#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Fairy Trickster, также известная как Rainbow Hyena, демонстрирует возможности сложных целенаправленных атак с помощью сложного и развивающегося инструментария, включая пользовательские варианты вредоносного ПО и эксплойты для скрытности и закрепления. Их методы атак часто начинаются с кампаний фишинга, использующих социальную инженерию для распространения вредоносного ПО, которое обеспечивает эксфильтрацию данных или создает плацдарм для дальнейших атак. Существуют потенциальные связи с группой Lifting Zmiy, предполагающие общую тактику или оперативные цели, которые повышают их эффективность.
-----

Недавние сведения о группе Fairy Trickster, также известной как Rainbow Hyena, подчеркивают их эволюционирующий набор инструментов и потенциальные связи с другими хакерскими группировками, такими как Lifting Zmiy. Эта группа характеризуется сложными технологиями, которые указывают на высокий уровень операционной зрелости и адаптивности.

Были задокументированы значительные обновления их инструментов, что подчеркивает необходимость постоянного мониторинга и анализа. Группа Fairy Trickster использует множество вредоносных ПО и эксплойтов, которые позволяют им проводить сложные целенаправленные атаки (APT) против нескольких целевых организаций. Их инструментарий включает в себя пользовательские варианты вредоносного ПО, которые часто обновляются, чтобы избежать обнаружения и обойти протоколы безопасности. Кроме того, эти обновления предполагают растущее внимание к скрытности и закреплению в рамках их операционной системы.

Среди известных тактик, используемых группой Fairy Trickster, - стратегии социальной инженерии в сочетании с техническими подвигами. Они часто инициируют атаки с помощью кампаний фишинга, распространяя вредоносное ПО по, казалось бы, безобидным каналам для проникновения в системы своих целей. Оказавшись внутри, их пользовательское вредоносное ПО может незаметно отфильтровать конфиденциальные данные или создать плацдарм для дальнейших вредоносных действий.

Потенциальная связь с группой Lifting Zmiy открывает возможность использования общих методов или сходных оперативных целей этими двумя группами. Хотя точные детали их оперативной синергии остаются неясными, совпадающее поведение и тактика указывают на аспект сотрудничества или, по крайней мере, на общий пул разведывательных данных, который расширяет их соответствующие возможности.

#ParsedReport #CompletenessLow
26-08-2025

First AI Ransomware PromptLock Uses OpenAI gpt-oss-20b Model for Encryption

https://cybersecuritynews.com/first-ai-ransomware/

Report completeness: Low

Threats:
Promptlock
Filecoder
Screenconnect_tool

ChatGPT TTPs:
do not use without manual check
T1027, T1486, T1587

IOCs:
IP: 1
Hash: 6

Soft:
OpenAI, Ollama, twitter, Linux, macOS, citrix netscaler adc

Crypto:
bitcoin

Algorithms:
sha1

Languages:
golang, lua

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptLock представляет собой новаторский сдвиг в области программ-вымогателей, поскольку является первым штаммом, использующим локальную модель искусственного интеллекта, в частности gpt-oss-20b от OpenAI, для генерации кода в режиме реального времени. Закодированный на Golang, он работает как в Windows, так и в Linux, что позволяет ему динамически создавать свою полезную нагрузку, что улучшает методы уклонения. Такое использование искусственного интеллекта для генерации кода может также привести к более сложным методам шифрования, усложняя восстановление данных для жертв и сигнализируя о тенденции к более совершенной тактике киберпреступников.
-----

Появление PromptLock знаменует собой значительное событие в мире программ-вымогателей, поскольку оно характеризуется как первый вид программ-вымогателей, использующий локальную модель искусственного интеллекта, в частности OpenAI gpt-oss-20b, для создания своих вредоносных компонентов. Это нововведение означает заметный сдвиг в сторону использования Искусственного интеллекта в тактике киберпреступников, позволяющий генерировать код программы-вымогателя в режиме реального времени.

PromptLock закодирован на Golang и был обнаружен как в средах Windows, так и в Linux, что указывает на его универсальность и потенциал воздействия на широкий спектр систем. Конструкция программы-вымогателя позволяет ей создавать свою полезную нагрузку "на лету", что может улучшить ее методы уклонения от традиционных мер безопасности.

Используя искусственный интеллект для генерации кода, PromptLock также может повысить сложность своих методов шифрования, что затруднит жертвам восстановление своих данных без уплаты выкупа. Интеграция искусственного интеллекта в программы-вымогатели свидетельствует о более широкой тенденции в киберпреступности, когда злоумышленники все чаще внедряют передовые технологии для повышения эффективности своих атак. Это событие вызывает серьезные опасения у специалистов по кибербезопасности и организаций, поскольку потенциально может привести к волне более адаптивных и сложных угроз со стороны программ-вымогателей в будущем.

#ParsedReport #CompletenessLow
26-08-2025

You dont find ManualFinder, ManualFinder finds you

https://expel.com/blog/you-dont-find-manualfinder-manualfinder-finds-you/

Report completeness: Low

Threats:
Manualfinder
Residential_proxy_technique
Justaskjacky
Apollo

Geo:
Malaysia, Panama

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.005, T1053.005, T1059.007, T1090.001, T1105, T1218.005

IOCs:
File: 6
Path: 4
Command: 2
Hash: 23
Domain: 48

Soft:
Windows service

Algorithms:
sha256

Functions:
count

Languages:
javascript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ManualFinder - это троянец, который использует запланированную задачу для выполнения файла JavaScript из временного каталога пользователя через Microsoft HTML Application Host (MSHTA), эффективно обходя меры безопасности. Вредоносное ПО, связанное с подозрительным веб-сайтом, на котором отсутствует механизм загрузки, вызывает опасения по поводу его легитимности и потенциальных злонамеренных намерений. Кроме того, вариант предлагает пользователям использовать свои устройства в качестве residential proxies, указывая на дальнейшие гнусные цели, связанные с эксплуатацией пользователей.
-----

Расследование конкретного троянского вредоносного ПО, известного как ManualFinder, раскрывает несколько технических подробностей о его работе, распространении и характеристиках. Первым показателем компрометации (IoC) была запланированная задача, которая вызвала предупреждение, когда Служба Windows попыталась выполнить код с помощью Microsoft HTML Application Host (MSHTA), который отвечает за запуск HTML-файлов, содержащих потенциально вредоносный код, такой как JavaScript.

Вредоносное ПО, идентифицированное как ManualFinder.msi, было загружено и запущено с помощью запланированной задачи, которая запускала файл JavaScript, находящийся во временном каталоге пользователя. Это выполнение вызывает особое беспокойство, поскольку оно обходит многочисленные меры безопасности, которые обычно могут обеспечить немедленное выполнение подозрительных файлов. Связь запланированной задачи с запуском этого файла JavaScript подчеркивает схему эксплуатации, которая использует законные процессы Windows для выполнения вредоносных полезных нагрузок.

Дальнейшее изучение приложения ManualFinder и веб-сайта, на котором оно размещено, выявило аномалии. На сайте, который имеет общий бренд с самим приложением — ManualFinder.app — отсутствует функциональный механизм загрузки, что вызывает подозрения в его легитимности. Этот тип обманной практики часто используется распространителями вредоносного ПО, чтобы казаться заслуживающим доверия, скрывая при этом истинные намерения и возможности.

Анализ распространяется на GlintSoftware, организацию, стоящую за программным обеспечением. Несмотря на то, что сертификат подписи кода идентифицировал Glint Software как зарегистрированный бизнес в Скудае, Джохор, Малайзия, существует мало информации о компании, что указывает на потенциальное запутывание или отсутствие прозрачности, типичные для злонамеренных акторов. Отсутствие значимого присутствия в Сети или информации о продукте усиливает опасения относительно предназначения программного обеспечения.

Проблему усугубляет наблюдение, что некоторым пользователям при использовании версии "PDF Editor", связанной с этим вредоносным ПО, было предложено дать согласие на использование их устройств в качестве residential proxies в обмен на доступ к предполагаемому бесплатному инструменту. Такое поведение свидетельствует о дополнительном злонамеренном намерении, поскольку оно направлено на использование пользовательских устройств для потенциально неблаговидных операций, таких как содействие незаконному трафику или другим вредоносным действиям.

Для снижения рисков, связанных с ManualFinder и аналогичными угрозами, организациям рекомендуется использовать ведение журнала конечных точек в своих системах управления информацией о безопасности и событиями (SIEM) или обнаружения конечных точек и реагирования на них (EDR). Крайне важно исследовать запланированные задачи, выполняющие JavaScript, и устранять любые выявленные угрозы. Кроме того, организациям следует активно искать IOCS, связанные с этим вредоносным ПО, чтобы усилить защиту от подобных кампаний. Предложенный поисковый запрос, которым поделился пользователь сообщества, может быть использован для конкретной идентификации файлов JavaScript, связанных с этим вредоносным ПО, что улучшает стратегии упреждающего обнаружения и реагирования.

#ParsedReport #CompletenessLow
26-08-2025

Hook Version 3: The Banking Trojan with The Most Advanced Capabilities

https://zimperium.com/blog/hook-version-3-the-banking-trojan-with-the-most-advanced-capabilities

Report completeness: Low

Threats:
Ermac
Brokewell
Jsonpacker_tool
Hvnc_tool

Victims:
Financial institutions, Enterprises, End users

Industry:
Financial

TTPs:
Tactics: 9
Technics: 30

IOCs:
File: 1

Soft:
Android, RabbitMQ, telegram, google chrome, Mycelium, Whatsapp, Gmail

Wallets:
exodus_wallet, metamask, coinbase, safepal

Crypto:
bitcoin

Languages:
javascript

Links:
https://github.com/Zimperium/IOC/tree/master/2025-08-Hookv3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Последняя версия банковского трояна Hook для Android использует передовые методы распространения, в частности, через GitHub, и расширяет свои возможности за счет таких функций, как оверлеи в стиле программ-вымогателей, которые могут угрожать жертвам и получать информацию о выкупе с сервера управления. Он использует службы специальных возможностей Android для автоматизации мошенничества и доступа к устройствам, реализуя наложения, имитирующие законные интерфейсы для фишингов-атак, в частности, нацеленных на финансовую информацию. Вредоносное ПО демонстрирует признаки продолжающейся разработки, намекая на будущие расширения функций и меняющийся ландшафт угроз для банковских Trojan.
-----

Появился последний вариант банковского трояна Hook для Android, демонстрирующий расширенные возможности, которые усиливают угрозу, которую он представляет. Это вредоносное ПО использует различные методы распространения, в частности, через репозитории GitHub, в которых размещаются как старые, так и новые варианты вредоносного ПО, такие как Hook и Ermac, а также другие вредоносные программы, такие как Brokewell и SMS-шпионское ПО.

Hook использует службы специальных возможностей Android для автоматизации мошенничества и удаленного управления устройствами, усовершенствовав набор команд и методы наложения. Одним из существенных улучшений является его способность развертывать оверлей в стиле программ-вымогателей, который угрожает жертвам предупреждающим сообщением и динамически извлекает информацию о выкупе с сервера управления (C2). Злоумышленники могут инициировать это наложение удаленно, а также имеют возможность удалить его по своему желанию с помощью определенных команд.

Другой примечательной функцией является поддельное наложение NFC, активируемое с помощью команды "takenfc". Это наложение имитирует законный интерфейс сканирования NFC; однако в текущей реализации отсутствует необходимый JavaScript для захвата конфиденциальных входных данных, что указывает на потенциал для будущих расширений функций. Кроме того, Hook использует наложение на экран блокировки устройства, чтобы обманом заставить пользователей ввести свои шаблоны разблокировки или PIN-коды, предоставляя злоумышленникам несанкционированный доступ после получения этих учетных данных.

Чтобы помочь в атаках фишинга, вредоносное ПО создает полноэкранные оверлеи для кражи информации о кредитных картах, имитируя интерфейсы, такие как Google Pay, для сбора конфиденциальных данных. Такое поведение инициируется, когда с сервера поступает команда "takencard", демонстрирующая адаптивность вредоносного ПО к атакам на различную финансовую информацию.

Есть признаки того, что злоумышленники планируют интегрировать дополнительные функции, включая использование Telegram для связи C2. Предыдущие анализы выявили изменения в строках ведения журнала вредоносного ПО, что свидетельствует о продолжающейся разработке. Эволюционирующий характер Hook указывает на тревожную тенденцию, когда банковские трояны все чаще переплетаются со шпионскими программами и программами-вымогателями, повышая риски как для финансовых учреждений, так и для пользователей.

Защита от мобильных угроз Zimperium и Mobile Runtime Protection обеспечивают динамическое обнаружение на устройстве Hook и подобных объектов, особенно тех, которые загружаются с сайтов фишинга или GitHub, что подчеркивает насущную необходимость в надежных мерах безопасности по мере развития этих угроз.

#ParsedReport #CompletenessLow
25-08-2025

Android Droppers: The Silent Gatekeepers of Malware

https://www.threatfabric.com/blogs/android-droppers-the-silent-gatekeepers-of-malware

Report completeness: Low

Actors/Campaigns:
Zombinder

Threats:
Securidropper
Brokewell
Tiramisudropper
Spynote_rat

Victims:
Android users

Industry:
Financial, Government

Geo:
Asia, India, Brazil, Singapore, Thailand

ChatGPT TTPs:
do not use without manual check
T1105, T1204.002, T1516

Soft:
Android, Gatekeepers, Google Play, WhatsApp

Crypto:
monero

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Android-дропперы - это вредоносные приложения, предназначенные для установки вредоносного ПО, такого как банковские трояны и трояны удаленного доступа, на устройства, которые выглядят безобидными. Эти дропперы используют повышенные разрешения, запрашивая доступ к таким функциям, как службы специальных возможностей, после установки, что позволяет им выполнять вредоносные действия без немедленного обнаружения. Их эволюция отражает текущие проблемы в борьбе с мобильным вредоносным ПО, особенно по мере того, как злоумышленники адаптируются к усиленным мерам безопасности в Android.
-----

Android-дропперы служат важнейшим компонентом в распространении вредоносного ПО в экосистеме Android. Это, казалось бы, безобидные приложения, разработанные специально для извлечения и установки вредоносной полезной нагрузки на устройство. Они были особенно распространены при внедрении банковских троянов и троянцев удаленного доступа (RATs). Эволюция мер безопасности Android, особенно после введенных в Android 13 ограничений, которые ужесточили разрешения и доступ к API, еще больше подчеркнула роль дропперов в сокрытии вредоносной активности.

Эффективное использование дропперов позволяет злоумышленникам обходить первоначальные процессы сканирования, поскольку эти небольшие приложения не проявляют явно вредоносного поведения в момент установки. Как только дроппер установлен, он впоследствии может запрашивать критические разрешения, такие как службы специальных возможностей, тем самым получая расширенные возможности для выполнения своих вредоносных функций. Этот механизм позволяет злоумышленникам оставаться незаметными при реализации своих вредоносных намерений, что в конечном счете облегчает беспрепятственную установку более разрушительных полезных программ, избегая при этом немедленного обнаружения.

По мере развития стратегий, связанных с мобильным вредоносным ПО, дропперы будут оставаться основной тактикой киберпреступников, стремящихся использовать пользовательские устройства скрытными способами. Эффективность такого подхода при использовании обновленных протоколов безопасности вызывает серьезную озабоченность у специалистов по кибербезопасности, подчеркивая необходимость в постоянно адаптируемых защитных механизмах для защиты от таких угроз.

#ParsedReport #CompletenessLow
26-08-2025

Interlock ransomware, a corporate targeting attack

https://asec.ahnlab.com/ko/89837/

Report completeness: Low

Actors/Campaigns:
Interlock

Threats:
Interlock
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1946

Victims:
Companies, Critical infrastructure organizations

Industry:
Critical_infrastructure

Geo:
America

ChatGPT TTPs:
do not use without manual check
T1027, T1486, T1620, T1622

IOCs:
Hash: 5
File: 2

Soft:
OpenSSL, task scheduler, Windows Defender

Algorithms:
aes-256-gcm, md5, aes, rsa-4096

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock ransomware, выявленный в конце сентября 2024 года, нацелен на предприятия и критически важную инфраструктуру путем шифрования файлов и эксфильтрации конфиденциальных данных. Он использует AES-256-GCM для шифрования и RSA-4096 для обмена ключами, встраивая открытый ключ в зашифрованные файлы для расшифровки, что усложняет усилия по восстановлению. Вредоносное ПО избегает пост-шифрования сетевых сообщений и использует методы обфускации для сокрытия своих операций, что затрудняет обнаружение и анализ для специалистов по кибербезопасности.
-----

С момента своего появления в конце сентября 2024 года Interlock Ransomware стала серьезной угрозой, нацеленной на предприятия и критически важную инфраструктуру по всему миру. Эта киберпреступная группировка использует типичную методологию вымогателей, при которой она не только шифрует файлы в скомпрометированных системах, но и извлекает конфиденциальную информацию. Если жертвы не удовлетворят требования о выкупе, украденным данным грозит публичное раскрытие, что подчеркивает двойной характер их атак.

Техническая архитектура Interlock ransomware примечательна использованием алгоритма шифрования AES-256-GCM, который предназначен для эффективной защиты файлов. Программа-вымогатель использует RSA-4096 для обмена ключами, где симметричный ключ и вектор инициализации (IV) шифруются и добавляются в конец зашифрованного файла. Этот предварительно встроенный открытый ключ позволяет злоумышленникам расшифровывать файлы, используя соответствующий им закрытый ключ. Использование библиотеки OpenSSL повышает безопасность зашифрованных данных, что делает восстановление без выплаты выкупа чрезвычайно сложной задачей для жертв. Интересно, что программа-вымогатель не участвует в сетевом обмене данными после шифрования, сосредоточившись исключительно на локальных процессах. Такая конструкция намеренно ограничивает способы, с помощью которых жертвы могут восстановить данные, поскольку работа вредоносного ПО завершается без внешних взаимодействий, оставляя мало следов.

Кроме того, Interlock ransomware использует продвинутую тактику, чтобы избежать обнаружения. Он запутывает свой основной код перед выполнением, распаковывая основную функциональность в памяти только во время выполнения. Этот метод не только скрывает логику программы-вымогателя от традиционных механизмов обнаружения, но и замедляет усилия по анализу безопасности, создавая уровень уклонения, который усложняет стратегии смягчения последствий для специалистов по кибербезопасности. Следовательно, сочетание сложного шифрования и тактики скрытности значительно повышает риски, связанные с Interlock ransomware, что делает его заметным игроком на развивающемся рынке программ-вымогателей.

#ParsedReport #CompletenessLow
26-08-2025

Trusted My Summarizer, Now My Fridge Is Encrypted How Threat Actors Could Weaponize AI Summarizers with CSS-Based ClickFix Attacks

https://www.cloudsek.com/blog/trusted-my-summarizer-now-my-fridge-is-encrypted----how-threat-actors-could-weaponize-ai-summarizers-with-css-based-clickfix-attacks

Report completeness: Low

Threats:
Clickfix_technique
Mimic_ransomware
Clickflix_technique
Seo_poisoning_technique

Victims:
Users of ai summarizers, Email clients users, Browser extensions users, Productivity platforms users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1204, T1562, T1566, T1583, T1608

IOCs:
Command: 2

Algorithms:
base64, exhibit

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый вариант атак социальной инженерии ClickFix использует инструменты обобщения ИИ путем встраивания вредоносных инструкций в запутанный CSS в документах, избегая обнаружения и используя выходные данные ИИ. Этот метод, известный как быстрая передозировка, включает скрытие вредоносных команд, которые доминируют в контексте вывода, обманом заставляя пользователей выполнять Ransomware. Проверка концепции продемонстрировала этот метод с использованием доброкачественного контента, дополненного скрытыми вредоносными инструкциями, подчеркнув риски, связанные с широко используемыми инструментами обобщения.
-----

Недавние разработки в области техник кибератак привели к появлению варианта атак социальной инженерии ClickFix, который использует функциональность инструментов обобщения ИИ. Этот подход использует обфускацию CSS для сокрытия вредоносных инструкций в документах, позволяя им ускользать от обнаружения человеком, оставаясь при этом интерпретируемыми моделями искусственного интеллекта. Когда эти документы обрабатываются составителями резюме, вредоносный код всплывает в контенте, сгенерированном искусственным интеллектом, тем самым обманом заставляя пользователей запускать программы-вымогатели без их ведома.

Тактика ClickFix обычно основана на внедрении четких инструкций в кажущиеся безобидными материалы для манипулирования поведением пользователя. Однако это исследование смещает фокус, концентрируясь на самом механизме обобщения как на случайном проводнике директивы злоумышленника. В нем используются невидимые методы быстрого ввода, которые делают вредоносные команды незаметными для пользователя, гарантируя при этом, что они доминируют в контексте, когда сумматор генерирует выходные данные.

Этот метод включает в себя технику, называемую быстрой передозировкой, при которой вредоносный контент внедряется несколько раз, чтобы гарантировать, что он перекрывает другую важную информацию в окне обработки summarizer. Формулируя эти инструкции в формате, который кажется ИИ заслуживающим доверия, злоумышленники повышают вероятность соблюдения требований пользователя, эффективно превращая сумматор в механизм доставки директив, связанных с программами-вымогателями.

Эксперимент по проверке концепции продемонстрировал этот метод на веб-странице с безобидным контентом, обсуждающим различные темы, в сочетании со скрытыми вредоносными инструкциями, встроенными в HTML с использованием методов CSS, таких как настройка свойств, позволяющих сделать текст невидимым. Наличие этих скрытых инструкций подчеркивает угрозу, исходящую от этого метода, особенно с учетом того, что инструменты обобщения широко используются в различных приложениях, таких как почтовые клиенты и расширения для браузеров.

Чтобы снизить эти риски, организациям следует внедрять стратегии очистки контента на стороне клиента. Это включает в себя предварительную обработку входящего HTML-кода для нормализации или устранения любых элементов, содержащих подозрительные атрибуты CSS, например, те, которые делают текст невидимым, которые затем должны быть помечены для дальнейшей проверки, прежде чем они попадут в модель обобщения.

Необходимы постоянные исследования для создания сложных алгоритмов обнаружения, способных обнаруживать запутанные команды, скрытые в документах, и оценивать эффективность различных средств обобщения в различных контекстах. В будущих исследованиях может быть изучено, как другие вредоносные программы могут сочетаться с этим методом для усиления атак социальной инженерии, что потребует разработки защитных контрмер против таких возникающих угроз. Сделанные здесь выводы подчеркивают настоятельную необходимость принятия упреждающих контрмер и обучения пользователей для защиты от этих новых путей атаки.

#ParsedReport #CompletenessLow
26-08-2025

Cephalus Ransomware: Dont Lose Your Head

https://www.huntress.com/blog/cephalus-ransomware

Report completeness: Low

Threats:
Cephalus
Dll_sideloading_technique
Kawalocker
Hermes
Megacmd_tool

ChatGPT TTPs:
do not use without manual check
T1036.005, T1486, T1574.002

IOCs:
File: 3
Path: 1
Command: 24
Hash: 2

Soft:
Twitter, Microsoft Defender, Windows Defender

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4