#ParsedReport #CompletenessMedium
27-08-2025

The Price of Trust: Analyzing the Malware Campaign Exploiting TASPEN's Legacy to Target Indonesian Senior Citizens

https://www.cloudsek.com/blog/taspen-malware-campaign-targeting-indonesian-senior-citizens

Report completeness: Medium

Actors/Campaigns:
Earth_kurma (motivation: cyber_espionage)

Threats:
Lockbit

Victims:
Pensioners, Civil servants, Financial sector, Banks, Government sector, Pension funds

Industry:
Financial, E-commerce, Critical_infrastructure, Government, Healthcare

Geo:
Australian, China, Singapore, Indonesia, Chinese, Indonesian, Asia

ChatGPT TTPs:
do not use without manual check
T1027, T1406, T1407, T1411, T1412, T1476, T1566.002, T1583.001

IOCs:
Url: 1
File: 2
Domain: 1
IP: 1
Hash: 4

Soft:
Android, Google Play, WhatsApp

Algorithms:
sha256, base64, zip

Languages:
javascript

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, code: 8, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Говорящий по-китайски злоумышленник запустил кампанию вредоносного ПО для мобильных устройств, нацеленную на пожилых граждан Индонезии, выдавая себя за приложение государственного пенсионного фонда TASPEN. Вредоносное приложение для Android собирает конфиденциальную информацию, такую как банковские учетные данные и одноразовые пароли, с помощью тактики социальной инженерии. Он использует передовые методы уклонения, включая обфускацию и шифрование для скрытой эксфильтрации данных на сервер командования и контроля, выявляя уязвимости в финансовом цифровом ландшафте Индонезии.
-----

Говорящий по-китайски злоумышленник запустил кампанию вредоносного ПО для мобильных устройств, ориентированную на пожилых граждан Индонезии, используя поддельное приложение TASPEN. Вредоносное ПО собирает конфиденциальную информацию, такую как банковские учетные данные, одноразовые пароли из SMS и биометрические данные с помощью распознавания лиц. Домен для фишинга выдает себя за TASPEN, чтобы облегчить распространение вредоносного приложения через веб-сайт, имитирующий законную целевую страницу TASPEN. Приложение пытается установить банковский троянец для сбора конфиденциальных данных, которые отправляются на сервер командования и контроля (C2). Вредоносное ПО маскируется, чтобы обойти инструменты анализа безопасности, и использует упаковку, которая выглядит поврежденной во время оценки. После запуска он обеспечивает обширное наблюдение с помощью скрытых фоновых служб и шифрует связь с сервером C2 для повышения скрытности эксфильтрации данных. Вредоносное ПО завершает свои процессы, если обнаруживает средства антианализа и использует пользовательский JavaScript-хук для мониторинга незашифрованных потоков данных. Эта атака представляет значительный риск для финансовой экосистемы Индонезии, подчеркивая уязвимости, которые могут способствовать проведению аналогичных кампаний против других финансовых учреждений в Юго-Восточной Азии.

#ParsedReport #CompletenessHigh
27-08-2025

Countering Chinese State-Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System

https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-239a

Report completeness: High

Actors/Campaigns:
Ghostemperor
Unc5807

Threats:
Sicherheit_rat
Findzip
Iox_tool
Stowaway_tool
Credential_dumping_technique

Victims:
Telecommunications, Government, Transportation, Lodging, Military infrastructure, Internet service providers

Industry:
Government, Telco, Critical_infrastructure, Military, Transport

Geo:
Chinese, Germany, Netherlands, China, Spain, Canada, Polish, United kingdom, New zealand, Australian, Japan, Canadian, Australia, Italian, Czech

CVEs:
CVE-2018-0171 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)

CVE-2023-20273 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios_xe (16.1.1, 16.1.2, 16.1.3, 16.2.1, 16.2.2)

CVE-2024-3400 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- paloaltonetworks pan-os (10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4)

CVE-2023-20198 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rockwellautomation allen-bradley_stratix_5200_firmware (<17.12.02)

CVE-2023-46805 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)

CVE-2024-21887 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ivanti connect_secure (9.0, 9.1, 22.1, 22.2, 22.3)
- ivanti policy_secure (9.0, 9.1, 22.1, 22.2, 22.3)


TTPs:
Tactics: 13
Technics: 42

IOCs:
File: 9
IP: 86
Hash: 7

Soft:
Linux, Microsoft Exchange, Ivanti, PAN-OS, sudo, systemd, openssl

Algorithms:
sha384, aes, aes-256, md5, sha1

Languages:
python, golang

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Акторы сложных целенаправленных атак, спонсируемые китайским государством, нацелены на глобальные сети, особенно в телекоммуникационной и военной инфраструктуре, используя уязвимости в периферийных устройствах провайдеров и клиентов. В первую очередь они получают первоначальный доступ через известные CVE, изменяют списки контроля доступа для постоянных подключений и используют Нестандартные порты, чтобы избежать обнаружения. Их тактика перемещения внутри компании включает в себя перечисление SNMP для понимания сетевых структур, что позволяет осуществлять скрытую эксфильтрацию данных через установленные одноранговые соединения.
-----

Акторы киберугрозы, спонсируемые китайским государством, нацелены на глобальные сети, включая телекоммуникации и военную инфраструктуру. Они используют уязвимости в периферийных устройствах провайдеров и клиентов, уделяя особое внимание основным магистральным маршрутизаторам. Деятельность связана с несколькими китайскими организациями, поставляющими киберрешения. Первоначальный доступ часто связан с использованием общеизвестных CVE; уязвимостей zero-day обнаружено не было. Скомпрометированные бренды включают Fortinet, Microsoft и Cisco.

Акторы изменяют списки контроля доступа (ACL), чтобы разрешить трафик со своих IP-адресов, и используют Нестандартные порты для таких служб, как SSH и SFTP, чтобы избежать обнаружения. Они подключают SSH-серверы к нетрадиционным портам и используют встроенные серверы управления для перенаправления трафика.

Перемещение внутри компании достигается за счет ориентации на протоколы системы аутентификации и использования SNMP-перечисления для обеспечения видимости сети. При эксфильтрации используются одноранговые соединения, часто обходящие мониторинг из-за слабых политических ограничений.

Группы безопасности должны отслеживать службы управления на предмет необычных подключений и структуры трафика, особенно на Нестандартных портах, и управлять списками ACL для изоляции сетей управления. Рекомендуются строгие криптографические требования к протоколам управления и проверка хэша для обеспечения целостности прошивки. Организациям рекомендуется проводить упреждающий поиск угроз и поддерживать надежные протоколы реагирования на инциденты. Бдительность в стратегиях защиты от кибербезопасности крайне важна в связи с меняющимися угрозами.

#ParsedReport #CompletenessLow
27-08-2025

MystRodX: The Covert Dual-Mode Backdoor Threat

https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/

Report completeness: Low

Threats:
Mystrodx
Mirai
Synful_knock

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1040, T1057, T1059, T1071, T1090, T1095, T1105, T1140, have more...

IOCs:
IP: 9
File: 3
Hash: 10
Coin: 2

Algorithms:
md5, xor, aes, cbc

Languages:
python, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
6 июня 2025 года XLab обнаружил файл ELF dst86.bin с IP-адреса 139.84.156.79, ошибочно идентифицированный как Mirai с низкой частотой обнаружения. Вредоносное ПО MysticRodX работает в пассивном режиме через необработанные сокеты, может быть активировано с помощью созданных DNS или ICMP-пакетов и использует двухпроцессорный механизм для закрепления. Его коммуникации включают простой однобайтовый XOR для конфиденциальных строк и AES для параметров конфигурации, что вызывает опасения по поводу его скрытности и постоянных эксплуатационных возможностей.
-----

6 июня 2025 года система анализа киберугроз XLab обнаружила подозрительную активность, связанную с файлом ELF с именем dst86.bin, распространяемым с IP-адреса 139.84.156.79. Этот файл, хотя и помеченный обычными сканерами как Mirai, показал низкий уровень обнаружения - всего 4/65 в VirusTotal, и модуль искусственного интеллекта XLab не идентифицировал его как угрозу, что побудило к дальнейшему расследованию.

Вредоносное ПО MysticRodX работает в двух режимах, причем примечателен пассивный режим, который активируется, когда для типа бэкдора установлено значение 1. В этом режиме бэкдор использует необработанный сокет для мониторинга всего входящего трафика без привязки к каким-либо открытым портам. Активация происходит с помощью специально созданных DNS- или ICMP-пакетов, что вызывает опасения по поводу его скрытных возможностей. Анализ захваченных образцов показал, что настроенные серверы командования и контроля (C2) не имели активных портов, что привело к предположениям о текущем статусе угрозы — остается ли она активной или заброшена. Последние данные указывают на небольшое увеличение частоты его обнаружения до 6/65, но он по-прежнему ошибочно идентифицируется как Mirai.

Бэкдор MystRodX реализован на C++ и поддерживает такие функции, как управление файлами, обратные оболочки, SOCKS-прокси и переадресация портов. Его рабочий механизм включает в себя процесс запуска, который постоянно проверяет, запущен ли процесс бэкдора. Если процесс бэкдора (известный как chargen) завершается, программа запуска перезапускает его, формируя двухпроцессный механизм защиты для постоянной работы.

Активация бэкдора облегчается отправкой DNS- или ICMP-пакетов с определенными структурами, необходимыми для успешного запуска. Тестирование с помощью созданных пакетов не привело к получению корректных ответов от установок MystRodX, возможно, из-за устаревших конфигураций или того, что пассивный режим не был включен. Тем не менее, в ходе проверки были выявлены активные серверы C2, которые отвечали на пакеты и запрашивали у ботов включение шифрования трафика, подтверждая текущие операции, по крайней мере, с 2024 года.

MystRodX использует простой однобайтовый метод шифрования XOR для защиты конфиденциальных строк, что упрощает расшифровку. Кроме того, вредоносное ПО использует алгоритм шифрования AES для защиты параметров своей конфигурации. Что касается возможностей сетевого взаимодействия, MystRodX поддерживает как протоколы TCP, так и HTTP, при этом текущие образцы перехватывают сообщения без шифрования. Структура пакета включает поля для длины, основного кода, подкода, направления и данных, указывающих на его функциональную структуру.

Подводя итог, анализ MystRodX выделяет его сложные механизмы скрытности, закрепления и коммуникации, подчеркивая при этом эволюционирующий ландшафт угроз, который он представляет. Специалистам по кибербезопасности рекомендуется следить за деятельностью этого бэкдора и обеспечивать наличие механизмов обнаружения и реагирования для смягчения его потенциальных воздействий.

#ParsedReport #CompletenessLow
27-08-2025

Nx npm Packages Compromised in Supply Chain Attack Leveraging AI CLI Tools

https://socket.dev/blog/nx-packages-compromised

Report completeness: Low

Threats:
Supply_chain_technique
Credential_harvesting_technique

Victims:
Software development, Open source ecosystem, Developers using nx npm packages

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1078, T1083, T1195, T1552.001, T1555.004, T1565.001, T1567.002

IOCs:
File: 10

Soft:
sudo, macOS

Wallets:
electrum, metamask, trezor, exodus_wallet, solflare

Crypto:
ethereum

Algorithms:
base64

Functions:
forceAppendAgentLine

Languages:
javascript

Links:
https://github.com/nrwl/nx/security/advisories/GHSA-cxm3-wv7p-598c
https://github.com/marketplace/socket-security

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака supply chain была нацелена на пакеты Nx npm с помощью скомпрометированных токенов npm, что позволило загружать вредоносные версии без изменений исходного кода. Вредоносное ПО выполняло команды для эксфильтрации учетных данных, включая запуск "gh auth token" и "npm whoami", одновременно нарушая работу систем, добавляя команду завершения работы в файлы конфигурации оболочки. Кроме того, атака способствовала эксфильтрации данных через поддельный репозиторий, созданный в учетных записях жертв на GitHub, что привело к значительной утечке учетных данных.
-----

Атака supply chain была выполнена с использованием вредоносных версий пакетов Nx npm, где злоумышленник, вероятно, скомпрометировал токен npm с правами публикации. Это позволило им загружать вредоносные версии непосредственно в реестр npm, не изменяя репозиторий исходного кода. Инцидент был обнаружен сканером Socket на базе искусственного интеллекта вскоре после публикации вредоносных пакетов, с последующими подтверждениями вредоносного поведения в результате независимых анализов StepSecurity и Wiz, что указывает на обширную утечку учетных данных.

Вредоносное ПО функционирует путем выполнения нескольких команд, направленных на эксфильтрацию учетных данных. Сначала он запускает `gh auth token`, чтобы найти токены GitHub, сохраняя их, если они идентифицированы. Он также выполняет `npm whoami` и может считывать пользовательский файл `.npmrc`, извлечения учетных данных. Кроме того, вредоносное ПО нарушает функциональность системы, добавляя команду для завершения работы системы (`sudo shutdown -h 0`) в определенные файлы конфигурации оболочки (`\~/.bashrc` и `\~/.zshrc`). Это приводит к эффекту отказа в обслуживании в системах, использующих sudo без пароля, вызывая немедленное завершение работы при запуске новой оболочки.

Атака продолжается путем перечисления путей из скомпрометированного каталога и кодирования содержимого файла в формат base64 для последующей эксфильтрации. При обнаружении токена GitHub в учетной записи жертвы создается общедоступный репозиторий с префиксом "s1ngularity-repository", облегчающий загрузку собранных данных, включая переменные среды и учетные данные, с использованием GitHub API. Для пользователей, у которых не установлен GitHub CLI, хотя эксфильтрация может не завершиться, система остается зараженной и сохраняет возможность сбора учетных данных.

Судя по хронологии атаки, первый вредоносный пакет был опубликован 26 августа, а вскоре после этого появилось несколько скомпрометированных версий. В конечном итоге npm удалил уязвимые версии, а доступ к скомпрометированной учетной записи был аннулирован на следующий день.

Чтобы исправить ситуацию, пострадавшим пользователям рекомендуется удалить зараженные версии, очистить кэш npm и переустановить зависимости. Также важно вручную просмотреть и очистить упомянутые файлы конфигурации оболочки и проверить наличие несанкционированных репозиториев в своих учетных записях на GitHub. Настоятельно рекомендуется немедленно изменить учетные данные, включая токены GitHub и другие конфиденциальные ключи, чтобы уменьшить потенциальное дальнейшее воздействие.

#ParsedReport #CompletenessHigh
27-08-2025

ShadowSilk: A Cross-Border Binary Union for Data Exfiltration

https://www.group-ib.com/blog/shadowsilk/

Report completeness: High

Actors/Campaigns:
Shadowsilk
Yorotrooper

Threats:
Morf_tool
Cobalt_strike_tool
Donut
Dumpert_tool
Filelessremotepe_tool
Mirrordump_tool
Neo-regeorg_tool
Portscan_tool
Powerview_tool
Resocks_tool
Reversesocks5_tool
Seatbelt_tool
Sharpchromium_tool
Sharpersist_tool
Bloodhound_tool
Sharpview_tool
Socat_tool
Uacme_tool
Printnightmare_vuln
Struts2vulstools_tool
Godzilla_webshell
Behinder
Fscan_tool
Sqlmap_tool
Wpscan_tool
Dirsearch_tool
Metasploit_tool
Chisel_tool
Antsword
Weblogictool
Finalshell
Snetcracker_tool
Drupalgeddon_vuln
Jrat_rat
Meterpreter_tool
Spear-phishing_technique
Credential_dumping_technique

Industry:
Government, Critical_infrastructure

Geo:
Pakistan, Kyrgyzstan, Russian, Turkmenistan, Chinese, Tajikistan, Myanmar, Uzbekistan, Asia-pacific, Apac, Asia

CVEs:
CVE-2018-7600 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- drupal (le7.57, <8.3.9, <8.4.6, <8.5.1)

CVE-2024-27956 [Vulners]
CVSS V3.1: 9.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- valvepress automatic (le3.92.0)

CVE-2018-7602 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- drupal (<7.59, <8.4.8, <8.5.3)

CVE-2021-34527 [Vulners]
CVSS V3.1: 9.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.18969)
- microsoft windows_10_1607 (<10.0.14393.4470)
- microsoft windows_10_1809 (<10.0.17763.2029)
- microsoft windows_10_20h2 (<10.0.19042.1083)
- microsoft windows_10_21h2 (<10.0.19044.1415)
have more...

TTPs:
Tactics: 11
Technics: 48

IOCs:
Url: 13
Command: 7
Registry: 2
Domain: 17
File: 8
Path: 45
Hash: 31
IP: 15

Soft:
Telegram, proxifier, rsocx, wordpress, Windows registry, Chrome, Drupal

Algorithms:
zip

Languages:
powershell, python

Platforms:
x64

Links:
have more...
https://github.com/BeichenDream/Godzilla
https://github.com/AntSwordProject/antSword
https://github.com/KimJun1010/WeblogicTool

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
С 2023 года ShadowSilk является хакерской группировкой, нацеленной на государственные структуры в Центральной Азии и регионе Азиатско-Тихоокеанского региона, уделяя особое внимание эксфильтрации данных и компрометации более 35 жертв. Они используют общедоступные эксплойты, инструменты тестирования на проникновение и пользовательские веб-панели для операций управления, получая первоначальный доступ главным образом с помощью фишинга. Их тактика включает использование Telegram для общения, сбор учетных записей, разведку с помощью таких инструментов, как Shodan, и использование команд с двумя языками для разработки вредоносного ПО и последующей эксплуатации.
-----

Группировка, известная как ShadowSilk, была идентифицирована как хакерская группировка, осуществляющая атаки на государственные структуры, главным образом, в Центральной Азии и Азиатско-Тихоокеанском регионе (APAC), по крайней мере, с 2023 года, с продолжающейся деятельностью, выявленной до июля 2025 года. ShadowSilk подключен к другой группе, YoroTrooper, которая совместно использует инфраструктуру и инструменты, работая как отдельный кластер угроз. Анализ показывает, что в операциях ShadowSilk приоритетной является эксфильтрация данных, в результате чего было скомпрометировано более 35 жертв, в основном в государственном секторе.

Технические оценки показывают, что ShadowSilk использует сложный арсенал, включая общедоступные эксплойты, инструменты тестирования на проникновение и веб-панели, приобретенные на форумах dark web. Эти панели позволяют злоумышленникам управлять зараженными устройствами, загружать файлы и выполнять вредоносный код. Ключевые элементы их инструментария включают веб—панель под названием Panel JLIB, проект Morf и поддерживающую серверную архитектуру — Morf_server, которая упрощает обмен данными между зараженными машинами и структурами управления (C2).

Первоначальный доступ обычно получают с помощью стратегий фишинга, развертывания защищенных паролем исполняемых файлов. Как только устройство скомпрометировано, операторы ShadowSilk используют Telegram-ботов для связи C2, выдачи команд и эксфильтрации данных. Также было отмечено, что злоумышленники модифицируют системные реестры для обеспечения закрепления, обеспечивая непрерывный доступ даже после перезагрузки. При сборе учетных записей используются пользовательские инструменты, предположительно приобретенные на подпольных форумах, для кражи сохраненных паролей Chrome и другой конфиденциальной информации из скомпрометированных систем.

Оперативная тактика распространяется и на разведку, где общедоступные инструменты, такие как Shodan и FOFA, помогают собирать разведданные о целях. Злоумышленники продемонстрировали способность проводить внутреннюю разведку, используя инструменты из фреймворков Cobalt Strike и Metasploit для таких действий, как захват скриншотов и аудиозапись с помощью веб-камер и микрофонов на зараженных хостах.

Более того, деятельность группы, по-видимому, предполагает отдельные, но скоординированные усилия: одна фракция является русскоязычной и, вероятно, сосредоточена на разработке вредоносного ПО, в то время как китайскоязычный сегмент, похоже, специализируется на деятельности после эксплуатации. Эта двуязычная оперативная структура согласуется с выводами, которые показывают совпадение целей и методов между обеими подгруппами.

Последние разведданные свидетельствуют о том, что ShadowSilk продолжает активно развиваться, и по состоянию на июль 2025 года сообщалось о новых жертвах. Также были случаи, когда данные, ранее принадлежавшие ShadowSilk, выставлялись на продажу на форумах темного интернета, что указывает на прибыльный коммерческий аспект их деятельности. Организациям рекомендуется осуществлять строгий мониторинг признаков активности ShadowSilk, таких как подозрительный доступ к домену или несанкционированная загрузка файлов, связанных с идентифицированным набором инструментов, для защиты от потенциальных вторжений.

#ParsedReport #CompletenessLow
27-08-2025

First known AI-powered ransomware uncovered by ESET Research

https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research/

Report completeness: Low

Threats:
Promptlock

Geo:
Ukraine

Soft:
OpenAI, Ollama, Linux

Languages:
lua, golang

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET определило PromptLock как первую программу-вымогателя на базе искусственного интеллекта, демонстрирующую эволюцию киберугроз, в которых злоумышленники используют Искусственный интеллект для повышения эффективности программ-вымогателей. Это вредоносное ПО может анализировать среду, быстро нацеливаться на ценные ресурсы и выполнять процессы шифрования быстрее, чем традиционные методы, создавая значительные проблемы для существующих средств защиты кибербезопасности. Интеграция искусственного интеллекта в программы-вымогатели указывает на растущую тенденцию, которая требует расширенных возможностей обнаружения для эффективного противодействия этим сложным угрозам.
-----

Исследование ESET выявило PromptLock, первый известный экземпляр программы-вымогателя на базе искусственного интеллекта, что свидетельствует о значительном развитии киберугроз. Это вредоносное ПО иллюстрирует, как злоумышленники могут использовать модели Искусственного интеллекта для повышения эффективности атак программ-вымогателей. Возможности, предоставляемые искусственным интеллектом, могут позволить использовать более сложные методы шифрования данных, обходить механизмы обнаружения и потенциально автоматизировать процессы нацеливания, делая традиционную защиту менее эффективной.

Природа PromptLock указывает на тревожную тенденцию, когда злоумышленники все чаще используют передовые технологии для совершенствования своих стратегий атак. Такое вредоносное ПО, управляемое искусственным интеллектом, может быстро анализировать среду, определять важные цели и выполнять процессы шифрования, которые значительно быстрее, чем обычные Ransomware. Это усовершенствование с помощью искусственного интеллекта не только повышает оперативную эффективность атакующих, но и создает серьезные проблемы для средств защиты от кибербезопасности, которым может быть трудно идти в ногу с этой эволюционирующей тактикой.

Эволюционирующий ландшафт программ-вымогателей, продемонстрированный PromptLock, подчеркивает необходимость адаптивных мер безопасности и расширенных возможностей обнаружения угроз. Поскольку искусственный интеллект продолжает интегрироваться во вредоносное программное обеспечение, возрастает вероятность широкомасштабных сбоев, что делает необходимым для организаций сохранять бдительность и проактивность в своих стратегиях кибербезопасности. Понимание лежащих в основе механики и поведения, связанных с угрозами на базе искусственного интеллекта, такими как PromptLock, будет иметь решающее значение для эффективного противодействия этой новой волне киберугроз.

#ParsedReport #CompletenessMedium
27-08-2025

Storm-0501s evolving techniques lead to cloud-based ransomware

https://www.microsoft.com/en-us/security/blog/2025/08/27/storm-0501s-evolving-techniques-lead-to-cloud-based-ransomware/

Report completeness: Medium

Actors/Campaigns:
Storm-0501 (motivation: financially_motivated)
Unc2190

Threats:
Embargo_ransomware
Evil-winrm_tool
Winrm_tool
Dcsync_technique
Azurehound_tool
Aadinternals_tool
Azcopy_tool
Impacket_tool
Trojan:win32/suspadsyncaccess.a

Victims:
Large enterprise, Cloud environments, Hybrid cloud environments

Industry:
Telco, Healthcare

TTPs:
Tactics: 10
Technics: 0

IOCs:
File: 9

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Active Directory, Entra Connect, Microsoft Teams, local security authority, Microsoft Azure Active Directory Connect, Azure Active Directory, Twitter

Win Services:
windefend

Languages:
powershell

Links:
https://github.com/Hackplayers/evil-winrm

#ParsedReport #ExtractedSchema

Classified images:
schema: 3