#ParsedReport #CompletenessLow
28-08-2025

Phishing Kits Uncovered: Methods and Tactics Used to Evade SEGs, Sandboxes, and Analysts

https://cofense.com/blog/phishing-kits-uncovered-methods-and-tactics-used-to-evade-segs%2C-sandboxes%2C-and-analysts

Report completeness: Low

Threats:
Mispadu
Clickfix_technique
Glitch

Victims:
Email users

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1071.001, T1204.002, T1204.003, T1497.002, T1497.003, T1566.002, T1583.001, T1584.001, have more...

IOCs:
Domain: 7

Soft:
TikTok, SendGrid, Microsoft Word, Cloudflare Turnstile

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще используют изощренные тактики в кампаниях фишинга по электронной почте, чтобы избежать обнаружения, такие как размещение фишинг-ссылок на законных платформах и использование QR-кодов для перенаправления жертв на вредоносные сайты. Доступные для покупки наборы для фишинга включают в себя такие функции, как геолокация, фильтрация пользовательским агентом и fake CAPTCHAs, которые затрудняют обнаружение и анализ. Более того, злоумышленники используют одноразовые поддомены для быстрого запуска кампаний, что повышает их способность обходить меры безопасности.
-----

Злоумышленники используют передовые тактики в кампаниях по фишингу электронной почты, чтобы избежать обнаружения. Они внедряют настроенный контент, используют законные платформы для обмена файлами и злоупотребляют открытыми перенаправлениями, используя QR-коды для направления жертв на страницы фишинга. Законные Веб-сервисы размещают ссылки на вредоносный контент, избегая обнаружения шлюзами электронной почты службы безопасности. Они размещают ссылки на признанных сайтах, таких как DocuSign и Google Docs. Открытые перенаправления с таких платформ, как Google и YouTube, скрывают попытки фишинга, поскольку не сканируют конечные перенаправленные URL-адреса. QR-коды в электронных письмах или вложениях направляют пользователей на сайты фишинга с помощью доброкачественных изображений. Наборы для фишинга с учетными данными позволяют злоумышленникам с минимальными техническими навыками создавать убедительные страницы для фишинга, включая фильтрацию по геолокации на основе IP-адресов жертвы и внутренние проверки, которые скрывают процессы фильтрации. Общие службы для поиска IP-адресов включают geojs.io , который также может обнаруживать VPN. Пользовательский агент и языковая фильтрация существуют для перенаправления неподходящих браузеров на законные сайты. Некоторые наборы включают системы CAPTCHA, при этом некоторые представляют fake CAPTCHAs, которые запускают вредоносные скрипты. Встроены механизмы обнаружения инструментов разработчика, используемых исследователями; в случае обнаружения наборы для фишинга могут перенаправлять пользователей или останавливать выполнение. Фильтрация адресов электронной почты используется для настройки интерфейсов фишинга на основе списка злоумышленников, перенаправляя входные данные, связанные с аналитиками безопасности, со страницы фишинга. Тактика быстрого развертывания включает в себя одноразовые поддомены, повышающие скорость работы и снижающие риски обнаружения, наряду с защитой паролем, усложняющей защитные меры.

#ParsedReport #CompletenessLow
28-08-2025

AppSuite PDF Editor Backdoor: A Detailed Technical Analysis

https://www.gdatasoftware.com/blog/2025/08/38257-appsuite-pdf-editor-backdoor-analysis

Report completeness: Low

Threats:
Justaskjacky

Victims:
General users

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059.007, T1071.001, T1189, T1204.002, T1218.007, T1480, have more...

IOCs:
Domain: 1
Path: 8
File: 7
Url: 4
Hash: 8

Soft:
Windows Installer, Electron, NSIS installer, Task Scheduler, chromium, Chrome, Mastodon

Algorithms:
zip, aes, aes-128-cbc, xor, aes-256-cbc

Functions:
get_sid, TaskScheduler, GetPsList, GetRtc, GetOsCKey

Languages:
javascript, python

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AppSuite PDF Editor - это вредоносный инструмент, Маскировка под законное приложение для управления PDF-файлами. Он проникает в системы через обманчивые веб-сайты и устанавливается как электронная программа, используя файл JavaScript под названием pdfeditor.js при этом используются различные методы запутывания. Вредоносное ПО использует шифрование AES-128-CBC для передачи данных на удаленный сервер и включает механизмы ведения журнала, которые передают критически важные операционные данные, что подчеркивает его скрытный и постоянный характер.
-----

PDF-редактор AppSuite был идентифицирован как вредоносный инструмент, проникающий в системы через обманчивые веб-сайты, которые занимают высокие позиции в результатах поиска. Пользователей вводят в заблуждение, заставляя загружать то, что кажется законным "инструментом повышения производительности" или "командным центром" для управления PDF-файлами. Вредоносное программное обеспечение упаковано в виде файла установщика Microsoft (MSI), который использует версию WiX с открытым исходным кодом, инструмент, используемый для создания Пакетов установщика Windows.

После установки приложение работает как электронная программа и обычно размещается в пользовательских каталогах, в частности в %USERPROFILE%\PDF Editor или %LOCALAPPDATA%\Programs\PDF Editor. Основным компонентом вредоносного ПО является JavaScript-файл с именем pdfeditor.js , в котором используются методы запутывания из Obfuscator.ввод-вывод наряду с пользовательским запутыванием строк для сокрытия его истинных функциональных возможностей.

При установке используется ряд аргументов командной строки, замаскированных под безопасные операции, которые включают в себя такие процедуры, как --install, --ping, --check, --reboot и --cleanup. Важной частью процесса установки является создание идентификатора установки, который по умолчанию остается пустым, но важен для последующих командных операций.

Бэкдор использует шифрование AES-128-CBC для своих операций, в частности, во время процедуры --ping, где он шифрует данные перед передачей их на удаленный сервер. Ключ шифрования является производным от идентификатора установки, дополненного статическим значением для повышения безопасности. Примечательно, что команды --check и --reboot вызывают одну и ту же внутреннюю функцию, причем последняя также включает функциональность для завершения определенных системных процессов.

Вредоносное ПО оснащено механизмом ведения журнала, который отправляет POST-запросы, содержащие зашифрованный двоичный объект данных вместе с вектором инициализации и идентификатором установки, на определенную конечную точку (hxxps://appsuites(dot)ai/api/s3/event). Более того, два важных компонента судебной экспертизы, LOG1 и LOG0, хранят критическую информацию, такую как идентификатор установки, уникальные идентификаторы сеанса, ключи шифрования, специфичные для бэкдора, и различные другие операционные ключи, относящиеся к функциональности вредоносного ПО.

#ParsedReport #CompletenessMedium
28-08-2025

TAOTH Campaign Exploits End-of-Support Software to Target Traditional Chinese Users and Dissidents

https://www.trendmicro.com/en_us/research/25/h/taoth-campaign.html

Report completeness: Medium

Actors/Campaigns:
Taoth (motivation: cyber_espionage, information_theft)

Threats:
Spear-phishing_technique
Toshis
C6door
Desfy
Gtelam
Xiangoop
Cobalt_strike_tool
Dll_sideloading_technique
Merlin_tool
Supply_chain_technique

Victims:
Dissidents, Journalists, Researchers, Technology leaders, Business leaders, Traditional chinese users

Geo:
Asian, Chinese, Japan, Taiwanese, Norway, Taiwan, Asia, Hong kong, Korea, China

ChatGPT TTPs:
do not use without manual check
T1195.002, T1204.002, T1566.002, T1566.003, T1583.001, T1584.001, T1589, T1598

IOCs:
Domain: 2
File: 9
Url: 1
Path: 14
Command: 7
IP: 1

Soft:
Sogou, Visual Studio Code, VSCode, gmail, YouDao

Algorithms:
aes, md5

Functions:
GetAllProcessNames

Languages:
golang

Links:
https://github.com/MythicAgents/merlin/tree/main

#ParsedReport #ExtractedSchema

Classified images:
windows: 14, schema: 2, chart: 1, dump: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания TAOTH нацелена на китайских пользователей и диссидентов, используя устаревшее программное обеспечение, в частности Sogou Zhuyin IME, с помощью изощренных методов Целевого фишинга. Злоумышленники внедряют различные семейства вредоносных ПО, включая C6DOOR, GTELAM, TOSHIS и DESFY, с помощью скомпрометированных обновлений программного обеспечения и обманчивых Облачных сервисов, ориентируясь на высокопоставленных лиц в Восточной Азии. Их действия свидетельствуют о закреплении и сплоченности, типичных для организованных хакерских группировок, использующих инфраструктуру управления для ведения шпионажа и разведки.
-----

Кампания TAOTH представляет собой сложную киберугрозу, направленную против традиционных китайских пользователей и диссидентов посредством использования заброшенного программного обеспечения и методов Целевого фишинга. Ключевым компонентом этой кампании является использование устаревшего Sogou Zhuyin IME, редактора методов ввода, который последний раз поддерживался в 2019 году и который служил средством для развертывания вредоносного ПО. Злоумышленники использовали это программное обеспечение для внедрения нескольких семейств вредоносных ПО, включая C6DOOR, GTELAM, TOSHIS и DESFY, в системы преимущественно в Восточной Азии, ориентируясь на таких ценных людей, как диссиденты, журналисты, исследователи и технологические лидеры.

Для доставки вредоносного ПО использовались различные цепочки заражения, при этом процесс распространения облегчался похищенными обновлениями программного обеспечения и обманными облачными хранилищами или страницами входа в систему. Сложность операций указывает на хорошо структурированный подход злоумышленников, которые направляли свою деятельность через инфраструктуру управления (C&C), которая дублирует ранее задокументированные атаки. Эта связь указывает на закрепление злоумышленника, сосредоточенного на разведке, шпионаже и злоупотреблении системами электронной почты.

В ходе расследования было установлено, что один экземпляр TOSHIS был размещен через веб-сайт для фишинга, что подтверждает предположение о продолжающейся кампании Целевого фишинга, направленной на те же географические цели. Примечательно, что стратегия и методология таргетинга кампании TAOTH перекликаются с другими задокументированными действиями по угрозам, предполагая сплоченное выполнение одной группой.

Подводя итог, кампания TAOTH является примером целенаправленной системы угроз, использующей устаревшую программную инфраструктуру при одновременном применении передовых методов для компрометации систем и извлечения конфиденциальной информации у диссидентов и других критически важных лиц по всей Восточной Азии. Кампания демонстрирует потенциальные опасности, исходящие от запущенного программного обеспечения, и непрерывную эволюцию кибертактики среди хакерских группировок.

#ParsedReport #CompletenessMedium
28-08-2025

Malicious Screen Connect Campaign Abuses AI-Themed Lures for Xworm Delivery

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/malicious-screen-connect-campaign-abuses-ai-themed-lures-for-xworm-delivery/

Report completeness: Medium

Threats:
Xworm_rat
Screenconnect_tool
Process_injection_technique
Process_hollowing_technique

Victims:
General users

TTPs:
Tactics: 3
Technics: 6

IOCs:
Domain: 2
File: 14
Url: 10
Registry: 1
IP: 1

Soft:
DeepSeek, OpenAI, chrome, Windows Security

Algorithms:
zip, base64

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Trustwave SpiderLabs по поиску угроз раскрыла обманную кампанию с использованием приманки на тему искусственного интеллекта для распространения вредоносного ПО Xworm с помощью взломанного инструмента ScreenConnect. Злоумышленники использовали тактику социальной инженерии, такую как фишинг и Вредоносная реклама, чтобы обманом заставить пользователей загрузить вредоносный установщик с поддельного веб-сайта, который затем запускал интерфейс CMD для загрузки ZIP-файла, содержащего вредоносные скрипты, которые реализовывали закрепление с помощью изменений реестра Windows, нацеленных на процессы запуска пользователя. Код был размещен в недавно созданном репозитории GitHub, связанном с атакой.
-----

Недавнее расследование, проведенное командой Trustwave SpiderLabs по поиску угроз, выявило мошенническую кампанию, в основном направленную на использование приманки на тему искусственного интеллекта для распространения варианта вредоносного ПО, известного как Xworm, через скомпрометированную версию инструмента удаленного управления ScreenConnect. В кампании использовались различные тактики социальной инженерии, включая фишинг, Вредоносную рекламу и манипулирование Социальными сетями, чтобы обманом заставить пользователей загрузить вредоносный установщик. Один примечательный инцидент был связан с тем, что пользователь был перенаправлен с поддельного веб-сайта на тему искусственного интеллекта, "gtpgrok.ai , "на подозрительный домен",anhemvn6.com ," на котором размещался вредоносный установщик.

После запуска вредоносное ПО инициировало интерфейс командной строки (cmd.exe ) для выполнения серии команд, которые привели к загрузке и извлечению ZIP-архива с именем "5btc.zip ." Этот архив был размещен в домене, который соответствовал соглашению об именовании, связанному с доставкой установщика ScreenConnect, в частности "anhemvn4.com ." Выполнение скрипта под названием "X-META Firebase_crypted.bat" имело решающее значение на этом этапе, поскольку он выполнял запутанные команды Python, а также реализовал механизмы закрепления на скомпрометированном хосте.

Метод закрепления ключа, использованный в этой кампании, включал модификацию раздела реестра Windows (T1547.001), специально предназначенного для пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. А reg.exe команда была использована для вставки вводящей в заблуждение записи с именем "Безопасность Windows", предназначенной для имитации законного системного процесса, чтобы избежать обнаружения. Это изменение реестра гарантировало, что пакетный файл "backup.bat", расположенный в "C:\xmetavip ,\" выполнялся каждый раз, когда пользователь входил в систему на своем компьютере.

Дальнейший анализ показал, что вредоносный код был размещен в репозитории на GitHub, который содержал в общей сложности 11 файлов, два из которых были напрямую связаны с наблюдаемым вектором атаки. Примечательно, что этот репозиторий был создан всего за неделю до начала вредоносных действий.

#ParsedReport #CompletenessMedium
27-08-2025

Threat Actors Deploy Sinobi Ransomware via Compromised SonicWall SSL VPN Credentials

https://www.esentire.com/blog/threat-actors-deploy-sinobi-ransomware-via-compromised-sonicwall-ssl-vpn-credentials

Report completeness: Medium

Actors/Campaigns:
Sinobi

Threats:
Sinobi
More_eggs
Lynx
Inc_ransomware
Rclone_tool
Babuk
Shadow_copies_delete_technique

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1078, T1078.002, T1133

IOCs:
File: 2
Command: 3
Path: 1
Registry: 1
Hash: 1

Soft:
Active Directory

Algorithms:
aes, sha512, aes-128-ctr, base64, curve25519

Win API:
CryptGenRandom, SHEmptyRecycleBinA, DeviceIOControl, SeTakeOwnershipPrivilege, CryptStringToBinaryA

Languages:
python, java

Links:
https://github.com/eSentire/iocs/blob/main/Sinobi/curve-25519%2Baes-128-ctr.py
https://github.com/eSentire/iocs/blob/main/Sinobi/Sinobi-Ransomware-IoCs-08-14-2025.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года атака программы-вымогателя, приписываемая Sinobi Group, связанная с программой-вымогателем Lynx, включала использование скомпрометированных учетных данных SonicWall SSL VPN от стороннего MSP. Злоумышленник использовал учетную запись администратора домена с повышенными привилегиями для доступа к внутренней сети и файловому серверу через RDP. Исполняемый файл Синоби, "bin.exe ," имеет значительное сходство в коде с Lynx, подтверждая их связь.
-----

В августе 2025 года была выявлена атака программ-вымогателей, связанная с филиалом Sinobi Group. Эта группа, по-видимому, связана с ранее созданной программой-вымогателем Lynx, при этом наблюдается значительное совпадение кода между двоичными файлами этих двух программ и их соответствующими сайтами утечки данных, что указывает на то, что Sinobi, по сути, может быть ребрендингом Lynx, который впервые появился в 2024 году.

Точка первоначального доступа для этой атаки включала использование скомпрометированных учетных данных SonicWall SSL VPN от стороннего поставщика управляемых услуг (MSP). Злоумышленник получил доступ через учетную запись Active Directory с повышенными привилегиями, в частности учетную запись администратора домена, что позволило ему проникнуть во внутреннюю сеть и напрямую получить доступ к файловому серверу по Протоколу удаленного рабочего стола (RDP). Это подчеркивает потенциальные риски, связанные с неадекватным управлением учетными данными и чрезмерно разрешительными конфигурациями учетных записей в организациях.

Программа-вымогатель Sinobi, идентифицируемая по имени исполняемого файла "bin.exe ," демонстрирует заметное сходство с Lynx с точки зрения структуры кода и функциональности, подкрепляя теорию их взаимосвязанности. Программа-вымогатель была загружена в VirusTotal компанией eSentire, что позволяет исследователям безопасности анализировать и понимать ее поведение.

#ParsedReport #CompletenessMedium
28-08-2025

Traps under fault repair: Lazarus (APT-Q-1) recent attack analysis using ClickFix techniques

https://www.ctfiot.com/267223.html

Report completeness: Medium

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
Clickfix_technique
Beavertail
Invisibleferret

Victims:
Government agencies, Financial institutions, Virtual currency trading venues, People in specific industries

Industry:
Government

Geo:
Asian

ChatGPT TTPs:
do not use without manual check
T1566, T1566.002, T1585.001, T1589, T1656

IOCs:
Url: 10
File: 3
Hash: 16
IP: 1

Soft:
Node.js, macOS, Android, WeChat

Algorithms:
zip, md5

Languages:
python

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lazarus, группа сложных целенаправленных атак из Северо-Восточной Азии, с 2014 года перешла от нацеливания на правительственные учреждения в целях разведки к сосредоточению внимания на финансовых институтах и криптовалютных платформах. Они используют такие тактики, как создание поддельных профилей в Социальных сетях, чтобы заманить людей предложениями о работе, способствуя фишингов -атакам и компрометируя личную информацию. Эта эволюция подчеркивает их универсальность и изощренность в использовании как технологических уязвимостей, так и человеческой психологии.
-----

Lazarus, группировка, занимающаяся сложными целенаправленными атаками (сложные целенаправленные атаки), связанная с Северо-Восточной Азией и обозначенная Qi'anxin как APT-Q-1, действует, по крайней мере, с 2007 года. Первоначально компания была сосредоточена на проникновении в правительственные учреждения для сбора конфиденциальных разведданных, но ее деятельность значительно эволюционировала после громкой атаки Sony Pictures в 2014 году. После 2014 года Lazarus расширил свои цели, включив в них глобальные финансовые учреждения и платформы для торговли виртуальной валютой, используя сложную тактику для кражи денежных активов.

Одна из известных стратегий, используемых Lazarus, включает в себя создание поддельных профилей в Социальных сетях, чтобы заманивать людей предложениями о работе. Такой подход не только ставит под угрозу личную информацию жертв, но и служит вектором для атак фишинга, ориентированных на людей из конкретных отраслей. Организация использует методы социальной инженерии, чтобы использовать доверие потенциальных целей, повышая вероятность успешных взломов.

Смещение акцента на финансовые преступления указывает на стратегическую адаптацию от традиционного шпионажа к финансово мотивированной киберпреступности, демонстрируя универсальность Lazarus's в области взаимодействия с ландшафтом угроз. Их возможности и исторические закономерности предполагают глубокое понимание как технологий, так и человеческой психологии, что делает их постоянной и значительной угрозой в сфере кибербезопасности.

#ParsedReport #CompletenessMedium
28-08-2025

Analysis of APT-C-53 (Gamaridon) attacks on Ukrainian government functional departments

https://www.ctfiot.com/267368.html

Report completeness: Medium

Actors/Campaigns:
Gamaredon (motivation: information_theft, cyber_espionage)

Threats:
Dev_tunnels_tool

Victims:
Ukrainian government, Military

Industry:
Military, Critical_infrastructure, Government

Geo:
Ukraine, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1041, T1059.001, T1071.001, T1102, T1105, T1112, T1204.002, T1547.001, have more...

IOCs:
Url: 1
Registry: 2
File: 4
Domain: 12
Hash: 7

Soft:
Telegram, dropbox, WeChat

Languages:
powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4