#ParsedReport #ExtractedSchema

Classified images:
windows: 4, code: 18, dump: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет NightshadeC2, впервые обнаруженный в августе 2025 года, использует "UAC Prompt Bombing" для уклонения от анализа вредоносного ПО и обхода Защитника Windows. Первоначальный доступ осуществляется с помощью метода, называемого ClickFix, который предлагает жертвам выполнить вредоносную команду. Полезная нагрузка ботнет, доставляемая через загрузчик .NET, использующий PowerShell, предназначена для запроса IP-адресов жертв для уклонения от обнаружения и адаптируется злоумышленниками в вариант на Python, сохраняя свои вредоносные возможности и позволяя выполнять операции командования и контроля через URL-адреса steam.
-----

Недавно идентифицированный ботнет под названием "NightshadeC2" появился в августе 2025 года и развертывается с помощью загрузчика, использующего технику, известную как "UAC Prompt Bombing", чтобы обойти "песочницы" анализа вредоносного ПО и исключить его полезную нагрузку из Защитника Windows. Вектор первоначального доступа включает в себя метод, называемый ClickFix, при котором жертвам предлагается выполнить вредоносную команду в командной строке Windows после отображения captcha.

Во время второго этапа атаки ботнет загружает и расшифровывает загрузчик на базе .NET. Этот погрузчик использует преимущества сборки.Загрузить для выполнения метода, который исключает последующую полезную нагрузку NightshadeC2 из Защитника Windows путем запуска запроса UAC. Загрузчик, хотя и варьируется в зависимости от выборки, обычно содержит запутанный код, который использует команду PowerShell, выполняемую в новом процессе. В последней версии этого загрузчика используется UAC bypass, позволяющий добавлять исключение для конечной полезной нагрузки перед ее записью на диск. Успешное выполнение этой команды PowerShell (обозначенной кодом завершения, равным 0) позволяет доставить вариант NightshadeC2. Также были инциденты, когда этот загрузчик, как сообщается, использовался для распространения другого вредоносного ПО, такого как Lumma Stealer.

Было создано доказательство концепции (PoC), иллюстрирующее UAC bypass, используемый загрузчиком, демонстрирующее, что обход эффективен при остановке службы защитника Windows. Вредоносное ПО, идентифицированное как updater.exe , упаковывается и выполняет полезную нагрузку NightshadeC2 через модуль stomping of shell32.dll . Первоначально полезная нагрузка запрашивает информацию об IP-адресе жертвы, что, вероятно, позволит избежать обнаружения исследователями безопасности и изолированными средами.

Сообщается, что злоумышленники начали преобразовывать вредоносное ПО NightshadeC2 на основе C в вариант на Python, используя языковую модель. Этот вариант сохраняет основные функциональные возможности, включая загрузку и выполнение Вредоносных файлов, самоудаление и возможности обратной оболочки. Варианты Nightshade также интегрируют URL-адреса steam для облегчения операций командования и контроля, позволяя злоумышленникам изменять свою инфраструктуру C2, сохраняя при этом тот же URL-адрес steam.

Ботнет использует различные методы UAC bypass, один из которых основан на уязвимости 2019 года, позволяющей осуществлять повышение привилегий посредством поведения сервера RPC в UAC. Непрерывные усилия по обнаружению глобальных угроз направлены на выявление этих показателей во всех сетях и соответствующую адаптацию средств защиты, повышая готовность к вариантам NightshadeC2 и их эволюционирующим методологиям атак.

#ParsedReport #CompletenessHigh
04-09-2025

Contagious Interview \| North Korean Threat Actors Reveal Plans and Ops by Abusing Cyber Intel Platforms

https://www.sentinelone.com/labs/contagious-interview-threat-actors-scout-cyber-intel-platforms-reveal-plans-and-ops/

Report completeness: High

Actors/Campaigns:
Contagious_interview
Lazarus
Gwisin
Clickfake_interview

Threats:
Clickfix_technique
Contagiousdrop
Supply_chain_technique

Victims:
Job seekers, Threat intelligence consumers, Threat researchers, Cybersecurity professionals

Industry:
Financial

Geo:
Japanese, North korea, North korean

ChatGPT TTPs:
do not use without manual check
T1071.001, T1105, T1204, T1566, T1583, T1585, T1589, T1593, T1596

IOCs:
Email: 33
IP: 12
Domain: 31
File: 5
Url: 1
Hash: 3

Soft:
Slack, Gmail, curl, Astrill VPN, Node.js, Starlink, macOS, Linux

Algorithms:
sha1

Languages:
javascript

Platforms:
intel

Links:
https://github.com/stamparm/maltrail/blob/master/trails/static/malware/apt\_lazarus.txt
https://github.com/stamparm/maltrail/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские злоумышленники, связанные с кампанией Contagious Interview, используют передовые методы социальной инженерии, в частности, ClickFix для повышения оперативной безопасности и поиска активов. Они демонстрируют адаптивное поведение при создании учетных записей на платформах CTI, таких как Validin, чтобы избежать обнаружения, одновременно координируя свои разведывательные усилия из нескольких источников, включая VirusTotal. Несмотря на признание рисков обнаружения, их подход предполагает спорадические изменения инфраструктуры и развертывание приложений ContagiousDrop, что указывает на высокий уровень взаимодействия с потенциальными жертвами.
-----

Северокорейские злоумышленники, связанные с кампанией Contagious Interview, активно используют платформы разведки киберугроз (CTI) для мониторинга своей оперативной безопасности и поиска новых активов. Этот анализ показывает изощренное использование этими группами техники социальной инженерии ClickFix, характеризующееся их скоординированными командными усилиями и сотрудничеством в режиме реального времени. Они документируются с использованием нескольких источников разведывательной информации, включая Validin, VirusTotal и Maltrail, для поддержания их операционной жизнеспособности, даже когда они сталкиваются с постоянными рисками обнаружения.

Злоумышленники начали свою деятельность с создания учетных записей на платформе Validin, продемонстрировав целенаправленный подход, при котором регистрация происходила в короткие сроки. Столкнувшись с блокировками доступа, они адаптировались, зарегистрировав новые учетные записи с использованием альтернативных доменов электронной почты, что предполагает стратегический ответ на обнаружение. Методы, используемые для создания учетной записи и координации, указывают на системный подход к сбору разведывательной информации, поскольку они задействовали несколько платформ одновременно для сбора информации, избегая при этом тщательной проверки.

Взаимодействие с информацией CTI в значительной степени повлияло на управление их инфраструктурой. Хотя злоумышленники продемонстрировали понимание потенциальных рисков, они проявили ограниченную инициативу в том, чтобы сделать свою инфраструктуру менее обнаруживаемой, предпочтя вместо этого спорадические изменения, которые мало что сделали для сокрытия их операций. Кроме того, они изучили потенциальную инфраструктуру, чтобы избежать ранее выявленных вредоносных ресурсов, гарантируя, что у вновь приобретенных ресурсов будет меньше шансов поднять флаги обнаружения.

Приложения ContagiousDrop, развертываемые через серверы распространения вредоносного ПО ClickFix, облегчают взаимодействие с жертвами. Журналы показали, что более 230 человек участвовали во взаимодействиях с этими кампаниями, что отражает значительный уровень вовлеченности, вероятно, затрагивающий более широкую аудиторию, поскольку данные были получены всего с нескольких серверов.

#ParsedReport #CompletenessMedium
05-09-2025

Malicious npm Packages Impersonate Flashbots SDKs, Targeting Ethereum Wallet Credentials

https://socket.dev/blog/malicious-npm-packages-impersonate-flashbots-sdks-targeting-ethereum-wallet-credentials

Report completeness: Medium

Actors/Campaigns:
Flashbotts

Threats:
Typosquatting_technique
Supply_chain_technique

Victims:
Developers, Mev operators, Arbitrage bot operators, Flashbots users, Ethereum wallet users

Industry:
Petroleum, E-commerce, Critical_infrastructure

Geo:
Vietnamese

TTPs:
Tactics: 1
Technics: 6

IOCs:
Email: 1
File: 21
Coin: 1
Url: 3
Domain: 1

Soft:
Telegram, Outlook

Wallets:
mainnet

Crypto:
ethereum

Algorithms:
base64

Functions:
signBundle, create, initFlashbotBundle

Win API:
sendMessage

Languages:
typescript, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Четыре вредоносных пакета npm выдают себя за законный Flashbots SDK для кражи учетных данных кошелька Ethereum у разработчиков, в частности, нацеливаясь на операции с извлекаемой стоимостью майнера (MEV). Наиболее тревожным является разветвление класса FlashbotsBundleProvider, которое внедряет вредоносные функции и может манипулировать транзакциями, наряду с трояном, Маскировкой под криптографическую утилиту, и агрессивной клиентской библиотекой, автоматически выполняющей вредоносный код. Четвертый пакет Маскировки под утилиту Telegram, облегчающую эксфильтрацию данных злоумышленникам, что создает значительную угрозу целостности транзакций Ethereum и безопасности разработчиков.
-----

Недавние открытия выявили четыре вредоносных пакета npm, предназначенных для выдачи себя за законный Flashbots SDK, с основной целью кражи учетных данных кошелька Ethereum у разработчиков. Наиболее тревожным из них является вредоносный форк класса FlashbotsBundleProvider, который сохраняет совместимость с законным API Flashbots, встраивая различные вредоносные функции в свой код. Это представляет значительную угрозу, особенно для пользователей, участвующих в операциях с извлекаемой стоимостью майнера (MEV), поскольку это может манипулировать транзакциями в интересах злоумышленника.

Другой пакет выглядит как криптографическая утилита, но работает как троянец, вероятно, предназначенный для введения в заблуждение разработчиков при выполнении вредоносных действий. В дополнение к этому, третий пакет, продаваемый как клиентская библиотека Flashbots, идет дальше, автоматически выполняя свой вредоносный код при создании экземпляра, что делает его более агрессивным и устойчивым к стандартным методам обнаружения.

Четвертый пакет функционирует как средство коммуникации для злоумышленников, замаскированное под универсальную утилиту Telegram. Это позволяет осуществлять эксфильтрацию конфиденциальных данных непосредственно в чат Telegram, контролируемый злоумышленником, что способствует оптимизации инфраструктуры атак. В настоящее время Telegram-бот, используемый для сбора данных, остается активным, позволяя киберпреступникам получать украденные учетные данные из любых скомпрометированных систем, на которых запущены эти пакеты.

Воздействие этих вредоносных пакетов многогранно; они сосредоточены на сборе Закрытых ключей и мнемонических данных, нацеливаясь на переменные среды разработчиков, особенно на те, которые обычно используются в операциях MEV. Последствия включают прямые финансовые потери из-за несанкционированного доступа к средствам кошелька в сочетании с более широкой угрозой целостности транзакций Ethereum, поскольку основной вариант FlashbotsBundleProvider потенциально может перенаправлять транзакции на адреса, контролируемые злоумышленниками. В целом, всеобъемлющий инструментарий, созданный злоумышленником, подчеркивает необходимость бдительности и надежных мер безопасности в сообществе разработчиков Ethereum для противодействия этим сложным угрозам.

#ParsedReport #CompletenessHigh
05-09-2025

Inside the Kimsuky Leak: How the Kim Dump Exposed North Koreas Credential Theft Playbook

https://dti.domaintools.com/inside-the-kimsuky-leak-how-the-kim-dump-exposed-north-koreas-credential-theft-playbook/

Report completeness: High

Actors/Campaigns:
Kimsuky (motivation: information_theft, cyber_espionage)
Lazarus

Threats:
Aitm_technique
Credential_harvesting_technique
Titanldr
Blacklotus
Netstat_tool
Supply_chain_technique
Api_obfuscation_technique

Victims:
Government, Military, Diplomatic, Research institute, Enterprise cloud services

Industry:
Healthcare, Military, Telco, Government

Geo:
Kor, China, North korea, Asia, Dprk, North korean, Korean, Taiwanese, North koreas, Chinese, Taiwan, Korea

TTPs:
Tactics: 8
Technics: 12

IOCs:
Domain: 5
File: 20
Email: 1
IP: 4

Soft:
Linux, Weibo, Firefox

Algorithms:
exhibit, base64

Functions:
Win32

Win API:
HttpSendRequestA, VirtualAlloc, decompress, Startpage

Platforms:
intel, x86, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейский злоумышленник "Ким", связанный с группой Kimsuky (APT43), занимался кражей учетных данных в южнокорейских и тайваньских сетях, используя методы фишинга с использованием поддельных доменов для получения учетных данных пользователей. Утечка выявила среду разработки вредоносного ПО, ориентированную на системы Windows, использование передовых тактик, таких как хэшированное разрешение вызовов API для уклонения, и дизайн руткита Linux для обеспечения необнаруженного доступа. Операция указывает на целенаправленные амбиции по компрометации инфраструктуры цифрового доверия в обоих регионах, подчеркивая сложную атрибуцию из-за использования китайских киберинструментов.
-----

Недавняя утечка, приписываемая северокорейскому злоумышленнику, известному как "Ким", раскрыла важную информацию об оперативной тактике группировки Kimsuky (APT43), в первую очередь сосредоточенной на краже учетных данных в южнокорейских и тайваньских сетях. Это нарушение подчеркивает использование актором гибридной модели, которая включает в себя инструменты и инфраструктуру, обычно связанные с китайскими кибероперациями.

Утечка данных включает в себя истории командной строки, демонстрирующие активную среду разработки вредоносного ПО, использующую NASM (Netwide Assembler), что подчеркивает практический подход к созданию вредоносного ПО, специально предназначенного для систем Windows. Заслуживающие внимания файлы, такие как 136001_env.key, предполагают кражу конфиденциальных материалов PKI правительства Южной Кореи, что подразумевает прямую компрометацию государственных криптографических ключей, что облегчило бы подделку идентификационных данных в правительственных системах.

Фишинг остается основной тактикой актора, о чем свидетельствует обширный набор поддельных доменов, имитирующих корейские службы идентификации и официальные правительственные веб-сайты. Использование сложных методов фишинга направлено на захват учетных данных пользователей с помощью настроек "Злоумышленник посередине", при этом несколько доменов адаптированы таким образом, чтобы казаться официальными и заслуживающими доверия потенциальным жертвам.

В сфере разработки вредоносного ПО актор продемонстрировал предпочтение ручной компиляции шелл-кода и внедрению методов уклонения, таких как разрешение вызовов хэшированного API для обхода систем обнаружения антивирусов. Также была включена документация, относящаяся к разработке руткита Linux, идентифицированного как vmmisc.ko, с указанием усовершенствованной тактики закрепления. Этот руткит использует методы на уровне ядра для обеспечения необнаруженного доступа в системах Linux и иллюстрирует способность оператора повышать привилегии с помощью модели, основанной на доверии.

Более того, операция включала в себя тщательную разведку, включая использование технологии распознавания текста для анализа документации на корейском языке, относящейся к инфраструктуре безопасности, что позволило злоумышленникам лучше понять архитектуру PKI Южной Кореи. Заметные попытки входа в систему методом грубой силы с IP-адресов, связанных с известной вредоносной инфраструктурой, еще раз указывают на целенаправленный подход актора к доступу по SSH.

Утечка "Кима" предполагает, что и Южная Корея, и Тайвань являются преднамеренными целями для этого актора, сосредоточив внимание на своей цифровой инфраструктуре доверия. На Тайване злоумышленник получил доступ к нескольким доменам, связанным с государственным и частным секторами, что усилило стратегические амбиции кампании. Атрибуция этой деятельности сложна; в то время как существуют убедительные признаки, связывающие актора с северокорейскими операциями, зависимость от китайской инфраструктуры и методов вносит двусмысленность в отношении происхождения.

#ParsedReport #CompletenessHigh
06-09-2025

Unmasked: Salat Stealer A Deep Dive into Its Advanced Persistence Mechanisms and C2 Infrastructure

https://www.cyfirma.com/research/unmasked-salat-stealer-a-deep-dive-into-its-advanced-persistence-mechanisms-and-c2-infrastructure/

Report completeness: High

Actors/Campaigns:
Nyashteam
Kapchenka

Threats:
Webrat
Procmon_tool
Credential_dumping_technique

Victims:
Windows users, Cryptocurrency users

Geo:
Russian

TTPs:
Tactics: 8
Technics: 16

IOCs:
File: 10
Hash: 3
Path: 9
IP: 3
Domain: 7
Registry: 1
Url: 2

Soft:
Windows Defender, Telegram, Windows Error Reporting, Windows Registry, Task Scheduler, Windows Task Scheduler, Google Chrome, Chrome, Microsoft Edge, ChromePlus, have more...

Wallets:
coinomi, mymonero, atomicwallet, zcash, guarda_wallet, electrum, metamask, coinbase, rabby, nami_wallet, have more...

Crypto:
ethereum, binance

Algorithms:
md5, exhibit

Win API:
VirtualProtect, LoadLibraryA, GetProcAddress, ExitProcess

Win Services:
WebClient

Languages:
php, powershell, javascript

Platforms:
x86

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salat Stealer, основанный на Go infostealer, ориентированный на Windows, извлекает конфиденциальные данные, такие как учетные данные браузера и информация о криптовалюте. Управляемый русскоязычными акторами по модели "Вредоносное ПО как услуга", он использует методы уклонения, такие как модификации ключей реестра, упаковка UPX и Маскировка процессов, чтобы сохраняться и избегать обнаружения. Его инфраструктура предполагает сложную работу, создающую риски не только для частных лиц, но и для предприятий из-за потенциальной кражи учетных данных.
-----

Salat Stealer, также известный как WEB_RAT, - это продвинутый инфокрад на базе Go, ориентированный на системы Windows, предназначенный для извлечения конфиденциальной информации, включая учетные данные браузера и данные криптовалютного кошелька. Управляемая русскоязычными акторами в рамках модели "Вредоносное ПОкак услуга" (MaaS), эта вредоносная ПО использует сложные методы уклонения, чтобы обеспечить закрепление и избежать обнаружения.

Примечательно, что Salat Stealer использует несколько тактик для достижения закрепления в скомпрометированных системах. Он создает записи ключа запуска в реестре и изменяет запланированные задачи, чтобы гарантировать их повторное выполнение. Кроме того, вредоносное ПО использует упаковку UPX, чтобы избежать статических методов обнаружения, и маскируется под законные процессы в доверенных каталогах, что еще больше усложняет усилия по обнаружению. Это также позволяет избежать обнаружения, создавая Скрытые окна и изменяя исключения защитника Windows.

Вредоносное ПО способно к эксфильтрации данных, специально нацеливаясь на учетные данные, хранящиеся в веб-браузерах, таких как Google Chrome, путем доступа к базе данных браузера SQLite. Это подчеркивает потенциальные риски, связанные не только с частными лицами, но и с предприятиями, поскольку потеря конфиденциальных учетных данных может способствовать более масштабным атакам.

Статический и динамический анализ вредоносного ПО раскрывает его возможности в управлении файлами и операциями ввода-вывода, создании процессов и потоков и контроле над ними, а также в управлении исключениями. Во время динамического анализа Salat Stealer демонстрирует Маскировку процессов, запуская дочерние процессы, которые имитируют законные приложения, чтобы вписаться в среду операционной системы. Эта характеристика дополнительно сводит к минимуму вероятность обнаружения с помощью традиционных мер безопасности.

Salat Stealer имеет документированную инфраструктуру, которая включает централизованную административную панель для распространения и управления, что указывает на организованный характер его операций. Его присутствие в ландшафте угроз подчеркивает растущую сложность вредоносного ПО как части более широкой экосистемы MaaS, где даже недорогие модели подписки могут обеспечить доступ к расширенным возможностям атак.

#ParsedReport #CompletenessMedium
06-09-2025

SafePay Ransomware: How a Non-RaaS Group Executes Rapid Fire Attacks

https://www.bitdefender.com/en-us/blog/businessinsights/safepay-ransomware-attacks-ttps

Report completeness: Medium

Threats:
Safepay
Lockbit
Qilin_ransomware
Akira_ransomware
Sharefinder_tool
Blackbasta

Victims:
Mid size organizations, Enterprise organizations

Industry:
Education, E-commerce, Financial, Healthcare, Government

Geo:
Great britain, Germany, Russian, Canada, United kingdom

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1
Hash: 2

Soft:
PsExec

Crypto:
bitcoin

Algorithms:
chacha20

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SafePay ransomware стал заметным злоумышленником с момента своего появления в сентябре 2024 года, проводя blitz-атаки и нацеливаясь на организации среднего размера и предприятия, главным образом в развитых странах. Его методы атак включают в себя раскрытие учетных данных, атаки методом грубой силы и социальную инженерию, а такие инструменты, как ShareFinder и PsExec, используются для картографирования сети и перемещения внутри компании. Оказавшись внутри, SafePay извлекает конфиденциальные данные и шифрует файлы с расширением .SafePay, используя методы, позволяющие избежать обнаружения и завершить процессы обеспечения безопасности, что усложняет меры реагирования.
-----

SafePay ransomware стал значительным злоумышленником в 2025 году, получив известность благодаря быстрой череде атак, жертвами которых стали 73 человека только в июне и еще 42 в июле. Примечательно, что SafePay работает независимо от любых моделей "Программа-вымогатель как услуга" (RaaS), включая членство в таких группах, как LockBit. Его методы, инструменты и оперативные методологии отличаются друг от друга, демонстрируя высокий уровень оперативной секретности при минимальном взаимодействии с внешними форумами или другими злоумышленниками.

Начиная с сентября 2024 года, первоначальные операции SafePay's начались после значительных действий правоохранительных органов, направленных против предыдущих групп вымогателей и их инфраструктуры. Виктимология SafePay's указывает на то, что предпочтение отдается организациям среднего размера и предприятиям малого бизнеса, особенно в развитых странах, таких как Соединенные Штаты, Германия, Великобритания и Канада. Эта стратегия, по-видимому, использует обширные сети организации для усиления давления на жертв, заставляя их выплачивать выкупы для защиты своих активов и репутации.

Поразительной особенностью SafePay является его способность проводить blitz-атаки, о чем свидетельствует его подавляющая тактика, заключающаяся в том, что за один день пострадало несколько человек. Например, 20 ноября 2024 года группа сообщила о 23 жертвах всего за 24 часа, продемонстрировав оперативную норму, которая повышает ставки для отдельных организаций.

SafePay реализует ряд тактик, методов и процедур (TTP), которые облегчают его атаки. Первоначальный доступ к сетям-жертвам осуществляется с помощью раскрытия учетных данных, атак с использованием паролей методом перебора или слабых мест в устройствах VPN. В некоторых случаях тактика социальной инженерии используется для того, чтобы выдать себя за ИТ-персонал и внедрить инструменты удаленного мониторинга и управления (RMM). После получения первоначального доступа SafePay использует такие скрипты, как ShareFinder, для отображения сети, выявления ценных ресурсов и организации перемещения внутри компании с помощью таких инструментов, как PsExec.

Процессы эксфильтрации нацелены на конфиденциальные данные, такие как финансовые отчеты, интеллектуальная собственность и списки клиентов, часто с использованием инструментов сжатия, таких как WinRAR и FileZilla, для безопасной передачи данных. При запуске программы-вымогателя файлы шифруются с расширением .safepay и запиской о выкупе с именем "readme_safepay.txt " хранится в соответствующих каталогах. Программа-вымогатель предназначена для уклонения от обнаружения программами защиты от вредоносного ПО и может прерывать процессы, связанные с мерами безопасности, что делает ее особенно сложной для устранения.

Для противодействия таким угрозам, как SafePay, организациям настоятельно рекомендуется применять многоуровневый подход к обеспечению безопасности, в котором особое внимание уделяется стратегиям предотвращения, обнаружения, реагирования и защиты. Эта целостная точка зрения имеет решающее значение для разработки надежной системы кибербезопасности, способной противостоять сложностям современных угроз, связанных с программами-вымогателями.

#ParsedReport #CompletenessHigh
06-09-2025

GPUGate Malware: Malicious GitHub Desktop Implants Use Hardware-Specific Decryption, Abuse Google Ads to Target Western Europe

https://arcticwolf.com/resources/blog/gpugate-malware-malicious-github-desktop-implants-use-hardware-specific-decryption-abuse-google-ads-target-western-europe/

Report completeness: High

Threats:
Gpugate
Gpugate_technique
Bloat_technique
Dll_sideloading_technique
Amos_stealer
Supply_chain_technique
Spear-phishing_technique
Process_injection_technique
Process_hollowing_technique
Dead_drop_technique

Victims:
Information technology sector, Technical professionals

Industry:
Software_development, Education, Entertainment

Geo:
Russian

TTPs:
Tactics: 11
Technics: 31

IOCs:
Domain: 17
File: 4
Path: 4
Hash: 7
Url: 3
IP: 19
Command: 3

Soft:
Windows Installer, Windows Defender, Microsoft Defender, Windows service, macOS, Telegram, gatekeepers, chrome, Microsoft Visual C++, Mac OS, have more...

Algorithms:
aes-cbc, aes, sha256, zip, sha1, md5, xor

Languages:
php, powershell, visual_basic

Platforms:
cross-platform, arm, x64

YARA: Found

#ParsedReport #CompletenessHigh
06-09-2025

GhostRedirector poisons Windows servers: Backdoors with a side of Potatoes

https://www.welivesecurity.com/en/eset-research/ghostredirector-poisons-windows-servers-backdoors-side-potatoes/

Report completeness: High

Actors/Campaigns:
Ghostredirector
Dragonrank

Threats:
Zunput
Rungan
Gamshen
Iiserpent
Badpotato_tool
Lolbin_technique
Gotohttp_tool
Dotnet_reactor_tool
Comdai
Rid_hijacking_tool
Seo_poisoning_technique

Victims:
Windows servers, Web hosting environments

Industry:
Transport, Healthcare, Retail, Education

Geo:
China, Peru, Canada, Chinese, Usa, Vietnam, America, Ukraine, Philippines, Netherlands, Thailand, India, Brazil, Asia, Finland, Singapore, Portuguese

TTPs:
Tactics: 9
Technics: 25

IOCs:
Domain: 8
File: 16
Command: 5
Path: 7
Hash: 23
Url: 5
IP: 4

Soft:
EfsPotato, NET Reactor, Windows registry, NET Framework

Algorithms:
base64, sha1, aes, cbc

Functions:
CreatePorcessA

Win API:
NetUserAdd, HttpInitialize, HttpAddUrl

Languages:
php, powershell, javascript

Links:
https://github.com/minhangxiaohui/AvoidRandomKill/blob/main/AvoidRandomKill/AES.cpp
have more...
https://github.com/zcgonvh/EfsPotato/
https://github.com/BeichenDream/BadPotato/

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 2, windows: 1