#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, chats: 1, dump: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "HanKook Phantom" - это киберкампания северокорейской группы сложных целенаправленных атак APT37, нацеленная на южнокорейские организации с помощью обманчивого PDF-файла, напоминающего законный информационный бюллетень. К этому прилагается вредоносный LNK-файл, который при запуске загружает вредоносную полезную нагрузку или выполняет команды для компрометации системы. Использование файлов LNK иллюстрирует стратегию APT37's по внедрению вредоносного кода в, казалось бы, безобидные документы для использования доверия пользователей и взлома сетей.
-----

Операция "HanKook Phantom" - это кампания, организованная северокорейской группой сложных целенаправленных атак, известной как APT37, в частности, нацеленная на организации в Южной Корее. Злоумышленники используют обманный подход, распространяя документ, похожий на законный "Информационный бюллетень Национального разведывательного исследовательского общества - выпуск 52". Эта приманка представлена в формате PDF и сопровождается вредоносным LNK-файлом с именем (52).pdf.LNK, который предназначен для отображения в связи с PDF-документом.

Выполнение файла LNK инициирует загрузку вредоносной полезной нагрузки или выполняет команды, способствующие компрометации системы. Использование файлов LNK является тактическим решением, поскольку эти файлы ярлыков Windows могут выступать в качестве эффективных средств доставки вредоносного ПО, часто используя доверие пользователей к связанным файлам. Этот метод встраивания Вредоносных ссылок в кажущиеся безобидными документы подчеркивает текущие угрозы, исходящие от APT37, и выделяет тактику, используемую для проникновения в целевые сети.

#ParsedReport #CompletenessMedium
28-08-2025

SikkahBot Malware Campaign Lures and Defrauds Students in Bangladesh

https://cyble.com/blog/sikkahbot-malware-defrauds-students-in-bangladesh/

Report completeness: Medium

Threats:
Sikkahbot
Smishing_technique

Victims:
Students, Banking users

Industry:
Financial, Education

Geo:
Bangladesh

TTPs:
Tactics: 5
Technics: 6

IOCs:
Url: 20
Hash: 13

Soft:
Android

Algorithms:
sha256

Functions:
USSD

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по распространению вредоносного ПО SikkahBot, действующая в Бангладеш с июля 2024 года, нацелена на студентов путем Маскировки под законные образовательные приложения, обещающие стипендии. Он использует социальную инженерию, чтобы заманить жертв к загрузке загруженного вредоносным ПО APK-файла, который собирает личную и финансовую информацию и получает широкие права доступа к устройствам. SikkahBot может перехватывать SMS-сообщения, связанные с банковскими операциями, и автоматизировать транзакции в таких приложениях, как bKash, повышая риск финансового мошенничества благодаря сложному профилю с низким уровнем обнаружения.
-----

Кампания вредоносного ПО "SikkahBot", выявленная Cyble Research and Intelligence Labs, представляет собой значительную киберугрозу, специально предназначенную для студентов в Бангладеш с июля 2024 года. Замаскированный под законные заявки от Совета по образованию Бангладеш, SikkahBot использует уязвимость студентов, обещая стипендии. Эта тактика заманивает пользователей к загрузке вредоносного ПО, которое позволяет злоумышленникам собирать личную и финансовую информацию.

SikkahBot в основном распространяется по сокращенным ссылкам, которые перенаправляют на вредоносные сайты загрузки APK, скорее всего, распространяемые с помощью кампаний smishing. После установки вредоносное ПО предлагает жертвам пройти аутентификацию через Google или Facebook, за которыми затем следуют запросы о предоставлении личных данных, таких как имя, отдел и институт. Приложение получает разрешения с высоким уровнем риска, включая доступ к SMS, управлению вызовами и службе специальных возможностей, которые обеспечивают широкий контроль над зараженными устройствами.

Основные возможности SikkahBot включают перехват SMS-сообщений, связанных с банковскими транзакциями, и автоматизацию действий в банковских приложениях, в частности, ориентированных на такие сервисы, как bKash, Nagad и DBBL. Он может автоматически заполнять учетные данные и выполнять несанкционированные транзакции с использованием USSD-кодов, что значительно увеличивает вероятность финансового мошенничества. Кроме того, низкий уровень обнаружения вредоносного ПО на таких платформах, как VirusTotal, указывает на его сложность, а новые варианты демонстрируют расширенные возможности автоматизации, что отражает постоянные усилия злоумышленников по разработке и совершенствованию стратегий вредоносного ПО.

Последствия операций SikkahBot серьезны, особенно для студенческой аудитории, которая часто более уязвима к подобным атакам. Вредоносное ПО не только представляет риск для личных данных пользователей, но и вызывает опасения по поводу более широкого финансового мошенничества, подчеркивая необходимость повышения осведомленности и принятия мер защиты от таких целенаправленных киберугроз в регионе.

#ParsedReport #CompletenessLow
29-08-2025

Cache Me If You Can (Sitecore Experience Platform Cache Poisoning to RCE)

https://labs.watchtowr.com/cache-me-if-you-can-sitecore-experience-platform-cache-poisoning-to-rce/

Report completeness: Low

Victims:
Sitecore experience platform users, Website operators

CVEs:
CVE-2025-53691 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53693 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53694 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-34509 [Vulners]
CVSS V3.1: 8.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1210, T1518

IOCs:
File: 14

Soft:
Sitecore, Twitter

Functions:
GetHandler, GetIndexOfFirstMatchToken, GetXamlPageHandler, SetRenderMethodDelegate, GetSystemFormValue, GetLegacyEvent, FindControl, FindClientControl, GetHandlers, GetMethodFiltered, have more...

Win Services:
bits

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе исследований, проведенных watchTowr Labs на платформе Sitecore Experience, были обнаружены две критические уязвимости: CVE-2025-53693, уязвимость, связанная с заражением HTML-кэша и позволяющая использовать его без аутентификации, и CVE-2025-53691, уязвимость, связанная с удаленным выполнением кода после аутентификации (RCE). Манипулируя поведением кэша, связанным с контрольными идентификаторами, и анализируя декомпилированный код, злоумышленники могут подсчитывать ключи кэша, облегчая процесс эксплуатации. Сочетание этих уязвимостей представляет серьезную угрозу, позволяя злоумышленникам внедрять вредоносный контент на управляемые сайты на платформе Sitecore.
-----

Исследование, проведенное watchTowr Labs на платформе Sitecore Experience, выявило две существенные уязвимости: уязвимость, связанную с заражением HTML-кэша (CVE-2025-53693) и уязвимость, связанную с удаленным выполнением кода после аутентификации (RCE) (CVE-2025-53691). Исследователи демонстрируют, как эти уязвимости могут быть использованы для компрометации даже полностью исправленных экземпляров Sitecore.

Первая уязвимость, WT-2025-0023, связана с проблемой небезопасного отображения, которая позволяет "отравить" HTML-кэш. Получив представление об идентификаторах элементов управления и процессе создания ключей кэша, исследователи смогли манипулировать поведением кэша. Как правило, Sitecore по умолчанию не кэширует содержимое, требуя от администраторов включить кэширование HTML, что часто упускается из виду. В исследовании подчеркивается, что знание ключей кэша имеет решающее значение для успешной эксплуатации, и отмечается, что они были обнаружены в результате анализа декомпилированного кода Sitecore. Это привело к появлению возможности перечислять ключи кэша с помощью ItemService API.

Кроме того, в исследовании обсуждается взаимодействие с ограниченными ролями пользователей, когда может быть сложно идентифицировать определенные элементы из-за отсутствия результатов, возвращаемых API в ограниченных условиях.

Последствия этих выводов значительны; заражение HTML-кэша позволяет злоумышленнику использовать систему без предварительной аутентификации, в то время как последующая уязвимость RCE повышает уровень риска, поскольку позволяет удаленно выполнять код внутри системы. Возможность перечислять и определять действительные ключи кэша упрощает процесс атаки, позволяя использовать то, что исследователи называют более чистым и эффективным методом использования.

Таким образом, выявленные уязвимости открывают широкие возможности для злоумышленников, в том числе для внедрения вредоносного контента на управляемые сайты через кэш, что повышает уровень угроз для пользователей платформы Sitecore.

#ParsedReport #CompletenessLow
29-08-2025

Wallet-Draining npm Package Impersonates Nodemailer to Hijack Crypto Transactions

https://socket.dev/blog/wallet-draining-npm-package-impersonates-nodemailer

Report completeness: Low

Actors/Campaigns:
Nikotimon

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Cryptocurrency users, Electron wallet users

Industry:
Financial

TTPs:

IOCs:
File: 12
Email: 1
Coin: 2

Soft:
Outlook, Electron

Wallets:
atomicwallet, exodus_wallet, tron

Crypto:
bitcoin, ethereum, tether, solana

Win API:
copyFile

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный пакет npm, выдающий себя за законную библиотеку Nodemailer, нацелен на транзакции с криптовалютой, манипулируя атомарным кошельком в системах Windows. При выполнении он изменяет критически важные файлы поставщиков, чтобы изменить адреса получателей, перенаправляя средства на кошельки злоумышленников. Эта Компрометация цепочки поставок использует такие методы, как Маскировка и выполнение JavaScript, демонстрируя растущую сложность угроз в экосистеме JavaScript, связанных с Кражей денежных средств.
-----

Недавно появилась киберугроза, связанная с вредоносным пакетом npm, который выдает себя за законную библиотеку Nodemailer и в первую очередь нацелен на транзакции с криптовалютой. Этот вредоносный пакет разработан таким образом, чтобы сочетаться с легальными приложениями, сохраняя возможности отправки электронной почты, что делает его менее подозрительным при импорте в пользовательское приложение. После запуска пакет использует различные сложные методы для модификации приложений кошелька, в частности Atomic Wallet, в системах Windows.

Атака начинается с момента импорта вредоносного пакета, запуская последовательность действий, которые включают распаковку пакета приложений Atomic Wallet. Код злоумышленника вводится в критически важный файл поставщика, а затем приложение переупаковывается со встроенной вредоносной логикой. Эта манипуляция позволяет злоумышленнику изменить адрес получателя в процессе транзакции криптовалюты. В результате любые средства, которые обычно отправлялись бы на законный адрес, вместо этого поступают на кошельки, контролируемые злоумышленниками. Важно отметить, что это вмешательство происходит независимо от того, используется ли пакет npm для отправки электронного письма, что свидетельствует о серьезности угрозы.

Анализ, проведенный Socket AI Scanner, также показал, что этот вводящий в заблуждение пакет нацелен на среду выполнения электронных кошельков путем несанкционированных модификаций. Он распаковывает связанные архивы и внедряет вредоносные полезные файлы, которые затем переупаковываются, позволяя злоумышленникам поддерживать закрепление в системе, тайно выполняя свои вредоносные действия. Успешное выполнение этой атаки может иметь серьезные финансовые последствия для жертв, подчеркивая эффективность Компрометации цепочки поставок.

С точки зрения категоризации атак, используемые методы соответствуют нескольким платформам MITRE ATT&CK. В частности, угроза использует такие методы, как Компрометация цепочки поставок (T1195.002), Маскировка (T1036.005) и выполнение с помощью команд и скриптов JavaScript (T1059.007), среди прочего. Главной целью этой тактики является Кража денежных средств (T1657), демонстрирующая продуманный подход, применяемый злоумышленниками при подрыве законного программного обеспечения с целью получения незаконной выгоды. Этот инцидент подчеркивает растущую сложность киберугроз в экосистеме JavaScript, особенно тех, которые нацелены на приложения, связанные с криптовалютой.

#ParsedReport #CompletenessLow
29-08-2025

PromptLock: The First AI-Powered Ransomware & How It Works

https://www.seqrite.com/blog/promptlock-first-ai-powered-ransomware/

Report completeness: Low

Threats:
Promptlock

IOCs:
File: 7
Hash: 7

Soft:
Linux, macOS, Ollama, unix

Crypto:
bitcoin

Languages:
golang, lua

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PromptLock - это программа-вымогатель на базе искусственного интеллекта, которая представляет собой впечатляющую эволюцию возможностей вредоносного ПО, хотя она еще не применялась в атаках. Эта разработка предполагает, что злоумышленники могут использовать искусственный интеллект для оптимизации операций программ-вымогателей, потенциально улучшая методы шифрования и стратегии таргетинга за счет выявления особо ценных жертв и настройки векторов атак на основе уязвимостей системы. Появление такого вредоносного ПО подчеркивает тенденцию к появлению более изощренных киберугроз, использующих Искусственный интеллект.
-----

PromptLock представляет собой значительную эволюцию программ-вымогателей, интегрирующую возможности Искусственного интеллекта для расширения своей функциональности. Хотя его еще предстоит активно применять в реальных атаках, его появление подчеркивает тревожную тенденцию в мире вредоносного ПО, где злоумышленники потенциально могут использовать искусственный интеллект для более сложных киберопераций.

Разработка этой программы-вымогателя на базе искусственного интеллекта служит доказательством концепции (PoC), иллюстрируя, как противники могли бы использовать модели искусственного интеллекта для выполнения более эффективных атак. Точные методы и технички, задействованные в его работе, остаются нераскрытыми, но основополагающая концепция предполагает, что искусственный интеллект мог бы оптимизировать различные аспекты развертывания программ-вымогателей, такие как улучшение методов шифрования, упрощение идентификации важных целей или даже настройка векторов атак на основе уязвимостей, присутствующих в конкретных системах.

Важно отметить, что, хотя PromptLock пока не был связан ни с какими подтвержденными инцидентами безопасности, его существование вызывает тревогу относительно будущего потенциала киберугроз, основанных на искусственном интеллекте. Это нововведение указывает на появляющуюся тенденцию, в рамках которой злоумышленники могут совершенствовать свои стратегии, используя искусственный интеллект для автоматизации и расширения возможностей своих атак, что делает традиционную защиту потенциально менее эффективной против таких интеллектуальных вариантов вредоносного ПО.

#ParsedReport #CompletenessHigh
29-08-2025

Sindoor Dropper: New Phishing Campaign

https://www.nextron-systems.com/2025/08/29/sindoor-dropper-new-phishing-campaign/

Report completeness: High

Actors/Campaigns:
Sindoor
Transparenttribe

Threats:
Sindoor
Spear-phishing_technique
Meshagent_tool
Smuggling_technique

Victims:
Organizations in india

Industry:
Software_development

Geo:
India

ChatGPT TTPs:
do not use without manual check
T1027, T1036.008, T1105, T1204.002, T1219, T1566.001

IOCs:
Hash: 11
Url: 7
Domain: 1
IP: 1
File: 8

Soft:
Linux, QEMU

Algorithms:
aes-ctr, base64, des, sha256, aes, des-cbc

Languages:
python

YARA: Found

Links:
https://github.com/Ylianst/MeshAgent

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 1, schema: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Sindoor Dropper, связанная с APT36 (Transparent Tribe), нацелена на индийские организации с помощью продвинутой фишинг-атаки, в которой используются файлы .desktop, разработанные для Linux. Атака использует тактику социальной инженерии, чтобы обманом заставить пользователей выполнить вредоносное ПО .файл рабочего стола, который инициирует цепочку заражения, ведущую к развертыванию двоичного файла MeshAgent, инструмента удаленного администрирования, перепрофилированного для вредоносного доступа. Этот метод позволяет злоумышленникам осуществлять мониторинг, перемещение внутри компании, эксфильтрацию данных и устанавливать постоянный доступ.
-----

Кампания "Sindoor Dropper" представляет собой эволюционировавшую фишинг-атаку, нацеленную в первую очередь на организации в Индии. Эта кампания имеет сходство с предыдущими стратегиями, связанными с APT36, также известной как Transparent Tribe. В атаке используется особый метод, который использует защищенные файлы .desktop, специально разработанные для систем Linux, для облегчения первоначального доступа.

Вектор фишинга связан с вредоносным ПО.файл на рабочем столе, который маскируется под законный документ и отображает значок, похожий на значок PDF-файла. Эта тактика социальной инженерии направлена на то, чтобы побудить пользователей запустить файл, тем самым инициируя цепочку заражения. После выполнения файл .desktop запускает серию действий, которые включают загрузку поддельного документа, поврежденного дешифратора и зашифрованного загрузчика.

Суть этой атаки заключается в развертывании двоичного файла MeshAgent, законного инструмента удаленного администрирования, который был использован в злонамеренных целях. MeshAgent позволяет злоумышленникам получить полный удаленный доступ к скомпрометированной системе, облегчая выполнение целого ряда задач после эксплуатации. Эти действия включают в себя мониторинг действий пользователя, перемещение внутри компании, эксфильтрацию данных и создание постоянных точек доступа для будущих операций.

Технические тонкости процесса заражения указывают на сложную цепочку выполнения, которая тщательно скрывает вредоносные намерения под маской доброкачественной функциональности. Это не только повышает эффективность атаки, но и сводит к минимуму обнаружение традиционными решениями безопасности. Таким образом, дроппер Sindoor служит примечательным примером того, как злоумышленники адаптируют и совершенствуют свои методы для использования уязвимостей в целевых организациях.

#ParsedReport #CompletenessMedium
29-08-2025

VAIZ, FDN3, TK-NET: A nebula of Ukrainian networks engaged in brute force and password spraying attacks

https://www.intrinsec.com/wp-content/uploads/2025/08/TLP-CLEAR-20250828-VAIZ-FDN3-TK-NET-EN.pdf

Report completeness: Medium

Actors/Campaigns:
Uac-0050
Uac-0006
Gamaredon
Doppelgnger

Threats:
Password_spray_technique
Amadey
Global-group-raas
Blackbasta
Bruted_framework
Ransomhub
Smokeloader
Masscan_tool

Victims:
Ssl vpn devices, Rdp services, Malware c2 victims, Email users targeted by malspam, Phishing victims, Ukraine and its allies

Industry:
Telco, Energy, Education, Ngo

Geo:
Bulgarian, Dutch, Swedish, Seychelles, Russia, United kingdom, Ukrainian, Russian, Ukraine, Netherlands, Turkish, Israel

ChatGPT TTPs:
do not use without manual check
T1110, T1110.003, T1190, T1583.003, T1583.006, T1584.004, T1588.001, T1595

IOCs:
Domain: 3
IP: 77

#ParsedReport #GeneratedSchema
Generated with GPT-4