#ParsedReport #CompletenessMedium
31-08-2025

The ClickFix Attack That Wasnt: From a Fake AnyDesk Installer to MetaStealer

https://www.huntress.com/blog/fake-anydesk-clickfix-metastealer-malware

Report completeness: Medium

Threats:
Clickfix_technique
Anydesk_tool
Meta_stealer
Filefix_technique

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204, T1204.002, T1218, T1566

IOCs:
Domain: 5
Url: 2
File: 4
IP: 1
Hash: 3

Soft:
Cloudflare Turnstile, Windows search, Windows File Explorer, Microsoft Edge, curl

Algorithms:
sha256

Languages:
powershell, php, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набирает популярность метод атаки ClickFix, использующий социальную инженерию, чтобы убедить пользователей запускать вредоносный код под видом решения таких проблем, как запросы CAPTCHA. Недавний вариант включал поддельный установщик AnyDesk, связанный с мошеннической веб-страницей, отображающей проверку турникета Cloudflare, которая при взаимодействии с которой выполнялась cmd.exe и загрузил как законное приложение AnyDesk, так и дополнительное вредоносное ПО, замаскированное под PDF. Эти атаки подчеркивают угрозу использования знакомых методов онлайн-верификации для обмана пользователей, что позволяет использовать меры безопасности и уклоняться от них.
-----

Технология атаки ClickFix набрала популярность за последний год, в основном используя тактику социальной инженерии, чтобы убедить пользователей выполнить вредоносный код в своих системах. Злоумышленники используют предполагаемые “исправления”, включающие капчи, чтобы побудить жертв выполнять команды, инициирующие вредоносную активность. Хотя многие атаки с ClickFix строго придерживаются этой методологии, существуют варианты, которые отклоняются от традиционной схемы, адаптируя основную концепцию для различных векторов атаки.

Один из недавних вариантов включал поддельный установщик AnyDesk, который был связан через перенаправление с мошеннической веб-страницей, представляющей интерфейс проверки турникета Cloudflare. Эта страница ложно рекламировала "Проверку безопасного доступа", поощряя пользователей нажимать кнопку, чтобы подтвердить свою человечность. Как только кнопка была нажата, запускалась серия событий, начинающихся с выполнения cmd.exe . Этот процесс инициировал законную загрузку AnyDesk через Microsoft Edge, якобы для того, чтобы выглядеть законно и не вызывать подозрений у пользователей. Одновременно вредоносное ПО организовало загрузку другого файла, Маскировками выдававшего себя за PDF, из связанного домена, который впоследствии был удален во временный каталог системы.

Эти варианты ClickFix подчеркивают важнейший урок кибербезопасности: они иллюстрируют эффективность интеграции хорошо известных методов онлайн-проверки, таких как CAPTCHA, во вредоносные схемы. Такой подход не только использует знакомство пользователей с обычными веб-взаимодействиями, но и извлекает выгоду из готовности отдельных лиц устранять предполагаемые проблемы, тем самым повышая вероятность успешного использования. Такие ручные действия жертв играют ключевую роль в обходе традиционных мер безопасности, обозначая эту развивающуюся угрозу как требующую постоянной бдительности и адаптивных защитных стратегий.

#ParsedReport #CompletenessLow
29-08-2025

Attackers Target Hotelier Accounts in Malvertising and Phishing Campaign

https://sec.okta.com/articles/2025/08/attackers-target-hotelier-accounts-in-broad-phishing-campaign/

Report completeness: Low

Threats:
Typosquatting_technique
Credential_harvesting_technique

Victims:
Hospitality, Vacation rentals

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1114, T1204.001, T1566.002, T1583.001

IOCs:
File: 1
Domain: 3

Functions:
sendRequest

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, нацеленная на гостиничный сектор, использует Вредоносную рекламу, чтобы выдавать себя за поставщиков услуг, обманом заставляя пользователей раскрывать личную информацию, такую как имена пользователей и пароли. Злоумышленники создают убедительные страницы для фишинга, нацеленные на сбор учетных записей, что значительно увеличивает риск утечки данных. Эта кампания иллюстрирует распространенную тактику фишинга, направленную на обман под маской законности.
-----

Была выявлена недавняя кампания фишинга, нацеленная на гостиничный сектор, в ходе которой злоумышленники выдавали себя за различных поставщиков услуг, связанных с отелями и арендой жилья для отдыха. Основной метод первоначального доступа включает в себя Вредоносную рекламу, при которой приобретаются вредоносные рекламные объявления, чтобы ввести пользователей в заблуждение и заставить их доверять мошенническому сайту выдающей себя компании. Эта тактика направлена на получение конфиденциальной информации от ничего не подозревающих жертв.

Основная цель кампании - сбор учетных записей. Злоумышленники создали страницы для фишинга, предназначенные для сбора персональных данных, включая имена пользователей, Адреса эл. почты, номера телефонов и пароли. Это демонстрирует распространенный подход к фишингу, когда основное внимание уделяется созданию видимости законности, чтобы обманом заставить пользователей предоставить свои учетные данные.

Чтобы снизить риски, связанные с такого рода кампаниями, рекомендуется принять несколько мер безопасности. Организациям следует поощрять клиентов и партнеров к внедрению надежных методов аутентификации, уделяя приоритетное внимание таким факторам владения, как ключи доступа, которые обеспечивают повышенную устойчивость к попыткам фишинга. Особое внимание уделяется регистрации пользователей workforce с помощью решений для безопасной аутентификации, таких как Okta FastPass и FIDO2 WebAuthn passkeys. Кроме того, политики должны предписывать более высокие уровни надежности для запросов на доступ, поступающих из незнакомых сетей.

Адаптивная оценка рисков может сыграть жизненно важную роль в выявлении и автоматизации реагирования на необычные схемы доступа. Регулярный мониторинг регистраций доменов необходим для обнаружения потенциальных угроз фишинга, а поддержание бдительности в отношении журналов приложений может помочь выявить любое несанкционированное общение с подозрительными доменами. Если размещение контента на этих доменах нарушает правовые рамки, рекомендуется инициировать запросы на удаление по соответствующим каналам. Наконец, осведомленность пользователей имеет решающее значение; организации должны заблаговременно предупреждать пользователей о потенциальных рисках, связанных с попытками Вредоносной рекламы и фишинга, которые могут быть нацелены на их бренд, а также информировать их в случае обнаружения подозрительной активности в их аккаунтах.

#ParsedReport #CompletenessMedium
01-09-2025

Dire Wolf Ransomware: A Threat That Combines Data Encryption with Exfiltration

https://asec.ahnlab.com/ko/89938/

Report completeness: Medium

Actors/Campaigns:
Dire_wolf (motivation: financially_motivated)

Threats:
Dire_wolf
Shadow_copies_delete_technique
Wevtutil_tool

Victims:
Manufacturing, Information technology, Construction, Finance

Industry:
Financial

Geo:
Thailand, Italy, Australia, Taiwan, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1059.003, T1070.001, T1070.004, T1486, T1489, T1490, T1562.001

IOCs:
Command: 2
File: 5
Hash: 4

Soft:
bcdedit, MSSQL, onenote, outlook

Algorithms:
chacha20, sha256, curve25519, md5

Win Services:
eventlog, sqlservr, tomcat6, BackupExecJobEngine, SQLSERVERAGENT, wuauserv, VeeamTransportSvc, MSExchangeIS

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель DireWolf, активная с мая 2025 года, использует Tox для общения с жертвами и нацелена на различные сектора по всему миру, применяя тактику двойного вымогательства, которая включает угрозы шифрования данных и эксфильтрации. Он работает через командную строку без файла конфигурации, используя системный мьютекс для предотвращения множественных экземпляров, и использует Curve25519 и ChaCha20 для шифрования, что усложняет усилия по восстановлению. Программа-вымогатель также нарушает работу служб резервного копирования и стирает журналы, затрудняя расследование и анализ, одновременно повышая эффективность атаки.
-----

DireWolf ransomware group появилась в мае 2025 года, начав свою деятельность 26 числа того же месяца с заявления о том, что нацелена на жертв исключительно с целью получения финансовой выгоды. Они используют Tox messenger для установления связи со своими жертвами и были связаны с различными секторами, включая производство, информационные технологии, строительство и финансы, в таких регионах, как Азия, Австралия и Италия. Группа использует метод двойного вымогательства, сочетающий шифрование данных с угрозой эксфильтрации данных, и уже оказала воздействие на 16 организаций в различных странах, включая Соединенные Штаты, Таиланд и Тайвань.

Технически программа-вымогатель DireWolf работает с помощью аргументов командной строки, не требуя файла конфигурации, используя аргумент -d для указания целевого каталога и аргумент -h для команд справки. После запуска программа-вымогатель сначала проводит проверку защиты, используя общесистемный мьютекс (Global\direwolfAppMutex), чтобы избежать множественных случаев и определить, была ли система уже скомпрометирована, на что указывает наличие определенного файла-маркера (C:\runfinish.exe ). Если эти проверки выполнены, программа останавливается, регистрирует свои действия и запускает процедуру самоудаления.

Что касается шифрования, Direwolf использует сложный процесс, включающий обмен ключами на основе Curve25519 и потоковое шифрование ChaCha20. Для каждого файла он генерирует случайный сеансовый ключ и формирует общий секрет, используя жестко закодированный открытый ключ злоумышленника, который обрабатывается через SHA-256 для получения окончательного ключа шифрования и одноразового номера. Затем зашифрованные файлы помечаются расширением .direwolf. Этот метод усложняет процесс восстановления для жертв, поскольку он эффективно обходит известные методы дешифрования, тем самым оставляя переговоры с злоумышленниками в качестве основного варианта восстановления.

Кроме того, DireWolf принимает упреждающие меры, чтобы воспрепятствовать усилиям по восстановлению. Он нацелен на различные процессы резервного копирования и восстановления и завершает их работу, включая Veeam, Veritas, MSSQL и Exchange. Используя такие команды, как wevtutil, wbadmin и bcdedit, он удаляет журналы событий и отключает параметры восстановления, что еще больше затрудняет судебно-медицинское расследование. После успешного шифрования файлов программа-вымогатель пытается принудительно перезагрузить систему и использует процедуру самоудаления для удаления своих собственных исполняемых файлов, что значительно усложняет анализ для специалистов по безопасности и повышает эффективность своей стратегии атаки.

#ParsedReport #CompletenessLow
27-08-2025

Mosyle identifies new Mac malware that evades detection through fake PDF conversion tool

https://9to5mac.com/2025/08/27/mosyle-identifies-new-mac-malware-that-evades-detection-through-fake-pdf-conversion-tool/

Report completeness: Low

Threats:
Jscorerunner

Victims:
Consumers

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002

IOCs:
Domain: 1
File: 2
Hash: 8

Soft:
macOS, Gatekeeper, Chrome, Google Chrome, Twitter

Languages:
javascript

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно выявленная вредоносная ПО для Mac "JSCoreRunner" маскируется под инструмент преобразования PDF, чтобы избежать обнаружения, используя вредоносный веб-сайт fileripple.com для распространения. Он успешно избежал обнаружения на VirusTotal, что подчеркивает его изощренность и эффективность тактики социальной инженерии, применяемой злоумышленниками. Это вредоносное ПО иллюстрирует продолжающуюся эволюцию методов доставки в киберугрозах, подчеркивая проблемы в существующих механизмах обнаружения.
-----

Недавно идентифицированный штамм вредоносного ПО для Mac, называемый "JSCoreRunner", был обнаружен компанией Mosyle. Это вредоносное ПО использует обманный метод, чтобы избежать обнаружения, представляя себя как безвредный инструмент для преобразования PDF-файлов. Угроза использует вредоносный веб-сайт, fileripple.com , чтобы заманить пользователей к загрузке того, что они считают безвредным приложением. Вредоносное ПО успешно обошло все механизмы обнаружения, доступные на VirusTotal на момент его обнаружения, что указывает на его потенциальную серьезность и изощренность.

JSCoreRunner является примером растущей тенденции в области киберугроз, когда злоумышленники используют тактику социальной инженерии, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, которое кажется законным. Такой подход не только повышает вероятность вовлечения пользователей, но и выявляет проблемы в существующих решениях для обнаружения вредоносного ПО. Использование поддельной утилиты в качестве вектора указывает на заметный прогресс в методах доставки вредоносного ПО, предполагая, что злоумышленники постоянно совершенствуют свои стратегии, чтобы избежать обычных мер безопасности.

Последствия этого открытия подчеркивают необходимость повышения осведомленности и бдительности пользователей, особенно в отношении подлинности загружаемого программного обеспечения и потенциальных рисков, связанных с кажущимися безобидными инструментами. Поскольку этот тип вредоносного ПО ускользнул от обнаружения, требуются более надежные решения для обеспечения безопасности и дальнейшее изучение методов его работы, механизмов закрепления и потенциального воздействия на уязвимые системы.

#ParsedReport #CompletenessMedium
01-09-2025

AI Waifu RAT: A Ring3 malware-like RAT based on LLM manipulation is circulating in the wild

https://ryingo.gitbook.io/writeups-ai_waifu_rat

Report completeness: Medium

Actors/Campaigns:
Kazepsi

Threats:
Ai_waifu_rat
Timebomb_technique
Lolbin_technique
Mitm_technique
Supply_chain_technique
Steganography_technique

Victims:
Llm role playing community, Ai community

Industry:
Government, Financial

Geo:
China, Guangdong, Chinese, Taiwanese, Taiwan

TTPs:
Tactics: 1
Technics: 22

IOCs:
File: 3
Hash: 7
Registry: 1
Email: 1

Algorithms:
aes-256, sha256, base64, aes

Functions:
eval, Function, Windows, system

Win API:
NtQueryInformationProcess, CheckRemoteDebuggerPresent, IsDebuggerPresent

Languages:
powershell, javascript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AI Waifu RAT - это троян удаленного доступа, который использует социальную инженерию в сообществе, заинтересованном в ролевых играх с искусственным интеллектом. Он использует незашифрованные HTTP-запросы для командования и контроля, применяя общий механизм закрепления с помощью изменений реестра и позволяя злоумышленникам выдавать автоматические обновления. Несмотря на свою упрощенную техническую структуру, вредоносное ПО демонстрирует сочетание психологических манипуляций и адаптивности при распространении, создавая значительные риски для ничего не подозревающих пользователей и демонстрируя эволюционирующую природу угроз.
-----

AI Waifu RAT - это троян для удаленного доступа, который использует тактику социальной инженерии. Он работает через локальный агент, который прослушивает текстовые HTTP-команды из веб-интерфейса, позволяя удаленно управлять компьютером жертвы. RAT использует фиксированный коммуникационный порт и имеет три основные конечные точки управления. Он может молча отправлять обновления или команды. Вредоносное ПО сохраняется путем записи в реестр, продолжая работать после перезагрузки. Он может принудительно выключить компьютер пользователя при получении неверных входных данных. Автор использует социальную инженерию для манипулирования сообществом и улучшения распространения, используя множественные идентификаторы, чтобы избежать обнаружения. Злоумышленник - это вредоносная группа низкого уровня, базирующаяся в Китае. Они могут использовать методы Компиляции после доставки для запутывания. Были предприняты попытки сдержать угрозу, но автор может продолжать свою деятельность под измененным именем.

#ParsedReport #CompletenessLow
29-08-2025

Amazon disrupts watering hole campaign by Russias APT29

https://aws.amazon.com/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Watering_hole_technique
Credential_harvesting_technique
Clickfix_technique

Victims:
Academics, Critics of russia, General website visitors

Geo:
Russia, Russias

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1189, T1204, T1566, T1583.001, T1608, T1651

IOCs:
Domain: 2

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Amazon по разведке угроз сорвала кампанию watering hole российского злоумышленника APT29, известного своей оппортунистической тактикой, связанной с компрометацией законных веб-сайтов. Кампания использовала вредоносные инъекции JavaScript для перенаправления пользователей, используя поток аутентификации по коду устройства Microsoft для сбора учетных данных. Со временем APT29 эволюционировал в своих технологиях, используя сложные методы фишинга и сбора учетных записей, в то время как системы AWS оставались бескомпромиссными.
-----

Команда Amazon по разведке угроз недавно сорвала кампанию watering hole, приписываемую российскому злоумышленнику APT29, также известному как Midnight Blizzard, связанному со Службой внешней разведки страны (СВР). Эта кампания является примером оппортунистической тактики группы, направленной на проникновение и сбор разведывательных данных путем компрометации законных веб-сайтов. Пользователи, посещавшие эти сайты, были перенаправлены на вредоносную инфраструктуру, которая использовала процесс аутентификации по коду устройства Microsoft, используя доверие пользователей для получения авторизации для устройств, контролируемых злоумышленником.

Анализ показывает, что APT29 со временем эволюционировал в своих методах. Ранее, в октябре 2024 года, группа выдала себя за AWS для развертывания тактики фишинга с использованием файлов Протокола удаленного рабочего стола, в то время как в июне 2025 года группа Google по анализу угроз отметила APT29's фишингов -операции, направленные на ученых и критиков России, использующих пароли для конкретных приложений (ASP). Их текущая деятельность по-прежнему сосредоточена на сборе учетных записей, что свидетельствует о глубокой доработке их технических процедур.

Технически Amazon идентифицировала вредоносные действия с помощью специальной аналитики, разработанной для инфраструктуры APT29, позволяющей обнаруживать доменные имена, контролируемые акторами. Расследование выявило использование различных легальных веб-сайтов, где инъекции JavaScript перенаправляли около 10% посетителей на эти вредоносные домены, такие как findcloudflare.com , которые выдавались за законные страницы проверки Cloudflare. Основной целью этой кампании был поток аутентификации по коду устройства Microsoft, что указывает на стратегическую направленность на получение несанкционированного доступа к учетным записям пользователей. Важно отметить, что в ходе расследования был сделан вывод о том, что системы Amazon Веб-сервисов (AWS) оставались бескомпромиссными, и не сообщалось о каких-либо прямых воздействиях на их сервисы или инфраструктуру.

Чтобы снизить риски, связанные с такими угрозами, пользователям и организациям рекомендуется сохранять бдительность в отношении подозрительных перенаправлений, особенно тех, которые имитируют процедуры проверки безопасности. Проверка подлинности запросов на авторизацию устройства имеет решающее значение перед предоставлением разрешения. Рекомендуется включить Многофакторную аутентификацию (MFA) для всех учетных записей, что отражает практику, также принятую AWS для корневых учетных записей. Кроме того, пользователям следует проявлять осторожность при работе с веб-страницами, запрашивающими выполнение команд, поскольку это согласуется с недавно опубликованным методом "ClickFix", используемым злоумышленниками для манипулирования пользователями с целью выполнения вредоносных команд.

#ParsedReport #CompletenessMedium
02-09-2025

Dad could not: F6 experts examined harmful mailings with the new Phantom Stealer

https://www.f6.ru/blog/phantom-stealer/

Report completeness: Medium

Actors/Campaigns:
Phantom_papa

Threats:
Phantom_stealer
Keilger
Porndetector
Stealerium_stealer
Agent_tesla

Industry:
Retail, Logistic, Financial

Geo:
Serbia, Great britain, Singapore, Spain, Hungary, Belarus, Romania, Russia, Switzerland, Estonia, Usa, Russian, Azerbaijan, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1010, T1027, T1041, T1056.003, T1070.004, T1070.006, T1074.001, T1113, T1115, have more...

IOCs:
Coin: 3
Domain: 2
File: 50
Command: 2
Url: 2
Registry: 1
Path: 7
Hash: 12

Soft:
TelegramAPI, twitter, telegram, discord, viber, gmail, protonmail, outlook, Windows Defender, Chrome, have more...

Wallets:
coinomi, coinbase

Crypto:
bitcoin, monero, litecoin

Algorithms:
md5, zip, cbc, aes

Languages:
java, swift, powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4