником. Организациям также следует проводить поиск в объектах Salesforce на предмет потенциального раскрытия секретов, таких как ключи доступа AWS и, возможно, встроенные учетные данные, связанные с такими сервисами, как Snowflake. Изучение строк, указывающих на URL-адреса для входа в организацию, может дополнительно помочь выявить неправильное использование учетных данных. Использование таких инструментов, как Trufflehog, может помочь в обнаружении любых жестко закодированных учетных данных или секретов, которые могут быть раскрыты в системе. Таким образом, упреждающие меры имеют решающее значение для организаций для снижения риска, связанного с UNC6395 и аналогичными будущими угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Google по анализу угроз предупредила о масштабной кампании по краже данных со стороны злоумышленника UNC6395, нацеленного на экземпляры Salesforce с помощью скомпрометированных токенов OAuth, привязанных к приложению Salesloft Drift. Злоумышленники выполняли запросы SOQL для извлечения данных из различных объектов Salesforce, демонстрируя сложные манипуляции с API. Индикаторами компрометации являются конкретные IP-адреса и строки пользовательского агента, связанные с выходными узлами Tor, что требует тщательного изучения журналов Salesforce и запросов на предмет потенциального доступа к данным.
-----
Google Threat Intelligence Group (GTIG) выпустила предупреждение относительно масштабной кампании по краже данных, организованной злоумышленником, известным как UNC6395. Эта кампания, которая проявляла активность с 8 по 18 августа 2025 года, в первую очередь была нацелена на экземпляры Salesforce с помощью скомпрометированных токенов OAuth, связанных с приложением Salesloft Drift. Злоумышленники использовали различные запросы для извлечения данных из объектов Salesforce, включая обращения, учетные записи, пользователей и возможности, что указывает на целенаправленный подход в их усилиях по поиску данных.
Вредоносные действия UNC6395 включали выполнение определенных последовательностей запросов SOQL (Salesforce Object Query Language), предназначенных для сбора уникальных данных и релевантной информации с платформы Salesforce. Этот метод подчеркивает способность актора манипулировать законными API-интерфейсами и использовать их для доступа к конфиденциальной информации.
Реагирование на эту угрозу требует тщательного изучения протоколов. Организациям рекомендуется изучить индикаторы компрометации (IOC), которые включают конкретные IP-адреса и строки пользовательского агента, некоторые из которых связаны с узлами выхода из сети Tor. Чтобы оценить возможные риски, организациям следует провести всестороннюю проверку журналов мониторинга событий Salesforce на предмет любых необычных действий, связанных с приложением Drift. Это включает аудит событий аутентификации, связанных с подключенным приложением Drift, и событий UniqueQuery, которые документируют выполненные запросы.
Кроме того, важно упростить взаимодействие со службой поддержки Salesforce для получения подробной информации о конкретных запросах, используемых злоумышленником. Организациям также следует проводить поиск в объектах Salesforce на предмет потенциального раскрытия секретов, таких как ключи доступа AWS и, возможно, встроенные учетные данные, связанные с такими сервисами, как Snowflake. Изучение строк, указывающих на URL-адреса для входа в организацию, может дополнительно помочь выявить неправильное использование учетных данных. Использование таких инструментов, как Trufflehog, может помочь в обнаружении любых жестко закодированных учетных данных или секретов, которые могут быть раскрыты в системе. Таким образом, упреждающие меры имеют решающее значение для организаций для снижения риска, связанного с UNC6395 и аналогичными будущими угрозами.
#ParsedReport #CompletenessMedium
26-08-2025
Updated Fairy Trickster Clique Tools and Possible Link to Lifting Zmiy
https://1.rt-solar.ru/solar-4rays/blog/5931/?_x_tr_enc=1
Report completeness: Medium
Actors/Campaigns:
Head_mare
Bo_team
Anonymous_sudan
Threats:
T1ck3tdump_tool
Phantomremote
Phantomtaskshell
Brockendoor
Phantomrshall
Rclone_tool
Meshagent_tool
Netstat_tool
Xenarmor_tool
Industry:
Petroleum
IOCs:
Path: 3
Command: 1
File: 2
IP: 9
Domain: 1
Hash: 24
Soft:
rsocx, XenAllPasswordPro
Algorithms:
sha256, zip, md5, sha1
Functions:
Get-Service
Win API:
WinExec
Languages:
powershell
Links:
have more...
26-08-2025
Updated Fairy Trickster Clique Tools and Possible Link to Lifting Zmiy
https://1.rt-solar.ru/solar-4rays/blog/5931/?_x_tr_enc=1
Report completeness: Medium
Actors/Campaigns:
Head_mare
Bo_team
Anonymous_sudan
Threats:
T1ck3tdump_tool
Phantomremote
Phantomtaskshell
Brockendoor
Phantomrshall
Rclone_tool
Meshagent_tool
Netstat_tool
Xenarmor_tool
Industry:
Petroleum
IOCs:
Path: 3
Command: 1
File: 2
IP: 9
Domain: 1
Hash: 24
Soft:
rsocx, XenAllPasswordPro
Algorithms:
sha256, zip, md5, sha1
Functions:
Get-Service
Win API:
WinExec
Languages:
powershell
Links:
have more...
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/b23r0/rsocxhttps://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/jun7th/tsocks
CTT Report Hub
#ParsedReport #CompletenessMedium 26-08-2025 Updated Fairy Trickster Clique Tools and Possible Link to Lifting Zmiy https://1.rt-solar.ru/solar-4rays/blog/5931/?_x_tr_enc=1 Report completeness: Medium Actors/Campaigns: Head_mare Bo_team Anonymous_sudan…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Fairy Trickster, также известная как Rainbow Hyena, демонстрирует возможности сложных целенаправленных атак с помощью сложного и развивающегося инструментария, включая пользовательские варианты вредоносного ПО и эксплойты для скрытности и закрепления. Их методы атак часто начинаются с кампаний фишинга, использующих социальную инженерию для распространения вредоносного ПО, которое обеспечивает эксфильтрацию данных или создает плацдарм для дальнейших атак. Существуют потенциальные связи с группой Lifting Zmiy, предполагающие общую тактику или оперативные цели, которые повышают их эффективность.
-----
Недавние сведения о группе Fairy Trickster, также известной как Rainbow Hyena, подчеркивают их эволюционирующий набор инструментов и потенциальные связи с другими хакерскими группировками, такими как Lifting Zmiy. Эта группа характеризуется сложными технологиями, которые указывают на высокий уровень операционной зрелости и адаптивности.
Были задокументированы значительные обновления их инструментов, что подчеркивает необходимость постоянного мониторинга и анализа. Группа Fairy Trickster использует множество вредоносных ПО и эксплойтов, которые позволяют им проводить сложные целенаправленные атаки (APT) против нескольких целевых организаций. Их инструментарий включает в себя пользовательские варианты вредоносного ПО, которые часто обновляются, чтобы избежать обнаружения и обойти протоколы безопасности. Кроме того, эти обновления предполагают растущее внимание к скрытности и закреплению в рамках их операционной системы.
Среди известных тактик, используемых группой Fairy Trickster, - стратегии социальной инженерии в сочетании с техническими подвигами. Они часто инициируют атаки с помощью кампаний фишинга, распространяя вредоносное ПО по, казалось бы, безобидным каналам для проникновения в системы своих целей. Оказавшись внутри, их пользовательское вредоносное ПО может незаметно отфильтровать конфиденциальные данные или создать плацдарм для дальнейших вредоносных действий.
Потенциальная связь с группой Lifting Zmiy открывает возможность использования общих методов или сходных оперативных целей этими двумя группами. Хотя точные детали их оперативной синергии остаются неясными, совпадающее поведение и тактика указывают на аспект сотрудничества или, по крайней мере, на общий пул разведывательных данных, который расширяет их соответствующие возможности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Fairy Trickster, также известная как Rainbow Hyena, демонстрирует возможности сложных целенаправленных атак с помощью сложного и развивающегося инструментария, включая пользовательские варианты вредоносного ПО и эксплойты для скрытности и закрепления. Их методы атак часто начинаются с кампаний фишинга, использующих социальную инженерию для распространения вредоносного ПО, которое обеспечивает эксфильтрацию данных или создает плацдарм для дальнейших атак. Существуют потенциальные связи с группой Lifting Zmiy, предполагающие общую тактику или оперативные цели, которые повышают их эффективность.
-----
Недавние сведения о группе Fairy Trickster, также известной как Rainbow Hyena, подчеркивают их эволюционирующий набор инструментов и потенциальные связи с другими хакерскими группировками, такими как Lifting Zmiy. Эта группа характеризуется сложными технологиями, которые указывают на высокий уровень операционной зрелости и адаптивности.
Были задокументированы значительные обновления их инструментов, что подчеркивает необходимость постоянного мониторинга и анализа. Группа Fairy Trickster использует множество вредоносных ПО и эксплойтов, которые позволяют им проводить сложные целенаправленные атаки (APT) против нескольких целевых организаций. Их инструментарий включает в себя пользовательские варианты вредоносного ПО, которые часто обновляются, чтобы избежать обнаружения и обойти протоколы безопасности. Кроме того, эти обновления предполагают растущее внимание к скрытности и закреплению в рамках их операционной системы.
Среди известных тактик, используемых группой Fairy Trickster, - стратегии социальной инженерии в сочетании с техническими подвигами. Они часто инициируют атаки с помощью кампаний фишинга, распространяя вредоносное ПО по, казалось бы, безобидным каналам для проникновения в системы своих целей. Оказавшись внутри, их пользовательское вредоносное ПО может незаметно отфильтровать конфиденциальные данные или создать плацдарм для дальнейших вредоносных действий.
Потенциальная связь с группой Lifting Zmiy открывает возможность использования общих методов или сходных оперативных целей этими двумя группами. Хотя точные детали их оперативной синергии остаются неясными, совпадающее поведение и тактика указывают на аспект сотрудничества или, по крайней мере, на общий пул разведывательных данных, который расширяет их соответствующие возможности.
#ParsedReport #CompletenessLow
26-08-2025
First AI Ransomware PromptLock Uses OpenAI gpt-oss-20b Model for Encryption
https://cybersecuritynews.com/first-ai-ransomware/
Report completeness: Low
Threats:
Promptlock
Filecoder
Screenconnect_tool
ChatGPT TTPs:
T1027, T1486, T1587
IOCs:
IP: 1
Hash: 6
Soft:
OpenAI, Ollama, twitter, Linux, macOS, citrix netscaler adc
Crypto:
bitcoin
Algorithms:
sha1
Languages:
golang, lua
Platforms:
cross-platform
26-08-2025
First AI Ransomware PromptLock Uses OpenAI gpt-oss-20b Model for Encryption
https://cybersecuritynews.com/first-ai-ransomware/
Report completeness: Low
Threats:
Promptlock
Filecoder
Screenconnect_tool
ChatGPT TTPs:
do not use without manual checkT1027, T1486, T1587
IOCs:
IP: 1
Hash: 6
Soft:
OpenAI, Ollama, twitter, Linux, macOS, citrix netscaler adc
Crypto:
bitcoin
Algorithms:
sha1
Languages:
golang, lua
Platforms:
cross-platform
Cyber Security News
First AI Ransomware ‘PromptLock’ Uses OpenAI gpt-oss-20b Model for Encryption
A new ransomware has been identified, which is believed to be the first-ever ransomware strain that leverages a local AI model to generate its malicious components.
CTT Report Hub
#ParsedReport #CompletenessLow 26-08-2025 First AI Ransomware PromptLock Uses OpenAI gpt-oss-20b Model for Encryption https://cybersecuritynews.com/first-ai-ransomware/ Report completeness: Low Threats: Promptlock Filecoder Screenconnect_tool ChatGPT…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PromptLock представляет собой новаторский сдвиг в области программ-вымогателей, поскольку является первым штаммом, использующим локальную модель искусственного интеллекта, в частности gpt-oss-20b от OpenAI, для генерации кода в режиме реального времени. Закодированный на Golang, он работает как в Windows, так и в Linux, что позволяет ему динамически создавать свою полезную нагрузку, что улучшает методы уклонения. Такое использование искусственного интеллекта для генерации кода может также привести к более сложным методам шифрования, усложняя восстановление данных для жертв и сигнализируя о тенденции к более совершенной тактике киберпреступников.
-----
Появление PromptLock знаменует собой значительное событие в мире программ-вымогателей, поскольку оно характеризуется как первый вид программ-вымогателей, использующий локальную модель искусственного интеллекта, в частности OpenAI gpt-oss-20b, для создания своих вредоносных компонентов. Это нововведение означает заметный сдвиг в сторону использования Искусственного интеллекта в тактике киберпреступников, позволяющий генерировать код программы-вымогателя в режиме реального времени.
PromptLock закодирован на Golang и был обнаружен как в средах Windows, так и в Linux, что указывает на его универсальность и потенциал воздействия на широкий спектр систем. Конструкция программы-вымогателя позволяет ей создавать свою полезную нагрузку "на лету", что может улучшить ее методы уклонения от традиционных мер безопасности.
Используя искусственный интеллект для генерации кода, PromptLock также может повысить сложность своих методов шифрования, что затруднит жертвам восстановление своих данных без уплаты выкупа. Интеграция искусственного интеллекта в программы-вымогатели свидетельствует о более широкой тенденции в киберпреступности, когда злоумышленники все чаще внедряют передовые технологии для повышения эффективности своих атак. Это событие вызывает серьезные опасения у специалистов по кибербезопасности и организаций, поскольку потенциально может привести к волне более адаптивных и сложных угроз со стороны программ-вымогателей в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
PromptLock представляет собой новаторский сдвиг в области программ-вымогателей, поскольку является первым штаммом, использующим локальную модель искусственного интеллекта, в частности gpt-oss-20b от OpenAI, для генерации кода в режиме реального времени. Закодированный на Golang, он работает как в Windows, так и в Linux, что позволяет ему динамически создавать свою полезную нагрузку, что улучшает методы уклонения. Такое использование искусственного интеллекта для генерации кода может также привести к более сложным методам шифрования, усложняя восстановление данных для жертв и сигнализируя о тенденции к более совершенной тактике киберпреступников.
-----
Появление PromptLock знаменует собой значительное событие в мире программ-вымогателей, поскольку оно характеризуется как первый вид программ-вымогателей, использующий локальную модель искусственного интеллекта, в частности OpenAI gpt-oss-20b, для создания своих вредоносных компонентов. Это нововведение означает заметный сдвиг в сторону использования Искусственного интеллекта в тактике киберпреступников, позволяющий генерировать код программы-вымогателя в режиме реального времени.
PromptLock закодирован на Golang и был обнаружен как в средах Windows, так и в Linux, что указывает на его универсальность и потенциал воздействия на широкий спектр систем. Конструкция программы-вымогателя позволяет ей создавать свою полезную нагрузку "на лету", что может улучшить ее методы уклонения от традиционных мер безопасности.
Используя искусственный интеллект для генерации кода, PromptLock также может повысить сложность своих методов шифрования, что затруднит жертвам восстановление своих данных без уплаты выкупа. Интеграция искусственного интеллекта в программы-вымогатели свидетельствует о более широкой тенденции в киберпреступности, когда злоумышленники все чаще внедряют передовые технологии для повышения эффективности своих атак. Это событие вызывает серьезные опасения у специалистов по кибербезопасности и организаций, поскольку потенциально может привести к волне более адаптивных и сложных угроз со стороны программ-вымогателей в будущем.
#ParsedReport #CompletenessLow
26-08-2025
You dont find ManualFinder, ManualFinder finds you
https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/
Report completeness: Low
Threats:
Manualfinder
Residential_proxy_technique
Justaskjacky
Apollo
Geo:
Malaysia, Panama
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036.005, T1053.005, T1059.007, T1090.001, T1105, T1218.005
IOCs:
File: 6
Path: 4
Command: 2
Hash: 23
Domain: 48
Soft:
Windows service
Algorithms:
sha256
Functions:
count
Languages:
javascript
Platforms:
intel
26-08-2025
You dont find ManualFinder, ManualFinder finds you
https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/
Report completeness: Low
Threats:
Manualfinder
Residential_proxy_technique
Justaskjacky
Apollo
Geo:
Malaysia, Panama
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036.005, T1053.005, T1059.007, T1090.001, T1105, T1218.005
IOCs:
File: 6
Path: 4
Command: 2
Hash: 23
Domain: 48
Soft:
Windows service
Algorithms:
sha256
Functions:
count
Languages:
javascript
Platforms:
intel
Expel
You don’t find ManualFinder, ManualFinder finds you
We're investigating ManualFinder, a trojan malware we're seeing in new activity, likely coming from potentially unwanted programs (PUPs).
CTT Report Hub
#ParsedReport #CompletenessLow 26-08-2025 You dont find ManualFinder, ManualFinder finds you https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/ Report completeness: Low Threats: Manualfinder Residential_proxy_technique Justaskjacky…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ManualFinder - это троянец, который использует запланированную задачу для выполнения файла JavaScript из временного каталога пользователя через Microsoft HTML Application Host (MSHTA), эффективно обходя меры безопасности. Вредоносное ПО, связанное с подозрительным веб-сайтом, на котором отсутствует механизм загрузки, вызывает опасения по поводу его легитимности и потенциальных злонамеренных намерений. Кроме того, вариант предлагает пользователям использовать свои устройства в качестве residential proxies, указывая на дальнейшие гнусные цели, связанные с эксплуатацией пользователей.
-----
Расследование конкретного троянского вредоносного ПО, известного как ManualFinder, раскрывает несколько технических подробностей о его работе, распространении и характеристиках. Первым показателем компрометации (IoC) была запланированная задача, которая вызвала предупреждение, когда Служба Windows попыталась выполнить код с помощью Microsoft HTML Application Host (MSHTA), который отвечает за запуск HTML-файлов, содержащих потенциально вредоносный код, такой как JavaScript.
Вредоносное ПО, идентифицированное как ManualFinder.msi, было загружено и запущено с помощью запланированной задачи, которая запускала файл JavaScript, находящийся во временном каталоге пользователя. Это выполнение вызывает особое беспокойство, поскольку оно обходит многочисленные меры безопасности, которые обычно могут обеспечить немедленное выполнение подозрительных файлов. Связь запланированной задачи с запуском этого файла JavaScript подчеркивает схему эксплуатации, которая использует законные процессы Windows для выполнения вредоносных полезных нагрузок.
Дальнейшее изучение приложения ManualFinder и веб-сайта, на котором оно размещено, выявило аномалии. На сайте, который имеет общий бренд с самим приложением — ManualFinder.app — отсутствует функциональный механизм загрузки, что вызывает подозрения в его легитимности. Этот тип обманной практики часто используется распространителями вредоносного ПО, чтобы казаться заслуживающим доверия, скрывая при этом истинные намерения и возможности.
Анализ распространяется на GlintSoftware, организацию, стоящую за программным обеспечением. Несмотря на то, что сертификат подписи кода идентифицировал Glint Software как зарегистрированный бизнес в Скудае, Джохор, Малайзия, существует мало информации о компании, что указывает на потенциальное запутывание или отсутствие прозрачности, типичные для злонамеренных акторов. Отсутствие значимого присутствия в Сети или информации о продукте усиливает опасения относительно предназначения программного обеспечения.
Проблему усугубляет наблюдение, что некоторым пользователям при использовании версии "PDF Editor", связанной с этим вредоносным ПО, было предложено дать согласие на использование их устройств в качестве residential proxies в обмен на доступ к предполагаемому бесплатному инструменту. Такое поведение свидетельствует о дополнительном злонамеренном намерении, поскольку оно направлено на использование пользовательских устройств для потенциально неблаговидных операций, таких как содействие незаконному трафику или другим вредоносным действиям.
Для снижения рисков, связанных с ManualFinder и аналогичными угрозами, организациям рекомендуется использовать ведение журнала конечных точек в своих системах управления информацией о безопасности и событиями (SIEM) или обнаружения конечных точек и реагирования на них (EDR). Крайне важно исследовать запланированные задачи, выполняющие JavaScript, и устранять любые выявленные угрозы. Кроме того, организациям следует активно искать IOCS, связанные с этим вредоносным ПО, чтобы усилить защиту от подобных кампаний. Предложенный поисковый запрос, которым поделился пользователь сообщества, может быть использован для конкретной идентификации файлов JavaScript, связанных с этим вредоносным ПО, что улучшает стратегии упреждающего обнаружения и реагирования.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
ManualFinder - это троянец, который использует запланированную задачу для выполнения файла JavaScript из временного каталога пользователя через Microsoft HTML Application Host (MSHTA), эффективно обходя меры безопасности. Вредоносное ПО, связанное с подозрительным веб-сайтом, на котором отсутствует механизм загрузки, вызывает опасения по поводу его легитимности и потенциальных злонамеренных намерений. Кроме того, вариант предлагает пользователям использовать свои устройства в качестве residential proxies, указывая на дальнейшие гнусные цели, связанные с эксплуатацией пользователей.
-----
Расследование конкретного троянского вредоносного ПО, известного как ManualFinder, раскрывает несколько технических подробностей о его работе, распространении и характеристиках. Первым показателем компрометации (IoC) была запланированная задача, которая вызвала предупреждение, когда Служба Windows попыталась выполнить код с помощью Microsoft HTML Application Host (MSHTA), который отвечает за запуск HTML-файлов, содержащих потенциально вредоносный код, такой как JavaScript.
Вредоносное ПО, идентифицированное как ManualFinder.msi, было загружено и запущено с помощью запланированной задачи, которая запускала файл JavaScript, находящийся во временном каталоге пользователя. Это выполнение вызывает особое беспокойство, поскольку оно обходит многочисленные меры безопасности, которые обычно могут обеспечить немедленное выполнение подозрительных файлов. Связь запланированной задачи с запуском этого файла JavaScript подчеркивает схему эксплуатации, которая использует законные процессы Windows для выполнения вредоносных полезных нагрузок.
Дальнейшее изучение приложения ManualFinder и веб-сайта, на котором оно размещено, выявило аномалии. На сайте, который имеет общий бренд с самим приложением — ManualFinder.app — отсутствует функциональный механизм загрузки, что вызывает подозрения в его легитимности. Этот тип обманной практики часто используется распространителями вредоносного ПО, чтобы казаться заслуживающим доверия, скрывая при этом истинные намерения и возможности.
Анализ распространяется на GlintSoftware, организацию, стоящую за программным обеспечением. Несмотря на то, что сертификат подписи кода идентифицировал Glint Software как зарегистрированный бизнес в Скудае, Джохор, Малайзия, существует мало информации о компании, что указывает на потенциальное запутывание или отсутствие прозрачности, типичные для злонамеренных акторов. Отсутствие значимого присутствия в Сети или информации о продукте усиливает опасения относительно предназначения программного обеспечения.
Проблему усугубляет наблюдение, что некоторым пользователям при использовании версии "PDF Editor", связанной с этим вредоносным ПО, было предложено дать согласие на использование их устройств в качестве residential proxies в обмен на доступ к предполагаемому бесплатному инструменту. Такое поведение свидетельствует о дополнительном злонамеренном намерении, поскольку оно направлено на использование пользовательских устройств для потенциально неблаговидных операций, таких как содействие незаконному трафику или другим вредоносным действиям.
Для снижения рисков, связанных с ManualFinder и аналогичными угрозами, организациям рекомендуется использовать ведение журнала конечных точек в своих системах управления информацией о безопасности и событиями (SIEM) или обнаружения конечных точек и реагирования на них (EDR). Крайне важно исследовать запланированные задачи, выполняющие JavaScript, и устранять любые выявленные угрозы. Кроме того, организациям следует активно искать IOCS, связанные с этим вредоносным ПО, чтобы усилить защиту от подобных кампаний. Предложенный поисковый запрос, которым поделился пользователь сообщества, может быть использован для конкретной идентификации файлов JavaScript, связанных с этим вредоносным ПО, что улучшает стратегии упреждающего обнаружения и реагирования.
#ParsedReport #CompletenessLow
26-08-2025
Hook Version 3: The Banking Trojan with The Most Advanced Capabilities
https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities
Report completeness: Low
Threats:
Ermac
Brokewell
Jsonpacker_tool
Hvnc_tool
Victims:
Financial institutions, Enterprises, End users
Industry:
Financial
TTPs:
Tactics: 9
Technics: 30
IOCs:
File: 1
Soft:
Android, RabbitMQ, telegram, google chrome, Mycelium, Whatsapp, Gmail
Wallets:
exodus_wallet, metamask, coinbase, safepal
Crypto:
bitcoin
Languages:
javascript
Links:
26-08-2025
Hook Version 3: The Banking Trojan with The Most Advanced Capabilities
https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities
Report completeness: Low
Threats:
Ermac
Brokewell
Jsonpacker_tool
Hvnc_tool
Victims:
Financial institutions, Enterprises, End users
Industry:
Financial
TTPs:
Tactics: 9
Technics: 30
IOCs:
File: 1
Soft:
Android, RabbitMQ, telegram, google chrome, Mycelium, Whatsapp, Gmail
Wallets:
exodus_wallet, metamask, coinbase, safepal
Crypto:
bitcoin
Languages:
javascript
Links:
https://github.com/Zimperium/IOC/tree/master/2025-08-Hookv3Zimperium
Hook Version 3: The Banking Trojan with The Most Advanced Capabilities
true
CTT Report Hub
#ParsedReport #CompletenessLow 26-08-2025 Hook Version 3: The Banking Trojan with The Most Advanced Capabilities https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities Report completeness: Low Threats: Ermac Brokewell…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Последняя версия банковского трояна Hook для Android использует передовые методы распространения, в частности, через GitHub, и расширяет свои возможности за счет таких функций, как оверлеи в стиле программ-вымогателей, которые могут угрожать жертвам и получать информацию о выкупе с сервера управления. Он использует службы специальных возможностей Android для автоматизации мошенничества и доступа к устройствам, реализуя наложения, имитирующие законные интерфейсы для фишингов-атак, в частности, нацеленных на финансовую информацию. Вредоносное ПО демонстрирует признаки продолжающейся разработки, намекая на будущие расширения функций и меняющийся ландшафт угроз для банковских Trojan.
-----
Появился последний вариант банковского трояна Hook для Android, демонстрирующий расширенные возможности, которые усиливают угрозу, которую он представляет. Это вредоносное ПО использует различные методы распространения, в частности, через репозитории GitHub, в которых размещаются как старые, так и новые варианты вредоносного ПО, такие как Hook и Ermac, а также другие вредоносные программы, такие как Brokewell и SMS-шпионское ПО.
Hook использует службы специальных возможностей Android для автоматизации мошенничества и удаленного управления устройствами, усовершенствовав набор команд и методы наложения. Одним из существенных улучшений является его способность развертывать оверлей в стиле программ-вымогателей, который угрожает жертвам предупреждающим сообщением и динамически извлекает информацию о выкупе с сервера управления (C2). Злоумышленники могут инициировать это наложение удаленно, а также имеют возможность удалить его по своему желанию с помощью определенных команд.
Другой примечательной функцией является поддельное наложение NFC, активируемое с помощью команды "takenfc". Это наложение имитирует законный интерфейс сканирования NFC; однако в текущей реализации отсутствует необходимый JavaScript для захвата конфиденциальных входных данных, что указывает на потенциал для будущих расширений функций. Кроме того, Hook использует наложение на экран блокировки устройства, чтобы обманом заставить пользователей ввести свои шаблоны разблокировки или PIN-коды, предоставляя злоумышленникам несанкционированный доступ после получения этих учетных данных.
Чтобы помочь в атаках фишинга, вредоносное ПО создает полноэкранные оверлеи для кражи информации о кредитных картах, имитируя интерфейсы, такие как Google Pay, для сбора конфиденциальных данных. Такое поведение инициируется, когда с сервера поступает команда "takencard", демонстрирующая адаптивность вредоносного ПО к атакам на различную финансовую информацию.
Есть признаки того, что злоумышленники планируют интегрировать дополнительные функции, включая использование Telegram для связи C2. Предыдущие анализы выявили изменения в строках ведения журнала вредоносного ПО, что свидетельствует о продолжающейся разработке. Эволюционирующий характер Hook указывает на тревожную тенденцию, когда банковские трояны все чаще переплетаются со шпионскими программами и программами-вымогателями, повышая риски как для финансовых учреждений, так и для пользователей.
Защита от мобильных угроз Zimperium и Mobile Runtime Protection обеспечивают динамическое обнаружение на устройстве Hook и подобных объектов, особенно тех, которые загружаются с сайтов фишинга или GitHub, что подчеркивает насущную необходимость в надежных мерах безопасности по мере развития этих угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Последняя версия банковского трояна Hook для Android использует передовые методы распространения, в частности, через GitHub, и расширяет свои возможности за счет таких функций, как оверлеи в стиле программ-вымогателей, которые могут угрожать жертвам и получать информацию о выкупе с сервера управления. Он использует службы специальных возможностей Android для автоматизации мошенничества и доступа к устройствам, реализуя наложения, имитирующие законные интерфейсы для фишингов-атак, в частности, нацеленных на финансовую информацию. Вредоносное ПО демонстрирует признаки продолжающейся разработки, намекая на будущие расширения функций и меняющийся ландшафт угроз для банковских Trojan.
-----
Появился последний вариант банковского трояна Hook для Android, демонстрирующий расширенные возможности, которые усиливают угрозу, которую он представляет. Это вредоносное ПО использует различные методы распространения, в частности, через репозитории GitHub, в которых размещаются как старые, так и новые варианты вредоносного ПО, такие как Hook и Ermac, а также другие вредоносные программы, такие как Brokewell и SMS-шпионское ПО.
Hook использует службы специальных возможностей Android для автоматизации мошенничества и удаленного управления устройствами, усовершенствовав набор команд и методы наложения. Одним из существенных улучшений является его способность развертывать оверлей в стиле программ-вымогателей, который угрожает жертвам предупреждающим сообщением и динамически извлекает информацию о выкупе с сервера управления (C2). Злоумышленники могут инициировать это наложение удаленно, а также имеют возможность удалить его по своему желанию с помощью определенных команд.
Другой примечательной функцией является поддельное наложение NFC, активируемое с помощью команды "takenfc". Это наложение имитирует законный интерфейс сканирования NFC; однако в текущей реализации отсутствует необходимый JavaScript для захвата конфиденциальных входных данных, что указывает на потенциал для будущих расширений функций. Кроме того, Hook использует наложение на экран блокировки устройства, чтобы обманом заставить пользователей ввести свои шаблоны разблокировки или PIN-коды, предоставляя злоумышленникам несанкционированный доступ после получения этих учетных данных.
Чтобы помочь в атаках фишинга, вредоносное ПО создает полноэкранные оверлеи для кражи информации о кредитных картах, имитируя интерфейсы, такие как Google Pay, для сбора конфиденциальных данных. Такое поведение инициируется, когда с сервера поступает команда "takencard", демонстрирующая адаптивность вредоносного ПО к атакам на различную финансовую информацию.
Есть признаки того, что злоумышленники планируют интегрировать дополнительные функции, включая использование Telegram для связи C2. Предыдущие анализы выявили изменения в строках ведения журнала вредоносного ПО, что свидетельствует о продолжающейся разработке. Эволюционирующий характер Hook указывает на тревожную тенденцию, когда банковские трояны все чаще переплетаются со шпионскими программами и программами-вымогателями, повышая риски как для финансовых учреждений, так и для пользователей.
Защита от мобильных угроз Zimperium и Mobile Runtime Protection обеспечивают динамическое обнаружение на устройстве Hook и подобных объектов, особенно тех, которые загружаются с сайтов фишинга или GitHub, что подчеркивает насущную необходимость в надежных мерах безопасности по мере развития этих угроз.
#ParsedReport #CompletenessLow
25-08-2025
Android Droppers: The Silent Gatekeepers of Malware
https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware
Report completeness: Low
Actors/Campaigns:
Zombinder
Threats:
Securidropper
Brokewell
Tiramisudropper
Spynote_rat
Victims:
Android users
Industry:
Financial, Government
Geo:
Asia, India, Brazil, Singapore, Thailand
ChatGPT TTPs:
T1105, T1204.002, T1516
Soft:
Android, Gatekeepers, Google Play, WhatsApp
Crypto:
monero
25-08-2025
Android Droppers: The Silent Gatekeepers of Malware
https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware
Report completeness: Low
Actors/Campaigns:
Zombinder
Threats:
Securidropper
Brokewell
Tiramisudropper
Spynote_rat
Victims:
Android users
Industry:
Financial, Government
Geo:
Asia, India, Brazil, Singapore, Thailand
ChatGPT TTPs:
do not use without manual checkT1105, T1204.002, T1516
Soft:
Android, Gatekeepers, Google Play, WhatsApp
Crypto:
monero
ThreatFabric
Android Droppers: The Silent Gatekeepers of Malware
In our latest research we describe how droppers on Android are the silent malware gate keepers.
CTT Report Hub
#ParsedReport #CompletenessLow 25-08-2025 Android Droppers: The Silent Gatekeepers of Malware https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware Report completeness: Low Actors/Campaigns: Zombinder Threats: Securidropper…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Android-дропперы - это вредоносные приложения, предназначенные для установки вредоносного ПО, такого как банковские трояны и трояны удаленного доступа, на устройства, которые выглядят безобидными. Эти дропперы используют повышенные разрешения, запрашивая доступ к таким функциям, как службы специальных возможностей, после установки, что позволяет им выполнять вредоносные действия без немедленного обнаружения. Их эволюция отражает текущие проблемы в борьбе с мобильным вредоносным ПО, особенно по мере того, как злоумышленники адаптируются к усиленным мерам безопасности в Android.
-----
Android-дропперы служат важнейшим компонентом в распространении вредоносного ПО в экосистеме Android. Это, казалось бы, безобидные приложения, разработанные специально для извлечения и установки вредоносной полезной нагрузки на устройство. Они были особенно распространены при внедрении банковских троянов и троянцев удаленного доступа (RATs). Эволюция мер безопасности Android, особенно после введенных в Android 13 ограничений, которые ужесточили разрешения и доступ к API, еще больше подчеркнула роль дропперов в сокрытии вредоносной активности.
Эффективное использование дропперов позволяет злоумышленникам обходить первоначальные процессы сканирования, поскольку эти небольшие приложения не проявляют явно вредоносного поведения в момент установки. Как только дроппер установлен, он впоследствии может запрашивать критические разрешения, такие как службы специальных возможностей, тем самым получая расширенные возможности для выполнения своих вредоносных функций. Этот механизм позволяет злоумышленникам оставаться незаметными при реализации своих вредоносных намерений, что в конечном счете облегчает беспрепятственную установку более разрушительных полезных программ, избегая при этом немедленного обнаружения.
По мере развития стратегий, связанных с мобильным вредоносным ПО, дропперы будут оставаться основной тактикой киберпреступников, стремящихся использовать пользовательские устройства скрытными способами. Эффективность такого подхода при использовании обновленных протоколов безопасности вызывает серьезную озабоченность у специалистов по кибербезопасности, подчеркивая необходимость в постоянно адаптируемых защитных механизмах для защиты от таких угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Android-дропперы - это вредоносные приложения, предназначенные для установки вредоносного ПО, такого как банковские трояны и трояны удаленного доступа, на устройства, которые выглядят безобидными. Эти дропперы используют повышенные разрешения, запрашивая доступ к таким функциям, как службы специальных возможностей, после установки, что позволяет им выполнять вредоносные действия без немедленного обнаружения. Их эволюция отражает текущие проблемы в борьбе с мобильным вредоносным ПО, особенно по мере того, как злоумышленники адаптируются к усиленным мерам безопасности в Android.
-----
Android-дропперы служат важнейшим компонентом в распространении вредоносного ПО в экосистеме Android. Это, казалось бы, безобидные приложения, разработанные специально для извлечения и установки вредоносной полезной нагрузки на устройство. Они были особенно распространены при внедрении банковских троянов и троянцев удаленного доступа (RATs). Эволюция мер безопасности Android, особенно после введенных в Android 13 ограничений, которые ужесточили разрешения и доступ к API, еще больше подчеркнула роль дропперов в сокрытии вредоносной активности.
Эффективное использование дропперов позволяет злоумышленникам обходить первоначальные процессы сканирования, поскольку эти небольшие приложения не проявляют явно вредоносного поведения в момент установки. Как только дроппер установлен, он впоследствии может запрашивать критические разрешения, такие как службы специальных возможностей, тем самым получая расширенные возможности для выполнения своих вредоносных функций. Этот механизм позволяет злоумышленникам оставаться незаметными при реализации своих вредоносных намерений, что в конечном счете облегчает беспрепятственную установку более разрушительных полезных программ, избегая при этом немедленного обнаружения.
По мере развития стратегий, связанных с мобильным вредоносным ПО, дропперы будут оставаться основной тактикой киберпреступников, стремящихся использовать пользовательские устройства скрытными способами. Эффективность такого подхода при использовании обновленных протоколов безопасности вызывает серьезную озабоченность у специалистов по кибербезопасности, подчеркивая необходимость в постоянно адаптируемых защитных механизмах для защиты от таких угроз.
#ParsedReport #CompletenessLow
26-08-2025
Interlock ransomware, a corporate targeting attack
https://asec.ahnlab.com/ko/89837/
Report completeness: Low
Actors/Campaigns:
Interlock
Threats:
Interlock
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Victims:
Companies, Critical infrastructure organizations
Industry:
Critical_infrastructure
Geo:
America
ChatGPT TTPs:
T1027, T1486, T1620, T1622
IOCs:
Hash: 5
File: 2
Soft:
OpenSSL, task scheduler, Windows Defender
Algorithms:
aes-256-gcm, md5, aes, rsa-4096
26-08-2025
Interlock ransomware, a corporate targeting attack
https://asec.ahnlab.com/ko/89837/
Report completeness: Low
Actors/Campaigns:
Interlock
Threats:
Interlock
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946
Victims:
Companies, Critical infrastructure organizations
Industry:
Critical_infrastructure
Geo:
America
ChatGPT TTPs:
do not use without manual checkT1027, T1486, T1620, T1622
IOCs:
Hash: 5
File: 2
Soft:
OpenSSL, task scheduler, Windows Defender
Algorithms:
aes-256-gcm, md5, aes, rsa-4096
ASEC
기업 타겟 공격, Interlock 랜섬웨어 - ASEC
기업 타겟 공격, Interlock 랜섬웨어 ASEC