#ParsedReport #CompletenessMedium
08-09-2025

Uncovering ALVIVA HOLDING: Links to Russian Shell Companies and Cybercrime

https://theravenfile.com/2025/09/08/uncovering-alviva-holding-links-to-russian-shell-companies-and-cybercrime/

Report completeness: Medium

Actors/Campaigns:
Alviva
Vermin
Magecart
Fancy_bear
Shadowsyndicate
Storm-1575

Threats:
Clop
Cobalt_strike_tool
Spectr
Spear-phishing_technique
Nokoyawa
Credential_harvesting_technique
Bianlian_ransomware
Koiloader
Brc4_tool
L3mon_tool
Sliver_c2_tool

Victims:
Hosting providers, Ransomware victims, Cybercrime victims

Industry:
Government, Financial, Petroleum

Geo:
England, Luhansk, Belize, Ukraine, Seychelles, Indian, Croatia, Russian federation, Germany, Vanuatu, Ireland, London, Russia, Panama, Kaliningrad, Ukrainian, Russian

IOCs:
Email: 2
Domain: 3
IP: 2
Url: 6

Soft:
Roundcube, Twitter

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, code: 1, table: 4, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Alviva Holding была замешана в киберпреступной деятельности, выступая в качестве хостинг-провайдера для программ-вымогателей Clop и используя тот же ASN, связанный с предыдущими преступными деяниями. Расследование выявляет связи с Денисом Начаевым, гражданином России, который ранее попадал в черный список, что свидетельствует о потенциальной нелегитимности. Alviva работает с несколькими IP-адресами, связанными с киберпреступностью, включая программы-вымогатели и DDoS-атаки, что подчеркивает постоянную угрозу, исходящую от таких организаций, как Alviva, в сфере киберпреступности.
-----

Расследование в отношении Alviva Holding выявило его связи с киберпреступностью, в частности, в качестве предпочтительного хостинг-провайдера для вредоносных действий, включая использование Ransomware. Clop. Холдинг "Альвива" был идентифицирован как постоянно действующая организация в криминальном мире, использующая тот же номер автономной системы (ASN), связанный с предыдущей преступной деятельностью. Анализ их инфраструктуры показал тревожную картину вовлеченности в киберпреступность, что позиционирует компанию как значимого актора в этой экосистеме.

Расследование в отношении Alviva Holding началось с ее зарегистрированного адреса, что выявило связи с Денисом Начаевым, гражданином России, который по документам является бенефициарным владельцем компании. Эта связь вызывает серьезные опасения, поскольку Начаев ранее был внесен регулирующими органами в черный список, что подчеркивает потенциальную незаконность деятельности Alviva. Более того, расследование показало, что Alviva работает бок о бок с различными фиктивными компаниями, зарегистрированными в Великобритании, которые обычно используются с целью сокрытия прав собственности и операционной деятельности.

Расследование также выявило, как эти подставные компании используют лазейки в законодательстве, чтобы скрыть свою истинную природу, часто используя виртуальные адреса, по которым не ведется реальный бизнес. Такая тактика распространена среди организаций, занимающихся незаконной деятельностью, поскольку позволяет им легче уклоняться от правоохранительных органов и проверки. Действительно, Великобритания была отмечена как благоприятная среда для создания подобных организаций, обеспечивающая высокий уровень анонимности.

В конечном счете, Alviva Holdings Limited управляет несколькими IP-адресами, которые были связаны с различными вертикалями киберпреступности, такими как программы-вымогатели, кража информации и распределенные атаки типа "отказ в обслуживании" (DDoS). Эти действия подчеркивают постоянную угрозу, исходящую от поставщиков услуг, таких как Alviva, которые обслуживают предприятия киберпреступников. Оценка репутации своих IP-адресов и понимание недавних вредоносных действий, связанных с этими адресами, могут иметь решающее значение для организаций, стремящихся защититься от потенциальных угроз. Специалистам по кибербезопасности важно сохранять бдительность и отслеживать поведение таких организаций, чтобы превентивно снижать риски для их среды.

#ParsedReport #CompletenessLow
08-09-2025

CVE-2025-53690: Sitecore Deployments Targeted via WEEPSTEEL Malware

https://socradar.io/cve-2025-53690-sitecore-deployments-weepsteel-malware/

Report completeness: Low

Threats:
Weepsteel
Viewstate_deserialization_vuln
Earthworm_tool
Dwagent_tool
Bloodhound_tool
Rssock_tool

Victims:
Sitecore deployments, Tp link router users

CVEs:
CVE-2025-53690 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1203

IOCs:
File: 12
Hash: 9
IP: 3

Soft:
Sitecore, ASP.NET, Active Directory

Algorithms:
base64, aes

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53690 - критическая уязвимость, затрагивающая более старые развертывания Sitecore, связанная с ошибкой ViewState deserialization из-за повторного использования ASP.NET машинный ключ из документации, подготовленной до 2017 года. Этот эксплойт zero-day позволяет выполнять удаленное выполнение кода (RCE), при этом злоумышленники нацеливаются на не прошедшую проверку подлинности конечную точку /sitecore/blocked.aspx специально для инъекционных атак. Кроме того, уязвимость zero-day в маршрутизаторах TP-Link Archer затрагивает несколько моделей, указывая на сохраняющиеся проблемы с безопасностью для устаревших и потребительских сетевых устройств.
-----

CVE-2025-53690 стал серьезной угрозой для организаций, использующих более старые развертывания Sitecore, особенно из-за уязвимости, идентифицированной как проблема ViewState deserialization. Недостаток возникает из-за повторного использования образца ASP.NET машинный ключ, который был включен в официальную документацию по развертыванию Sitecore до 2017 года. Следовательно, многие производственные среды могут непреднамеренно содержать этот устаревший ключ, оставляя их открытыми для эксплуатации. Исследователи безопасности подчеркивают, что злоумышленники уже использовали эту уязвимость в "дикой природе" в качестве zero-day, обеспечивая удаленное выполнение кода (RCE) и последующее развертывание вредоносного ПО.

Оценка CVSS уязвимости составляет 9,0, что указывает на критический уровень серьезности. Уязвимые продукты включают Sitecore XP 9.0 и модуль Active Directory 1.4, а также более ранние версии, в которых использовался статический образец ключа. Важно отметить, что более поздние развертывания, которые автоматически генерируют уникальные машинные ключи, не подвержены этой уязвимости.

Было замечено, что злоумышленники исследуют экземпляры Sitecore, в частности, нацеливаясь на конечную точку /sitecore/blocked.aspx. Эта конечная точка имеет поле ViewState, которое не требует никакой аутентификации, что делает ее особенно уязвимой для инъекционных атак. Используя эту конечную точку, злоумышленники могут манипулировать ViewState для выполнения вредоносного кода, что приводит к потенциальной компрометации системы.

В дополнение к уязвимости Sitecore, другая серьезная проблема возникает из-за недавно выявленной уязвимости zero-day, затрагивающей маршрутизаторы TP-Link Archer. Этот недостаток, выявленный исследователем "Mehrun", оказывает воздействие на различные модели серий Archer AX10 и AX1500. Хотя конкретные подробности, касающиеся природы этой уязвимости, не были включены, ее существование подчеркивает текущие проблемы безопасности, с которыми сталкиваются широко распространенные потребительские сетевые устройства. Поскольку обе уязвимости демонстрируют, организации должны сохранять бдительность в отношении устаревших конфигураций и непатченных систем, чтобы предотвратить их использование злоумышленниками.

#ParsedReport #CompletenessHigh
08-09-2025

APT37 Targets Windows with Rust Backdoor and Python Loader

https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Chillychino
Chinotto
W4sp
Spear-phishing_technique
Process_doppelganging_technique
Process_injection_technique

Victims:
South korean individuals linked to the north korean regime, Human rights activists, Individuals involved in south korean political or diplomatic affairs

Industry:
Government

Geo:
Korean, North korean, Korea, North korea

TTPs:

IOCs:
Hash: 8
Path: 11
File: 17
Registry: 1

Soft:
curl, Windows registry, Windows Task Scheduler

Algorithms:
md5, zip, base64, xor

Win API:
CreateFileTransactedW, NtCreateSection, RollbackTransaction, NtMapViewOfSection, GetThreadContext, SetThreadContext, ResumeThread

Languages:
python, powershell, javascript, rust, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT37, связанный с Северной Кореей злоумышленник, действующий с 2012 года, усовершенствовал свою кибертактику, внедрив новый бэкдор на основе Rust, известный как Rustonotto, что стало первым использованием скомпилированного Rust вредоносного ПО в системах Windows. Злоумышленник использует сервер управления для управления пакетом вредоносного ПО, который включает в себя FadeStealer, способный осуществлять обширное наблюдение и эксфильтрацию данных, инициируемую с помощью различных методов заражения, таких как вредоносные файлы быстрого доступа и архивы RAR. APT37 в первую очередь нацелен на лиц, связанных с политическими и дипломатическими делами Южной Кореи, используя сложные методы постоянного доступа и сбора данных.
-----

APT37, связанный с Северной Кореей злоумышленник, действует по меньшей мере с 2012 года, в основном нацеливаясь на лиц из Южной Кореи, связанных с северокорейским режимом или правозащитной деятельностью. Недавние кампании продемонстрировали заметную эволюцию в своей кибертактике, наиболее заметную благодаря внедрению нового бэкдора на базе Rust, получившего название Rustonotto. Это знаменует собой значительный сдвиг, поскольку это первый известный случай APT37, использующий скомпилированное Rust вредоносное ПО для взлома систем Windows. Злоумышленник управляет своим арсеналом вредоносного ПО с помощью единого сервера управления (C2), используя различные компоненты, включая FadeStealer, инструмент наблюдения, известный своей способностью регистрировать нажатия клавиш, делать скриншоты и аудио, а также извлекать данные.

Процесс заражения обычно начинается с развертывания ярлыка Windows или файла справки. Например, в одной кампании при выполнении вредоносного файла быстрого доступа запускается скрипт PowerShell с именем Chinotto, который извлекает приманку и полезную нагрузку, используя встроенные маркеры. Другая тактика предполагает распространение защищенного паролем RAR-файла, содержащего вредоносный файл справки Windows. Когда этот CHM-файл выполняется, он изменяет реестр, чтобы обеспечить загрузку и выполнение файла HTML-приложения (HTA) при входе пользователя в систему, обеспечивая постоянный доступ к системе.

Более того, цепочка заражения использует сложную методологию, включая использование файлов Microsoft Cabinet (.CAB) для доставки вредоносных полезных нагрузок, которые выполняются с помощью средств запуска на базе Python. FadeStealer взаимодействует с сервером C2, используя команды в кодировке Base64, направляя его на поиск определенных файлов и последующее создание RAR-архивов с отметками времени для эксфильтрации. В рамках своей функции наблюдения FadeStealer управляет несколькими потоками, работающими параллельно, для сбора конфиденциальных данных из скомпрометированных систем, тем самым расширяя свои возможности по сбору данных.

Инфраструктура C2 часто основана на скомпрометированных веб-серверах, замаскированных под законные сайты. PHP-скрипт, используемый для операций C2, является легким и облегчает эффективную связь с имплантатами вредоносного ПО, обеспечивая доставку команд и отчет о результатах через структурированный файл JSON.

Жертвы операций APT37's в основном были идентифицированы в Южной Корее, хотя их точные личности остаются нераскрытыми. Контекст атаки предполагает сосредоточение внимания на лицах, вовлеченных в политические или дипломатические дела Южной Кореи, что указывает на стратегический подход к нацеливанию, основанный на используемом содержании приманки.

#ParsedReport #CompletenessHigh
09-09-2025

APT \| Patchwork organizes DarkSamural false flag attack campaign

https://www.ctfiot.com/269659.html

Report completeness: High

Actors/Campaigns:
Donot (motivation: information_theft)
Dark_samurai (motivation: information_theft)
Oceanlotus

Threats:
Grimresource_technique
Spear-phishing_technique
Remcos_rat
Badnews_rat
Quasar_rat
Asyncrat
Mythic_c2
Northstar_tool

Victims:
Government sector, Defense sector

Industry:
Military

Geo:
Pakistan, Bangladesh, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002

IOCs:
File: 8
Hash: 5
Domain: 9
Url: 13

Soft:
Mac OS, WeChat

Algorithms:
md5, base64

Win API:
DllRegisterServer

Languages:
jscript, javascript

Platforms:
cross-platform, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Dark Samurai, связанная с OceanLotus, осуществляющей сложную целенаправленную атаку, проводила операции в Пакистане, используя файлы MSC и технологию GrimResource для доставки полезной нагрузки вредоносного ПО. Это нападение, по-видимому, является операцией под ложным флагом группы Patchwork, направленной на то, чтобы ввести следствие в заблуждение относительно истинного преступника. Использование MSC-файлов указывает на использование функций Windows, предполагая возможное перемещение внутри компании или эксфильтрацию данных, и подчеркивает сложную тактику, применяемую современными злоумышленниками.
-----

Dark Samurai, подгруппа OceanLotus, сложная целенаправленная атака, была идентифицирована как недавний злоумышленник, проводящий операции в Пакистане. В этой кампании используются файлы MSC в сочетании с технологией GrimResource для доставки вредоносных полезных данных, что указывает на сложный подход к выполнению атаки и доставке полезной нагрузки. Более глубокий анализ задействованных образцов привел к классификации "DarkSamurai" как операции под ложным флагом, организованной хакерской группировкой "Patchwork".

Использование файлов MSC предполагает, что атака может использовать определенные возможности Windows или компоненты, связанные с SharePoint. Технология GrimResource, как правило, связанная с сложными целенаправленными атаками, может позволить вредоносному ПО облегчать перемещение внутри компании или эксфильтрацию данных. Обозначение этой кампании как "ложный флаг" подразумевает, что ее целью может быть введение в заблуждение следователей или усилия по установлению личности, потенциально подставляя другого актора или группу, скрывая при этом фактического исполнителя, стоящего за нападением.

Эта разработка высвечивает текущие тенденции среди злоумышленников к внедрению тонких методов, сочетающих различные полезные нагрузки и технологии для достижения своих оперативных целей. Инцидент подчеркивает необходимость повышенной бдительности при мониторинге такой тактики в сообществе по кибербезопасности, особенно учитывая потенциальные последствия для национальной и организационной безопасности в целевом регионе.

#ParsedReport #CompletenessLow
09-09-2025

DuckDB npm Account Compromised in Continuing Supply Chain Attack

https://socket.dev/blog/duckdb-npm-account-compromised-in-continuing-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source maintainers, Npm ecosystem

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195, T1199, T1566

Wallets:
tron

Crypto:
ethereum, bitcoin, solana, litecoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака npm supply chain оказала воздействие на проект DuckDB, скомпрометировав учетную запись duckdb_admin и выпустив вредоносные версии пакетов, предназначенные для извлечения криптовалютных кошельков. Этот инцидент является частью более широкой скоординированной атаки, связанной с предыдущим компрометированием с участием автора Qix и использующей вредоносное ПО, истощающее кошелек. Разработчикам настоятельно рекомендуется избегать скомпрометированных пакетов и проверять последние установки на наличие признаков компрометации, поскольку эта кампания по-прежнему нацелена на известных разработчиков в экосистеме npm.
-----

Атака npm на supply chain распространилась на проект DuckDB, скомпрометировав учетную запись npm duckdb_admin и приведя к выпуску нескольких версий вредоносных пакетов. Этот инцидент связан с предыдущим компрометированием с участием плодовитого автора Qix, что указывает на скоординированную атаку с использованием того же вредоносного ПО, истощающего кошелек. Вредоносное ПО специально нацелено на пользователей, которые хотят установить уязвимые пакеты, и в данном случае оно предназначено для извлечения криптовалютных кошельков.

Вредоносные версии пакетов DuckDB были опубликованы 9 сентября 2025 года, и разработчикам не рекомендуется устанавливать эти взломанные версии. Вместо этого рекомендуется использовать известные чистые версии, такие как duckdb@1.3.4, хотя перед любыми обновлениями рекомендуется провести тщательную проверку. Разработчикам также следует провести тщательный аудит своих последних установок, чтобы обнаружить любые признаки компрометации.

Продолжающийся характер этой кампании вызывает серьезные опасения, особенно учитывая, что она нацелена на высокопоставленных разработчиков в экосистеме npm. Бдительность имеет решающее значение для снижения риска заражения в результате этой кампании, тем более что тот же вектор атаки теперь затронул еще одного ключевого игрока в сообществе разработчиков с открытым исходным кодом. Мониторинг индикаторов компрометации (IOCs), связанных с выявленными версиями вредоносных пакетов, должен быть приоритетом для разработчиков, использующих пакеты npm.

#ParsedReport #CompletenessLow
09-09-2025

CyberVolk Ransomware: Analysis of its Dual Encryption Structure and Disguised Decryption Logic

https://asec.ahnlab.com/ko/90033/

Report completeness: Low

Actors/Campaigns:
Cybervolk

Threats:
Cybervolk_ransomware
Eldorado_ransomware
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171

Victims:
Government agencies, Critical infrastructure, Scientific institutions, Public institutions

Industry:
Government, Critical_infrastructure

Geo:
Russian, Japan, France

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1
Hash: 1

Soft:
Telegram

Algorithms:
aes, chacha20-poly1305, aes-256, md5, sha256, aes-gcm

Functions:
crypto_rand_Read

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberVolk ransomware, выявленный в мае 2024 года, нацелен на правительственные учреждения и критически важную инфраструктуру в странах, противостоящих интересам России, используя двухуровневый подход к шифрованию с использованием алгоритмов AES и ChaCha20-Poly1305. Он повышает привилегии во время выполнения, чтобы реализовать выборочное шифрование, избегая критических системных файлов и генерируя уведомление о выкупе с именем "READMENOW.txt - после шифрования. Симметричный ключ программы-вымогателя зашифрован с помощью SHA-256, что усложняет расшифровку и отражает переплетение технологий и геополитической напряженности в киберугрозах.
-----

CyberVolk ransomware, появившаяся в мае 2024 года, характеризуется двойной структурой шифрования и стратегическим нацеливанием на правительственные учреждения и критически важную инфраструктуру в странах, которые считаются враждебными российским интересам. Эта пророссийская группа вымогателей взяла на себя ответственность за нанесение ущерба критически важной инфраструктуре и научным учреждениям в таких странах, как Япония, Франция и Великобритания. Работая в основном через Telegram для связи, CyberVolk использует геополитическую напряженность для усиления своего профиля угроз.

После запуска CyberVolk ransomware первоначально запускается со стандартными привилегиями пользователя, но быстро получает права администратора для облегчения своей работы. Программа-вымогатель реализует выборочный процесс шифрования, исключая файлы и каталоги, которые могут нарушить функциональность системы. В частности, он позволяет избежать шифрования путей или имен файлов, распознанных по определенным строкам, которые предопределены в логике его выполнения. Выполняя это выборочное шифрование, программа-вымогатель гарантирует, что будут скомпрометированы только целевые файлы, предотвращая при этом повторное шифрование файлов, которые уже были зашифрованы. Шифрованию подлежат все типы файлов, за исключением определенных динамических файлов, которые изменяются в процессе шифрования.

Для каждой операции шифрования отправлялась записка о выкупе с именем "READMENOW.txt " генерируется после завершения, указывая на то, что файлы жертвы были зашифрованы. Эта заметка создается в каталоге, где была запущена программа-вымогатель, и служит основным средством связи злоумышленников с жертвами.

Особого внимания заслуживают технические тонкости методов шифрования CyberVolk's. Программа-вымогатель использует симметричный ключ, который зашифрован с помощью алгоритма SHA-256, и использует двойное шифрование содержимого файла, применяя алгоритмы AES и ChaCha20-Poly1305. Это двухуровневое шифрование значительно усложняет расшифровку, представляя серьезную проблему как для потенциальных жертв, так и для специалистов по кибербезопасности. В целом, появление CyberVolk ransomware подчеркивает меняющийся ландшафт киберугроз и подчеркивает пересечение технологических и геополитических конфликтов в кибервойне.