#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AI Waifu RAT - это троян удаленного доступа, который использует социальную инженерию в сообществе, заинтересованном в ролевых играх с искусственным интеллектом. Он использует незашифрованные HTTP-запросы для командования и контроля, применяя общий механизм закрепления с помощью изменений реестра и позволяя злоумышленникам выдавать автоматические обновления. Несмотря на свою упрощенную техническую структуру, вредоносное ПО демонстрирует сочетание психологических манипуляций и адаптивности при распространении, создавая значительные риски для ничего не подозревающих пользователей и демонстрируя эволюционирующую природу угроз.
-----

AI Waifu RAT - это троян для удаленного доступа, который использует тактику социальной инженерии. Он работает через локальный агент, который прослушивает текстовые HTTP-команды из веб-интерфейса, позволяя удаленно управлять компьютером жертвы. RAT использует фиксированный коммуникационный порт и имеет три основные конечные точки управления. Он может молча отправлять обновления или команды. Вредоносное ПО сохраняется путем записи в реестр, продолжая работать после перезагрузки. Он может принудительно выключить компьютер пользователя при получении неверных входных данных. Автор использует социальную инженерию для манипулирования сообществом и улучшения распространения, используя множественные идентификаторы, чтобы избежать обнаружения. Злоумышленник - это вредоносная группа низкого уровня, базирующаяся в Китае. Они могут использовать методы Компиляции после доставки для запутывания. Были предприняты попытки сдержать угрозу, но автор может продолжать свою деятельность под измененным именем.

#ParsedReport #CompletenessLow
29-08-2025

Amazon disrupts watering hole campaign by Russias APT29

https://aws.amazon.com/blogs/security/amazon-disrupts-watering-hole-campaign-by-russias-apt29/

Report completeness: Low

Actors/Campaigns:
Duke

Threats:
Watering_hole_technique
Credential_harvesting_technique
Clickfix_technique

Victims:
Academics, Critics of russia, General website visitors

Geo:
Russia, Russias

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1189, T1204, T1566, T1583.001, T1608, T1651

IOCs:
Domain: 2

Algorithms:
base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Команда Amazon по разведке угроз сорвала кампанию watering hole российского злоумышленника APT29, известного своей оппортунистической тактикой, связанной с компрометацией законных веб-сайтов. Кампания использовала вредоносные инъекции JavaScript для перенаправления пользователей, используя поток аутентификации по коду устройства Microsoft для сбора учетных данных. Со временем APT29 эволюционировал в своих технологиях, используя сложные методы фишинга и сбора учетных записей, в то время как системы AWS оставались бескомпромиссными.
-----

Команда Amazon по разведке угроз недавно сорвала кампанию watering hole, приписываемую российскому злоумышленнику APT29, также известному как Midnight Blizzard, связанному со Службой внешней разведки страны (СВР). Эта кампания является примером оппортунистической тактики группы, направленной на проникновение и сбор разведывательных данных путем компрометации законных веб-сайтов. Пользователи, посещавшие эти сайты, были перенаправлены на вредоносную инфраструктуру, которая использовала процесс аутентификации по коду устройства Microsoft, используя доверие пользователей для получения авторизации для устройств, контролируемых злоумышленником.

Анализ показывает, что APT29 со временем эволюционировал в своих методах. Ранее, в октябре 2024 года, группа выдала себя за AWS для развертывания тактики фишинга с использованием файлов Протокола удаленного рабочего стола, в то время как в июне 2025 года группа Google по анализу угроз отметила APT29's фишингов -операции, направленные на ученых и критиков России, использующих пароли для конкретных приложений (ASP). Их текущая деятельность по-прежнему сосредоточена на сборе учетных записей, что свидетельствует о глубокой доработке их технических процедур.

Технически Amazon идентифицировала вредоносные действия с помощью специальной аналитики, разработанной для инфраструктуры APT29, позволяющей обнаруживать доменные имена, контролируемые акторами. Расследование выявило использование различных легальных веб-сайтов, где инъекции JavaScript перенаправляли около 10% посетителей на эти вредоносные домены, такие как findcloudflare.com , которые выдавались за законные страницы проверки Cloudflare. Основной целью этой кампании был поток аутентификации по коду устройства Microsoft, что указывает на стратегическую направленность на получение несанкционированного доступа к учетным записям пользователей. Важно отметить, что в ходе расследования был сделан вывод о том, что системы Amazon Веб-сервисов (AWS) оставались бескомпромиссными, и не сообщалось о каких-либо прямых воздействиях на их сервисы или инфраструктуру.

Чтобы снизить риски, связанные с такими угрозами, пользователям и организациям рекомендуется сохранять бдительность в отношении подозрительных перенаправлений, особенно тех, которые имитируют процедуры проверки безопасности. Проверка подлинности запросов на авторизацию устройства имеет решающее значение перед предоставлением разрешения. Рекомендуется включить Многофакторную аутентификацию (MFA) для всех учетных записей, что отражает практику, также принятую AWS для корневых учетных записей. Кроме того, пользователям следует проявлять осторожность при работе с веб-страницами, запрашивающими выполнение команд, поскольку это согласуется с недавно опубликованным методом "ClickFix", используемым злоумышленниками для манипулирования пользователями с целью выполнения вредоносных команд.

#ParsedReport #CompletenessMedium
02-09-2025

Dad could not: F6 experts examined harmful mailings with the new Phantom Stealer

https://www.f6.ru/blog/phantom-stealer/

Report completeness: Medium

Actors/Campaigns:
Phantom_papa

Threats:
Phantom_stealer
Keilger
Porndetector
Stealerium_stealer
Agent_tesla

Industry:
Retail, Logistic, Financial

Geo:
Serbia, Great britain, Singapore, Spain, Hungary, Belarus, Romania, Russia, Switzerland, Estonia, Usa, Russian, Azerbaijan, Kazakhstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1010, T1027, T1041, T1056.003, T1070.004, T1070.006, T1074.001, T1113, T1115, have more...

IOCs:
Coin: 3
Domain: 2
File: 50
Command: 2
Url: 2
Registry: 1
Path: 7
Hash: 12

Soft:
TelegramAPI, twitter, telegram, discord, viber, gmail, protonmail, outlook, Windows Defender, Chrome, have more...

Wallets:
coinomi, coinbase

Crypto:
bitcoin, monero, litecoin

Algorithms:
md5, zip, cbc, aes

Languages:
java, swift, powershell, php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Phantom Stealer - это недавно идентифицированный вариант вредоносного ПО, построенный на платформе Stealerium и распространяемый через домен Phantomsoftwarees. Он использует передовые методы антианализа и включает в себя множество модулей, таких как "Keliger" для сбора пользовательского ввода, связанного с учетной записью, "Porndetector" для мониторинга активности на сайте для взрослых и "Clipper", который регистрирует Данные из буфера обмена, связанные с криптовалютой. Вредоносное ПО эффективно выводит украденную информацию на сервер C2 или через GOFILE.io , выделяя потенциальные ссылки на распространяемое вредоносное ПО Agent Tesla.
-----

Phantom Stealer - это новый вариант вредоносного ПО, идентифицированный F6 Threat Intelligence, появившийся на основе сервиса, продаваемого на домене Phantomsoftwarees, зарегистрированного в феврале 2025 года. Это вредоносное ПО, по-видимому, построено на основе стилера Stealerium, а его операционная механика проанализирована с использованием образца исполняемого файла, идентифицированного как платежный номер. 06162025.exe (MD5: 35ed4A54FDCF4E328D57364EA7CDFAE1). Исполняемый файл Phantom Stealer поставляется в упакованном формате, который распаковывает и выполняет свою полезную нагрузку после инициализации пользователем.

Конфигурационные данные вредоносного ПО включают формат ведения журнала, который состоит из телеметрии и статистики, собранных из его модулей данных, а также архив паролей, содержащий украденную информацию. Если размер архивированных данных составляет 20 МБ или меньше, они немедленно отправляются на сервер управления (C2); в противном случае архив загружается в службу под названием GOFILE.io , и ссылка на загруженный файл отправляется на C2.

Phantom Stealer использует передовые методы антианализа, выходящие за рамки того, что было замечено в Stealerium, что указывает на сложный подход к уклонению от обнаружения. Примечательно, что он включает в себя несколько модулей: модуль "Keliger" фиксирует текст заголовка активного окна и отслеживает ввод пользователем определенных ключевых слов, связанных со счетами и финансовыми услугами. Другой модуль, "Porndetector", отслеживает активность пользователей на сайтах для взрослых, делая снимки экрана и изображения с веб-камеры при обнаружении определенных ключевых слов.

Кроме того, встроен модуль "Clipper", который непрерывно отслеживает изменения в системном буфере обмена с интервалом в две секунды. Если идентифицируется релевантный контент, связанный с криптовалютными сервисами, он заносит эти данные в соответствующие файлы. Наконец, "Модуль Sting" собирает различную личную информацию в соответствии со своими возможностями stealer, обладая более широкой поддержкой расширений браузера по сравнению со своим предшественником, Stealerium. Phantom Stealer может отслеживать данные из 57 расширений в Chrome и 10 в Microsoft Edge.

Более того, было обнаружено, что образцы вредоносного ПО Agent Tesla распространялись примерно в те же сроки, используя ту же иконографию, что и Phantom Stealer, что предполагает потенциальную связь или общие механизмы распространения между этими вредоносными инструментами.

#ParsedReport #CompletenessMedium
02-09-2025

Dark Web Profile: Lynx Ransomware

https://socradar.io/dark-web-profile-lynx-ransomware/

Report completeness: Medium

Threats:
Lynx
Inc_ransomware
Shadow_copies_delete_technique

Industry:
Energy, Financial, Government, Healthcare, Foodtech, Transport

Geo:
Middle east, Australia, United kingdom, Africa, Canada, Asia-pacific, Germany, Latin america

TTPs:
Tactics: 2
Technics: 17

Soft:
Linux ESXi, Linux, ESXi

Algorithms:
aes-128, sha512, base64, aes, ecc, curve25519

Win API:
SeTakeOwnershipPrivilege, CreateToolhelp32Snapshot, Process32FirstW, Process32NextW

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Считается, что Lynx, группа программ-вымогателей, появившаяся в середине 2024 года, является ребрендингом деятельности INC и работает как программа-вымогатель как услуга (RaaS), позволяя аффилированным лицам запускать атаки с использованием предоставляемых инструментов. В условиях быстрого роста активности Lynx нацелился на различные секторы, используя такие тактики, как кража учетных данных и фишинг для доступа к таким системам, как RDP и VPN. Их передовые методы двойного вымогательства и организационное мастерство сделали их заметной угрозой в мире программ-вымогателей, и к августу 2025 года было зарегистрировано около 300 жертв.
-----

Lynx - это группа программ-вымогателей, которая появилась в середине 2024 года и, как подозревается, является ребрендингом INC ransomware. Он работает по модели "Программа-вымогатель как услуга" (RaaS), позволяя аффилированным лицам запускать атаки с использованием предоставляемых средств шифрования, утечек доступа к сайтам и оперативной поддержки. Группа демонстрирует высокий уровень организации и технического мастерства, применяя передовые методы шифрования и тактику двойного вымогательства, таким образом за короткий период зарекомендовав себя как значительный игрок на рынке программ-вымогателей.

С момента своего появления Lynx быстро расширила свою деятельность, и к сентябрю 2024 года, согласно сообщениям, было выявлено более 20 жертв. К началу 2025 года число зарегистрированных нападений выросло по меньшей мере до 42. Эта тенденция к росту активности продолжалась, и к августу 2025 года было зарегистрировано почти 300 жертв. Цели Lynx разнообразны, что отражает широкие оперативные возможности.

Филиалы Lynx используют различные тактики для получения доступа к своим жертвам, при этом преобладают два основных метода: использование украденных учетных данных и фишинг-атаки. Учетные данные часто приобретаются на темных веб-площадках или через журналы вредоносного ПО infostealer. Это позволяет злоумышленникам получить несанкционированный доступ к критически важным системам, таким как Протокол удаленного рабочего стола (RDP), виртуальные частные сети (VPN) и корпоративные Учетные записи эл. почты. Адаптивный подход группы позволяет филиалам изменять свои точки входа в зависимости от имеющихся ресурсов и среды их целей.

Поскольку Lynx работает по децентрализованной партнерской модели, стратегии смягчения последствий должны быть сосредоточены на наиболее распространенных точках доступа, используемых в подобных инцидентах с программами-вымогателями. Организациям следует применять строгие меры безопасности, включая надежное управление учетными данными, обучение пользователей по борьбе с фишингом и бдительный мониторинг сетевого трафика для выявления необычного поведения, указывающего на активность программ-вымогателей. Устраняя эти уязвимости, организации могут лучше защитить себя от развивающихся угроз, исходящих от Lynx и аналогичных групп программ-вымогателей.

#ParsedReport #CompletenessLow
02-09-2025

Tax refund scam targets Californians

https://www.malwarebytes.com/blog/news/2025/09/tax-refund-scam-targets-californians

Report completeness: Low

Victims:
Taxpayers, Californians

Industry:
Financial

Geo:
Philippines, California

IOCs:
File: 1
Domain: 11

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #CompletenessHigh
02-09-2025

RapperBot: From Infection to DDoS in a Split Second

https://www.bitsight.com/blog/rapperbot-infection-ddos-split-second

Report completeness: High

Actors/Campaigns:
Ddos-for-hire

Threats:
Rapperbot
Udpflood_technique
Mirai
Netcat_tool
Netstat_tool
Nmap_tool
Sitting_ducks_technique

Victims:
Iot devices, Nvr devices, Deepseek, X

Industry:
Iot, Ics

Geo:
Bulgaria, New zealand, Netherlands, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1070.004, T1071.004, T1105, T1190, T1498, T1573, T1584.004, T1595, T1620, have more...

IOCs:
IP: 23
File: 6
Hash: 33
Domain: 3

Soft:
Twitter, Raspberry PI, curl, Unix, Raspberry PI QEMU, OpenSSH, Debian, linux, DeepSeek

Algorithms:
rc4, lzma, zip, rdga, xor

Functions:
main

Languages:
python

Platforms:
arm, mips, intel

Links:
https://github.com/bitsight-research/threat\_research/blob/main/rapperbot/rapperbot-iocs.json

#ParsedReport #ExtractedSchema

Classified images:
dump: 4, schema: 2, code: 2, chart: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RapperBot - это вредоносное ПО, нацеленное на устройства Интернета вещей, в частности на видеорегистраторы, для создания ботнет для DDoS-атак, что подтверждается анализом сети, показывающим необычные схемы трафика. Вредоносное ПО использует уязвимости на открытых веб-серверах, особенно с включенным UPnP, и использует инфраструктуру сканера для поиска уязвимых устройств на определенных портах. После успешной эксплуатации RapperBot работает полностью в памяти, используя методы обхода и обмениваясь данными с серверами C2 посредством зашифрованных пакетов, что подчеркивает угрозу, исходящую от устройств Интернета вещей с истекшим сроком службы, склонных к повторному заражению.
-----

В статье обсуждается вредоносное ПО, известное как RapperBot, которое превращает устройства Интернета вещей, такие как видеорегистраторы, в ботнет для DDoS-атак. Первоначальные подозрения о DDoS-атаке подтвердились, когда сетевой анализ выявил необычные коллизии пакетов и скачки трафика, связанные с этим вредоносным ПО. Детальный анализ показал, что вредоносное ПО использует специфический процесс killchain — использует уязвимости на незащищенных веб-серверах, особенно на тех, на которых включен UPnP, для внедрения и создания ботнет.

Основные элементы угрозы включают инфраструктуру сканера, которая активно проверяет уязвимые устройства на различных портах (в частности, 80, 81, 8080 и другие) с различными IP-адресами, используемыми для сканирования, включая один, отслеживаемый в Нидерландах (204.76.203.220) и предыдущий в Сингапуре. Эти сканеры нацелены на устройства, которые могут быть использованы для использования в ботнет-целях. Хранилище вредоносного ПО, центральное в инфраструктуре, подключено к IP (104.194.9.127), ответственному за обслуживание вредоносного кода по протоколам NFS и FTP.

После успешной эксплуатации вредоносное ПО удаляет свою установку из файловой системы и запускается полностью в памяти, демонстрируя уклончивое поведение путем разветвления процессов и изменения имен, чтобы избежать обнаружения. Связь с серверами командования и контроля (C2) осуществляется с помощью пользовательских зашифрованных пакетов, которые включают полезную нагрузку переменной длины, с использованием простого XOR-шифрования для обеспечения скрытности.

Инфраструктура ботнет отличается высокой устойчивостью благодаря использованию многочисленных устройств Интернета вещей с истекшим сроком службы, на которых часто отсутствуют обновления безопасности, что делает их уязвимыми для постоянного повторного заражения и эксплуатации. RapperBot был связан с масштабными DDoS-атаками на важные объекты, что делает понимание его динамики критически важным для защиты от кибербезопасности.

В ответ в статье подчеркивается необходимость как для отдельных лиц, так и для организаций принимать строгие меры безопасности: обновлять устройства, использовать надежные пароли, отключать ненужные функции, такие как UPnP, и проводить регулярную инвентаризацию и оценку уязвимостей. Комплексные протоколы кибербезопасности, включая использование систем обнаружения вторжений и анализа угроз, могут помочь снизить риски, связанные с таким сложным вредоносным ПО.

#ParsedReport #CompletenessMedium
02-09-2025

Malvertising Campaign on Meta Expands to Android, Pushing Advanced Crypto-Stealing Malware to Users Worldwide

https://www.bitdefender.com/en-us/blog/labs/malvertising-campaign-on-meta-expands-to-android-pushing-advanced-crypto-stealing-malware-to-users-worldwide

Report completeness: Medium

Threats:
Brokewell

Victims:
Android users, Windows users, Cryptocurrency users

Industry:
Financial

Geo:
Chinese, Latin america, Romanian, Vietnamese, German, French, Bulgarian, Thailand, Asia-pacific, Indonesian, Turkish, Spanish, Italian, Portuguese

ChatGPT TTPs:
do not use without manual check
T1583.009

IOCs:
Domain: 1
Url: 1
Hash: 6
File: 2

Soft:
Android, TradingView, Telegram, , adingView PRO, View - 限時優惠！, MacOS, Google Play

Wallets:
bybit

Crypto:
binance, monero

Algorithms:
md5

Functions:
getInstalledPackages, getBattery, readLOCKPIN, setInjectList, GetJSONInjectList

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете Bitdefender Labs описывается активная кампания по Вредоносной рекламе с использованием платформы Meta для распространения сложного вредоносного ПО для кражи криптовалют, первоначально нацеленного на пользователей Windows, но теперь включающего цели Android по всему миру. Кампания использовала вводящую в заблуждение рекламу, выдающую себя за авторитетные бренды и криптовалютные платформы, используя по меньшей мере 75 вредоносных рекламных объявлений с июля 2025 года. Идентифицированные сигнатуры вредоносного ПО включают Generic.MSIL.WMITask и Generic.JS.WMITask для Windows, наряду с Android.Trojan.Dropper.AVV и Android.Trojan.Банкир.AVM для устройств Android.
-----

В недавнем отчете Bitdefender Labs освещается продолжающаяся кампания по Вредоносной рекламе, использующая рекламную платформу Meta для распространения продвинутого вредоносного ПО для кражи криптовалют. Первоначально эта кампания была ориентирована на пользователей настольных компьютеров Windows с помощью обманчивой рекламы, рекламирующей поддельные торговые платформы и криптовалюты, но недавно расширилась и охватила пользователей Android по всему миру. С 22 июля 2025 года в кампании было использовано по меньшей мере 75 вредоносных рекламных объявлений, которые к 22 августа охватили десятки тысяч пользователей только по всей Европе.

Кампания представляет собой более широкую операцию по Вредоносной рекламе, которая постепенно перешла от таргетинга на настольные компьютеры к мобильным устройствам. Киберпреступники, стоящие за этой схемой, выдавали себя за многочисленные авторитетные бренды, частных лиц и криптовалюты, чтобы обмануть потенциальных жертв. Вредоносное ПО, задействованное в этой кампании, было классифицировано по различным сигнатурам: в системах Windows вредоносные компоненты идентифицируются как Generic.MSIL.WMITask (MSI dropper) и Generic.JS.WMITask (интерфейсные скрипты). Между тем, угрозы на базе Android регистрируются как Android.Trojan.Dropper.AVV (дроппер вредоносного ПО) и Android.Trojan.Банкир.AVM (фактическое банковское вредоносное ПО удалено).

Чтобы снизить риски, связанные с этой кампанией, рекомендуется принять несколько мер предосторожности. Пользователям следует избегать дополнительной загрузки приложений и загружать их только из официальных источников, таких как Google Play Store. Крайне важно сохранять бдительность в отношении рекламы — даже на надежных платформах, — поскольку злоумышленники могут использовать ее для распространения вредоносного ПО. Кроме того, в анализе подчеркивается тщательное изучение URL-адресов, особенно с учетом того, что на поддельных страницах загрузки часто используются похожие домены. Пользователям также настоятельно рекомендуется тщательно проверять разрешения приложений, особенно если приложение запрашивает административный доступ, такой как элементы управления специальными возможностями или пин-коды блокировки экрана, без четкого обоснования. Рекомендуется использовать надежные решения для обеспечения безопасности, чтобы обнаруживать и блокировать идентифицированные варианты вредоносного ПО до того, как они смогут скомпрометировать устройства пользователей.

#ParsedReport #CompletenessLow
02-09-2025

The Infostealer-to-APT Pipeline: How Stolen Diplomatic Credentials Fuel Cyber-Political Power Plays

https://www.infostealers.com/article/the-infostealer-to-apt-pipeline-how-stolen-diplomatic-credentials-fuel-cyber-political-power-plays/

Report completeness: Low

Actors/Campaigns:
Void_manticore
Bitter
Sindoor

Threats:
Stealc
Lumma_stealer
Redline_stealer
Spear-phishing_technique
Wmrat

Victims:
Ministry of foreign affairs, Telecommunications, Police

Industry:
Petroleum, Financial, Critical_infrastructure, Telco

Geo:
Oman, Middle east, Arab emirates, Abu dhabi, Iranian, Qatar, Pakistan, Saudi arabia, Turkey, Asia, Brazil, Americas, Korea, Indo-pacific, United arab emirates, Ankara, Africa

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1059.005, T1071.001, T1078, T1090, T1204.002, T1566.001, T1566.002, T1589.003, have more...

Soft:
Twitter

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2