#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование выявило уязвимость под названием Model Namespace Reuse в рамках AI supply chain, позволяющую удаленно выполнять код (RCE) на таких платформах, как Microsoft Azure AI и Google Vertex AI. Этот недостаток связан с тем, как модели организованы в репозиториях, таких как Hugging Face, где передача прав собственности позволяет вредоносным акторам восстанавливать и развертывать скомпрометированные модели, используя их исходные пространства имен. Интеграция источников моделей на разных платформах искусственного интеллекта увеличивает риск, поскольку многие из них зависят от потенциально уязвимых моделей во время разработки.
-----

Недавнее исследование выявило значительную уязвимость в supply chain искусственного интеллекта, называемую повторным использованием пространства имен моделей, которая позволяет злоумышленникам выполнять удаленное выполнение кода (RCE) на таких платформах, как Microsoft Azure AI Foundry и Google Vertex AI. Эта уязвимость в первую очередь возникает из-за того, как модели организованы и идентифицируются в репозиториях, таких как Hugging Face, где модели хранятся как репозитории Git и на них ссылаются, используя соглашение об именовании Author/ModelName.

Этот недостаток особенно беспокоит из-за легкости, с которой право собственности на модели может быть передано на таких платформах, как Hugging Face. Например, организация может изначально создать законную модель, такую как "DentalAI/ToothFairy", которая предназначена для стоматологической диагностики. Однако позже право собственности может быть передано другому объекту, который может не гарантировать такую же целостность, позволяя потенциально вредоносным акторам восстанавливать и развертывать модель, используя исходное пространство имен, при выполнении вредоносного кода.

Последствия этого распространяются на распространенные платформы разработки ИИ. Интеграция Vertex AI с Hugging Face позволяет разработчикам создавать модели напрямую, без дополнительной упаковки, что повышает риск развертывания скомпрометированных моделей. Аналогичным образом, репозитории каталога моделей Azure AI содержат множество моделей, полученных из Hugging Face, которые могут быть уязвимы при использовании тех же принципов повторного использования пространства имен.

При дальнейшем изучении репозиториев с открытым исходным кодом исследователи обнаружили, что многие проекты основаны на моделях Hugging Face, использующих формат Author/ModelName, которые подвержены риску использования в результате передачи прав собственности. Проблема поддержания целостности модели усугубляется разнообразием используемых реестров моделей, что подчеркивает необходимость в надежных процессах валидации.

Для устранения этих уязвимостей рекомендуется несколько методов. Разработчикам следует использовать привязку версий для привязки моделей к определенным коммитам, избегая непреднамеренных изменений, которые могут привести к выполнению вредоносного кода. Кроме того, клонирование репозиториев моделей в защищенные среды, такие как внутренние реестры или локальное хранилище, после тщательной проверки может предотвратить несанкционированные изменения. Активное сканирование кодовых баз на предмет ссылок на модели также поможет специалистам-практикам выявлять зависимости, подверженные атакам supply chain, и управлять ими.

В конечном счете, полученные результаты подчеркивают настоятельную необходимость усиления мер безопасности в операциях supply chain с искусственным интеллектом, подчеркивая, что само по себе название модели не гарантирует ее надежности или целостности. Сложность усугубляется легкостью, с которой злоумышленники могут использовать традиционные методы идентификации моделей для внедрения уязвимостей в широко распространенные решения с использованием искусственного интеллекта.

#ParsedReport #CompletenessLow
03-09-2025

Obscura, an Obscure New Ransomware Variant

https://www.huntress.com/blog/obscura-ransomware-variant

Report completeness: Low

Threats:
Obscura
Windows_locker
Shadow_copies_delete_technique
Octopus
Crux_ransomware
Cephalus

ChatGPT TTPs:
do not use without manual check
T1027, T1106, T1486

IOCs:
File: 1
Path: 1
Command: 3
Hash: 1

Soft:
Windows firewall, Windows security, mysql, mariadb, Winlogon, docker

Algorithms:
base64, xchacha20, curve25519, sha256, chacha20

Functions:
main_run, main_windows_api_IsRunAsAdmin, Windows, main_windows_api_KillProcesses, main_windows_api_GetPCRole, encryptFileRange, main_windows_api_generateEphemeralKeyPair, main_hasExcludedExtension

Win API:
AllocateAndInitializeSid, CheckTokenMembership, GetSystemInfo, DsRoleGetPrimaryDomainInformation

Win Services:
WinDefend, MsMpEng, SentinelAgent, VeeamTransportSvc, VeeamBackupSvc, AcrSch2Svc, AcronisAgent, Cvd, SQLSERVERAGENT, SQLWriter, have more...

Links:
have more...
https://github.com
https://gist.github.com/gleeda/1781b0db8cbc78b4ef39dbe2aed77f38/raw/e3526be6bb47c1ecbf459a63e40a787f1e8c0e70/README\_Obscura.txt
https://gist.github.com/gleeda/1781b0db8cbc78b4ef39dbe2aed77f38#file-readme\_obscura-txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Obscura - это недавно идентифицированный вариант программы-вымогателя, который при выполнении декодирует сообщение о выкупе в кодировке base64, сохраняя его как C:\README-OBSCURA.txt , и завершается в случае сбоя декодирования. Этот вариант является частью тенденции появления таких типов программ-вымогателей, как Crux и Cephalus, связанной с попытками злоумышленников провести ребрендинг, чтобы избежать сбоев в работе правоохранительных органов. Эволюция этой тактики иллюстрирует способность киберпреступников адаптироваться к продолжению своей деятельности в условиях повышенного контроля.
-----

Obscura - это недавно идентифицированный вариант программы-вымогателя, который обладает особым механизмом доставки записки с требованием выкупа. После выполнения он декодирует закодированное в base64 сообщение о выкупе, которое затем записывается в путь к файлу C:\README-OBSCURA.txt . Если в процессе декодирования возникает ошибка, вредоносное ПО предназначено для регистрации сообщения об ошибке и прекращения его выполнения.

Этот вариант является частью более широкой тенденции появления новых типов программ-вымогателей, включая Crux и Cephalus, которые наблюдались в последнее время. Распространение этих разновидностей программ-вымогателей может быть связано с постоянными усилиями по ребрендингу со стороны злоумышленников, особенно после действий правоохранительных органов, которые нарушают текущие операции киберпреступников. Меняющийся ландшафт программ-вымогателей подчеркивает адаптивность злоумышленников, которые стремятся скрыть свою деятельность и сохранить свои оперативные возможности в условиях усиленного контроля и правоприменительных усилий.

Появление Obscura и ее аналогов подчеркивает продолжающуюся эволюцию тактики программ-вымогателей и важность бдительности в рамках разведки киберугроз для эффективного противодействия этим угрозам.

#ParsedReport #CompletenessMedium
03-09-2025

Trojanized ScreenConnect installers evolve, dropping multiple RATs on a single machine

https://www.acronis.com/en-us/tru/posts/trojanized-screenconnect-installers-evolve-dropping-multiple-rats-on-a-single-machine/

Report completeness: Medium

Actors/Campaigns:
Apt-q-14

Threats:
Screenconnect_tool
Asyncrat
Purehvnc_tool
Amsi_bypass_technique
Xworm_rat
Dcrat
Remcos_rat

Victims:
Us organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.004, T1036, T1047, T1053, T1059.001, T1071.001, T1105, T1204.002, T1210, T1547, have more...

IOCs:
File: 24
Domain: 1
Path: 2
IP: 3
Hash: 20
Url: 3

Soft:
Microsoft Edge

Algorithms:
base64, zip, md5

Languages:
javascript, powershell

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 1, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Acronis TRU сообщает об увеличении числа кибератак на организации в США с использованием скомпрометированных установщиков ConnectWise ScreenConnect, использующих их для первоначального доступа к сети. В атаках используется вредоносный исполняемый файл, замаскированный под документ, что облегчает развертывание нескольких троянов удаленного доступа (RATs), включая AsyncRAT и пользовательский PowerShell RAT. Наличие связанных доменов и внедрение дополнительных RAT, таких как PureHVNC, указывают на скоординированную и развивающуюся стратегию злоумышленника, которая использует различное вредоносное ПО для длительного проникновения и контроля.
-----

Acronis TRU сообщила о значительном росте числа атак с использованием троянских программ установки ConnectWise ScreenConnect, особенно нацеленных на организации, базирующиеся в США, начиная с марта 2025 года. Злоумышленники используют эти скомпрометированные установочные файлы для получения первоначального доступа к сетям жертв, что свидетельствует о продолжающейся тенденции злоупотребления инструментами удаленного мониторинга и управления (RMM).

Атаки начинаются с вредоносного исполняемого файла, замаскированного под документ с именем agreement_support-pdf.Client.exe , который обычно загружается через браузер Microsoft Edge. Этот установщик ClickOnce использует тактику социальной инженерии, вероятно, связанную с кампаниями фишинга, чтобы побудить пользователей выполнять потенциально вредоносный код.

Как только программное обеспечение ScreenConnect установлено, злоумышленники могут подключить его к своему серверу управления (C2), инициируя сложный сценарий атаки, который может разворачиваться в течение нескольких недель. Первоначальная разведка атаки указывает на одновременное развертывание нескольких троянских программ удаленного доступа (RATs). Среди них AsyncRAT, широко признанный инструмент для удаленного доступа, и, возможно, самодельный RAT, разработанный злоумышленниками. Наблюдается, что эта самодельная RAT, написанная на PowerShell, выполняет различные функции, такие как запуск программ и поддержание закрепления, но не соответствует ни одному из известных инструментов с открытым исходным кодом.

Быстрое развертывание различных RAT подчеркивает скоординированные усилия по быстрому созданию и поддержанию плацдармов в скомпрометированных системах. После первоначального компромисса злоумышленники в конечном итоге обновили AsyncRAT до новой версии, что указывает на адаптацию их тактики во время атаки. Кроме того, третий RAT, идентифицированный как PureHVNC, был представлен вскоре после обновленного AsyncRAT, что позволяет предположить взаимосвязь между этими полезными нагрузками, хотя атрибуция остается сложной задачей.

Инфраструктура атаки включает в себя несколько доменов, таких как morco.rovider.net , gaza.rovider.net , и lightc.rovider.net , связанный со скомпрометированными установщиками ScreenConnect. Эти домены связаны с более широкой экосистемой угроз, включая использование XWorm и DCRat, что указывает на обширные оперативные возможности злоумышленников, участвующих в этих кампаниях.

#ParsedReport #CompletenessHigh
03-09-2025

P2Pinfect - New Variant Targets MIPS Devices

https://www.darktrace.com/blog/p2pinfect-new-variant-targets-mips-devices

Report completeness: High

Actors/Campaigns:
Chimera

Threats:
P2pinfect
Mirai
Supply_chain_technique
Nbminer
Process_injection_technique
Uac_bypass_technique
Fodhelper_technique
Spear-phishing_technique
Splashtop_tool

Victims:
Internet of things devices, Routers, Embedded devices, Retail and ecommerce industry, Email users of affected organizations

Industry:
E-commerce, Retail, Iot, Energy, Financial

Geo:
India, Saudi, Poland

CVEs:
CVE-2022-0543 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- redis (-)


TTPs:
Tactics: 1
Technics: 27

IOCs:
File: 10
Hash: 3
IP: 16
Url: 2
Registry: 2
Domain: 2

Soft:
Redis, OpenWRT, Linux, Windows Defender

Crypto:
monero

Algorithms:
base64, xor, kawpow, sha256

Languages:
lua, autoit, javascript, powershell, rust

Platforms:
cross-platform, mips

#ParsedReport #ExtractedSchema

Classified images:
dump: 2, code: 9, windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новый MIPS-вариант P2Pinfect нацелен на маршрутизаторы и устройства Интернета вещей, распространяющиеся по SSH, и включает в себя передовые методы обхода, такие как завершение анализируемого процесса и отключение дампов ядра Linux. Вредоносное ПО включает в себя библиотеку DLL Windows, действующую как вредоносный модуль для Redis, позволяющий выполнять команды. Кроме того, криптоджекинг остается серьезной угрозой, поскольку инциденты, связанные с несанкционированным майнингом криптовалюты с помощью вредоносных скриптов, наряду с наблюдаемой кражей учетных данных и действиями по повышению привилегий, указывают на попытки сохранить постоянный доступ.
-----

Был обнаружен новый вариант P2Pinfect, специально предназначенный для устройств, работающих на архитектуре MIPS. Это указывает на повышенный интерес со стороны злоумышленников к компрометации маршрутизаторов, устройств Интернета вещей (IoT) и других встроенных систем. Исследователи идентифицировали вариант MIPS во время мониторинга файлов, которые были загружены на SSH-сервер, что ознаменовало первую успешную имплантацию P2Pinfect, использующего SSH для распространения.

Вариант MIPS работает как 32-разрядный, статически связанный двоичный файл ELF, лишенный отладочной информации. Статический анализ выявил наличие другого исполняемого файла ELF и 32-разрядной библиотеки Windows DLL в формате PE32, что еще больше усложняет его профиль угроз. Эта библиотека DLL функционирует как вредоносный загружаемый модуль для Redis, используя возможности system.exec для выполнения команд оболочки на скомпрометированных хостах.

Что касается методов уклонения, вариант MIPS демонстрирует расширенные возможности. Он проверяет конкретное значение процесса и, если обнаруживается, что он находится в стадии анализа, завершает как сам, так и свой родительский процесс. Кроме того, он пытается отключить дампы ядра Linux, анти-криминалистическую меру, направленную на предотвращение сбора конфиденциальных данных, таких как IP-адреса подключенных одноранговых узлов и конфигурация ботнет.

В сфере криптоджекинга этот метод остается распространенной киберугрозой. Он использует вычислительную мощность устройства для несанкционированного майнинга криптовалюты, часто без ведома жертвы. Тщательное расследование Darktrace выявило инцидент, связанный со скриптом PowerShell, который доставлял криптоминер NBMiner. Аналитики установили, что после выполнения майнер подключался к пулам криптомайнинга, причем первоначальные признаки появлялись в виде DNS-запросов, направленных на известные конечные точки майнинга, вскоре после выполнения вредоносного скрипта.

Кроме того, проведенное Darktrace расследование злоупотреблений Hyonix VPS выявило тревожную картину необычных действий при входе в систему и попыток перехвата сеансов в среде их клиентов. Примечательно, что 19 мая 2025 года были отмечены случаи одновременного входа в систему с редких внешних IP-адресов, что указывает на возможную кражу учетных данных. Одна учетная запись была связана с созданием правил для почтовых ящиков, которые автоматически удаляли электронные письма, связанные с документами, которыми якобы делились высокопоставленные сотрудники организации, что свидетельствует о попытке скрыть вредоносные действия.

Расследование также выявило действия, указывающие на повышение привилегий, поскольку злоумышленники пытались изменить настройки восстановления учетной записи и выполняли сброс пароля с подозрительных IP-адресов. Эти маневры были направлены на установление постоянного доступа к уязвимым учетным записям, что потенциально облегчало эксфильтрацию данных или рассылку спама, избегая при этом обнаружения. Продолжающаяся эволюция как варианта P2Pinfect, так и схем криптоджекинга иллюстрирует продолжающуюся изощренность киберугроз, нацеленных на уязвимую инфраструктуру.

#ParsedReport #CompletenessLow
02-09-2025

From Panel to Payload: Inside the TinyLoader Malware Operation

https://hunt.io/blog/tinyloader-malware-cryptocurrency-theft-infrastructure

Report completeness: Low

Threats:
Tiny_loader
Redline_stealer
Dcrat

Victims:
Cryptocurrency users, General users, Organizations

Geo:
Latvia, Netherlands, Great britain, London

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1036.007, T1091, T1105, T1112, T1115, T1119, T1204.002, T1547.009, T1547.015, have more...

IOCs:
IP: 4
File: 10

Soft:
Windows service

Wallets:
tron

Crypto:
bitcoin, ethereum, litecoin

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TinyLoader - это сложный загрузчик вредоносного ПО, предназначенный для кражи криптовалют и распространения дополнительного вредоносного ПО, такого как Redline Stealer и DCRat. Он распространяется через USB-накопители, общие сетевые ресурсы и обманчивые ярлыки, обеспечивая закрепление путем изменения параметров реестра и ассоциаций файлов для обеспечения выполнения во время взаимодействия с пользователем. Вредоносное ПО перехватывает содержимое буфера обмена для целевых криптовалют и использует инфраструктуру командования и контроля, расположенную в основном в Латвии, что облегчает удаленное управление зараженными системами.
-----

TinyLoader - это сложный загрузчик вредоносного ПО, который облегчает операции киберпреступников, в первую очередь нацеленный на кражу криптовалют и распространение дополнительного вредоносного ПО, такого как Redline Stealer и DCRat. Вредоносное ПО распространяется по различным каналам, таким как USB-накопители, общие сетевые ресурсы и вводящие в заблуждение ярлыки, которые побуждают пользователей к запуску вредоносного ПО. После заражения TinyLoader устанавливает закрепление, создавая скрытые копии самого себя и изменяя настройки системного реестра, что позволяет ему сохраняться при перезагрузках.

Вредоносное ПО активно отслеживает буфер обмена, практически мгновенно заменяя скопированные адреса криптовалютных кошельков на адреса злоумышленника. Этот метод взлома нацелен на адреса криптовалют, включая Bitcoin, Ethereum, Litecoin и TRON. Инфраструктура TinyLoader's command and control (C2) в основном базируется в Латвии, а серверы работают в нескольких регионах, включая Великобританию и Нидерланды. Эта инфраструктура поддерживает его работу, предоставляя удаленный доступ через DCRat, что позволяет злоумышленникам контролировать зараженные системы.

TinyLoader использует многогранный подход для обеспечения его закрепления. Он изменяет ассоциации файлов в Windows, поэтому всякий раз, когда пользователь открывает текстовый файл, вредоносная ПО запускается первой. Кроме того, он распространяется на USB-устройствах под заманчивыми именами файлов и создает файлы автозапуска для запуска вредоносного ПО всякий раз, когда зараженный USB подключен к другой системе. Вводящие в заблуждение ярлыки, имитирующие законные функции Windows, также создаются для того, чтобы заманить пользователей к запуску встроенного вредоносного ПО.

После запуска TinyLoader извлекает дополнительные полезные файлы, сохраняет их во временном каталоге системы и немедленно выполняет, эффективно превращая скомпрометированную систему в платформу для различных вредоносных действий. Меры безопасности в отношении TinyLoader должны включать мониторинг HTML-подписи "Login - TinyLoader", ограничение использования USB-устройств, сканирование на наличие подозрительных действий с файлами и проверку адресов криптовалюты перед транзакциями. Использование аналитических данных из баз данных веб-сканера и мониторинг необычных изменений в реестре могут значительно усилить защиту от подобных операций.

#ParsedReport #CompletenessLow
03-09-2025

MintsLoader campaign activities resume

https://cert-agid.gov.it/news/riprende-la-campagna-mintsloader/

Report completeness: Low

Threats:
Mintsloader

Victims:
Windows users

ChatGPT TTPs:
do not use without manual check
T1204

IOCs:
Hash: 27
Domain: 6
Url: 7

Soft:
cURL

Algorithms:
zip

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Обновленная кампания MintsLoader специально нацелена на Windows 10 и более поздние версии, используя команду cURL для запуска цепочки заражения. Эта сложная кампания направлена на компрометацию систем с целью установки вредоносного ПО infostealer, уделяя особое внимание извлечению конфиденциальной информации у жертв. Использование законных средств операционной системы указывает на высокий уровень сложности, демонстрируя эволюционирующий характер этой киберугрозы.
-----

Недавнее возобновление кампании MintsLoader знаменует собой значительное развитие деятельности по борьбе с киберугрозами после перерыва с июня. Эта кампания специально нацелена на компьютеры с Windows, особенно версии 10 и более поздних версий. Примечательным приемом, использованным в этой кампании, является использование команды cURL, которая облегчает запуск цепочки заражения.

Основной целью кампании MintsLoader является компрометация систем-жертв, что в конечном итоге приводит к установке вредоносного ПО. Тип вредоносного ПО, обычно связанного с этой кампанией, относится к категории infostealer, что указывает на то, что злоумышленники, скорее всего, сосредоточены на извлечении конфиденциальной информации из скомпрометированных систем. Этот метод предполагает высокий уровень изощренности, поскольку злоумышленники используют законные инструменты, доступные в операционной системе, для обхода мер безопасности и эффективного развертывания своей вредоносной полезной нагрузки.

Поскольку кампания возобновляет свою деятельность, она подчеркивает сохраняющиеся риски и проблемы, связанные с таким вредоносным ПО infostealer, которое продолжает развиваться и адаптироваться для использования современных технологических возможностей. Способность злоумышленников использовать встроенные функции широко используемых операционных систем подчеркивает важность надежных методов обеспечения безопасности и осведомленности для защиты от таких угроз.

#ParsedReport #CompletenessHigh
04-09-2025

Operation BarrelFire: NoisyBear targets entities linked to Kazakhstans Oil & Gas Sector.

https://www.seqrite.com/blog/operation-barrelfire-noisybear-kazakhstan-oil-gas-sector/

Report completeness: High

Actors/Campaigns:
Barrelfire
Noisybear

Threats:
Downshell
Lolbin_technique
Powersploit_tool
Meterpreter_tool
Dll_injection_technique
Metasploit_tool

Victims:
Kazmunaigas employees, Energy sector, Oil and gas sector

Industry:
Energy, Petroleum, Healthcare, Financial

Geo:
Kazakhstans, Russian, Asia, Asian, Kazakhstan

TTPs:
Tactics: 6
Technics: 13

IOCs:
File: 13
Path: 1
Url: 1
Hash: 11
IP: 2
Domain: 1

Soft:
gatekeeper, Outlook

Algorithms:
zip

Functions:
Add-Type, GetModuleHandle, getDelegateType, Create-RemoteThread

Win API:
GetProcAddress, OpenProcess, VirtualAllocEx, WriteProcessMemory, CreateRemoteThread, WaitForSingleObject, GetThreadContext, SetThreadContext, ResumeThread

Languages:
powershell

Links:
https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1
https://gist.github.com/rattlemind/bd624e9e6010f6ac095c318a921e9c82

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 10, dump: 1