CTT Report Hub
#ParsedReport #CompletenessMedium 01-09-2025 Dire Wolf Ransomware: A Threat That Combines Data Encryption with Exfiltration https://asec.ahnlab.com/ko/89938/ Report completeness: Medium Actors/Campaigns: Dire_wolf (motivation: financially_motivated) Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель DireWolf, активная с мая 2025 года, использует Tox для общения с жертвами и нацелена на различные сектора по всему миру, применяя тактику двойного вымогательства, которая включает угрозы шифрования данных и эксфильтрации. Он работает через командную строку без файла конфигурации, используя системный мьютекс для предотвращения множественных экземпляров, и использует Curve25519 и ChaCha20 для шифрования, что усложняет усилия по восстановлению. Программа-вымогатель также нарушает работу служб резервного копирования и стирает журналы, затрудняя расследование и анализ, одновременно повышая эффективность атаки.
-----
DireWolf ransomware group появилась в мае 2025 года, начав свою деятельность 26 числа того же месяца с заявления о том, что нацелена на жертв исключительно с целью получения финансовой выгоды. Они используют Tox messenger для установления связи со своими жертвами и были связаны с различными секторами, включая производство, информационные технологии, строительство и финансы, в таких регионах, как Азия, Австралия и Италия. Группа использует метод двойного вымогательства, сочетающий шифрование данных с угрозой эксфильтрации данных, и уже оказала воздействие на 16 организаций в различных странах, включая Соединенные Штаты, Таиланд и Тайвань.
Технически программа-вымогатель DireWolf работает с помощью аргументов командной строки, не требуя файла конфигурации, используя аргумент -d для указания целевого каталога и аргумент -h для команд справки. После запуска программа-вымогатель сначала проводит проверку защиты, используя общесистемный мьютекс (Global\direwolfAppMutex), чтобы избежать множественных случаев и определить, была ли система уже скомпрометирована, на что указывает наличие определенного файла-маркера (C:\runfinish.exe ). Если эти проверки выполнены, программа останавливается, регистрирует свои действия и запускает процедуру самоудаления.
Что касается шифрования, Direwolf использует сложный процесс, включающий обмен ключами на основе Curve25519 и потоковое шифрование ChaCha20. Для каждого файла он генерирует случайный сеансовый ключ и формирует общий секрет, используя жестко закодированный открытый ключ злоумышленника, который обрабатывается через SHA-256 для получения окончательного ключа шифрования и одноразового номера. Затем зашифрованные файлы помечаются расширением .direwolf. Этот метод усложняет процесс восстановления для жертв, поскольку он эффективно обходит известные методы дешифрования, тем самым оставляя переговоры с злоумышленниками в качестве основного варианта восстановления.
Кроме того, DireWolf принимает упреждающие меры, чтобы воспрепятствовать усилиям по восстановлению. Он нацелен на различные процессы резервного копирования и восстановления и завершает их работу, включая Veeam, Veritas, MSSQL и Exchange. Используя такие команды, как wevtutil, wbadmin и bcdedit, он удаляет журналы событий и отключает параметры восстановления, что еще больше затрудняет судебно-медицинское расследование. После успешного шифрования файлов программа-вымогатель пытается принудительно перезагрузить систему и использует процедуру самоудаления для удаления своих собственных исполняемых файлов, что значительно усложняет анализ для специалистов по безопасности и повышает эффективность своей стратегии атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Программа-вымогатель DireWolf, активная с мая 2025 года, использует Tox для общения с жертвами и нацелена на различные сектора по всему миру, применяя тактику двойного вымогательства, которая включает угрозы шифрования данных и эксфильтрации. Он работает через командную строку без файла конфигурации, используя системный мьютекс для предотвращения множественных экземпляров, и использует Curve25519 и ChaCha20 для шифрования, что усложняет усилия по восстановлению. Программа-вымогатель также нарушает работу служб резервного копирования и стирает журналы, затрудняя расследование и анализ, одновременно повышая эффективность атаки.
-----
DireWolf ransomware group появилась в мае 2025 года, начав свою деятельность 26 числа того же месяца с заявления о том, что нацелена на жертв исключительно с целью получения финансовой выгоды. Они используют Tox messenger для установления связи со своими жертвами и были связаны с различными секторами, включая производство, информационные технологии, строительство и финансы, в таких регионах, как Азия, Австралия и Италия. Группа использует метод двойного вымогательства, сочетающий шифрование данных с угрозой эксфильтрации данных, и уже оказала воздействие на 16 организаций в различных странах, включая Соединенные Штаты, Таиланд и Тайвань.
Технически программа-вымогатель DireWolf работает с помощью аргументов командной строки, не требуя файла конфигурации, используя аргумент -d для указания целевого каталога и аргумент -h для команд справки. После запуска программа-вымогатель сначала проводит проверку защиты, используя общесистемный мьютекс (Global\direwolfAppMutex), чтобы избежать множественных случаев и определить, была ли система уже скомпрометирована, на что указывает наличие определенного файла-маркера (C:\runfinish.exe ). Если эти проверки выполнены, программа останавливается, регистрирует свои действия и запускает процедуру самоудаления.
Что касается шифрования, Direwolf использует сложный процесс, включающий обмен ключами на основе Curve25519 и потоковое шифрование ChaCha20. Для каждого файла он генерирует случайный сеансовый ключ и формирует общий секрет, используя жестко закодированный открытый ключ злоумышленника, который обрабатывается через SHA-256 для получения окончательного ключа шифрования и одноразового номера. Затем зашифрованные файлы помечаются расширением .direwolf. Этот метод усложняет процесс восстановления для жертв, поскольку он эффективно обходит известные методы дешифрования, тем самым оставляя переговоры с злоумышленниками в качестве основного варианта восстановления.
Кроме того, DireWolf принимает упреждающие меры, чтобы воспрепятствовать усилиям по восстановлению. Он нацелен на различные процессы резервного копирования и восстановления и завершает их работу, включая Veeam, Veritas, MSSQL и Exchange. Используя такие команды, как wevtutil, wbadmin и bcdedit, он удаляет журналы событий и отключает параметры восстановления, что еще больше затрудняет судебно-медицинское расследование. После успешного шифрования файлов программа-вымогатель пытается принудительно перезагрузить систему и использует процедуру самоудаления для удаления своих собственных исполняемых файлов, что значительно усложняет анализ для специалистов по безопасности и повышает эффективность своей стратегии атаки.
#ParsedReport #CompletenessLow
27-08-2025
Mosyle identifies new Mac malware that evades detection through fake PDF conversion tool
https://9to5mac.com/2025/08/27/mosyle-identifies-new-mac-malware-that-evades-detection-through-fake-pdf-conversion-tool/
Report completeness: Low
Threats:
Jscorerunner
Victims:
Consumers
Industry:
Education
ChatGPT TTPs:
T1036, T1204.002
IOCs:
Domain: 1
File: 2
Hash: 8
Soft:
macOS, Gatekeeper, Chrome, Google Chrome, Twitter
Languages:
javascript
Platforms:
apple
27-08-2025
Mosyle identifies new Mac malware that evades detection through fake PDF conversion tool
https://9to5mac.com/2025/08/27/mosyle-identifies-new-mac-malware-that-evades-detection-through-fake-pdf-conversion-tool/
Report completeness: Low
Threats:
Jscorerunner
Victims:
Consumers
Industry:
Education
ChatGPT TTPs:
do not use without manual checkT1036, T1204.002
IOCs:
Domain: 1
File: 2
Hash: 8
Soft:
macOS, Gatekeeper, Chrome, Google Chrome, Twitter
Languages:
javascript
Platforms:
apple
9to5Mac
Mosyle identifies new Mac malware that evades detection through fake PDF conversion tool - 9to5Mac
Mosyle, a leader in Apple device management and security, has exclusively revealed to 9to5Mac details on a new Mac malware...
CTT Report Hub
#ParsedReport #CompletenessLow 27-08-2025 Mosyle identifies new Mac malware that evades detection through fake PDF conversion tool https://9to5mac.com/2025/08/27/mosyle-identifies-new-mac-malware-that-evades-detection-through-fake-pdf-conversion-tool/ Report…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавно выявленная вредоносная ПО для Mac "JSCoreRunner" маскируется под инструмент преобразования PDF, чтобы избежать обнаружения, используя вредоносный веб-сайт fileripple.com для распространения. Он успешно избежал обнаружения на VirusTotal, что подчеркивает его изощренность и эффективность тактики социальной инженерии, применяемой злоумышленниками. Это вредоносное ПО иллюстрирует продолжающуюся эволюцию методов доставки в киберугрозах, подчеркивая проблемы в существующих механизмах обнаружения.
-----
Недавно идентифицированный штамм вредоносного ПО для Mac, называемый "JSCoreRunner", был обнаружен компанией Mosyle. Это вредоносное ПО использует обманный метод, чтобы избежать обнаружения, представляя себя как безвредный инструмент для преобразования PDF-файлов. Угроза использует вредоносный веб-сайт, fileripple.com , чтобы заманить пользователей к загрузке того, что они считают безвредным приложением. Вредоносное ПО успешно обошло все механизмы обнаружения, доступные на VirusTotal на момент его обнаружения, что указывает на его потенциальную серьезность и изощренность.
JSCoreRunner является примером растущей тенденции в области киберугроз, когда злоумышленники используют тактику социальной инженерии, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, которое кажется законным. Такой подход не только повышает вероятность вовлечения пользователей, но и выявляет проблемы в существующих решениях для обнаружения вредоносного ПО. Использование поддельной утилиты в качестве вектора указывает на заметный прогресс в методах доставки вредоносного ПО, предполагая, что злоумышленники постоянно совершенствуют свои стратегии, чтобы избежать обычных мер безопасности.
Последствия этого открытия подчеркивают необходимость повышения осведомленности и бдительности пользователей, особенно в отношении подлинности загружаемого программного обеспечения и потенциальных рисков, связанных с кажущимися безобидными инструментами. Поскольку этот тип вредоносного ПО ускользнул от обнаружения, требуются более надежные решения для обеспечения безопасности и дальнейшее изучение методов его работы, механизмов закрепления и потенциального воздействия на уязвимые системы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавно выявленная вредоносная ПО для Mac "JSCoreRunner" маскируется под инструмент преобразования PDF, чтобы избежать обнаружения, используя вредоносный веб-сайт fileripple.com для распространения. Он успешно избежал обнаружения на VirusTotal, что подчеркивает его изощренность и эффективность тактики социальной инженерии, применяемой злоумышленниками. Это вредоносное ПО иллюстрирует продолжающуюся эволюцию методов доставки в киберугрозах, подчеркивая проблемы в существующих механизмах обнаружения.
-----
Недавно идентифицированный штамм вредоносного ПО для Mac, называемый "JSCoreRunner", был обнаружен компанией Mosyle. Это вредоносное ПО использует обманный метод, чтобы избежать обнаружения, представляя себя как безвредный инструмент для преобразования PDF-файлов. Угроза использует вредоносный веб-сайт, fileripple.com , чтобы заманить пользователей к загрузке того, что они считают безвредным приложением. Вредоносное ПО успешно обошло все механизмы обнаружения, доступные на VirusTotal на момент его обнаружения, что указывает на его потенциальную серьезность и изощренность.
JSCoreRunner является примером растущей тенденции в области киберугроз, когда злоумышленники используют тактику социальной инженерии, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, которое кажется законным. Такой подход не только повышает вероятность вовлечения пользователей, но и выявляет проблемы в существующих решениях для обнаружения вредоносного ПО. Использование поддельной утилиты в качестве вектора указывает на заметный прогресс в методах доставки вредоносного ПО, предполагая, что злоумышленники постоянно совершенствуют свои стратегии, чтобы избежать обычных мер безопасности.
Последствия этого открытия подчеркивают необходимость повышения осведомленности и бдительности пользователей, особенно в отношении подлинности загружаемого программного обеспечения и потенциальных рисков, связанных с кажущимися безобидными инструментами. Поскольку этот тип вредоносного ПО ускользнул от обнаружения, требуются более надежные решения для обеспечения безопасности и дальнейшее изучение методов его работы, механизмов закрепления и потенциального воздействия на уязвимые системы.
#ParsedReport #CompletenessMedium
01-09-2025
AI Waifu RAT: A Ring3 malware-like RAT based on LLM manipulation is circulating in the wild
https://ryingo.gitbook.io/writeups-ai_waifu_rat
Report completeness: Medium
Actors/Campaigns:
Kazepsi
Threats:
Ai_waifu_rat
Timebomb_technique
Lolbin_technique
Mitm_technique
Supply_chain_technique
Steganography_technique
Victims:
Llm role playing community, Ai community
Industry:
Government, Financial
Geo:
China, Guangdong, Chinese, Taiwanese, Taiwan
TTPs:
Tactics: 1
Technics: 22
IOCs:
File: 3
Hash: 7
Registry: 1
Email: 1
Algorithms:
aes-256, sha256, base64, aes
Functions:
eval, Function, Windows, system
Win API:
NtQueryInformationProcess, CheckRemoteDebuggerPresent, IsDebuggerPresent
Languages:
powershell, javascript
Platforms:
x86
01-09-2025
AI Waifu RAT: A Ring3 malware-like RAT based on LLM manipulation is circulating in the wild
https://ryingo.gitbook.io/writeups-ai_waifu_rat
Report completeness: Medium
Actors/Campaigns:
Kazepsi
Threats:
Ai_waifu_rat
Timebomb_technique
Lolbin_technique
Mitm_technique
Supply_chain_technique
Steganography_technique
Victims:
Llm role playing community, Ai community
Industry:
Government, Financial
Geo:
China, Guangdong, Chinese, Taiwanese, Taiwan
TTPs:
Tactics: 1
Technics: 22
IOCs:
File: 3
Hash: 7
Registry: 1
Email: 1
Algorithms:
aes-256, sha256, base64, aes
Functions:
eval, Function, Windows, system
Win API:
NtQueryInformationProcess, CheckRemoteDebuggerPresent, IsDebuggerPresent
Languages:
powershell, javascript
Platforms:
x86
CTT Report Hub
#ParsedReport #CompletenessMedium 01-09-2025 AI Waifu RAT: A Ring3 malware-like RAT based on LLM manipulation is circulating in the wild https://ryingo.gitbook.io/writeups-ai_waifu_rat Report completeness: Medium Actors/Campaigns: Kazepsi Threats: Ai_waifu_rat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AI Waifu RAT - это троян удаленного доступа, который использует социальную инженерию в сообществе, заинтересованном в ролевых играх с искусственным интеллектом. Он использует незашифрованные HTTP-запросы для командования и контроля, применяя общий механизм закрепления с помощью изменений реестра и позволяя злоумышленникам выдавать автоматические обновления. Несмотря на свою упрощенную техническую структуру, вредоносное ПО демонстрирует сочетание психологических манипуляций и адаптивности при распространении, создавая значительные риски для ничего не подозревающих пользователей и демонстрируя эволюционирующую природу угроз.
-----
AI Waifu RAT - это троян для удаленного доступа, который использует тактику социальной инженерии. Он работает через локальный агент, который прослушивает текстовые HTTP-команды из веб-интерфейса, позволяя удаленно управлять компьютером жертвы. RAT использует фиксированный коммуникационный порт и имеет три основные конечные точки управления. Он может молча отправлять обновления или команды. Вредоносное ПО сохраняется путем записи в реестр, продолжая работать после перезагрузки. Он может принудительно выключить компьютер пользователя при получении неверных входных данных. Автор использует социальную инженерию для манипулирования сообществом и улучшения распространения, используя множественные идентификаторы, чтобы избежать обнаружения. Злоумышленник - это вредоносная группа низкого уровня, базирующаяся в Китае. Они могут использовать методы Компиляции после доставки для запутывания. Были предприняты попытки сдержать угрозу, но автор может продолжать свою деятельность под измененным именем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
AI Waifu RAT - это троян удаленного доступа, который использует социальную инженерию в сообществе, заинтересованном в ролевых играх с искусственным интеллектом. Он использует незашифрованные HTTP-запросы для командования и контроля, применяя общий механизм закрепления с помощью изменений реестра и позволяя злоумышленникам выдавать автоматические обновления. Несмотря на свою упрощенную техническую структуру, вредоносное ПО демонстрирует сочетание психологических манипуляций и адаптивности при распространении, создавая значительные риски для ничего не подозревающих пользователей и демонстрируя эволюционирующую природу угроз.
-----
AI Waifu RAT - это троян для удаленного доступа, который использует тактику социальной инженерии. Он работает через локальный агент, который прослушивает текстовые HTTP-команды из веб-интерфейса, позволяя удаленно управлять компьютером жертвы. RAT использует фиксированный коммуникационный порт и имеет три основные конечные точки управления. Он может молча отправлять обновления или команды. Вредоносное ПО сохраняется путем записи в реестр, продолжая работать после перезагрузки. Он может принудительно выключить компьютер пользователя при получении неверных входных данных. Автор использует социальную инженерию для манипулирования сообществом и улучшения распространения, используя множественные идентификаторы, чтобы избежать обнаружения. Злоумышленник - это вредоносная группа низкого уровня, базирующаяся в Китае. Они могут использовать методы Компиляции после доставки для запутывания. Были предприняты попытки сдержать угрозу, но автор может продолжать свою деятельность под измененным именем.
#ParsedReport #CompletenessLow
29-08-2025
Amazon disrupts watering hole campaign by Russias APT29
https://aws.amazon.com/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Watering_hole_technique
Credential_harvesting_technique
Clickfix_technique
Victims:
Academics, Critics of russia, General website visitors
Geo:
Russia, Russias
ChatGPT TTPs:
T1036, T1071.001, T1189, T1204, T1566, T1583.001, T1608, T1651
IOCs:
Domain: 2
Algorithms:
base64
Languages:
javascript
29-08-2025
Amazon disrupts watering hole campaign by Russias APT29
https://aws.amazon.com/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/
Report completeness: Low
Actors/Campaigns:
Duke
Threats:
Watering_hole_technique
Credential_harvesting_technique
Clickfix_technique
Victims:
Academics, Critics of russia, General website visitors
Geo:
Russia, Russias
ChatGPT TTPs:
do not use without manual checkT1036, T1071.001, T1189, T1204, T1566, T1583.001, T1608, T1651
IOCs:
Domain: 2
Algorithms:
base64
Languages:
javascript
Amazon
Amazon disrupts watering hole campaign by Russia’s APT29 | Amazon Web Services
Amazon’s threat intelligence team has identified and disrupted a watering hole campaign conducted by APT29 (also known as Midnight Blizzard), a threat actor associated with Russia’s Foreign Intelligence Service (SVR). Our investigation uncovered an opportunistic…
CTT Report Hub
#ParsedReport #CompletenessLow 29-08-2025 Amazon disrupts watering hole campaign by Russias APT29 https://aws.amazon.com/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/ Report completeness: Low Actors/Campaigns: Duke Threats: …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Команда Amazon по разведке угроз сорвала кампанию watering hole российского злоумышленника APT29, известного своей оппортунистической тактикой, связанной с компрометацией законных веб-сайтов. Кампания использовала вредоносные инъекции JavaScript для перенаправления пользователей, используя поток аутентификации по коду устройства Microsoft для сбора учетных данных. Со временем APT29 эволюционировал в своих технологиях, используя сложные методы фишинга и сбора учетных записей, в то время как системы AWS оставались бескомпромиссными.
-----
Команда Amazon по разведке угроз недавно сорвала кампанию watering hole, приписываемую российскому злоумышленнику APT29, также известному как Midnight Blizzard, связанному со Службой внешней разведки страны (СВР). Эта кампания является примером оппортунистической тактики группы, направленной на проникновение и сбор разведывательных данных путем компрометации законных веб-сайтов. Пользователи, посещавшие эти сайты, были перенаправлены на вредоносную инфраструктуру, которая использовала процесс аутентификации по коду устройства Microsoft, используя доверие пользователей для получения авторизации для устройств, контролируемых злоумышленником.
Анализ показывает, что APT29 со временем эволюционировал в своих методах. Ранее, в октябре 2024 года, группа выдала себя за AWS для развертывания тактики фишинга с использованием файлов Протокола удаленного рабочего стола, в то время как в июне 2025 года группа Google по анализу угроз отметила APT29's фишингов -операции, направленные на ученых и критиков России, использующих пароли для конкретных приложений (ASP). Их текущая деятельность по-прежнему сосредоточена на сборе учетных записей, что свидетельствует о глубокой доработке их технических процедур.
Технически Amazon идентифицировала вредоносные действия с помощью специальной аналитики, разработанной для инфраструктуры APT29, позволяющей обнаруживать доменные имена, контролируемые акторами. Расследование выявило использование различных легальных веб-сайтов, где инъекции JavaScript перенаправляли около 10% посетителей на эти вредоносные домены, такие как findcloudflare.com , которые выдавались за законные страницы проверки Cloudflare. Основной целью этой кампании был поток аутентификации по коду устройства Microsoft, что указывает на стратегическую направленность на получение несанкционированного доступа к учетным записям пользователей. Важно отметить, что в ходе расследования был сделан вывод о том, что системы Amazon Веб-сервисов (AWS) оставались бескомпромиссными, и не сообщалось о каких-либо прямых воздействиях на их сервисы или инфраструктуру.
Чтобы снизить риски, связанные с такими угрозами, пользователям и организациям рекомендуется сохранять бдительность в отношении подозрительных перенаправлений, особенно тех, которые имитируют процедуры проверки безопасности. Проверка подлинности запросов на авторизацию устройства имеет решающее значение перед предоставлением разрешения. Рекомендуется включить Многофакторную аутентификацию (MFA) для всех учетных записей, что отражает практику, также принятую AWS для корневых учетных записей. Кроме того, пользователям следует проявлять осторожность при работе с веб-страницами, запрашивающими выполнение команд, поскольку это согласуется с недавно опубликованным методом "ClickFix", используемым злоумышленниками для манипулирования пользователями с целью выполнения вредоносных команд.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Команда Amazon по разведке угроз сорвала кампанию watering hole российского злоумышленника APT29, известного своей оппортунистической тактикой, связанной с компрометацией законных веб-сайтов. Кампания использовала вредоносные инъекции JavaScript для перенаправления пользователей, используя поток аутентификации по коду устройства Microsoft для сбора учетных данных. Со временем APT29 эволюционировал в своих технологиях, используя сложные методы фишинга и сбора учетных записей, в то время как системы AWS оставались бескомпромиссными.
-----
Команда Amazon по разведке угроз недавно сорвала кампанию watering hole, приписываемую российскому злоумышленнику APT29, также известному как Midnight Blizzard, связанному со Службой внешней разведки страны (СВР). Эта кампания является примером оппортунистической тактики группы, направленной на проникновение и сбор разведывательных данных путем компрометации законных веб-сайтов. Пользователи, посещавшие эти сайты, были перенаправлены на вредоносную инфраструктуру, которая использовала процесс аутентификации по коду устройства Microsoft, используя доверие пользователей для получения авторизации для устройств, контролируемых злоумышленником.
Анализ показывает, что APT29 со временем эволюционировал в своих методах. Ранее, в октябре 2024 года, группа выдала себя за AWS для развертывания тактики фишинга с использованием файлов Протокола удаленного рабочего стола, в то время как в июне 2025 года группа Google по анализу угроз отметила APT29's фишингов -операции, направленные на ученых и критиков России, использующих пароли для конкретных приложений (ASP). Их текущая деятельность по-прежнему сосредоточена на сборе учетных записей, что свидетельствует о глубокой доработке их технических процедур.
Технически Amazon идентифицировала вредоносные действия с помощью специальной аналитики, разработанной для инфраструктуры APT29, позволяющей обнаруживать доменные имена, контролируемые акторами. Расследование выявило использование различных легальных веб-сайтов, где инъекции JavaScript перенаправляли около 10% посетителей на эти вредоносные домены, такие как findcloudflare.com , которые выдавались за законные страницы проверки Cloudflare. Основной целью этой кампании был поток аутентификации по коду устройства Microsoft, что указывает на стратегическую направленность на получение несанкционированного доступа к учетным записям пользователей. Важно отметить, что в ходе расследования был сделан вывод о том, что системы Amazon Веб-сервисов (AWS) оставались бескомпромиссными, и не сообщалось о каких-либо прямых воздействиях на их сервисы или инфраструктуру.
Чтобы снизить риски, связанные с такими угрозами, пользователям и организациям рекомендуется сохранять бдительность в отношении подозрительных перенаправлений, особенно тех, которые имитируют процедуры проверки безопасности. Проверка подлинности запросов на авторизацию устройства имеет решающее значение перед предоставлением разрешения. Рекомендуется включить Многофакторную аутентификацию (MFA) для всех учетных записей, что отражает практику, также принятую AWS для корневых учетных записей. Кроме того, пользователям следует проявлять осторожность при работе с веб-страницами, запрашивающими выполнение команд, поскольку это согласуется с недавно опубликованным методом "ClickFix", используемым злоумышленниками для манипулирования пользователями с целью выполнения вредоносных команд.
#ParsedReport #CompletenessMedium
02-09-2025
Dad could not: F6 experts examined harmful mailings with the new Phantom Stealer
https://www.f6.ru/blog/phantom-stealer/
Report completeness: Medium
Actors/Campaigns:
Phantom_papa
Threats:
Phantom_stealer
Keilger
Porndetector
Stealerium_stealer
Agent_tesla
Industry:
Retail, Logistic, Financial
Geo:
Serbia, Great britain, Singapore, Spain, Hungary, Belarus, Romania, Russia, Switzerland, Estonia, Usa, Russian, Azerbaijan, Kazakhstan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1005, T1010, T1027, T1041, T1056.003, T1070.004, T1070.006, T1074.001, T1113, T1115, have more...
IOCs:
Coin: 3
Domain: 2
File: 50
Command: 2
Url: 2
Registry: 1
Path: 7
Hash: 12
Soft:
TelegramAPI, twitter, telegram, discord, viber, gmail, protonmail, outlook, Windows Defender, Chrome, have more...
Wallets:
coinomi, coinbase
Crypto:
bitcoin, monero, litecoin
Algorithms:
md5, zip, cbc, aes
Languages:
java, swift, powershell, php
02-09-2025
Dad could not: F6 experts examined harmful mailings with the new Phantom Stealer
https://www.f6.ru/blog/phantom-stealer/
Report completeness: Medium
Actors/Campaigns:
Phantom_papa
Threats:
Phantom_stealer
Keilger
Porndetector
Stealerium_stealer
Agent_tesla
Industry:
Retail, Logistic, Financial
Geo:
Serbia, Great britain, Singapore, Spain, Hungary, Belarus, Romania, Russia, Switzerland, Estonia, Usa, Russian, Azerbaijan, Kazakhstan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1010, T1027, T1041, T1056.003, T1070.004, T1070.006, T1074.001, T1113, T1115, have more...
IOCs:
Coin: 3
Domain: 2
File: 50
Command: 2
Url: 2
Registry: 1
Path: 7
Hash: 12
Soft:
TelegramAPI, twitter, telegram, discord, viber, gmail, protonmail, outlook, Windows Defender, Chrome, have more...
Wallets:
coinomi, coinbase
Crypto:
bitcoin, monero, litecoin
Algorithms:
md5, zip, cbc, aes
Languages:
java, swift, powershell, php
F6
Папа не смог: эксперты F6 исследовали вредоносные рассылки с новым Phantom Stealer - F6
CTT Report Hub
#ParsedReport #CompletenessMedium 02-09-2025 Dad could not: F6 experts examined harmful mailings with the new Phantom Stealer https://www.f6.ru/blog/phantom-stealer/ Report completeness: Medium Actors/Campaigns: Phantom_papa Threats: Phantom_stealer Keilger…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Phantom Stealer - это недавно идентифицированный вариант вредоносного ПО, построенный на платформе Stealerium и распространяемый через домен Phantomsoftwarees. Он использует передовые методы антианализа и включает в себя множество модулей, таких как "Keliger" для сбора пользовательского ввода, связанного с учетной записью, "Porndetector" для мониторинга активности на сайте для взрослых и "Clipper", который регистрирует Данные из буфера обмена, связанные с криптовалютой. Вредоносное ПО эффективно выводит украденную информацию на сервер C2 или через GOFILE.io , выделяя потенциальные ссылки на распространяемое вредоносное ПО Agent Tesla.
-----
Phantom Stealer - это новый вариант вредоносного ПО, идентифицированный F6 Threat Intelligence, появившийся на основе сервиса, продаваемого на домене Phantomsoftwarees, зарегистрированного в феврале 2025 года. Это вредоносное ПО, по-видимому, построено на основе стилера Stealerium, а его операционная механика проанализирована с использованием образца исполняемого файла, идентифицированного как платежный номер. 06162025.exe (MD5: 35ed4A54FDCF4E328D57364EA7CDFAE1). Исполняемый файл Phantom Stealer поставляется в упакованном формате, который распаковывает и выполняет свою полезную нагрузку после инициализации пользователем.
Конфигурационные данные вредоносного ПО включают формат ведения журнала, который состоит из телеметрии и статистики, собранных из его модулей данных, а также архив паролей, содержащий украденную информацию. Если размер архивированных данных составляет 20 МБ или меньше, они немедленно отправляются на сервер управления (C2); в противном случае архив загружается в службу под названием GOFILE.io , и ссылка на загруженный файл отправляется на C2.
Phantom Stealer использует передовые методы антианализа, выходящие за рамки того, что было замечено в Stealerium, что указывает на сложный подход к уклонению от обнаружения. Примечательно, что он включает в себя несколько модулей: модуль "Keliger" фиксирует текст заголовка активного окна и отслеживает ввод пользователем определенных ключевых слов, связанных со счетами и финансовыми услугами. Другой модуль, "Porndetector", отслеживает активность пользователей на сайтах для взрослых, делая снимки экрана и изображения с веб-камеры при обнаружении определенных ключевых слов.
Кроме того, встроен модуль "Clipper", который непрерывно отслеживает изменения в системном буфере обмена с интервалом в две секунды. Если идентифицируется релевантный контент, связанный с криптовалютными сервисами, он заносит эти данные в соответствующие файлы. Наконец, "Модуль Sting" собирает различную личную информацию в соответствии со своими возможностями stealer, обладая более широкой поддержкой расширений браузера по сравнению со своим предшественником, Stealerium. Phantom Stealer может отслеживать данные из 57 расширений в Chrome и 10 в Microsoft Edge.
Более того, было обнаружено, что образцы вредоносного ПО Agent Tesla распространялись примерно в те же сроки, используя ту же иконографию, что и Phantom Stealer, что предполагает потенциальную связь или общие механизмы распространения между этими вредоносными инструментами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Phantom Stealer - это недавно идентифицированный вариант вредоносного ПО, построенный на платформе Stealerium и распространяемый через домен Phantomsoftwarees. Он использует передовые методы антианализа и включает в себя множество модулей, таких как "Keliger" для сбора пользовательского ввода, связанного с учетной записью, "Porndetector" для мониторинга активности на сайте для взрослых и "Clipper", который регистрирует Данные из буфера обмена, связанные с криптовалютой. Вредоносное ПО эффективно выводит украденную информацию на сервер C2 или через GOFILE.io , выделяя потенциальные ссылки на распространяемое вредоносное ПО Agent Tesla.
-----
Phantom Stealer - это новый вариант вредоносного ПО, идентифицированный F6 Threat Intelligence, появившийся на основе сервиса, продаваемого на домене Phantomsoftwarees, зарегистрированного в феврале 2025 года. Это вредоносное ПО, по-видимому, построено на основе стилера Stealerium, а его операционная механика проанализирована с использованием образца исполняемого файла, идентифицированного как платежный номер. 06162025.exe (MD5: 35ed4A54FDCF4E328D57364EA7CDFAE1). Исполняемый файл Phantom Stealer поставляется в упакованном формате, который распаковывает и выполняет свою полезную нагрузку после инициализации пользователем.
Конфигурационные данные вредоносного ПО включают формат ведения журнала, который состоит из телеметрии и статистики, собранных из его модулей данных, а также архив паролей, содержащий украденную информацию. Если размер архивированных данных составляет 20 МБ или меньше, они немедленно отправляются на сервер управления (C2); в противном случае архив загружается в службу под названием GOFILE.io , и ссылка на загруженный файл отправляется на C2.
Phantom Stealer использует передовые методы антианализа, выходящие за рамки того, что было замечено в Stealerium, что указывает на сложный подход к уклонению от обнаружения. Примечательно, что он включает в себя несколько модулей: модуль "Keliger" фиксирует текст заголовка активного окна и отслеживает ввод пользователем определенных ключевых слов, связанных со счетами и финансовыми услугами. Другой модуль, "Porndetector", отслеживает активность пользователей на сайтах для взрослых, делая снимки экрана и изображения с веб-камеры при обнаружении определенных ключевых слов.
Кроме того, встроен модуль "Clipper", который непрерывно отслеживает изменения в системном буфере обмена с интервалом в две секунды. Если идентифицируется релевантный контент, связанный с криптовалютными сервисами, он заносит эти данные в соответствующие файлы. Наконец, "Модуль Sting" собирает различную личную информацию в соответствии со своими возможностями stealer, обладая более широкой поддержкой расширений браузера по сравнению со своим предшественником, Stealerium. Phantom Stealer может отслеживать данные из 57 расширений в Chrome и 10 в Microsoft Edge.
Более того, было обнаружено, что образцы вредоносного ПО Agent Tesla распространялись примерно в те же сроки, используя ту же иконографию, что и Phantom Stealer, что предполагает потенциальную связь или общие механизмы распространения между этими вредоносными инструментами.
#ParsedReport #CompletenessMedium
02-09-2025
Dark Web Profile: Lynx Ransomware
https://socradar.io/dark-web-profile-lynx-ransomware/
Report completeness: Medium
Threats:
Lynx
Inc_ransomware
Shadow_copies_delete_technique
Industry:
Energy, Financial, Government, Healthcare, Foodtech, Transport
Geo:
Middle east, Australia, United kingdom, Africa, Canada, Asia-pacific, Germany, Latin america
TTPs:
Tactics: 2
Technics: 17
Soft:
Linux ESXi, Linux, ESXi
Algorithms:
aes-128, sha512, base64, aes, ecc, curve25519
Win API:
SeTakeOwnershipPrivilege, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW
02-09-2025
Dark Web Profile: Lynx Ransomware
https://socradar.io/dark-web-profile-lynx-ransomware/
Report completeness: Medium
Threats:
Lynx
Inc_ransomware
Shadow_copies_delete_technique
Industry:
Energy, Financial, Government, Healthcare, Foodtech, Transport
Geo:
Middle east, Australia, United kingdom, Africa, Canada, Asia-pacific, Germany, Latin america
TTPs:
Tactics: 2
Technics: 17
Soft:
Linux ESXi, Linux, ESXi
Algorithms:
aes-128, sha512, base64, aes, ecc, curve25519
Win API:
SeTakeOwnershipPrivilege, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW
SOCRadar® Cyber Intelligence Inc.
Dark Web Profile: Lynx Ransomware
Lynx ransomware group is a that appeared in mid-2024 and is widely believed to be a rebrand of the INC ransomware operation. The group...
CTT Report Hub
#ParsedReport #CompletenessMedium 02-09-2025 Dark Web Profile: Lynx Ransomware https://socradar.io/dark-web-profile-lynx-ransomware/ Report completeness: Medium Threats: Lynx Inc_ransomware Shadow_copies_delete_technique Industry: Energy, Financial, Government…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Считается, что Lynx, группа программ-вымогателей, появившаяся в середине 2024 года, является ребрендингом деятельности INC и работает как программа-вымогатель как услуга (RaaS), позволяя аффилированным лицам запускать атаки с использованием предоставляемых инструментов. В условиях быстрого роста активности Lynx нацелился на различные секторы, используя такие тактики, как кража учетных данных и фишинг для доступа к таким системам, как RDP и VPN. Их передовые методы двойного вымогательства и организационное мастерство сделали их заметной угрозой в мире программ-вымогателей, и к августу 2025 года было зарегистрировано около 300 жертв.
-----
Lynx - это группа программ-вымогателей, которая появилась в середине 2024 года и, как подозревается, является ребрендингом INC ransomware. Он работает по модели "Программа-вымогатель как услуга" (RaaS), позволяя аффилированным лицам запускать атаки с использованием предоставляемых средств шифрования, утечек доступа к сайтам и оперативной поддержки. Группа демонстрирует высокий уровень организации и технического мастерства, применяя передовые методы шифрования и тактику двойного вымогательства, таким образом за короткий период зарекомендовав себя как значительный игрок на рынке программ-вымогателей.
С момента своего появления Lynx быстро расширила свою деятельность, и к сентябрю 2024 года, согласно сообщениям, было выявлено более 20 жертв. К началу 2025 года число зарегистрированных нападений выросло по меньшей мере до 42. Эта тенденция к росту активности продолжалась, и к августу 2025 года было зарегистрировано почти 300 жертв. Цели Lynx разнообразны, что отражает широкие оперативные возможности.
Филиалы Lynx используют различные тактики для получения доступа к своим жертвам, при этом преобладают два основных метода: использование украденных учетных данных и фишинг-атаки. Учетные данные часто приобретаются на темных веб-площадках или через журналы вредоносного ПО infostealer. Это позволяет злоумышленникам получить несанкционированный доступ к критически важным системам, таким как Протокол удаленного рабочего стола (RDP), виртуальные частные сети (VPN) и корпоративные Учетные записи эл. почты. Адаптивный подход группы позволяет филиалам изменять свои точки входа в зависимости от имеющихся ресурсов и среды их целей.
Поскольку Lynx работает по децентрализованной партнерской модели, стратегии смягчения последствий должны быть сосредоточены на наиболее распространенных точках доступа, используемых в подобных инцидентах с программами-вымогателями. Организациям следует применять строгие меры безопасности, включая надежное управление учетными данными, обучение пользователей по борьбе с фишингом и бдительный мониторинг сетевого трафика для выявления необычного поведения, указывающего на активность программ-вымогателей. Устраняя эти уязвимости, организации могут лучше защитить себя от развивающихся угроз, исходящих от Lynx и аналогичных групп программ-вымогателей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Считается, что Lynx, группа программ-вымогателей, появившаяся в середине 2024 года, является ребрендингом деятельности INC и работает как программа-вымогатель как услуга (RaaS), позволяя аффилированным лицам запускать атаки с использованием предоставляемых инструментов. В условиях быстрого роста активности Lynx нацелился на различные секторы, используя такие тактики, как кража учетных данных и фишинг для доступа к таким системам, как RDP и VPN. Их передовые методы двойного вымогательства и организационное мастерство сделали их заметной угрозой в мире программ-вымогателей, и к августу 2025 года было зарегистрировано около 300 жертв.
-----
Lynx - это группа программ-вымогателей, которая появилась в середине 2024 года и, как подозревается, является ребрендингом INC ransomware. Он работает по модели "Программа-вымогатель как услуга" (RaaS), позволяя аффилированным лицам запускать атаки с использованием предоставляемых средств шифрования, утечек доступа к сайтам и оперативной поддержки. Группа демонстрирует высокий уровень организации и технического мастерства, применяя передовые методы шифрования и тактику двойного вымогательства, таким образом за короткий период зарекомендовав себя как значительный игрок на рынке программ-вымогателей.
С момента своего появления Lynx быстро расширила свою деятельность, и к сентябрю 2024 года, согласно сообщениям, было выявлено более 20 жертв. К началу 2025 года число зарегистрированных нападений выросло по меньшей мере до 42. Эта тенденция к росту активности продолжалась, и к августу 2025 года было зарегистрировано почти 300 жертв. Цели Lynx разнообразны, что отражает широкие оперативные возможности.
Филиалы Lynx используют различные тактики для получения доступа к своим жертвам, при этом преобладают два основных метода: использование украденных учетных данных и фишинг-атаки. Учетные данные часто приобретаются на темных веб-площадках или через журналы вредоносного ПО infostealer. Это позволяет злоумышленникам получить несанкционированный доступ к критически важным системам, таким как Протокол удаленного рабочего стола (RDP), виртуальные частные сети (VPN) и корпоративные Учетные записи эл. почты. Адаптивный подход группы позволяет филиалам изменять свои точки входа в зависимости от имеющихся ресурсов и среды их целей.
Поскольку Lynx работает по децентрализованной партнерской модели, стратегии смягчения последствий должны быть сосредоточены на наиболее распространенных точках доступа, используемых в подобных инцидентах с программами-вымогателями. Организациям следует применять строгие меры безопасности, включая надежное управление учетными данными, обучение пользователей по борьбе с фишингом и бдительный мониторинг сетевого трафика для выявления необычного поведения, указывающего на активность программ-вымогателей. Устраняя эти уязвимости, организации могут лучше защитить себя от развивающихся угроз, исходящих от Lynx и аналогичных групп программ-вымогателей.
#ParsedReport #CompletenessLow
02-09-2025
Tax refund scam targets Californians
https://www.malwarebytes.com/blog/news/2025/09/tax-refund-scam-targets-californians
Report completeness: Low
Victims:
Taxpayers, Californians
Industry:
Financial
Geo:
Philippines, California
IOCs:
File: 1
Domain: 11
02-09-2025
Tax refund scam targets Californians
https://www.malwarebytes.com/blog/news/2025/09/tax-refund-scam-targets-californians
Report completeness: Low
Victims:
Taxpayers, Californians
Industry:
Financial
Geo:
Philippines, California
IOCs:
File: 1
Domain: 11
Malwarebytes
Tax refund scam targets Californians
Californians are receiving scammy text messages that tell them they're owed a tax refund. Don't click any links or reply!
#ParsedReport #CompletenessHigh
02-09-2025
RapperBot: From Infection to DDoS in a Split Second
https://www.bitsight.com/blog/rapperbot-infection-ddos-split-second
Report completeness: High
Actors/Campaigns:
Ddos-for-hire
Threats:
Rapperbot
Udpflood_technique
Mirai
Netcat_tool
Netstat_tool
Nmap_tool
Sitting_ducks_technique
Victims:
Iot devices, Nvr devices, Deepseek, X
Industry:
Iot, Ics
Geo:
Bulgaria, New zealand, Netherlands, Singapore
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1036, T1070.004, T1071.004, T1105, T1190, T1498, T1573, T1584.004, T1595, T1620, have more...
IOCs:
IP: 23
File: 6
Hash: 33
Domain: 3
Soft:
Twitter, Raspberry PI, curl, Unix, Raspberry PI QEMU, OpenSSH, Debian, linux, DeepSeek
Algorithms:
rc4, lzma, zip, rdga, xor
Functions:
main
Languages:
python
Platforms:
arm, mips, intel
Links:
02-09-2025
RapperBot: From Infection to DDoS in a Split Second
https://www.bitsight.com/blog/rapperbot-infection-ddos-split-second
Report completeness: High
Actors/Campaigns:
Ddos-for-hire
Threats:
Rapperbot
Udpflood_technique
Mirai
Netcat_tool
Netstat_tool
Nmap_tool
Sitting_ducks_technique
Victims:
Iot devices, Nvr devices, Deepseek, X
Industry:
Iot, Ics
Geo:
Bulgaria, New zealand, Netherlands, Singapore
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1036, T1070.004, T1071.004, T1105, T1190, T1498, T1573, T1584.004, T1595, T1620, have more...
IOCs:
IP: 23
File: 6
Hash: 33
Domain: 3
Soft:
Twitter, Raspberry PI, curl, Unix, Raspberry PI QEMU, OpenSSH, Debian, linux, DeepSeek
Algorithms:
rc4, lzma, zip, rdga, xor
Functions:
main
Languages:
python
Platforms:
arm, mips, intel
Links:
https://github.com/bitsight-research/threat\_research/blob/main/rapperbot/rapperbot-iocs.jsonBitsight
Dissecting RapperBot Botnet: From Infection to DDoS & More
The Bitsight TRACE threat research team dissects RapperBot botnet: from the point of infection to DDoS attack. Read a comprehensive breakdown, including IoCs.