#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-53690 - критическая уязвимость, затрагивающая более старые развертывания Sitecore, связанная с ошибкой ViewState deserialization из-за повторного использования ASP.NET машинный ключ из документации, подготовленной до 2017 года. Этот эксплойт zero-day позволяет выполнять удаленное выполнение кода (RCE), при этом злоумышленники нацеливаются на не прошедшую проверку подлинности конечную точку /sitecore/blocked.aspx специально для инъекционных атак. Кроме того, уязвимость zero-day в маршрутизаторах TP-Link Archer затрагивает несколько моделей, указывая на сохраняющиеся проблемы с безопасностью для устаревших и потребительских сетевых устройств.
-----

CVE-2025-53690 стал серьезной угрозой для организаций, использующих более старые развертывания Sitecore, особенно из-за уязвимости, идентифицированной как проблема ViewState deserialization. Недостаток возникает из-за повторного использования образца ASP.NET машинный ключ, который был включен в официальную документацию по развертыванию Sitecore до 2017 года. Следовательно, многие производственные среды могут непреднамеренно содержать этот устаревший ключ, оставляя их открытыми для эксплуатации. Исследователи безопасности подчеркивают, что злоумышленники уже использовали эту уязвимость в "дикой природе" в качестве zero-day, обеспечивая удаленное выполнение кода (RCE) и последующее развертывание вредоносного ПО.

Оценка CVSS уязвимости составляет 9,0, что указывает на критический уровень серьезности. Уязвимые продукты включают Sitecore XP 9.0 и модуль Active Directory 1.4, а также более ранние версии, в которых использовался статический образец ключа. Важно отметить, что более поздние развертывания, которые автоматически генерируют уникальные машинные ключи, не подвержены этой уязвимости.

Было замечено, что злоумышленники исследуют экземпляры Sitecore, в частности, нацеливаясь на конечную точку /sitecore/blocked.aspx. Эта конечная точка имеет поле ViewState, которое не требует никакой аутентификации, что делает ее особенно уязвимой для инъекционных атак. Используя эту конечную точку, злоумышленники могут манипулировать ViewState для выполнения вредоносного кода, что приводит к потенциальной компрометации системы.

В дополнение к уязвимости Sitecore, другая серьезная проблема возникает из-за недавно выявленной уязвимости zero-day, затрагивающей маршрутизаторы TP-Link Archer. Этот недостаток, выявленный исследователем "Mehrun", оказывает воздействие на различные модели серий Archer AX10 и AX1500. Хотя конкретные подробности, касающиеся природы этой уязвимости, не были включены, ее существование подчеркивает текущие проблемы безопасности, с которыми сталкиваются широко распространенные потребительские сетевые устройства. Поскольку обе уязвимости демонстрируют, организации должны сохранять бдительность в отношении устаревших конфигураций и непатченных систем, чтобы предотвратить их использование злоумышленниками.

#ParsedReport #CompletenessHigh
08-09-2025

APT37 Targets Windows with Rust Backdoor and Python Loader

https://www.zscaler.com/blogs/security-research/apt37-targets-windows-rust-backdoor-and-python-loader

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Chillychino
Chinotto
W4sp
Spear-phishing_technique
Process_doppelganging_technique
Process_injection_technique

Victims:
South korean individuals linked to the north korean regime, Human rights activists, Individuals involved in south korean political or diplomatic affairs

Industry:
Government

Geo:
Korean, North korean, Korea, North korea

TTPs:

IOCs:
Hash: 8
Path: 11
File: 17
Registry: 1

Soft:
curl, Windows registry, Windows Task Scheduler

Algorithms:
md5, zip, base64, xor

Win API:
CreateFileTransactedW, NtCreateSection, RollbackTransaction, NtMapViewOfSection, GetThreadContext, SetThreadContext, ResumeThread

Languages:
python, powershell, javascript, rust, php

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT37, связанный с Северной Кореей злоумышленник, действующий с 2012 года, усовершенствовал свою кибертактику, внедрив новый бэкдор на основе Rust, известный как Rustonotto, что стало первым использованием скомпилированного Rust вредоносного ПО в системах Windows. Злоумышленник использует сервер управления для управления пакетом вредоносного ПО, который включает в себя FadeStealer, способный осуществлять обширное наблюдение и эксфильтрацию данных, инициируемую с помощью различных методов заражения, таких как вредоносные файлы быстрого доступа и архивы RAR. APT37 в первую очередь нацелен на лиц, связанных с политическими и дипломатическими делами Южной Кореи, используя сложные методы постоянного доступа и сбора данных.
-----

APT37, связанный с Северной Кореей злоумышленник, действует по меньшей мере с 2012 года, в основном нацеливаясь на лиц из Южной Кореи, связанных с северокорейским режимом или правозащитной деятельностью. Недавние кампании продемонстрировали заметную эволюцию в своей кибертактике, наиболее заметную благодаря внедрению нового бэкдора на базе Rust, получившего название Rustonotto. Это знаменует собой значительный сдвиг, поскольку это первый известный случай APT37, использующий скомпилированное Rust вредоносное ПО для взлома систем Windows. Злоумышленник управляет своим арсеналом вредоносного ПО с помощью единого сервера управления (C2), используя различные компоненты, включая FadeStealer, инструмент наблюдения, известный своей способностью регистрировать нажатия клавиш, делать скриншоты и аудио, а также извлекать данные.

Процесс заражения обычно начинается с развертывания ярлыка Windows или файла справки. Например, в одной кампании при выполнении вредоносного файла быстрого доступа запускается скрипт PowerShell с именем Chinotto, который извлекает приманку и полезную нагрузку, используя встроенные маркеры. Другая тактика предполагает распространение защищенного паролем RAR-файла, содержащего вредоносный файл справки Windows. Когда этот CHM-файл выполняется, он изменяет реестр, чтобы обеспечить загрузку и выполнение файла HTML-приложения (HTA) при входе пользователя в систему, обеспечивая постоянный доступ к системе.

Более того, цепочка заражения использует сложную методологию, включая использование файлов Microsoft Cabinet (.CAB) для доставки вредоносных полезных нагрузок, которые выполняются с помощью средств запуска на базе Python. FadeStealer взаимодействует с сервером C2, используя команды в кодировке Base64, направляя его на поиск определенных файлов и последующее создание RAR-архивов с отметками времени для эксфильтрации. В рамках своей функции наблюдения FadeStealer управляет несколькими потоками, работающими параллельно, для сбора конфиденциальных данных из скомпрометированных систем, тем самым расширяя свои возможности по сбору данных.

Инфраструктура C2 часто основана на скомпрометированных веб-серверах, замаскированных под законные сайты. PHP-скрипт, используемый для операций C2, является легким и облегчает эффективную связь с имплантатами вредоносного ПО, обеспечивая доставку команд и отчет о результатах через структурированный файл JSON.

Жертвы операций APT37's в основном были идентифицированы в Южной Корее, хотя их точные личности остаются нераскрытыми. Контекст атаки предполагает сосредоточение внимания на лицах, вовлеченных в политические или дипломатические дела Южной Кореи, что указывает на стратегический подход к нацеливанию, основанный на используемом содержании приманки.

#ParsedReport #CompletenessHigh
09-09-2025

APT \| Patchwork organizes DarkSamural false flag attack campaign

https://www.ctfiot.com/269659.html

Report completeness: High

Actors/Campaigns:
Donot (motivation: information_theft)
Dark_samurai (motivation: information_theft)
Oceanlotus

Threats:
Grimresource_technique
Spear-phishing_technique
Remcos_rat
Badnews_rat
Quasar_rat
Asyncrat
Mythic_c2
Northstar_tool

Victims:
Government sector, Defense sector

Industry:
Military

Geo:
Pakistan, Bangladesh, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002

IOCs:
File: 8
Hash: 5
Domain: 9
Url: 13

Soft:
Mac OS, WeChat

Algorithms:
md5, base64

Win API:
DllRegisterServer

Languages:
jscript, javascript

Platforms:
cross-platform, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Dark Samurai, связанная с OceanLotus, осуществляющей сложную целенаправленную атаку, проводила операции в Пакистане, используя файлы MSC и технологию GrimResource для доставки полезной нагрузки вредоносного ПО. Это нападение, по-видимому, является операцией под ложным флагом группы Patchwork, направленной на то, чтобы ввести следствие в заблуждение относительно истинного преступника. Использование MSC-файлов указывает на использование функций Windows, предполагая возможное перемещение внутри компании или эксфильтрацию данных, и подчеркивает сложную тактику, применяемую современными злоумышленниками.
-----

Dark Samurai, подгруппа OceanLotus, сложная целенаправленная атака, была идентифицирована как недавний злоумышленник, проводящий операции в Пакистане. В этой кампании используются файлы MSC в сочетании с технологией GrimResource для доставки вредоносных полезных данных, что указывает на сложный подход к выполнению атаки и доставке полезной нагрузки. Более глубокий анализ задействованных образцов привел к классификации "DarkSamurai" как операции под ложным флагом, организованной хакерской группировкой "Patchwork".

Использование файлов MSC предполагает, что атака может использовать определенные возможности Windows или компоненты, связанные с SharePoint. Технология GrimResource, как правило, связанная с сложными целенаправленными атаками, может позволить вредоносному ПО облегчать перемещение внутри компании или эксфильтрацию данных. Обозначение этой кампании как "ложный флаг" подразумевает, что ее целью может быть введение в заблуждение следователей или усилия по установлению личности, потенциально подставляя другого актора или группу, скрывая при этом фактического исполнителя, стоящего за нападением.

Эта разработка высвечивает текущие тенденции среди злоумышленников к внедрению тонких методов, сочетающих различные полезные нагрузки и технологии для достижения своих оперативных целей. Инцидент подчеркивает необходимость повышенной бдительности при мониторинге такой тактики в сообществе по кибербезопасности, особенно учитывая потенциальные последствия для национальной и организационной безопасности в целевом регионе.

#ParsedReport #CompletenessLow
09-09-2025

DuckDB npm Account Compromised in Continuing Supply Chain Attack

https://socket.dev/blog/duckdb-npm-account-compromised-in-continuing-supply-chain-attack

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source maintainers, Npm ecosystem

ChatGPT TTPs:
do not use without manual check
T1059.007, T1195, T1199, T1566

Wallets:
tron

Crypto:
ethereum, bitcoin, solana, litecoin

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака npm supply chain оказала воздействие на проект DuckDB, скомпрометировав учетную запись duckdb_admin и выпустив вредоносные версии пакетов, предназначенные для извлечения криптовалютных кошельков. Этот инцидент является частью более широкой скоординированной атаки, связанной с предыдущим компрометированием с участием автора Qix и использующей вредоносное ПО, истощающее кошелек. Разработчикам настоятельно рекомендуется избегать скомпрометированных пакетов и проверять последние установки на наличие признаков компрометации, поскольку эта кампания по-прежнему нацелена на известных разработчиков в экосистеме npm.
-----

Атака npm на supply chain распространилась на проект DuckDB, скомпрометировав учетную запись npm duckdb_admin и приведя к выпуску нескольких версий вредоносных пакетов. Этот инцидент связан с предыдущим компрометированием с участием плодовитого автора Qix, что указывает на скоординированную атаку с использованием того же вредоносного ПО, истощающего кошелек. Вредоносное ПО специально нацелено на пользователей, которые хотят установить уязвимые пакеты, и в данном случае оно предназначено для извлечения криптовалютных кошельков.

Вредоносные версии пакетов DuckDB были опубликованы 9 сентября 2025 года, и разработчикам не рекомендуется устанавливать эти взломанные версии. Вместо этого рекомендуется использовать известные чистые версии, такие как duckdb@1.3.4, хотя перед любыми обновлениями рекомендуется провести тщательную проверку. Разработчикам также следует провести тщательный аудит своих последних установок, чтобы обнаружить любые признаки компрометации.

Продолжающийся характер этой кампании вызывает серьезные опасения, особенно учитывая, что она нацелена на высокопоставленных разработчиков в экосистеме npm. Бдительность имеет решающее значение для снижения риска заражения в результате этой кампании, тем более что тот же вектор атаки теперь затронул еще одного ключевого игрока в сообществе разработчиков с открытым исходным кодом. Мониторинг индикаторов компрометации (IOCs), связанных с выявленными версиями вредоносных пакетов, должен быть приоритетом для разработчиков, использующих пакеты npm.

#ParsedReport #CompletenessLow
09-09-2025

CyberVolk Ransomware: Analysis of its Dual Encryption Structure and Disguised Decryption Logic

https://asec.ahnlab.com/ko/90033/

Report completeness: Low

Actors/Campaigns:
Cybervolk

Threats:
Cybervolk_ransomware
Eldorado_ransomware
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171

Victims:
Government agencies, Critical infrastructure, Scientific institutions, Public institutions

Industry:
Government, Critical_infrastructure

Geo:
Russian, Japan, France

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1
Hash: 1

Soft:
Telegram

Algorithms:
aes, chacha20-poly1305, aes-256, md5, sha256, aes-gcm

Functions:
crypto_rand_Read

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberVolk ransomware, выявленный в мае 2024 года, нацелен на правительственные учреждения и критически важную инфраструктуру в странах, противостоящих интересам России, используя двухуровневый подход к шифрованию с использованием алгоритмов AES и ChaCha20-Poly1305. Он повышает привилегии во время выполнения, чтобы реализовать выборочное шифрование, избегая критических системных файлов и генерируя уведомление о выкупе с именем "READMENOW.txt - после шифрования. Симметричный ключ программы-вымогателя зашифрован с помощью SHA-256, что усложняет расшифровку и отражает переплетение технологий и геополитической напряженности в киберугрозах.
-----

CyberVolk ransomware, появившаяся в мае 2024 года, характеризуется двойной структурой шифрования и стратегическим нацеливанием на правительственные учреждения и критически важную инфраструктуру в странах, которые считаются враждебными российским интересам. Эта пророссийская группа вымогателей взяла на себя ответственность за нанесение ущерба критически важной инфраструктуре и научным учреждениям в таких странах, как Япония, Франция и Великобритания. Работая в основном через Telegram для связи, CyberVolk использует геополитическую напряженность для усиления своего профиля угроз.

После запуска CyberVolk ransomware первоначально запускается со стандартными привилегиями пользователя, но быстро получает права администратора для облегчения своей работы. Программа-вымогатель реализует выборочный процесс шифрования, исключая файлы и каталоги, которые могут нарушить функциональность системы. В частности, он позволяет избежать шифрования путей или имен файлов, распознанных по определенным строкам, которые предопределены в логике его выполнения. Выполняя это выборочное шифрование, программа-вымогатель гарантирует, что будут скомпрометированы только целевые файлы, предотвращая при этом повторное шифрование файлов, которые уже были зашифрованы. Шифрованию подлежат все типы файлов, за исключением определенных динамических файлов, которые изменяются в процессе шифрования.

Для каждой операции шифрования отправлялась записка о выкупе с именем "READMENOW.txt " генерируется после завершения, указывая на то, что файлы жертвы были зашифрованы. Эта заметка создается в каталоге, где была запущена программа-вымогатель, и служит основным средством связи злоумышленников с жертвами.

Особого внимания заслуживают технические тонкости методов шифрования CyberVolk's. Программа-вымогатель использует симметричный ключ, который зашифрован с помощью алгоритма SHA-256, и использует двойное шифрование содержимого файла, применяя алгоритмы AES и ChaCha20-Poly1305. Это двухуровневое шифрование значительно усложняет расшифровку, представляя серьезную проблему как для потенциальных жертв, так и для специалистов по кибербезопасности. В целом, появление CyberVolk ransomware подчеркивает меняющийся ландшафт киберугроз и подчеркивает пересечение технологических и геополитических конфликтов в кибервойне.

#ParsedReport #CompletenessHigh
09-09-2025

MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access

https://www.fortinet.com/blog/threat-research/mostererat-deployed-anydesk-tightvnc-for-covert-full-access

Report completeness: High

Threats:
Mostererat
Anydesk_tool
Tightvnc_tool
Nsudo_tool
Edrsilencer_tool
Tigervnc_tool

Victims:
Japanese users

Industry:
Financial

Geo:
Japanese, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1056.001, T1071.001, T1090, T1113, T1219, T1543.003, have more...

IOCs:
File: 11
Path: 1
Registry: 1
Domain: 7
Hash: 5

Soft:
TightVNC, Windows Service, Task Scheduler, Windows Defender, Windows Security, wuauserv

Algorithms:
sha256, zip

Functions:
CreateSvcRpc, CreateService

Win API:
getVersion, SeDebugPrivilege, GetTickCount64

Languages:
ruby

Platforms:
x86

Links:
have more...
https://github.com/wxWidgets/wxWidgets/tree/master/samples/menu
https://github.com/netero1010/EDRSilencer
https://github.com/M2TeamArchived/NSudo

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 9, windows: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MostereRAT - это изощренная кампания, нацеленная на японских пользователей с помощью фишинг-писем, облегчающая первоначальный доступ по Вредоносной ссылке. Вредоносное ПО, разработанное на простом языке программирования, использует простой метод расшифровки и получает контроль, выполняя процессы от имени учетной записи TrustedInstaller, минуя стандартную систему безопасности. Его расширенные возможности удаленного доступа включают многопоточность для команд и мониторинга, ведение журнала нажатий клавиш и возможность манипулировать файлами в каталоге "/database", препятствуя работе антивируса.
-----

Кампания MostereRAT демонстрирует изощренный подход к кибератакам, нацеленный, в частности, на японских пользователей с помощью фишинга электронных писем, замаскированных под законные деловые сообщения. Как только пользователь нажимает на Вредоносную ссылку, он получает первоначальный доступ, позволяющий злоумышленникам выполнить свою полезную нагрузку.

Вредоносный компонент, называемый "document.exe " использует базовый метод дешифрования с использованием простой операции вычитания со значением ключа A. Компоненты вредоносного ПО, включая средства удаленного мониторинга и управления, хранятся в каталоге C:\ProgramData\Windows . MostereRAT разработан с использованием Easy Programming Language (EPL), языка программирования, ориентированного на начинающих, особенно на носителей китайского языка.

Примечательной особенностью этого вредоносного ПО является его способность повышать привилегии, выполняя процессы от имени учетной записи TrustedInstaller, которая имеет значительный контроль над операционной системой Windows. Эта возможность позволяет вредоносному ПО обходить типичные меры безопасности. Для повышения скрытности и эффективности MostereRAT включает списки, которые идентифицируют различные антивирусные решения и решения для обнаружения конечных точек и реагирования на них (EDR) и создают помехи для них, препятствуя их функциональности.

Модуль 2, обозначаемый как "elsedll.db", включает в себя расширенные функции удаленного доступа, использующие многопоточность для облегчения операций командования и контроля, мониторинга действий, связанных с платформой Qianniu (часть Alibaba), и регистрации нажатий клавиш. Этот модуль также способен загружать и выполнять различные форматы полезной нагрузки — включая шелл—код, библиотеки DLL и EXE-файлы - с помощью различных методов, включая извлечение полезной нагрузки из командных соединений или указанных URL-адресов через libcurl.

Вредоносное ПО специально нацелено на файлы в каталоге "/database", позволяя выполнять операции чтения, записи и удаления. Кроме того, он может запускать инструменты удаленного доступа и прокси-сервера; он использует такие инструменты, как AnyDesk, Xray и TigerVNC, предоставляя злоумышленникам эксклюзивный доступ к скомпрометированным системам.

#ParsedReport #CompletenessMedium
09-09-2025

The Rise of RatOn: From NFC heists to remote control and ATS

https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats

Report completeness: Medium

Threats:
Raton
Nfskate

Victims:
Banking, Cryptocurrency wallets, Mobile users

Industry:
Financial

Geo:
Czech, Russian, Slovakia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1219, T1410, T1411, T1417, T1419, T1583.001, T1626

IOCs:
File: 2
Domain: 4
Hash: 19

Soft:
Android, WhatsApp

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
sha256

Functions:
exported

Languages:
javascript