#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют поддельный сайт загрузки Microsoft Teams для распространения программы Odyssey macOS stealer с помощью Clickfix, способной собирать конфиденциальные данные, такие как учетные данные пользователя и файлы cookie браузера. Вредоносное ПО взаимодействует с сервером управления для эксфильтрации данных и устанавливает закрепление с помощью LaunchDaemons, наряду с методами получения учетных данных и повышения привилегий. Ключевые действия включают в себя таргетинг на Связку ключей Chrome, рекурсивное копирование данных криптовалютного кошелька и замену законных приложений вредоносными версиями.
-----

Злоумышленники в настоящее время используют обманчивый веб-сайт загрузки Microsoft Teams для распространения Odyssey macOS stealer с помощью Clickfix. Это вредоносное ПО после запуска способно собирать различные конфиденциальные данные, включая учетные данные пользователя, файлы cookie браузера, заметки Apple и информацию из криптовалютных кошельков. Ключом к его работе является эксфильтрация собранных данных на сервер командования и контроля (C2), а также закрепление в зараженной системе с помощью LaunchDaemons. Кроме того, вредоносное ПО может заменить Ledger Live троянской версией, что создает дополнительные риски для безопасности.

Кампания была впервые замечена в августе 2025 года во время анализа инфраструктуры, проведенного компанией Cloudsek's TRIAD, который показал, что злоумышленники перешли от подражания другим сервисам, таким как Tradingview, к целенаправленной атаке на Microsoft Teams. Метод выполнения включает AppleScript в кодировке base64, который запускается с помощью простой команды, классифицируя его по методам выполнения сценариев (T1059.002).

Вредоносное ПО использует различные методы получения учетных данных и повышения привилегий, такие как попытка аутентификации локального пользователя с помощью средства командной строки службы каталогов, запрашивающее пароль устройства в случае сбоя аутентификации. Такое поведение согласуется с методами, описанными в MITRE ATT&CK framework (T1056.002, T1110). Вредоносное ПО также нацелено на Связку ключей Chrome для получения конфиденциальных данных и хранит захваченные учетные данные локально.

Возможности сбора данных обширны, поскольку он рекурсивно копирует данные из многочисленных криптовалютных кошельков и соответствующих приложений, что создает значительный риск Кражи денежных средств в дополнение к компрометации учетных данных (T1555). Эксфильтрация этих данных выполняется с помощью HTTP POST-запросов на определенные IP-адреса с возможностью повторной попытки в случае сбоя (T1041). Более того, у злоумышленников есть дополнительные полезные данные, размещенные на том же сервере, что может еще больше скомпрометировать систему жертвы (T1105).

Для поддержания закрепления вредоносное ПО загружает командную строку оболочки и устанавливает ее как список LaunchDaemon с произвольным именем, требуя повышенных привилегий, таким образом, подключаясь обратно к предыдущему запросу пароля. Получив необходимые разрешения, он может удалить и заменить законное приложение Ledger Live вредоносной версией, используя различные методы уклонения, чтобы скрыть свою деятельность (T1036, T1112).

Воздействие этого вредоносного ПО включает в себя существенные риски, такие как кража учетных данных для просмотра веб-страниц, личных файлов и прямой доступ к криптовалютам, наряду с возможностью постоянного повторного заражения системы из-за его постоянных мер. Чтобы помочь в защите, было разработано правило Yara для обнаружения выполнения AppleScript Odyssey stealer's.

#ParsedReport #CompletenessMedium
06-09-2025

An MDR Analysis of the AMOS Stealer Campaign Targeting macOS via Cracked Apps

https://www.trendmicro.com/en_us/research/25/i/an-mdr-analysis-of-the-amos-stealer-campaign.html

Report completeness: Medium

Threats:
Amos_stealer
Fakecaptcha_technique
Seo_poisoning_technique
Lolbin_technique
Clickfix_technique

Victims:
Macos users, Enterprise users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1204.002, T1204.003, T1553.001, T1555, T1555.001, T1568.003

IOCs:
File: 5
Url: 11
Coin: 1
Domain: 16
Hash: 6
IP: 1

Soft:
macOS, Gatekeeper, Telegram, Chrome, Chrome, Firefox, Opera, Chromium, Vivaldi, curl, Windows Explorer, have more...

Wallets:
tonkeeper

Crypto:
binance

Algorithms:
sha1, zip

Languages:
applescript, javascript, swift

Platforms:
intel, apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 16, schema: 5, code: 4, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания AMOS Stealer нацелена на пользователей macOS посредством распространения вредоносного ПО AMOS, использующего взломанные приложения для инициирования заражения. Два основных способа доставки предполагают, что пользователи загружают скомпрометированное программное обеспечение или выполняют команды терминала, оба из которых обходят гейткипер macOS. Вредоносное ПО способствует масштабной краже данных, включая учетные данные и конфиденциальные файлы, используя сменяющиеся домены для уклонения, что свидетельствует об изменении стратегий атак по мере того, как macOS набирает популярность в корпоративных средах.
-----

Кампания AMOS Stealer представляет собой серьезную киберугрозу, направленную против пользователей macOS посредством распространения вредоносного ПО Atomic macOS Stealer (AMOS). Злоумышленники используют вредоносные “взломанные” версии легальных приложений, чтобы побудить пользователей к установке вредоносного ПО. Наблюдаются два основных способа доставки: один предполагает загрузку пользователями скомпрометированного программного обеспечения, которое перенаправляет их на целевые страницы, облегчающие установку AMOS, а другой требует, чтобы пользователи копировали и вставляли определенные команды в терминал macOS. Этот последний метод эффективно обходит Gatekeeper в macOS, функцию, предназначенную для блокирования выполнения непроверенных приложений.

Возможности AMOS's распространяются на кражу широкого спектра данных, включая извлечение учетных данных, данных браузера, информации о криптовалютном кошельке, чатах Telegram, профилях VPN, заметках Apple и файлах из папок с общим доступом. Вредоносное ПО использует сменяющиеся домены, чтобы избежать обнаружения и помешать усилиям по удалению, создавая существенные риски как для индивидуальных, так и для корпоративных пользователей. В связи с тем, что macOS все чаще используется в профессиональной среде, она стала главной мишенью для киберпреступников, что ознаменовало изменение ландшафта уязвимостей операционной системы.

Цепочка заражения начинается с того, что пользователь получает доступ к скомпрометированному программному обеспечению, что приводит его к загрузке AMOS. Наблюдаемое поведение затронутых пользователей часто включает повторные посещения определенных веб-сайтов, предлагающих взломанное программное обеспечение, такое как haxmac.cc , который напрямую связан с распространением AMOS. Кроме того, использование команд через терминал, таких как выборка сценариев установки из различных доменов, оказалось эффективным для злоумышленников. Например, скрипты могут быть извлечены из letrucvert.com или goatramz.com , иллюстрирующий различные методы, используемые при распространении вредоносного ПО.

Тактическая адаптивность кампании AMOS примечательна, особенно в свете продолжающихся улучшений безопасности Apple. Поскольку средства защиты, такие как усовершенствованные протоколы Gatekeeper в macOS Sequoia, становятся более устойчивыми к традиционным методам заражения, злоумышленники быстро скорректировали свои стратегии, чтобы использовать установки на базе терминалов, тем самым обходя эти средства защиты. Эта эволюция требует многоуровневого подхода к обеспечению безопасности, сочетающего информирование пользователей об опасностях взломанного программного обеспечения, поддельных установщиков и команд терминала с техническими средствами защиты, которые обеспечивают видимость конечных точек и мониторинг сети для эффективного обнаружения таких угроз и реагирования на них.

#ParsedReport #CompletenessLow
07-09-2025

From Compromised Keys to Phishing Campaigns: Inside a Cloud Email Service Takeover

https://www.wiz.io/blog/wiz-discovers-cloud-email-abuse-campaign

Report completeness: Low

Threats:
Supply_chain_technique
Spear-phishing_technique

Victims:
Cloud email service users, Aws customers

TTPs:

IOCs:
Domain: 5

Functions:
GetCallerIdentity, GetSendQuota, GetAccount, CreateCase, CreateEmailIdentity, SES

Platforms:
intel

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье освещается использование скомпрометированных учетных данных AWS, в частности, через Amazon Simple Email Service (SES), для проведения крупномасштабных кампаний фишинга. Злоумышленники используют скомпрометированные ключи доступа для манипулирования функциональностью SES, создавая новые идентификаторы отправителей, которые маскируют вредоносные электронные письма под законные, тем самым повышая риск мошенничества и кражи данных. Ключевые показатели злоупотреблений включают необычные входы в систему и всплески использования сервисов, что подчеркивает уязвимости, присущие облачным средам.
-----

В статье обсуждается использование скомпрометированных облачных учетных данных, особое внимание уделяется Amazon Simple Email Service (SES) как методу проведения крупномасштабных кампаний фишинга. Злоумышленники получили доступ к среде AWS жертвы с помощью скомпрометированных ключей доступа и манипулировали SES, чтобы обойти встроенные ограничения, что позволило им создать новые идентификаторы отправителей. Эта процедура была неотъемлемой частью их операции по фишингу, демонстрируя изощренное использование платформы для смешивания вредоносной активности с законным трафиком электронной почты.

Использование AWS SES сопряжено со значительными рисками для организаций. Злоумышленники могут отправлять электронные письма, которые, как представляется, исходят с проверенных доменов компании, что повышает вероятность успешных попыток фишинга и потенциального мошенничества. Это не только ставит под угрозу репутацию организации, но и открывает возможности для кражи данных и других вредоносных действий. Более того, злоупотребление SES часто указывает на более широкий компромисс, когда противники могут использовать другие сервисы AWS, повышая операционный риск быть замеченными в злоупотреблениях самой AWS.

Ключевыми признаками потенциального злоупотребления SES являются активация ранее неактивных ключей доступа, необычные входы в систему из разных стран или под разными именами, а также аномальные всплески использования облачных сервисов. Такие инструменты мониторинга, как AWS CloudWatch metrics, биллинговые консоли и журналы CloudTrail, могут помочь в выявлении таких аномалий. Организациям настоятельно рекомендуется уделять особое внимание ключам с расширенными правами доступа или тем, которые долгое время не использовались.

Таким образом, скомпрометированные ключи доступа представляют собой значительную уязвимость в облачных средах, особенно при использовании с помощью таких сервисов, как Amazon SES. Для организаций крайне важно отслеживать признаки неправомерного использования и принимать упреждающие меры по защите своих облачных учетных данных, чтобы предотвратить аналогичные кампании фишинга. Изощренные методы, используемые злоумышленниками, требуют комплексного подхода к кибербезопасности, сосредоточенного на обнаружении, мониторинге и немедленном реагировании на любые признаки компрометации.

#ParsedReport #CompletenessLow
07-09-2025

LockBit 5.0 & Ransomware Cartel: What You Need To Know?

https://socradar.io/lockbit-5-0-ransomware-cartel-what-you-need-to-know/

Report completeness: Low

Actors/Campaigns:
Dragonforce

Threats:
Lockbit
Eldorado_ransomware
Stealbit
Qilin_ransomware
Supply_chain_technique
Blackcat

Victims:
Multiple industries, Critical infrastructure

Industry:
Critical_infrastructure

ChatGPT TTPs:
do not use without manual check
T1195, T1486, T1583, T1587, T1654

IOCs:
Coin: 2

Wallets:
zcash

Crypto:
monero, bitcoin

Win API:
pie

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
LockBit 5.0 расширил возможности программ-вымогателей, сосредоточив внимание на модульности, скорости шифрования и обходе систем безопасности, а также внедрив модель "Программа-вымогатель как услуга" для привлечения партнеров. Появление "Картеля вымогателей", инициированного DragonForce, означает расширение сотрудничества между такими группами, как LockBit и Qilin, что потенциально ведет к более сложным операциям. Этот эволюционирующий ландшафт включает в себя такие тактики, как множественное вымогательство и атаки по supply chain, усложняющие защиту от киберугроз.
-----

LockBit продолжает оставаться важным игроком в экосистеме программ-вымогателей, развивающейся с появлением LockBit 5.0, которая повышает его модульность, скорость шифрования и возможности обхода мер безопасности. Эта новая итерация отражает адаптивную стратегию группы с момента ее создания в 2019 году как ABCD, за которым последовал ребрендинг на LockBit. В последней версии особое внимание уделяется обновленной модели "Программа-вымогатель как услуга" (RaaS) с новыми стимулами, направленными на привлечение к участию большего числа аффилированных лиц киберпреступников.

Инфраструктура, связанная с LockBit 5.0, предполагает продуманные усилия по поддержанию операционной легитимности. Платформа имеет знакомый пользовательский интерфейс, дополненный системой очередей для сообщений и отображением вариантов оплаты криптовалютами, включая Monero, Bitcoin и Zcash. Такие элементы подтверждают непрерывность деятельности группы и в то же время позволяют ей адаптироваться к более кооперативной модели в среде программ-вымогателей.

Появление "Картеля вымогателей" означает сдвиг в сторону сотрудничества между группами вымогателей. Инициированная DragonForce на хакерском форуме RAMP, эта инициатива направлена на снижение конкуренции и междоусобиц между такими бандами, как LockBit и Qilin. Развивая сотрудничество, эти группы стремятся оптимизировать операции на подпольном рынке и потенциально стабилизировать свою прибыльность. Такое сотрудничество могло бы повысить технические возможности операций с программами-вымогателями, что усложняло бы защитникам кибербезопасности эффективное реагирование.

Общий ландшафт для программ-вымогателей остается прибыльным, при этом развивается тактика, включающая множественное вымогательство, атаки по supply chain и нацеливание на критически важные инфраструктуры. Тенденция к формированию картелей может привести к созданию более организованной и устойчивой преступной среды, что окажет воздействие на стратегии правозащитников и их усилия по смягчению этих киберугроз. Способность групп вымогателей учиться друг у друга и внедрять стратегии, напоминающие законные методы ведения бизнеса, еще больше усложняет ситуацию с киберугрозами.

#ParsedReport #CompletenessLow
08-09-2025

Salt Typhoon and UNC4841: Silent Push Discovers New Domains; Urges Defenders to Check Telemetry and Log Data

https://www.silentpush.com/blog/salt-typhoon-2025/

Report completeness: Low

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage, propaganda)
Unc4841 (motivation: cyber_espionage, propaganda)

Threats:
Demodex_tool
Deed_rat
Ghostspider

Victims:
Telecom infrastructure, Internet service providers, Mobile carriers, Government wiretapping systems

Industry:
Government, Foodtech, Telco

Geo:
Chinese, American, China, Hong kong, Los angeles

ChatGPT TTPs:
do not use without manual check
T1583.001, T1583.003

IOCs:
Domain: 54
Email: 8

Soft:
ProtonMail

Algorithms:
exhibit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Salt Typhoon, китайская группировка, связанная с Министерством государственной безопасности, занимается кибершпионажем, нацеленным на телекоммуникационные компании и интернет-провайдеров, по меньшей мере с 2019 года, компрометируя конфиденциальные метаданные более миллиона пользователей мобильной связи в США. Недавнее исследование выявило связь между Salt Typhoon и UNC4841, которые используют дублирующую инфраструктуру и уязвимости в сетях Barracuda. Детальный анализ выявил 45 доменов, связанных с этими акторами, что свидетельствует о постоянной угрозе, проявляющейся в шаблонах регистрации доменов и цифровых записях.
-----

Salt Typhoon, китайская группировка, связанная с Министерством государственной безопасности Китайской Народной Республики, действует по меньшей мере с 2019 года. Эта группа занимается проведением кампаний кибершпионажа, нацеленных в первую очередь на телекоммуникационную инфраструктуру и интернет-провайдеров (ISP), особенно в Соединенных Штатах и более чем в 80 других странах. Их вредоносные операции позволили им получить доступ к конфиденциальным метаданным, включая метаданные более миллиона пользователей мобильных телефонов в США, что укрепило их возможности по сбору разведывательной информации.

Недавние результаты Silent Push выявили ряд ранее не сообщавшихся доменов, которые, по-видимому, облегчают постоянный скрытый доступ для Salt Typhoon. Исследование выявило связь между Salt Typhoon и другим злоумышленником, известным как UNC4841, который использовал уязвимости в сетях Barracuda для получения несанкционированного доступа. Оба злоумышленника используют дублирующую техническую инфраструктуру, что указывает на потенциальные связи сотрудничества или общие цели при нападении на конкретные государственные и корпоративные структуры.

Методология, используемая при идентификации доменов, включает тщательную проверку регистрационных данных WHOIS, которая выявила множество доменов, связанных с соответствующими Адресами эл. почты ProtonMail, часто связанных с вымышленными данными владельца регистрации, такими как несуществующие адреса и имена. Команда отследила три дополнительных адреса ProtonMail, каждый из которых соответствовал нескольким доменам, дополнительно установив модель поведения при регистрации, напоминающую те, которые типичны для акторов сложных целенаправленных атак.

Анализ цифровых записей, в частности записей о начале полномочий (SOA), показал значительное сходство регистраций между идентифицированными доменами. В результате исследовательская группа составила список из 45 доменов, подключенных либо к Salt Typhoon, либо к UNC4841, многие из которых функционируют примерно пять лет, что указывает на постоянную угрозу.

Более того, домены представляли значительный уровень риска, вынуждая организации принимать упреждающие защитные меры против этих типов продвинутых киберугроз. Silent Push призывает сетевых защитников просмотреть свою телеметрию и исторические данные журнала на предмет потенциальных подключений к идентифицированным доменам, поскольку это может повысить общую ситуационную осведомленность и понимание этих тактик скрытных атак и их последствий в контексте кибербезопасности.

#ParsedReport #CompletenessMedium
08-09-2025

Uncovering ALVIVA HOLDING: Links to Russian Shell Companies and Cybercrime

https://theravenfile.com/2025/09/08/uncovering-alviva-holding-links-to-russian-shell-companies-and-cybercrime/

Report completeness: Medium

Actors/Campaigns:
Alviva
Vermin
Magecart
Fancy_bear
Shadowsyndicate
Storm-1575

Threats:
Clop
Cobalt_strike_tool
Spectr
Spear-phishing_technique
Nokoyawa
Credential_harvesting_technique
Bianlian_ransomware
Koiloader
Brc4_tool
L3mon_tool
Sliver_c2_tool

Victims:
Hosting providers, Ransomware victims, Cybercrime victims

Industry:
Government, Financial, Petroleum

Geo:
England, Luhansk, Belize, Ukraine, Seychelles, Indian, Croatia, Russian federation, Germany, Vanuatu, Ireland, London, Russia, Panama, Kaliningrad, Ukrainian, Russian

IOCs:
Email: 2
Domain: 3
IP: 2
Url: 6

Soft:
Roundcube, Twitter

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, table: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Alviva Holding была замешана в киберпреступной деятельности, выступая в качестве хостинг-провайдера для программ-вымогателей Clop и используя тот же ASN, связанный с предыдущими преступными деяниями. Расследование выявляет связи с Денисом Начаевым, гражданином России, который ранее попадал в черный список, что свидетельствует о потенциальной нелегитимности. Alviva работает с несколькими IP-адресами, связанными с киберпреступностью, включая программы-вымогатели и DDoS-атаки, что подчеркивает постоянную угрозу, исходящую от таких организаций, как Alviva, в сфере киберпреступности.
-----

Расследование в отношении Alviva Holding выявило его связи с киберпреступностью, в частности, в качестве предпочтительного хостинг-провайдера для вредоносных действий, включая использование Ransomware. Clop. Холдинг "Альвива" был идентифицирован как постоянно действующая организация в криминальном мире, использующая тот же номер автономной системы (ASN), связанный с предыдущей преступной деятельностью. Анализ их инфраструктуры показал тревожную картину вовлеченности в киберпреступность, что позиционирует компанию как значимого актора в этой экосистеме.

Расследование в отношении Alviva Holding началось с ее зарегистрированного адреса, что выявило связи с Денисом Начаевым, гражданином России, который по документам является бенефициарным владельцем компании. Эта связь вызывает серьезные опасения, поскольку Начаев ранее был внесен регулирующими органами в черный список, что подчеркивает потенциальную незаконность деятельности Alviva. Более того, расследование показало, что Alviva работает бок о бок с различными фиктивными компаниями, зарегистрированными в Великобритании, которые обычно используются с целью сокрытия прав собственности и операционной деятельности.

Расследование также выявило, как эти подставные компании используют лазейки в законодательстве, чтобы скрыть свою истинную природу, часто используя виртуальные адреса, по которым не ведется реальный бизнес. Такая тактика распространена среди организаций, занимающихся незаконной деятельностью, поскольку позволяет им легче уклоняться от правоохранительных органов и проверки. Действительно, Великобритания была отмечена как благоприятная среда для создания подобных организаций, обеспечивающая высокий уровень анонимности.

В конечном счете, Alviva Holdings Limited управляет несколькими IP-адресами, которые были связаны с различными вертикалями киберпреступности, такими как программы-вымогатели, кража информации и распределенные атаки типа "отказ в обслуживании" (DDoS). Эти действия подчеркивают постоянную угрозу, исходящую от поставщиков услуг, таких как Alviva, которые обслуживают предприятия киберпреступников. Оценка репутации своих IP-адресов и понимание недавних вредоносных действий, связанных с этими адресами, могут иметь решающее значение для организаций, стремящихся защититься от потенциальных угроз. Специалистам по кибербезопасности важно сохранять бдительность и отслеживать поведение таких организаций, чтобы превентивно снижать риски для их среды.

#ParsedReport #CompletenessLow
08-09-2025

CVE-2025-53690: Sitecore Deployments Targeted via WEEPSTEEL Malware

https://socradar.io/cve-2025-53690-sitecore-deployments-weepsteel-malware/

Report completeness: Low

Threats:
Weepsteel
Viewstate_deserialization_vuln
Earthworm_tool
Dwagent_tool
Bloodhound_tool
Rssock_tool

Victims:
Sitecore deployments, Tp link router users

CVEs:
CVE-2025-53690 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1203

IOCs:
File: 12
Hash: 9
IP: 3

Soft:
Sitecore, ASP.NET, Active Directory

Algorithms:
base64, aes

YARA: Found