#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака npm supply chain оказала воздействие на проект DuckDB, скомпрометировав учетную запись duckdb_admin и выпустив вредоносные версии пакетов, предназначенные для извлечения криптовалютных кошельков. Этот инцидент является частью более широкой скоординированной атаки, связанной с предыдущим компрометированием с участием автора Qix и использующей вредоносное ПО, истощающее кошелек. Разработчикам настоятельно рекомендуется избегать скомпрометированных пакетов и проверять последние установки на наличие признаков компрометации, поскольку эта кампания по-прежнему нацелена на известных разработчиков в экосистеме npm.
-----

Атака npm на supply chain распространилась на проект DuckDB, скомпрометировав учетную запись npm duckdb_admin и приведя к выпуску нескольких версий вредоносных пакетов. Этот инцидент связан с предыдущим компрометированием с участием плодовитого автора Qix, что указывает на скоординированную атаку с использованием того же вредоносного ПО, истощающего кошелек. Вредоносное ПО специально нацелено на пользователей, которые хотят установить уязвимые пакеты, и в данном случае оно предназначено для извлечения криптовалютных кошельков.

Вредоносные версии пакетов DuckDB были опубликованы 9 сентября 2025 года, и разработчикам не рекомендуется устанавливать эти взломанные версии. Вместо этого рекомендуется использовать известные чистые версии, такие как duckdb@1.3.4, хотя перед любыми обновлениями рекомендуется провести тщательную проверку. Разработчикам также следует провести тщательный аудит своих последних установок, чтобы обнаружить любые признаки компрометации.

Продолжающийся характер этой кампании вызывает серьезные опасения, особенно учитывая, что она нацелена на высокопоставленных разработчиков в экосистеме npm. Бдительность имеет решающее значение для снижения риска заражения в результате этой кампании, тем более что тот же вектор атаки теперь затронул еще одного ключевого игрока в сообществе разработчиков с открытым исходным кодом. Мониторинг индикаторов компрометации (IOCs), связанных с выявленными версиями вредоносных пакетов, должен быть приоритетом для разработчиков, использующих пакеты npm.

#ParsedReport #CompletenessLow
09-09-2025

CyberVolk Ransomware: Analysis of its Dual Encryption Structure and Disguised Decryption Logic

https://asec.ahnlab.com/ko/90033/

Report completeness: Low

Actors/Campaigns:
Cybervolk

Threats:
Cybervolk_ransomware
Eldorado_ransomware
Ransom/mdp.behavior.m2649
Ransom/mdp.decoy.m1171

Victims:
Government agencies, Critical infrastructure, Scientific institutions, Public institutions

Industry:
Government, Critical_infrastructure

Geo:
Russian, Japan, France

ChatGPT TTPs:
do not use without manual check
T1486

IOCs:
File: 1
Hash: 1

Soft:
Telegram

Algorithms:
aes, chacha20-poly1305, aes-256, md5, sha256, aes-gcm

Functions:
crypto_rand_Read

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CyberVolk ransomware, выявленный в мае 2024 года, нацелен на правительственные учреждения и критически важную инфраструктуру в странах, противостоящих интересам России, используя двухуровневый подход к шифрованию с использованием алгоритмов AES и ChaCha20-Poly1305. Он повышает привилегии во время выполнения, чтобы реализовать выборочное шифрование, избегая критических системных файлов и генерируя уведомление о выкупе с именем "READMENOW.txt - после шифрования. Симметричный ключ программы-вымогателя зашифрован с помощью SHA-256, что усложняет расшифровку и отражает переплетение технологий и геополитической напряженности в киберугрозах.
-----

CyberVolk ransomware, появившаяся в мае 2024 года, характеризуется двойной структурой шифрования и стратегическим нацеливанием на правительственные учреждения и критически важную инфраструктуру в странах, которые считаются враждебными российским интересам. Эта пророссийская группа вымогателей взяла на себя ответственность за нанесение ущерба критически важной инфраструктуре и научным учреждениям в таких странах, как Япония, Франция и Великобритания. Работая в основном через Telegram для связи, CyberVolk использует геополитическую напряженность для усиления своего профиля угроз.

После запуска CyberVolk ransomware первоначально запускается со стандартными привилегиями пользователя, но быстро получает права администратора для облегчения своей работы. Программа-вымогатель реализует выборочный процесс шифрования, исключая файлы и каталоги, которые могут нарушить функциональность системы. В частности, он позволяет избежать шифрования путей или имен файлов, распознанных по определенным строкам, которые предопределены в логике его выполнения. Выполняя это выборочное шифрование, программа-вымогатель гарантирует, что будут скомпрометированы только целевые файлы, предотвращая при этом повторное шифрование файлов, которые уже были зашифрованы. Шифрованию подлежат все типы файлов, за исключением определенных динамических файлов, которые изменяются в процессе шифрования.

Для каждой операции шифрования отправлялась записка о выкупе с именем "READMENOW.txt " генерируется после завершения, указывая на то, что файлы жертвы были зашифрованы. Эта заметка создается в каталоге, где была запущена программа-вымогатель, и служит основным средством связи злоумышленников с жертвами.

Особого внимания заслуживают технические тонкости методов шифрования CyberVolk's. Программа-вымогатель использует симметричный ключ, который зашифрован с помощью алгоритма SHA-256, и использует двойное шифрование содержимого файла, применяя алгоритмы AES и ChaCha20-Poly1305. Это двухуровневое шифрование значительно усложняет расшифровку, представляя серьезную проблему как для потенциальных жертв, так и для специалистов по кибербезопасности. В целом, появление CyberVolk ransomware подчеркивает меняющийся ландшафт киберугроз и подчеркивает пересечение технологических и геополитических конфликтов в кибервойне.

#ParsedReport #CompletenessHigh
09-09-2025

MostereRAT Deployed AnyDesk/TightVNC for Covert Full Access

https://www.fortinet.com/blog/threat-research/mostererat-deployed-anydesk-tightvnc-for-covert-full-access

Report completeness: High

Threats:
Mostererat
Anydesk_tool
Tightvnc_tool
Nsudo_tool
Edrsilencer_tool
Tigervnc_tool

Victims:
Japanese users

Industry:
Financial

Geo:
Japanese, Chinese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1055, T1056.001, T1071.001, T1090, T1113, T1219, T1543.003, have more...

IOCs:
File: 11
Path: 1
Registry: 1
Domain: 7
Hash: 5

Soft:
TightVNC, Windows Service, Task Scheduler, Windows Defender, Windows Security, wuauserv

Algorithms:
sha256, zip

Functions:
CreateSvcRpc, CreateService

Win API:
getVersion, SeDebugPrivilege, GetTickCount64

Languages:
ruby

Platforms:
x86

Links:
have more...
https://github.com/wxWidgets/wxWidgets/tree/master/samples/menu
https://github.com/netero1010/EDRSilencer
https://github.com/M2TeamArchived/NSudo

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 9, windows: 5, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MostereRAT - это изощренная кампания, нацеленная на японских пользователей с помощью фишинг-писем, облегчающая первоначальный доступ по Вредоносной ссылке. Вредоносное ПО, разработанное на простом языке программирования, использует простой метод расшифровки и получает контроль, выполняя процессы от имени учетной записи TrustedInstaller, минуя стандартную систему безопасности. Его расширенные возможности удаленного доступа включают многопоточность для команд и мониторинга, ведение журнала нажатий клавиш и возможность манипулировать файлами в каталоге "/database", препятствуя работе антивируса.
-----

Кампания MostereRAT демонстрирует изощренный подход к кибератакам, нацеленный, в частности, на японских пользователей с помощью фишинга электронных писем, замаскированных под законные деловые сообщения. Как только пользователь нажимает на Вредоносную ссылку, он получает первоначальный доступ, позволяющий злоумышленникам выполнить свою полезную нагрузку.

Вредоносный компонент, называемый "document.exe " использует базовый метод дешифрования с использованием простой операции вычитания со значением ключа A. Компоненты вредоносного ПО, включая средства удаленного мониторинга и управления, хранятся в каталоге C:\ProgramData\Windows . MostereRAT разработан с использованием Easy Programming Language (EPL), языка программирования, ориентированного на начинающих, особенно на носителей китайского языка.

Примечательной особенностью этого вредоносного ПО является его способность повышать привилегии, выполняя процессы от имени учетной записи TrustedInstaller, которая имеет значительный контроль над операционной системой Windows. Эта возможность позволяет вредоносному ПО обходить типичные меры безопасности. Для повышения скрытности и эффективности MostereRAT включает списки, которые идентифицируют различные антивирусные решения и решения для обнаружения конечных точек и реагирования на них (EDR) и создают помехи для них, препятствуя их функциональности.

Модуль 2, обозначаемый как "elsedll.db", включает в себя расширенные функции удаленного доступа, использующие многопоточность для облегчения операций командования и контроля, мониторинга действий, связанных с платформой Qianniu (часть Alibaba), и регистрации нажатий клавиш. Этот модуль также способен загружать и выполнять различные форматы полезной нагрузки — включая шелл—код, библиотеки DLL и EXE-файлы - с помощью различных методов, включая извлечение полезной нагрузки из командных соединений или указанных URL-адресов через libcurl.

Вредоносное ПО специально нацелено на файлы в каталоге "/database", позволяя выполнять операции чтения, записи и удаления. Кроме того, он может запускать инструменты удаленного доступа и прокси-сервера; он использует такие инструменты, как AnyDesk, Xray и TigerVNC, предоставляя злоумышленникам эксклюзивный доступ к скомпрометированным системам.

#ParsedReport #CompletenessMedium
09-09-2025

The Rise of RatOn: From NFC heists to remote control and ATS

https://www.threatfabric.com/blogs/the-rise-of-raton-from-nfc-heists-to-remote-control-and-ats

Report completeness: Medium

Threats:
Raton
Nfskate

Victims:
Banking, Cryptocurrency wallets, Mobile users

Industry:
Financial

Geo:
Czech, Russian, Slovakia

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1219, T1410, T1411, T1417, T1419, T1583.001, T1626

IOCs:
File: 2
Domain: 4
Hash: 19

Soft:
Android, WhatsApp

Wallets:
metamask

Crypto:
bitcoin

Algorithms:
sha256

Functions:
exported

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RatOn - это недавно разработанный троян удаленного доступа, который использует передовые методы, такие как атаки наложением, возможности ретрансляции NFC и функции автоматизированной системы передачи данных, и не имеет никакого сходства с существующим вредоносным ПО. В первую очередь он нацелен на пользователей, говорящих на чешском и словацком языках, через сайты для взрослых, на которых размещено вредоносное приложение dropper. RatOn может осуществлять изощренное финансовое мошенничество, включая захват учетных записей на криптовалютных кошельках, и работает с помощью подробных наборов команд для сложных взаимодействий.
-----

Появление троянца удаленного доступа RatOn (RAT) знаменует собой значительную эволюцию в методологиях борьбы с киберугрозами, объединяющую традиционные оверлейные атаки, возможности ретрансляции NFC и функции автоматизированной системы передачи данных (ATS) в единую и сложную структуру вредоносного ПО. Проанализированный аналитиками ThreatFabric MTI, RatOn был разработан с нуля, не обнаруживая сходства кода с существующими семействами вредоносных ПО, что свидетельствует о значительном уровне знаний его разработчиков.

Вектор первоначального доступа для RatOn предполагает заманивание жертв через домены с контентом для взрослых, специально ориентированным на аудиторию, говорящую на чешском и словацком языках. Эти домены, часто содержащие фразы типа "TikTok18+", непосредственно размещают вредоносное приложение-дроппер, хотя точные механизмы взаимодействия с жертвами остаются неясными.

Технически RatOn предлагает функциональность для оверлейных атак, позволяя оператору командовать вредоносным ПО для отображения оверлейных страниц, которые могут эффективно имитировать законные приложения. Эта возможность подкрепляется поддержкой автоматических денежных переводов, чему способствует API служб специальных возможностей. Примечательно, что вредоносное ПО продемонстрировало глубокое понимание дизайна приложения одного конкретного чешского банка, что позволило злоумышленникам манипулировать визуальной структурой в своих интересах.

Кроме того, RatOn включает в себя функциональность для выполнения атак на захват учетных записей, нацеленных на криптовалютные кошельки, расширяя возможности для финансового мошенничества. Набор команд, поддерживаемый RatOn, обширен и работает с помощью объектов JSON, которые детализируют идентификаторы команд и свойства, обеспечивая сложные взаимодействия между вредоносным ПО и скомпрометированными устройствами.

#ParsedReport #CompletenessHigh
09-09-2025

Unmasking The Gentlemen Ransomware: Tactics, Techniques, and Procedures Revealed

https://www.trendmicro.com/en_us/research/25/i/unmasking-the-gentlemen-ransomware.html

Report completeness: High

Actors/Campaigns:
Gentlemen_ransomware

Threats:
Gentlemen_ransomware
Anydesk_tool
Nmap_tool
Putty_tool
Lolbin_technique
Wevtutil_tool
Shadow_copies_delete_technique
Credential_dumping_technique
Ransom.win64.gentleman.thhaibe
Burntcigar

Victims:
Manufacturing, Construction, Healthcare, Insurance, Organizations in asia pacific

Industry:
Critical_infrastructure, Healthcare

Geo:
Thailand, Asia-pacific

TTPs:
Tactics: 11
Technics: 25

IOCs:
File: 44
Path: 8
Registry: 3
Command: 12
Hash: 4

Soft:
WinSCP, PSExec, Active Directory, Windows Defender, MySQL, MSSQL, postgresql, MariaDB, msexchange, docker, have more...

Algorithms:
base64

Functions:
Get-ADDomain, Set-MpPreference

Win Services:
AcrSch2Svc, VSNAPVSS, MVarmor64, MVarmor, VeeamTransportSvc, VeeamDeploymentService, VeeamNFSSvc, AcronisAgent, QBIDPService, QBDBMgrN, have more...

Languages:
powershell

Platforms:
x86

#ParsedReport #ExtractedSchema

Classified images:
windows: 12, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Gentlemen представляет собой сложную угрозу, нацеленную на критически важные отрасли промышленности по всему миру с помощью передовой тактики, использующей такие уязвимости, как компрометация привилегированной учетной записи и использование драйверов. Они настраивают свои атаки, адаптируясь к защите с помощью таких методов, как перемещение внутри компании с помощью PsExec и используя законные инструменты, такие как WinSCP, для эксфильтрации данных. Их программа-вымогатель рассылается по общим ресурсам домена NETLOGON, оставляя конкретное расширение файла и записку о выкупе, отражающую их финансовые мотивы и всестороннее планирование.
-----

Группа вымогателей Gentlemen превратилась в изощренную киберугрозу, использующую передовые тактики и адаптивные методы для взлома корпоративной среды во многих критически важных отраслях, в частности в производстве, здравоохранении, строительстве и страховании, и затрагивающую по меньшей мере 17 стран. Их кампания характеризуется использованием специализированных инструментов, предназначенных для обхода существующих средств защиты конечных точек предприятия и манипулирования механизмами безопасности.

Анализ показывает, что злоумышленники систематически компрометируют среду, используя такие методы, как компрометация привилегированной учетной записи, использование законных драйверов и пользовательских антивирусных утилит. Они обладают уникальной способностью изменять свои методы атак в середине кампании, демонстрируя высокую степень гибкости и глубокое понимание программного обеспечения безопасности. Это позволяет им адаптировать свою тактику в зависимости от средств защиты, с которыми они сталкиваются, отмечая переход от оппортунистических атак вымогателей к целенаправленным методам проникновения, основанным на тщательной разведке.

Ключевые компоненты их операций включают изучение структур Active Directory и целенаправленное манипулирование параметрами групповой политики, которые используются для развертывания вредоносных конфигураций в затронутых сетях. Группа продемонстрировала мастерство в перемещении внутри компании, используя PsExec и другие методы living-off-the-land, при этом систематически ухудшая протоколы безопасности путем внесения изменений в реестр.

Эксфильтрация данных обычно проводится с использованием законных инструментов, таких как WinSCP, которые обеспечивают надежность и шифрование при передаче конфиденциальной внутренней документации. Механизм развертывания самой программы-вымогателя предполагает распределение полезной нагрузки по общему ресурсу NETLOGON домена, обеспечивая широкое воздействие. Отмечается, что программа-вымогатель добавляет определенное расширение файла и оставляет после себя записку с требованием выкупа, подчеркивающую финансовую мотивацию атак.

Чтобы противостоять этим угрозам, организациям рекомендуется усилить свою систему кибербезопасности с использованием принципов нулевого доверия, которые включают устранение неограниченного доступа к RDP, обеспечение Многофакторной аутентификации и внедрение надежной сегментации сети. Кроме того, следует усилить меры защиты конечных точек для защиты от специальной тактики завершения процесса группы. Используя такие функции, как защита от несанкционированного доступа и самозащита агентов в решениях endpoint security, организации могут усилить свою защиту от методов, используемых группой вымогателей Gentlemen, обеспечивая устойчивость к аналогичным продвинутым угрозам.

#ParsedReport #CompletenessHigh
09-09-2025

Blurring the Lines: Intrusion Shows Connection With Three Major Ransomware Gangs

https://thedfirreport.com/2025/09/08/blurring-the-lines-intrusion-shows-connection-with-three-major-ransomware-gangs/

Report completeness: High

Actors/Campaigns:
Dragonforce
Play_ransomware

Threats:
Ransomhub
Sectop_rat
Systembc
Betruger
Softperfect_netscan_tool
Adfind_tool
Bloodhound_tool
Grixba
Impacket_tool
Wmiexec_tool
Playcrypt
Dragonforce_ransomware
Netscan_tool
Dcsync_technique
Nltest_tool
Winrm_tool
Process_injection_technique
Timestomp_technique
Credential_harvesting_technique
Screen_shotting_technique
Credential_dumping_technique
Bitsadmin_tool
Lolbin_technique
Mimikatz_tool
Qakbot

Geo:
China

TTPs:
Tactics: 12
Technics: 37

IOCs:
File: 26
IP: 4
Path: 15
Registry: 2
Domain: 2
Hash: 10

Soft:
WinSCP, PsExec, Microsoft Defender, Windows Background Intelligent Transfer Service, Chrome, Sysinternals PsExec, Windows Defender, Steam, Discord, Telegram, have more...

Algorithms:
zip

Functions:
Get-ADComputer

Win API:
LdrLoadDll

Win Services:
BITS

Languages:
powershell

YARA: Found
SIGMA: Found

Links:
https://github.com/fortra/impacket/blob/master/examples/wmiexec.py
https://github.com/Bert-JanP/Hunting-Queries-Detection-Rules/blob/main/Defender%20For%20Endpoint/ttp\_t1127-001\_suspNetworkConnMSBuild.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 11, table: 19, code: 7, windows: 10, dump: 2, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сентябре 2024 года было инициировано вторжение с помощью Вредоносного файла, замаскированного под приложение EarthTime, которое развернуло троян удаленного доступа SectopRAT (RAT) для связи C2. Злоумышленники установили закрепление с помощью фоновой службы интеллектуальной передачи данных Windows (BITS) и выполнили повышение привилегий с помощью PsExec. Используя RDP и такие инструменты, как WMIExec от Impacket для перемещения внутри компании, они использовали пользовательский инструмент FS64.exe для эксфильтрации данных, выделяя передовые тактики, согласующиеся с аффилированными лицами программ-вымогателей.
-----

Подробное описание вторжения началось в сентябре 2024 года, когда пользователь загрузил Вредоносный файл, Маскировками выдававший себя за законное приложение EarthTime. Этот исполняемый файл инициировал развертывание SectopRAT, троянца удаленного доступа на базе .NET (RAT), позволяющего злоумышленнику подключаться к серверам командования и контроля (C2). Вредоносный файл был подписан отозванным сертификатом от подозрительного органа, который известен тем, что подписывает различные образцы вредоносного ПО.

Закрепление было установлено с помощью двух основных методов, использующих фоновую интеллектуальную службу передачи данных Windows (BITS). Исходный исполняемый файл был скопирован в другое место, переименован, чтобы отображаться как законный инструмент отладки Chrome, и в папке автозагрузки был создан ярлык, обеспечивающий его выполнение при входе пользователя в систему. Атака продемонстрировала методы повышения привилегий с использованием PsExec от Microsoft Sysinternals, позволяющие злоумышленникам выполнять процессы с привилегиями системного уровня, тем самым расширяя их доступ.

Тактика перемещения внутри компании включала использование Протокола удаленного рабочего стола (RDP) и инструмента Impacket WMIExec, позволяющего злоумышленнику перемещаться по нескольким системам, включая контроллеры домена и серверы резервного копирования. Процессы обнаружения включали в себя выполнение команд разведки через бэкдор Betruger, что позволяло проводить обширное отображение среды и перечисление пользователей и групп в домене.

Для сбора данных и эксфильтрации злоумышленники использовали пользовательский инструмент под названием FS64.exe для автоматизации сбора файлов, которые затем сжимались и передавались с помощью WinSCP на FTP-сервер открытым текстом. Во время их работы были идентифицированы три отдельных канала C2: SectopRAT, SystemBC и Betruger. SystemBC, в частности, служил прокси-сервером и инструментом туннелирования, причем одним из его компонентов был WakeWordEngine.dll-файл, который был создан вскоре после установления связи C2.

Несмотря на то, что в конечном итоге злоумышленник был удален из среды, основная цель эксфильтрации данных была достигнута, поскольку конфиденциальные данные были перекачаны на удаленный сервер. Тактика, методы и процедуры, продемонстрированные при этом вторжении, тесно совпадают с теми, которые используются активными филиалами программ-вымогателей, действующими по различным моделям "программа-вымогатель как услуга" (RaaS). Заметными признаками компрометации во время атаки были многочисленные подозрительные IP-адреса и сигнатуры файлов, связанные с задействованными семействами вредоносных ПО. Этот инцидент подчеркивает сложный и скоординированный подход к кибератакам, включающий усовершенствованные механизмы закрепления, методы повышения привилегий и масштабные операции по краже данных, обычно связанные с атаками программ-вымогателей.

#ParsedReport #CompletenessMedium
10-09-2025

SAP NetWeaver Metadata Uploader Vulnerability (CVE-2025-31324)

https://www.seqrite.com/blog/cve-2025-31324-sap-vulnerability-protection/

Report completeness: Medium

Actors/Campaigns:
Lapsus
Shinyhunters

Threats:
Auto-color
Havoc

Victims:
Sap customers, Enterprise middleware users

Industry:
Retail, Government, Telco, Financial

CVEs:
CVE-2025-31324 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:

IOCs:
File: 1
Hash: 4

Soft:
SAP NetWeaver, Linux

Algorithms:
zip

Languages:
powershell