#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи ESET выявили нового злоумышленника GhostRedirector, нацеленного на серверы Windows, который использует бэкдор на C++ под названием Rungan и вредоносный модуль IIS под названием Gamshen для манипулирования результатами поиска Google. Злоумышленники, вероятно, используют уязвимость SQL-инъекции для получения доступа, развертывания инструментов через PowerShell и используют такие методы, как локальное повышение привилегий и сертификат инструмента LOLBin. Кроме того, они собирают данные о конфигурации IIS с помощью инструмента под названием Zunput, подчеркивая свою цель проведения SEO-мошенничества и использования скомпрометированных инфраструктур.
-----

Исследователи ESET обнаружили нового злоумышленника, получившего название GhostRedirector, который в первую очередь нацелен на серверы Windows. Этот актор использует пассивный бэкдор на C++, известный как Rungan, и вредоносный модуль IIS с именем Gamshen для манипулирования результатами поиска Google. Обнаружение деятельности GhostRedirector началось в декабре 2024 года, хотя считается, что он был активен по крайней мере с августа 2024 года, основываясь на ранее выявленных образцах.

Первоначальной точкой входа для GhostRedirector, скорее всего, является использование уязвимости, предположительно являющейся SQL-инъекцией. Как только доступ получен, акторы используют PowerShell для загрузки вредоносных программ с назначенного промежуточного сервера, указанного как 868id.com . Они также используют тактику, использующую другой инструмент LOLBin, CertUtil, для облегчения этого процесса. После успешной компрометации системы GhostRedirector развертывает различные вредоносные инструменты, включая инструмент повышения привилегий, который создает привилегированного пользователя в группе администраторов, позволяя злоумышленнику выполнять привилегированные операции.

GhostRedirector использует локальные методы повышения привилегий, вероятно, полученные из общедоступных эксплойтов, таких как EfsPotato и BadPotato. Изученные образцы, как правило, были обфускированы с помощью .NET Reactor, причем некоторые даже обладали действительными подписями от TrustAsia RSA, Подписью исполняемого кода CA G3. Один конкретный пример, связанный с этой операцией, продемонстрировал поведение при попытке отправить его содержимое по жестко закодированному URL-адресу, но не использовался в активной кампании.

Другим инструментом в наборе инструментов GhostRedirector является Zunput, который можно найти в примере под названием SitePuts.exe. Этот компонент запрашивает конфигурацию IIS для размещенных веб-сайтов, эффективно собирая информацию, которая может быть использована для дальнейших вредоносных действий.

Бэкдор Rungan, указанный в системном пути C:\ProgramData\Microsoft\DRM\log\miniscreen.dll , обеспечивает злоумышленникам обратный пассивный доступ, в то время как Gamshen действует как вредоносный собственный модуль IIS, который перехватывает и изменяет ответы на запросы Googlebot. Эта манипуляция предназначена для того, чтобы повлиять на рейтинг стороннего веб-сайта в поиске, используя сомнительную тактику, такую как создание искусственных обратных ссылок со взломанного сервера на целевой сайт. Это наводит на мысль, что GhostRedirector может участвовать в схеме SEO-мошенничества как услуги, подчеркивая свою способность использовать скомпрометированную инфраструктуру для получения финансовой или конкурентной выгоды. В целом, GhostRedirector демонстрирует заметную связь с китайской кибератакой и демонстрирует передовые методы как для компрометации серверов, так и для манипулирования поисковыми системами.

#ParsedReport #CompletenessMedium
06-09-2025

Threat Actors Impersonate Microsoft Teams To Deliver Odyssey macOS Stealer Via Clickfix

https://www.cloudsek.com/blog/threat-actors-impersonate-microsoft-teams-to-deliver-odyssey-macos-stealer-via-clickfix

Report completeness: Medium

Threats:
Odyssey_stealer
Clickfix_technique

Victims:
Macos users

TTPs:
Tactics: 6
Technics: 21

IOCs:
Domain: 1
File: 7
Url: 1
IP: 1

Soft:
Microsoft Teams, macOS, Ledger Live, Tradingview, Chrome, Chromium, Vivaldi, Opera, OperaGX, Firefox, have more...

Wallets:
metamask, electrum, coinomi, exodus_wallet, wassabi, bitcoincore, litecoincore, electron_cash, guarda_wallet, trezor, have more...

Crypto:
monero, dogecoin

Algorithms:
sha256, base64, zip

Languages:
applescript

Platforms:
apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют поддельный сайт загрузки Microsoft Teams для распространения программы Odyssey macOS stealer с помощью Clickfix, способной собирать конфиденциальные данные, такие как учетные данные пользователя и файлы cookie браузера. Вредоносное ПО взаимодействует с сервером управления для эксфильтрации данных и устанавливает закрепление с помощью LaunchDaemons, наряду с методами получения учетных данных и повышения привилегий. Ключевые действия включают в себя таргетинг на Связку ключей Chrome, рекурсивное копирование данных криптовалютного кошелька и замену законных приложений вредоносными версиями.
-----

Злоумышленники в настоящее время используют обманчивый веб-сайт загрузки Microsoft Teams для распространения Odyssey macOS stealer с помощью Clickfix. Это вредоносное ПО после запуска способно собирать различные конфиденциальные данные, включая учетные данные пользователя, файлы cookie браузера, заметки Apple и информацию из криптовалютных кошельков. Ключом к его работе является эксфильтрация собранных данных на сервер командования и контроля (C2), а также закрепление в зараженной системе с помощью LaunchDaemons. Кроме того, вредоносное ПО может заменить Ledger Live троянской версией, что создает дополнительные риски для безопасности.

Кампания была впервые замечена в августе 2025 года во время анализа инфраструктуры, проведенного компанией Cloudsek's TRIAD, который показал, что злоумышленники перешли от подражания другим сервисам, таким как Tradingview, к целенаправленной атаке на Microsoft Teams. Метод выполнения включает AppleScript в кодировке base64, который запускается с помощью простой команды, классифицируя его по методам выполнения сценариев (T1059.002).

Вредоносное ПО использует различные методы получения учетных данных и повышения привилегий, такие как попытка аутентификации локального пользователя с помощью средства командной строки службы каталогов, запрашивающее пароль устройства в случае сбоя аутентификации. Такое поведение согласуется с методами, описанными в MITRE ATT&CK framework (T1056.002, T1110). Вредоносное ПО также нацелено на Связку ключей Chrome для получения конфиденциальных данных и хранит захваченные учетные данные локально.

Возможности сбора данных обширны, поскольку он рекурсивно копирует данные из многочисленных криптовалютных кошельков и соответствующих приложений, что создает значительный риск Кражи денежных средств в дополнение к компрометации учетных данных (T1555). Эксфильтрация этих данных выполняется с помощью HTTP POST-запросов на определенные IP-адреса с возможностью повторной попытки в случае сбоя (T1041). Более того, у злоумышленников есть дополнительные полезные данные, размещенные на том же сервере, что может еще больше скомпрометировать систему жертвы (T1105).

Для поддержания закрепления вредоносное ПО загружает командную строку оболочки и устанавливает ее как список LaunchDaemon с произвольным именем, требуя повышенных привилегий, таким образом, подключаясь обратно к предыдущему запросу пароля. Получив необходимые разрешения, он может удалить и заменить законное приложение Ledger Live вредоносной версией, используя различные методы уклонения, чтобы скрыть свою деятельность (T1036, T1112).

Воздействие этого вредоносного ПО включает в себя существенные риски, такие как кража учетных данных для просмотра веб-страниц, личных файлов и прямой доступ к криптовалютам, наряду с возможностью постоянного повторного заражения системы из-за его постоянных мер. Чтобы помочь в защите, было разработано правило Yara для обнаружения выполнения AppleScript Odyssey stealer's.

#ParsedReport #CompletenessMedium
06-09-2025

An MDR Analysis of the AMOS Stealer Campaign Targeting macOS via Cracked Apps

https://www.trendmicro.com/en_us/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

Report completeness: Medium

Threats:
Amos_stealer
Fakecaptcha_technique
Seo_poisoning_technique
Lolbin_technique
Clickfix_technique

Victims:
Macos users, Enterprise users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1204.003, T1553.001, T1555, T1555.001, T1568.003

IOCs:
File: 5
Url: 11
Coin: 1
Domain: 16
Hash: 6
IP: 1

Soft:
macOS, Gatekeeper, Telegram, Chrome, Chrome, Firefox, Opera, Chromium, Vivaldi, curl, Windows Explorer, have more...

Wallets:
tonkeeper

Crypto:
binance

Algorithms:
sha1, zip

Languages:
applescript, javascript, swift

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 16, schema: 5, code: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AMOS Stealer нацелена на пользователей macOS посредством распространения вредоносного ПО AMOS, использующего взломанные приложения для инициирования заражения. Два основных способа доставки предполагают, что пользователи загружают скомпрометированное программное обеспечение или выполняют команды терминала, оба из которых обходят гейткипер macOS. Вредоносное ПО способствует масштабной краже данных, включая учетные данные и конфиденциальные файлы, используя сменяющиеся домены для уклонения, что свидетельствует об изменении стратегий атак по мере того, как macOS набирает популярность в корпоративных средах.
-----

Кампания AMOS Stealer представляет собой серьезную киберугрозу, направленную против пользователей macOS посредством распространения вредоносного ПО Atomic macOS Stealer (AMOS). Злоумышленники используют вредоносные “взломанные” версии легальных приложений, чтобы побудить пользователей к установке вредоносного ПО. Наблюдаются два основных способа доставки: один предполагает загрузку пользователями скомпрометированного программного обеспечения, которое перенаправляет их на целевые страницы, облегчающие установку AMOS, а другой требует, чтобы пользователи копировали и вставляли определенные команды в терминал macOS. Этот последний метод эффективно обходит Gatekeeper в macOS, функцию, предназначенную для блокирования выполнения непроверенных приложений.

Возможности AMOS's распространяются на кражу широкого спектра данных, включая извлечение учетных данных, данных браузера, информации о криптовалютном кошельке, чатах Telegram, профилях VPN, заметках Apple и файлах из папок с общим доступом. Вредоносное ПО использует сменяющиеся домены, чтобы избежать обнаружения и помешать усилиям по удалению, создавая существенные риски как для индивидуальных, так и для корпоративных пользователей. В связи с тем, что macOS все чаще используется в профессиональной среде, она стала главной мишенью для киберпреступников, что ознаменовало изменение ландшафта уязвимостей операционной системы.

Цепочка заражения начинается с того, что пользователь получает доступ к скомпрометированному программному обеспечению, что приводит его к загрузке AMOS. Наблюдаемое поведение затронутых пользователей часто включает повторные посещения определенных веб-сайтов, предлагающих взломанное программное обеспечение, такое как haxmac.cc , который напрямую связан с распространением AMOS. Кроме того, использование команд через терминал, таких как выборка сценариев установки из различных доменов, оказалось эффективным для злоумышленников. Например, скрипты могут быть извлечены из letrucvert.com или goatramz.com , иллюстрирующий различные методы, используемые при распространении вредоносного ПО.

Тактическая адаптивность кампании AMOS примечательна, особенно в свете продолжающихся улучшений безопасности Apple. Поскольку средства защиты, такие как усовершенствованные протоколы Gatekeeper в macOS Sequoia, становятся более устойчивыми к традиционным методам заражения, злоумышленники быстро скорректировали свои стратегии, чтобы использовать установки на базе терминалов, тем самым обходя эти средства защиты. Эта эволюция требует многоуровневого подхода к обеспечению безопасности, сочетающего информирование пользователей об опасностях взломанного программного обеспечения, поддельных установщиков и команд терминала с техническими средствами защиты, которые обеспечивают видимость конечных точек и мониторинг сети для эффективного обнаружения таких угроз и реагирования на них.

#ParsedReport #CompletenessLow
07-09-2025

From Compromised Keys to Phishing Campaigns: Inside a Cloud Email Service Takeover

https://www.wiz.io/blog/wiz-discovers-cloud-email-abuse-campaign

Report completeness: Low

Threats:
Supply_chain_technique
Spear-phishing_technique

Victims:
Cloud email service users, Aws customers

TTPs:

IOCs:
Domain: 5

Functions:
GetCallerIdentity, GetSendQuota, GetAccount, CreateCase, CreateEmailIdentity, SES

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещается использование скомпрометированных учетных данных AWS, в частности, через Amazon Simple Email Service (SES), для проведения крупномасштабных кампаний фишинга. Злоумышленники используют скомпрометированные ключи доступа для манипулирования функциональностью SES, создавая новые идентификаторы отправителей, которые маскируют вредоносные электронные письма под законные, тем самым повышая риск мошенничества и кражи данных. Ключевые показатели злоупотреблений включают необычные входы в систему и всплески использования сервисов, что подчеркивает уязвимости, присущие облачным средам.
-----

В статье обсуждается использование скомпрометированных облачных учетных данных, особое внимание уделяется Amazon Simple Email Service (SES) как методу проведения крупномасштабных кампаний фишинга. Злоумышленники получили доступ к среде AWS жертвы с помощью скомпрометированных ключей доступа и манипулировали SES, чтобы обойти встроенные ограничения, что позволило им создать новые идентификаторы отправителей. Эта процедура была неотъемлемой частью их операции по фишингу, демонстрируя изощренное использование платформы для смешивания вредоносной активности с законным трафиком электронной почты.

Использование AWS SES сопряжено со значительными рисками для организаций. Злоумышленники могут отправлять электронные письма, которые, как представляется, исходят с проверенных доменов компании, что повышает вероятность успешных попыток фишинга и потенциального мошенничества. Это не только ставит под угрозу репутацию организации, но и открывает возможности для кражи данных и других вредоносных действий. Более того, злоупотребление SES часто указывает на более широкий компромисс, когда противники могут использовать другие сервисы AWS, повышая операционный риск быть замеченными в злоупотреблениях самой AWS.

Ключевыми признаками потенциального злоупотребления SES являются активация ранее неактивных ключей доступа, необычные входы в систему из разных стран или под разными именами, а также аномальные всплески использования облачных сервисов. Такие инструменты мониторинга, как AWS CloudWatch metrics, биллинговые консоли и журналы CloudTrail, могут помочь в выявлении таких аномалий. Организациям настоятельно рекомендуется уделять особое внимание ключам с расширенными правами доступа или тем, которые долгое время не использовались.

Таким образом, скомпрометированные ключи доступа представляют собой значительную уязвимость в облачных средах, особенно при использовании с помощью таких сервисов, как Amazon SES. Для организаций крайне важно отслеживать признаки неправомерного использования и принимать упреждающие меры по защите своих облачных учетных данных, чтобы предотвратить аналогичные кампании фишинга. Изощренные методы, используемые злоумышленниками, требуют комплексного подхода к кибербезопасности, сосредоточенного на обнаружении, мониторинге и немедленном реагировании на любые признаки компрометации.

#ParsedReport #CompletenessLow
07-09-2025

LockBit 5.0 & Ransomware Cartel: What You Need To Know?

https://socradar.io/lockbit-5-0-ransomware-cartel-what-you-need-to-know/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Lockbit
Eldorado_ransomware
Stealbit
Qilin_ransomware
Supply_chain_technique
Blackcat

Victims:
Multiple industries, Critical infrastructure

Industry:
Critical_infrastructure

ChatGPT TTPs:
do not use without manual check
T1195, T1486, T1583, T1587, T1654

IOCs:
Coin: 2

Wallets:
zcash

Crypto:
monero, bitcoin

Win API:
pie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit 5.0 расширил возможности программ-вымогателей, сосредоточив внимание на модульности, скорости шифрования и обходе систем безопасности, а также внедрив модель "Программа-вымогатель как услуга" для привлечения партнеров. Появление "Картеля вымогателей", инициированного DragonForce, означает расширение сотрудничества между такими группами, как LockBit и Qilin, что потенциально ведет к более сложным операциям. Этот эволюционирующий ландшафт включает в себя такие тактики, как множественное вымогательство и атаки по supply chain, усложняющие защиту от киберугроз.
-----

LockBit продолжает оставаться важным игроком в экосистеме программ-вымогателей, развивающейся с появлением LockBit 5.0, которая повышает его модульность, скорость шифрования и возможности обхода мер безопасности. Эта новая итерация отражает адаптивную стратегию группы с момента ее создания в 2019 году как ABCD, за которым последовал ребрендинг на LockBit. В последней версии особое внимание уделяется обновленной модели "Программа-вымогатель как услуга" (RaaS) с новыми стимулами, направленными на привлечение к участию большего числа аффилированных лиц киберпреступников.

Инфраструктура, связанная с LockBit 5.0, предполагает продуманные усилия по поддержанию операционной легитимности. Платформа имеет знакомый пользовательский интерфейс, дополненный системой очередей для сообщений и отображением вариантов оплаты криптовалютами, включая Monero, Bitcoin и Zcash. Такие элементы подтверждают непрерывность деятельности группы и в то же время позволяют ей адаптироваться к более кооперативной модели в среде программ-вымогателей.

Появление "Картеля вымогателей" означает сдвиг в сторону сотрудничества между группами вымогателей. Инициированная DragonForce на хакерском форуме RAMP, эта инициатива направлена на снижение конкуренции и междоусобиц между такими бандами, как LockBit и Qilin. Развивая сотрудничество, эти группы стремятся оптимизировать операции на подпольном рынке и потенциально стабилизировать свою прибыльность. Такое сотрудничество могло бы повысить технические возможности операций с программами-вымогателями, что усложняло бы защитникам кибербезопасности эффективное реагирование.

Общий ландшафт для программ-вымогателей остается прибыльным, при этом развивается тактика, включающая множественное вымогательство, атаки по supply chain и нацеливание на критически важные инфраструктуры. Тенденция к формированию картелей может привести к созданию более организованной и устойчивой преступной среды, что окажет воздействие на стратегии правозащитников и их усилия по смягчению этих киберугроз. Способность групп вымогателей учиться друг у друга и внедрять стратегии, напоминающие законные методы ведения бизнеса, еще больше усложняет ситуацию с киберугрозами.

#ParsedReport #CompletenessLow
08-09-2025

Salt Typhoon and UNC4841: Silent Push Discovers New Domains; Urges Defenders to Check Telemetry and Log Data

https://www.silentpush.com/blog/salt-typhoon-2025/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, propaganda)
Unc4841 (motivation: cyber_espionage, propaganda)

Threats:
Demodex_tool
Deed_rat
Ghostspider

Victims:
Telecom infrastructure, Internet service providers, Mobile carriers, Government wiretapping systems

Industry:
Government, Foodtech, Telco

Geo:
Chinese, American, China, Hong kong, Los angeles

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.003

IOCs:
Domain: 54
Email: 8

Soft:
ProtonMail

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, китайская группировка, связанная с Министерством государственной безопасности, занимается кибершпионажем, нацеленным на телекоммуникационные компании и интернет-провайдеров, по меньшей мере с 2019 года, компрометируя конфиденциальные метаданные более миллиона пользователей мобильной связи в США. Недавнее исследование выявило связь между Salt Typhoon и UNC4841, которые используют дублирующую инфраструктуру и уязвимости в сетях Barracuda. Детальный анализ выявил 45 доменов, связанных с этими акторами, что свидетельствует о постоянной угрозе, проявляющейся в шаблонах регистрации доменов и цифровых записях.
-----

Salt Typhoon, китайская группировка, связанная с Министерством государственной безопасности Китайской Народной Республики, действует по меньшей мере с 2019 года. Эта группа занимается проведением кампаний кибершпионажа, нацеленных в первую очередь на телекоммуникационную инфраструктуру и интернет-провайдеров (ISP), особенно в Соединенных Штатах и более чем в 80 других странах. Их вредоносные операции позволили им получить доступ к конфиденциальным метаданным, включая метаданные более миллиона пользователей мобильных телефонов в США, что укрепило их возможности по сбору разведывательной информации.

Недавние результаты Silent Push выявили ряд ранее не сообщавшихся доменов, которые, по-видимому, облегчают постоянный скрытый доступ для Salt Typhoon. Исследование выявило связь между Salt Typhoon и другим злоумышленником, известным как UNC4841, который использовал уязвимости в сетях Barracuda для получения несанкционированного доступа. Оба злоумышленника используют дублирующую техническую инфраструктуру, что указывает на потенциальные связи сотрудничества или общие цели при нападении на конкретные государственные и корпоративные структуры.

Методология, используемая при идентификации доменов, включает тщательную проверку регистрационных данных WHOIS, которая выявила множество доменов, связанных с соответствующими Адресами эл. почты ProtonMail, часто связанных с вымышленными данными владельца регистрации, такими как несуществующие адреса и имена. Команда отследила три дополнительных адреса ProtonMail, каждый из которых соответствовал нескольким доменам, дополнительно установив модель поведения при регистрации, напоминающую те, которые типичны для акторов сложных целенаправленных атак.

Анализ цифровых записей, в частности записей о начале полномочий (SOA), показал значительное сходство регистраций между идентифицированными доменами. В результате исследовательская группа составила список из 45 доменов, подключенных либо к Salt Typhoon, либо к UNC4841, многие из которых функционируют примерно пять лет, что указывает на постоянную угрозу.

Более того, домены представляли значительный уровень риска, вынуждая организации принимать упреждающие защитные меры против этих типов продвинутых киберугроз. Silent Push призывает сетевых защитников просмотреть свою телеметрию и исторические данные журнала на предмет потенциальных подключений к идентифицированным доменам, поскольку это может повысить общую ситуационную осведомленность и понимание этих тактик скрытных атак и их последствий в контексте кибербезопасности.

#ParsedReport #CompletenessMedium
08-09-2025

Uncovering ALVIVA HOLDING: Links to Russian Shell Companies and Cybercrime

https://theravenfile.com/2025/09/08/uncovering-alviva-holding-links-to-russian-shell-companies-and-cybercrime/

Report completeness: Medium

Actors/Campaigns:
Alviva
Vermin
Magecart
Fancy_bear
Shadowsyndicate
Storm-1575

Threats:
Clop
Cobalt_strike_tool
Spectr
Spear-phishing_technique
Nokoyawa
Credential_harvesting_technique
Bianlian_ransomware
Koiloader
Brc4_tool
L3mon_tool
Sliver_c2_tool

Victims:
Hosting providers, Ransomware victims, Cybercrime victims

Industry:
Government, Financial, Petroleum

Geo:
England, Luhansk, Belize, Ukraine, Seychelles, Indian, Croatia, Russian federation, Germany, Vanuatu, Ireland, London, Russia, Panama, Kaliningrad, Ukrainian, Russian

IOCs:
Email: 2
Domain: 3
IP: 2
Url: 6

Soft:
Roundcube, Twitter

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, table: 4, schema: 1