#ParsedReport #CompletenessLow
29-08-2025

Explaining the AI-Assisted Koske Linux Cryptomining Malware Hidden in JPEGs

https://www.picussecurity.com/resource/blog/explaining-the-ai-assisted-koske-linux-cryptomining-malware-hidden-in-jpegs

Report completeness: Low

Actors/Campaigns:
Unc3886
Apt31

Threats:
Koske
Polyglot_technique
Xmrig_miner
Melofee

Victims:
Linux users, Enterprises

TTPs:
Tactics: 5
Technics: 8

IOCs:
File: 4

Soft:
Linux, ChatGPT, unix, curl, sudo, systemd, task scheduler, crontab, openssl

Algorithms:
zip

Functions:
readdir

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО для криптомайнинга Koske Linux, появившееся в результате кампании 2025 года, использует искусственный интеллект для повышения скрытности и адаптивности. Он использует методы MITRE ATT&CK, встраивая полезные данные в файлы polyglot JPEG и обеспечивая закрепление с помощью сценариев запуска Linux и Служб systemd. Кроме того, он может манипулировать потоком выполнения с помощью LD_PRELOAD, отключать брандмауэры и маскировать трафик C2 через внутренние прокси, в конечном итоге запуская майнер XMRig для получения финансовой выгоды, и все это усложняет усилия по обнаружению.
-----

Вредоносное ПО для криптомайнинга Koske Linux, выявленное в ходе кампании 2025 года, является примером нового поколения угроз с помощью искусственного интеллекта, демонстрируя функции, повышающие его скрытность, модульность и адаптивность. Примечательно, что предполагается, что большие языковые модели, возможно, существенно повлияли на его разработку, придав вредоносному ПО особенно чистый код и автоматизированную логику, в отличие от предыдущих поколений криптоминеров.

Это вредоносное ПО использует различные методы, согласованные с платформой MITRE ATT&CK, для сохранения и выполнения своей полезной нагрузки. Он использует команды Командной оболочки Unix для выполнения Встроенной полезной нагрузки, скрытой в файлах polyglot JPEG (MITRE T1059.004). Чтобы обеспечить свое выживание после перезагрузки системы, вредоносное ПО использует сценарии запуска Linux, вставляя вредоносные команды, гарантирующие автоматическое выполнение (MITRE T1547.006 и T1037.004), а также манипулируя Службами systemd для достижения аналогичных целей (MITRE T1543.002). Эта тактика позволяет Koske маскироваться под законные имена служб, эффективно позволяя им выполняться всякий раз, когда система инициализируется.

Кроме того, Koske использует уникальные методы для перехвата потока выполнения системы, используя переменную окружения LD_PRELOAD, которая позволяет загружать вредоносные общие объекты перед стандартными библиотеками. Эта возможность позволяет злоумышленникам манипулировать законными программами, изменяя их поведение без обнаружения (MITRE T1574). Кроме того, вредоносное ПО может отключать брандмауэры на базе хоста, сбрасывая правила iptables, тем самым устраняя барьеры для сетевых коммуникаций и укрепляя свои позиции (MITRE T1562.004).

Другой тактический подход предполагает обнаружение настроек системного прокси-сервера. Направляя трафик управления (C2) через существующие внутренние прокси-серверы, Koske может скрывать свои вредоносные действия на фоне законного сетевого трафика (MITRE T1574, T1090.001). Этот метод усложняет идентификацию и предотвращение с помощью мер безопасности, поскольку вредоносный трафик становится менее отличимым от общепринятых корпоративных коммуникаций.

Конечное воздействие вредоносного ПО Koske заключается в загрузке и расшифровке зашифрованного майнера криптовалют XMRig, который позволяет злоумышленникам использовать скомпрометированные системы для получения финансовой выгоды посредством криптомайнинга. Эти методы иллюстрируют сложную стратегию, в которой искусственный интеллект играет ключевую роль в расширении возможностей вредоносного ПО и усложнении обнаружения традиционными системами безопасности.

#ParsedReport #CompletenessLow
30-08-2025

How attackers adapt to built-in macOS protection

https://securelist.com/macos-security-and-typical-attacks/117367/

Report completeness: Low

Threats:
Motw_bypass_technique
Chromeloader

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 4

IOCs:
File: 2

Soft:
macOS, Gatekeeper, curl

Algorithms:
aes-256-gcm

Languages:
python

Platforms:
apple

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники все чаще нацеливаются на macOS, которая имеет встроенные средства защиты, такие как Keychain для управления паролями, Защита целостности системы (SIP) для предотвращения несанкционированных модификаций, Прозрачность, согласие и контроль (TCC), требующие согласия пользователя на доступ к конфиденциальным данным, карантин файлов для пометки потенциально опасных загрузок и Gatekeeper для проверки подписей приложений. Несмотря на эти средства защиты, злоумышленники постоянно совершенствуют методы использования уязвимостей и обхода этих механизмов безопасности, что вызывает опасения по поводу их эффективности.
-----

Киберпреступники все чаще нацеливаются на macOS, которая по популярности уступает только Windows, что требует более глубокого понимания существующих механизмов защиты и способов их обхода злоумышленниками. macOS включает в себя несколько встроенных средств защиты, предназначенных для повышения безопасности пользователей.

Keychain действует как централизованный менеджер паролей, защищая различные учетные данные, включая пароли и ключи шифрования, и защищена мастер-паролем. Это становится центром внимания злоумышленников, стремящихся получить доступ к конфиденциальным пользовательским данным. Защита целостности системы (SIP) имеет решающее значение для предотвращения несанкционированных изменений основных системных файлов, даже теми, кто обладает правами администратора. Представленный в OS X 10.11, SIP ограничивает способность вредоносного ПО изменять системные компоненты, защищая ОС от вредоносных действий.

Еще одним уровнем защиты является система прозрачности, согласия и контроля (TCC). Для приложений, запрашивающих доступ к конфиденциальным данным или функциям, которые регистрируются в базах данных TCC, требуется явное согласие пользователя. Кроме того, карантин файлов, введенный в OS X 10.5, помечает файлы, загруженные из Интернета, предупреждая пользователей о потенциальных рисках перед запуском. Эта функция помогает защитить пользователей от непреднамеренного запуска вредоносного программного обеспечения.

Gatekeeper дополнительно повышает безопасность, проверяя цифровые подписи приложений и предотвращая запуск неподписанных или неутвержденных пользователем программ. Этот механизм необходим для снижения риска выполнения вредоносного кода, поскольку приложения либо проверяются, либо помещаются на карантин в зависимости от их статуса.

Несмотря на надежные меры безопасности, встроенные в macOS, злоумышленники постоянно разрабатывают новые методы использования уязвимостей и обхода этих средств защиты. Это вызывает опасения относительно эффективности только встроенных средств защиты и подчеркивает важность использования передовых решений безопасности от сторонних поставщиков. Комплексная защита имеет решающее значение, особенно по мере того, как злоумышленники внедряют инновации и адаптируются, чтобы обойти надежные барьеры, установленные системой безопасности macOS.

#ParsedReport #CompletenessLow
30-08-2025

Fake macOS tutorials are spreading the new Shamos stealer

https://moonlock.com/fake-mac-tutorials-shamos

Report completeness: Low

Actors/Campaigns:
Cookie_spider (motivation: cyber_criminal)
Pig_butchering (motivation: cyber_criminal)

Threats:
Amos_stealer
Clickfix_technique

Victims:
Apple users, Macos users, Crypto holders

Geo:
Colombia, Asian, China, Australia, Italy, Russian, Chinese, African, Canada, Mexico, Asia, United kingdom, Africa, Japan

ChatGPT TTPs:
do not use without manual check
T1059.002, T1497.003, T1583.001, T1583.006, T1586.003, T1587.001

IOCs:
Domain: 3

Soft:
macOS, Slack, Gatekeeper, Ledger Live

Languages:
applescript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CrowdStrike сообщила о более чем 300 попытках вторжения, связанных с вредоносным ПО Shamos stealer, нацеленным на пользователей macOS и использующим для распространения обманчивые веб-сайты ИТ-поддержки. В этой кампании используется Вредоносная реклама, особенно нацеленная на пользователей криптовалют и таких приложений, как Slack, и используется метод атаки ClickFix для манипулирования функциональными возможностями системы. Вредоносное ПО демонстрирует методы уклонения, такие как обнаружение сред виртуальных машин, чтобы избежать анализа, что подчеркивает сложность ландшафта киберугроз среди взаимосвязанных преступных операций.
-----

Последние события в области киберугроз, нацеленных на пользователей macOS, были освещены CrowdStrike, которая 20 августа сообщила о более чем 300 попытках вторжения, связанных с вредоносным ПО Shamos stealer. В этой кампании по борьбе с вредоносным ПО, являющейся частью продолжающейся инициативы Cookie Spider, использовались обманчивые веб-сайты ИТ-поддержки, предназначенные для того, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение. Эти мошеннические сайты искусно созданы для имитации законных страниц сервисов и часто используют для распространения такие платформы, как Google Ads.

Вредоносное ПО Shamos работает аналогично предыдущим похитителям macOS, используя Вредоносную рекламу для достижения своих целей. Однако он специально ориентирован на пользователей, связанных с криптовалютой и популярными приложениями, такими как Slack. Одной из заметных тактик в рамках этой кампании является метод атаки ClickFix, который все чаще используется против пользователей macOS. Этот подход часто включает в себя манипулирование функциональными возможностями системы для доставки вредоносной полезной нагрузки, не вызывая подозрений.

Что касается технических возможностей, вредоносное ПО Shamos демонстрирует глубокое понимание методов уклонения. Примечательно, что он выполняет команды для определения того, запущен ли он в среде виртуальной машины, что является распространенным методом, используемым экспертами по кибербезопасности для анализа. Гарантируя, что он избегает обнаружения в изолированных условиях, вредоносное ПО усложняет усилия по изучению и смягчению его воздействия.

Более широкие последствия этой экосистемы вредоносного ПО отражают растущую взаимосвязь между киберпреступниками, часто обозначаемую термином "паук" в их псевдонимах или кампаниях. Это наводит на мысль о сложной сети разработчиков, распространителей и операторов вредоносного ПО, которые используют различные стратегии для эффективной работы в "темной паутине". Такая динамика подчеркивает необходимость бдительности пользователей Apple, учитывая размытые границы между различными ролями в ландшафте киберугроз.

#ParsedReport #CompletenessHigh
29-08-2025

UNVEILING A PYTHON STEALER INF0S3C STEALER

https://www.cyfirma.com/research/unveiling-a-python-stealer-inf0s3c-stealer/

Report completeness: High

Threats:
Inf0s3c_stealer
Uac_bypass_technique
Blankgrabber
Umbral
Timestomp_technique
Credential_dumping_technique

Victims:
Consumers, General users

Industry:
Entertainment

TTPs:
Tactics: 9
Technics: 23

IOCs:
File: 4
Hash: 1

Soft:
PyInstaller, Discord, Telegram, Roblox

Algorithms:
base64

Functions:
SetConsoleCtrlHandler, GetDirectoryTree

Win API:
OpenProcessToken, VirtualProtect, WriteFile, DeleteFileW, FindFirstFileW, GetTokenInformation, GetEnvironmentVariableW, SystemParametersInfoW, RaiseException, QueryPerformanceFrequency, have more...

Languages:
powershell, python

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Inf0s3c Stealer - это сложное вредоносное ПО на основе Python, нацеленное на системы Windows, использующее различные функции Windows API для обширной разведки, такие как сбор сведений о системе, паролей, файлов cookie и даже учетных данных Wi-Fi. Он работает как 64-разрядный переносимый исполняемый файл, используя UPX и PyInstaller для запутывания и использует методы закрепления, изменяя запуск Windows и обходя контроль учетных записей пользователей. Методы обхода вредоносного ПО включают блокировку антивирусных сайтов, проверку антивирусов на виртуальных машинах и скрытый сбор данных с помощью команд PowerShell, что указывает на потенциал для будущих улучшений его возможностей.
-----

Inf0s3c Stealer - это сложное вредоносное ПО на основе Python для кражи информации, функционирующее преимущественно в системах Windows. В его конструкции используется универсальный набор функций Windows API для облегчения обработки файлов, перечисления процессов, манипулирования памятью и доступа к системной конфигурации, тем самым расширяя его возможности по сбору критически важных пользовательских данных. После выполнения Inf0s3c систематически собирает ряд сведений о системе, включая идентификаторы хостов, спецификации процессора и сетевые конфигурации, а также делает снимки экрана и списки процессов. Эти данные организованы во временный каталог и упакованы в защищенный паролем архив, что делает их легко извлекаемыми.

Вредоносное ПО, идентифицированное как 64-разрядный переносимый исполняемый файл (PE), сжимается с помощью UPX и дополнительно упаковывается с помощью PyInstaller, который скрывает лежащий в его основе байт-код Python и методы работы. Анализ показывает, что Inf0s3c выполняет обширную разведку, извлекая информацию о запущенных процессах, структурах каталогов и даже паролях Wi-Fi. Примечательно, что он способен захватывать конфиденциальные пользовательские данные, такие как пароли, файлы cookie, историю посещенных страниц и данные криптовалютного кошелька. Вредоносное ПО использует методы закрепления с помощью изменений при запуске Windows и обхода контроля учетных записей пользователей (UAC), гарантируя, что оно остается установленным даже после перезагрузки системы. Кроме того, он демонстрирует тактику уклонения, такую как блокирование доступа к антивирусным веб-сайтам, проверка антивирусов на виртуальных машинах и может самоудаляться, чтобы избежать обнаружения.

Статический анализ показывает, что приложение включает в себя запутанный код и использует такие методы, как модифицированные наложения и коллизии разделов, типичные для упакованных исполняемых файлов. Динамический анализ показывает, что при запуске вредоносное ПО использует команды PowerShell для бесшумного сбора данных без повышения осведомленности пользователей. Его операции согласуются с различными общедоступными проектами по вредоносному ПО, что предполагает потенциал для будущих итераций для дальнейшего расширения его функциональности и стратегий уклонения.

Inf0s3c Stealer иллюстрирует сложность и адаптивную природу современного вредоносного ПО для кражи информации. Его надежная конструкция и методы работы позволяют осуществлять автоматизированную кражу данных, сводя к минимуму видимость его деятельности. Этот анализ подчеркивает острую необходимость постоянного мониторинга и комплексной защиты конечных точек для эффективного противодействия таким развивающимся киберугрозам. Способность вредоносного ПО компилировать и шифровать конфиденциальные данные свидетельствует о тактическом подходе к эксфильтрации, подчеркивающем эволюционирующий ландшафт киберугроз, которые требуют повышенной бдительности и оперативного анализа угроз.

#ParsedReport #CompletenessMedium
31-08-2025

The ClickFix Attack That Wasnt: From a Fake AnyDesk Installer to MetaStealer

https://www.huntress.com/blog/fake-anydesk-clickfix-metastealer-malware

Report completeness: Medium

Threats:
Clickfix_technique
Anydesk_tool
Meta_stealer
Filefix_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204, T1204.002, T1218, T1566

IOCs:
Domain: 5
Url: 2
File: 4
IP: 1
Hash: 3

Soft:
Cloudflare Turnstile, Windows search, Windows File Explorer, Microsoft Edge, curl

Algorithms:
sha256

Languages:
powershell, php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набирает популярность метод атаки ClickFix, использующий социальную инженерию, чтобы убедить пользователей запускать вредоносный код под видом решения таких проблем, как запросы CAPTCHA. Недавний вариант включал поддельный установщик AnyDesk, связанный с мошеннической веб-страницей, отображающей проверку турникета Cloudflare, которая при взаимодействии с которой выполнялась cmd.exe и загрузил как законное приложение AnyDesk, так и дополнительное вредоносное ПО, замаскированное под PDF. Эти атаки подчеркивают угрозу использования знакомых методов онлайн-верификации для обмана пользователей, что позволяет использовать меры безопасности и уклоняться от них.
-----

Технология атаки ClickFix набрала популярность за последний год, в основном используя тактику социальной инженерии, чтобы убедить пользователей выполнить вредоносный код в своих системах. Злоумышленники используют предполагаемые “исправления”, включающие капчи, чтобы побудить жертв выполнять команды, инициирующие вредоносную активность. Хотя многие атаки с ClickFix строго придерживаются этой методологии, существуют варианты, которые отклоняются от традиционной схемы, адаптируя основную концепцию для различных векторов атаки.

Один из недавних вариантов включал поддельный установщик AnyDesk, который был связан через перенаправление с мошеннической веб-страницей, представляющей интерфейс проверки турникета Cloudflare. Эта страница ложно рекламировала "Проверку безопасного доступа", поощряя пользователей нажимать кнопку, чтобы подтвердить свою человечность. Как только кнопка была нажата, запускалась серия событий, начинающихся с выполнения cmd.exe . Этот процесс инициировал законную загрузку AnyDesk через Microsoft Edge, якобы для того, чтобы выглядеть законно и не вызывать подозрений у пользователей. Одновременно вредоносное ПО организовало загрузку другого файла, Маскировками выдававшего себя за PDF, из связанного домена, который впоследствии был удален во временный каталог системы.

Эти варианты ClickFix подчеркивают важнейший урок кибербезопасности: они иллюстрируют эффективность интеграции хорошо известных методов онлайн-проверки, таких как CAPTCHA, во вредоносные схемы. Такой подход не только использует знакомство пользователей с обычными веб-взаимодействиями, но и извлекает выгоду из готовности отдельных лиц устранять предполагаемые проблемы, тем самым повышая вероятность успешного использования. Такие ручные действия жертв играют ключевую роль в обходе традиционных мер безопасности, обозначая эту развивающуюся угрозу как требующую постоянной бдительности и адаптивных защитных стратегий.

#ParsedReport #CompletenessLow
29-08-2025

Attackers Target Hotelier Accounts in Malvertising and Phishing Campaign

https://sec.okta.com/articles/2025/08/attackers-target-hotelier-accounts-in-broad-phishing-campaign/

Report completeness: Low

Threats:
Typosquatting_technique
Credential_harvesting_technique

Victims:
Hospitality, Vacation rentals

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1114, T1204.001, T1566.002, T1583.001

IOCs:
File: 1
Domain: 3

Functions:
sendRequest

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, нацеленная на гостиничный сектор, использует Вредоносную рекламу, чтобы выдавать себя за поставщиков услуг, обманом заставляя пользователей раскрывать личную информацию, такую как имена пользователей и пароли. Злоумышленники создают убедительные страницы для фишинга, нацеленные на сбор учетных записей, что значительно увеличивает риск утечки данных. Эта кампания иллюстрирует распространенную тактику фишинга, направленную на обман под маской законности.
-----

Была выявлена недавняя кампания фишинга, нацеленная на гостиничный сектор, в ходе которой злоумышленники выдавали себя за различных поставщиков услуг, связанных с отелями и арендой жилья для отдыха. Основной метод первоначального доступа включает в себя Вредоносную рекламу, при которой приобретаются вредоносные рекламные объявления, чтобы ввести пользователей в заблуждение и заставить их доверять мошенническому сайту выдающей себя компании. Эта тактика направлена на получение конфиденциальной информации от ничего не подозревающих жертв.

Основная цель кампании - сбор учетных записей. Злоумышленники создали страницы для фишинга, предназначенные для сбора персональных данных, включая имена пользователей, Адреса эл. почты, номера телефонов и пароли. Это демонстрирует распространенный подход к фишингу, когда основное внимание уделяется созданию видимости законности, чтобы обманом заставить пользователей предоставить свои учетные данные.

Чтобы снизить риски, связанные с такого рода кампаниями, рекомендуется принять несколько мер безопасности. Организациям следует поощрять клиентов и партнеров к внедрению надежных методов аутентификации, уделяя приоритетное внимание таким факторам владения, как ключи доступа, которые обеспечивают повышенную устойчивость к попыткам фишинга. Особое внимание уделяется регистрации пользователей workforce с помощью решений для безопасной аутентификации, таких как Okta FastPass и FIDO2 WebAuthn passkeys. Кроме того, политики должны предписывать более высокие уровни надежности для запросов на доступ, поступающих из незнакомых сетей.

Адаптивная оценка рисков может сыграть жизненно важную роль в выявлении и автоматизации реагирования на необычные схемы доступа. Регулярный мониторинг регистраций доменов необходим для обнаружения потенциальных угроз фишинга, а поддержание бдительности в отношении журналов приложений может помочь выявить любое несанкционированное общение с подозрительными доменами. Если размещение контента на этих доменах нарушает правовые рамки, рекомендуется инициировать запросы на удаление по соответствующим каналам. Наконец, осведомленность пользователей имеет решающее значение; организации должны заблаговременно предупреждать пользователей о потенциальных рисках, связанных с попытками Вредоносной рекламы и фишинга, которые могут быть нацелены на их бренд, а также информировать их в случае обнаружения подозрительной активности в их аккаунтах.

#ParsedReport #CompletenessMedium
01-09-2025

Dire Wolf Ransomware: A Threat That Combines Data Encryption with Exfiltration

https://asec.ahnlab.com/ko/89938/

Report completeness: Medium

Actors/Campaigns:
Dire_wolf (motivation: financially_motivated)

Threats:
Dire_wolf
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Manufacturing, Information technology, Construction, Finance

Industry:
Financial

Geo:
Thailand, Italy, Australia, Taiwan, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1059.003, T1070.001, T1070.004, T1486, T1489, T1490, T1562.001

IOCs:
Command: 2
File: 5
Hash: 4

Soft:
bcdedit, MSSQL, onenote, outlook

Algorithms:
chacha20, sha256, curve25519, md5

Win Services:
eventlog, sqlservr, tomcat6, BackupExecJobEngine, SQLSERVERAGENT, wuauserv, VeeamTransportSvc, MSExchangeIS

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4