#ParsedReport #CompletenessLow
10-09-2025

AsyncRAT in Action: Fileless Malware Techniques and Analysis of a Remote Access Trojan

https://levelblue.com/blogs/security-essentials/asyncrat-in-action-fileless-malware-techniques-and-analysis-of-a-remote-access-trojan

Report completeness: Low

Threats:
Asyncrat
Screenconnect_tool

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1057, T1059.001, T1059.005, T1105, T1115, T1592, T1620

IOCs:
File: 5
Domain: 2
Path: 1

Soft:
Windows security

Wallets:
metamask

Algorithms:
aes-256, base64

Functions:
Main, PatchAMSI, GetModuleHandle, CreateLoginTask

Win API:
GetProcAddress

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AsyncRAT - это троян удаленного доступа (RAT), который использует методы безфайлового вредоносного ПО, чтобы избежать обнаружения, первоначально получая доступ через скомпрометированный клиент ScreenConnect, связанный с вредоносным доменом. Он использует VBScript для загрузки полезных данных в память с помощью сборки .NET (Obfuscator.dll ) запуск вредоносного ПО и двоичного файла (AsyncClient.exe ) функционирующий в качестве механизма управления для системного управления и скрытных операций. Структура вредоносного ПО допускает эксфильтрацию данных, демонстрируя проблемы, связанные с атаками без файлов.
-----

AsyncRAT - это сложный троян удаленного доступа (RAT), который ускользает от обнаружения благодаря использованию методов безфайлового вредоносного ПО. Первоначально злоумышленник получил доступ через скомпрометированный клиент ScreenConnect, законный инструмент удаленного доступа, который был связан с вредоносным доменом (relay.shipperzone.online), известным несанкционированным развертыванием. Атака началась с выполнения VBScript (Update.vbs), который запустил команду PowerShell для загрузки двух внешних полезных файлов, logs.ldk и logs.ldr, с удаленного сервера. Эти файлы были сохранены в C:\Users\Public \ directory и были загружены в память для выполнения вредоносных полезных нагрузок, не оставляя следов на диске.

Первый этап включал в себя выполнение Obfuscator.библиотека dll, которая служила средством запуска в цепочке заражения AsyncRAT. Эта сборка .NET инициирует выполнение вредоносного ПО, применяет тактику уклонения и вызывает основные функциональные возможности полезной нагрузки. Он включает в себя три ключевых класса, которые способствуют его эксплуатационным возможностям.

Следующий этап в последовательности атак, AsyncClient.exe , функционирует как основной механизм управления вредоносным ПО. Этот двоичный файл разработан для обеспечения скрытности и модульности, позволяя вредоносному ПО выполнять разведку системы и управлять сетевым подключением с помощью специальных протоколов ping. AsyncClient.exe выполнять команды, предоставляемые злоумышленниками через систему динамического анализа пакетов, обеспечивая непрерывное и скрытое подключение к скомпрометированной системе.

Изучение операционной структуры AsyncRAT's позволяет получить жизненно важное представление о механизмах закрепления, динамической загрузке полезной нагрузки и ее способности извлекать конфиденциальные данные, такие как учетные данные пользователя и артефакты браузера. Понимая это поведение, аналитики безопасности могут разрабатывать сигнатуры целенаправленного обнаружения и улучшать защиту конечных точек от таких сложных угроз. Это исследование освещает проблемы, связанные с вредоносным ПО без файлов, и подчеркивает необходимость передовых стратегий обнаружения для противодействия этим развивающимся киберугрозам.

#ParsedReport #CompletenessLow
10-09-2025

Newly Identified Domains Likely Linked to Continued Activity from PoisonSeed E-Crime Actor

https://dti.domaintools.com/newly-identified-domains-likely-linked-to-continued-activity-from-poisonseed-e-crime-actor/

Report completeness: Low

Actors/Campaigns:
Poisonseed (motivation: information_theft, financially_motivated)
0ktapus (motivation: financially_motivated)

Threats:
Smishing_technique
Sim_swapping_technique

Victims:
Sendgrid customers, Enterprise environments, Cryptocurrency platforms

Industry:
Aerospace, Retail

Geo:
Canada

ChatGPT TTPs:
do not use without manual check
T1036, T1078, T1566.002, T1583.001, T1656, T1657

IOCs:
Domain: 516
IP: 3

Soft:
SendGrid

Links:
https://github.com/DomainTools/SecuritySnacks/blob/main/2025/PoisonSeed\_Domains\_July2025.csv

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние расследования выявили вредоносные домены, связанные с актором электронной преступности PoisonSeed, в первую очередь нацеленные на учетные данные клиентов SendGrid. Эти домены используют поддельные вставки Cloudflare CAPTCHA, чтобы повысить доверие к себе, прежде чем перенаправлять пользователей на фишинг-страницы. Тактика PoisonSeed's согласуется с тактикой актора SCATTERED SPIDER, что предполагает возможную связь между ними, поскольку оба используют схожие методы для кражи учетных данных и других киберпреступных действий.
-----

Недавние расследования выявили новые вредоносные домены, которые, вероятно, связаны с актором электронной преступности, известным как PoisonSeed. Эти домены, зарегистрированные с 1 июня 2025 года, преимущественно имитируют законную платформу электронной почты SendGrid. Их основной целью, по-видимому, является компрометация корпоративных учетных данных из клиентской базы SendGrid. Чтобы повысить доверие к этим вредоносным веб-сайтам, они представляют поддельные промежуточные элементы Cloudflare CAPTCHA, прежде чем перенаправлять ничего не подозревающих пользователей на страницы фишинга. Хотя конкретная цель не была определена, исторические данные свидетельствуют о том, что PoisonSeed сосредоточился на криптовалютных платформах и корпоративных средах.

Актор PoisonSeed был впервые идентифицирован в апреле 2025 года, в отчетах подробно описывался его метод использования доменов фишинга SendGrid для облегчения кражи криптовалюты. Вслед за этим в блоге группы по исследованию угроз Mimecast в мае 2025 года была подробно описана аналогичная тактика, когда актор выдавал себя за поставщиков услуг, таких как SendGrid, для отправки мошеннических уведомлений, направленных на сбор учетных данных пользователя. Главной целью этих кампаний является кража корпоративных учетных данных, которые затем могут быть использованы для проведения дополнительных кампаний фишинга и обеспечения возможности перемещения внутри компании в скомпрометированных корпоративных средах.

Mimecast связал некоторые из этих вредоносных действий с другим актором электронной преступности по имени SCATTERED SPIDER, который с 2022 года занимается преступлениями на финансовой почве. Хотя исследования показывают, что текущая вредоносная активность может быть в первую очередь приписана PoisonSeed — на что указывает использование поддельной капчи Cloudflare и сходства в регистрации доменов — сохраняется возможность исторических связей между PoisonSeed и SCATTERED SPIDER, что предполагает потенциальное сотрудничество или общую тактику.

Существующая вредоносная инфраструктура, связанная с PoisonSeed, подчеркивает постоянное использование тактик, методов и процедур (TTP), которые отражают те, что наблюдались в операциях SCATTERED SPIDER. Очевидно, что акторы электронной преступности, такие как PoisonSeed, используют эти устоявшиеся методы не только для кражи корпоративных учетных данных, но и для осуществления более широкого спектра киберпреступных действий, включая различные формы фишинга, кражу криптовалют, кражу данных и вымогательство.

#ParsedReport #CompletenessLow
10-09-2025

Pre-approved GLP-1 prescription scam could be bad for your health

https://www.malwarebytes.com/blog/news/2025/09/pre-approved-glp-1-prescription-scam-could-be-bad-for-your-health

Report completeness: Low

Victims:
Consumers

Industry:
Healthcare

Geo:
California

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1583.001

IOCs:
Domain: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибер-мошенник действует под прикрытием вымышленного врача "доктора Сантоса", продвигая лекарства GLP-1 с помощью нежелательных сообщений, в которых утверждается, что он выписывает рецепты без консультаций, что противоречит стандартной практике. Мошенники используют вводящие в заблуждение телефонные номера и ссылки на нелегальные веб-сайты, что указывает на мошеннические намерения. Получателям следует проявлять осторожность в отношении нежелательных сообщений, поскольку они могут привести к несанкционированным транзакциям и финансовой эксплуатации.
-----

В тексте описывается кибер-афера с использованием нежелательных сообщений, якобы от вымышленного врача по имени "доктор Сантос", который продвигает препараты GLP-1, такие как Ozempic, Wegovy и Mounjaro, которые являются законными методами лечения диабета и снижения веса. Мошенничество характеризуется незапрашиваемым характером сообщения, при этом отправитель утверждает, что выписал рецепт без предварительной консультации с врачом, что противоречит стандартной медицинской практике. Предполагаемый номер телефона в Техасе контрастирует с калифорнийским местонахождением получателя, что вызывает дополнительные подозрения. Веб-сайт, на который дана ссылка в сообщении, не соответствует ни одному законному медицинскому или аптечному учреждению, что указывает на мошеннические намерения.

Чтобы снизить риск стать жертвой подобных мошенничеств, в тексте рекомендуется не переходить по нежелательным ссылкам, распространяемым через текстовые сообщения или Социальные сети. Частным лицам рекомендуется сохранять осторожность, избегать поспешных покупок и внимательно читать условия предоставления услуг, поскольку многие мошеннические действия связаны со скрытыми схемами ежемесячной подписки. Изучение названий продуктов, связанных с маркетинговыми заявлениями, часто выявляет предшествующие ассоциации с мошенничеством. Более того, пользователи, которые воспользовались такими мошенническими предложениями, должны следить за своими финансовыми счетами на предмет несанкционированных списаний, поскольку мошенники могут использовать предоставленную информацию о кредитной карте. Для дополнительной безопасности рекомендуется использовать такие сервисы, как Malwarebytes Scam Guard, для проверки законности подозрительных сообщений и применения упреждающих мер безопасности, блокирующих доступ к вредоносным доменам.

#ParsedReport #CompletenessLow
10-09-2025

AI-Generated Phishing: How One Email Triggered a Global NPM Supply Chain Crisis

https://www.varonis.com/blog/npm-hijacking

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Software ecosystem, Open source package ecosystem

Industry:
Military, Financial

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.003, T1189, T1195, T1557, T1566.002, T1583.001

IOCs:
Domain: 2
Coin: 7
File: 2
Email: 1
Url: 1

Soft:
SushiSwap, Twitter

Wallets:
tron, core_wallet

Crypto:
ethereum, bitcoin, solana, litecoin, uniswap, pancakeswap

Functions:
fetch, setItem, createElement

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 2, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака фишинга с использованием контента, сгенерированного искусственным интеллектом, была нацелена на Node Package Manager (NPM), используя домен npmjs.help для создания надежной инфраструктуры. Электронное письмо с фишингом, состоящее на 70-80% из текста, сгенерированного искусственным интеллектом, направляло пользователей на поддельную страницу входа в NPM, в то время как вредоносный пакет JavaScript включал запутанный код, который вводил перехватчик на стороне браузера для кражи учетных данных пользователя. Учетные данные были отправлены в конечную точку websocket-api2.publicvm.com для эксфильтрации данных, демонстрируя продвинутый подход к угрозам фишинга.
-----

Недавняя атака фишинга с использованием контента, созданного искусственным интеллектом, вызвала тревогу из-за ее сложного подхода и значительных рисков, которые она представляет для supply chain программного обеспечения, особенно в отношении Node Package Manager (NPM). В отличие от типичных кампаний фишинга, которые часто основаны на неправильно настроенных рассылках электронной почты или плохо написанном контенте, эта атака была выполнена с использованием хорошо зарекомендовавшего себя домена npmjs.help, который представлял собой чистую и убедительную инфраструктуру.

В электронном письме, предназначенном для фишинга, в частности, использовался текст, сгенерированный искусственным интеллектом, и, по оценкам, 70-80% контента можно отнести к Искусственному интеллекту. Такое расширенное использование обработки естественного языка эффективно маскировало вредоносные намерения электронного письма, позволяя ему обойти первоначальную проверку, с которой обычно сталкиваются при попытках фишинга. Жертвы были перенаправлены на поддельный веб-сайт, который был точной копией законной страницы входа в NPM.

Неотъемлемой частью атаки был вредоносный пакет JavaScript, встроенный в электронное письмо, который включал запутанный код. После установки этот код внедрил в системы пользователей перехватчик на стороне браузера, который активировался при загрузке страницы. Этот перехватчик взаимодействовал с критически важными веб-API, позволяя красть учетные данные пользователя. Основная конечная точка для украденных учетных данных была идентифицирована как websocket-api2.publicvm.com , указывающий на целенаправленную стратегию эксфильтрации данных.

В ответ на эту угрозу отмечается, что многоуровневый механизм защиты, управляемый искусственным интеллектом, успешно обнаружил и предотвратил попытку фишинга. Это включало комбинацию анализа естественного языка, который распознавал сгенерированные искусственным интеллектом стилистические маркеры, типичные для таких вредоносных электронных писем, и визуальный осмотр, который сравнивал сайт фишинга с законным сайтом NPM. Имитация была почти идеальной, но расхождения в сертификате и URL-адресе имели решающее значение для идентификации веб-сайта как мошеннического, что позволило избежать потенциальных компромиссов.

Этот инцидент высвечивает меняющийся ландшафт киберугроз, которым способствует технология искусственного интеллекта, и подчеркивает необходимость адаптивных стратегий защиты для снижения рисков, связанных со сложными схемами фишинга.

#ParsedReport #CompletenessLow
10-09-2025

The Great NPM Heist September 2025

https://cyberint.com/blog/threat-intelligence/the-great-npm-heist-september-2025/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Software supply chain

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1071.001, T1195, T1583.001

IOCs:
Email: 1
Domain: 4
IP: 1
Url: 4
File: 3

Soft:
Twitter, Node.js

Wallets:
metamask, tron

Crypto:
ethereum, bitcoin, litecoin

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
8 сентября 2025 года атака supply Chains под названием "Великое ограбление NPM" была нацелена на экосистему JavaScript с помощью схемы фишинга, нацеленной на сопровождающего Джоша Джунона, что привело к компрометации более 18 широко используемых пакетов npm, которые включали вредоносное ПО для кражи криптовалют. Злоумышленники использовали скрипт credential-stealing для сбора конфиденциальной информации и впоследствии внедрили это вредоносное ПО в популярные пакеты, что быстро оказало воздействие на миллиарды загрузок. Операция продемонстрировала уязвимости в supply chains с открытым исходным кодом и необходимость оперативного обнаружения подобных угроз и реагирования на них.
-----

8 сентября 2025 года произошла масштабная атака на supply chain в экосистеме JavaScript, известная как "Великое ограбление NPM", что стало одним из крупнейших инцидентов в истории npm. Атака была инициирована изощренной кампанией фишинга, нацеленной на Джоша Джунона, известного разработчика пакетов с открытым исходным кодом. Электронное письмо с фишингом, в котором ложно утверждалось, что оно от службы поддержки npm, убедило его обновить свои учетные данные для двухфакторной аутентификации (2FA), тем самым позволив злоумышленникам получить доступ к его учетной записи.

Оказавшись внутри, злоумышленники внедрили мощное вредоносное ПО для кражи криптовалют в более чем 18 базовых пакетов npm, которые в совокупности набирали более 2 миллиардов загрузок еженедельно. Эти пакеты, имеющие решающее значение для различных приложений, распространялись от отдельных проектов до корпоративных систем, предоставляя вредоносному ПО огромный потенциал воздействия. Вредоносное программное обеспечение было разработано с учетом специфического поведения, направленного на захват конфиденциальной информации, в первую очередь ориентируясь на данные, связанные с криптовалютой, с помощью специально разработанного механизма на основе браузера.

Злоумышленники зарегистрировали домен npmjs.help всего за три дня до фактической атаки фишинга, что сигнализировало о хорошо спланированной операции. Одним из важнейших компонентов скомпрометированной установки был скрипт credential-stealing, который собирал имена пользователей, пароли и коды 2FA, отправляя эти данные на удаленный хост по адресу websocket-api2.publicvm.com . Это действие позволило злоумышленникам злоупотребить учетными данными для получения дальнейшего доступа к экосистеме.

Временная шкала атаки показывает быстрые действия как нападающих, так и обороняющихся. Электронное письмо с фишингом было отправлено в 13:00 по Гринвичу, за которым последовала публикация первого вредоносного пакета всего 16 минут спустя. Меры безопасности были быстро активированы, и Aikido Security обнаружила аномалии в течение нескольких минут, заметив необычное поведение в конвейерах сборки, в частности сообщение об ошибке ("ReferenceError: выборка не определена"), которое указывало на сбой вредоносного ПО при работе в Node.js окружающая среда.

В свете этого события команда npm незамедлительно приступила к удалению скомпрометированных версий затронутых пакетов, чтобы снизить вероятность дальнейшего использования. Инцидент подчеркивает уязвимость, присущую supply chains с открытым исходным кодом, подчеркивая необходимость постоянного мониторинга и механизмов быстрого реагирования для обнаружения и нейтрализации таких угроз до того, как они смогут нанести значительный ущерб.

#ParsedReport #CompletenessMedium
11-09-2025

Malware Campaign Leverages SVGs, Email Attachments, and CDNs to Drop XWorm and Remcos via BAT Scripts

https://www.seqrite.com/blog/xworm-remcos-bat-svg-malware-analysis/

Report completeness: Medium

Threats:
Xworm_rat
Remcos_rat
Process_injection_technique

Victims:
General users

TTPs:
Tactics: 7
Technics: 11

IOCs:
File: 4
Hash: 5

Soft:
Windows security, Event Tracing for Windows

Algorithms:
gzip, cbc, zip, aes, base64

Functions:
GetModuleHandle, Script_

Win API:
GetProcAddress, VirtualProtect, AmsiInitialize, AmsiScanBuffer, EtwEventWrite

Languages:
powershell, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании по вредоносному ПО используют загрузчики на базе BAT для распространения троянов удаленного доступа (RATs), таких как XWorm и Remcos, в основном через обманчивые ZIP-архивы на законных платформах. В этих кампаниях используются динамические скрипты BAT, которые выполняют всю цепочку атак, включая доставку полезной нагрузки и механизмы закрепления, путем создания файлов в папке автозагрузки Windows. Кроме того, во второй кампании были представлены SVG-файлы, встроенные в JavaScript для автоматической загрузки вредоносных ZIP-архивов, что демонстрирует способность злоумышленников использовать различные форматы файлов для атак.
-----

Недавние кампании по борьбе с вредоносным ПО продемонстрировали изощренное использование загрузчиков на базе BAT для распространения троянских программ удаленного доступа (RATs), в частности XWorm и Remcos. Начальный этап таких кампаний обычно включает в себя доставку ZIP-архива, размещенного на кажущихся законными платформах, с целью убедить пользователей ознакомиться с контентом. Это служит отправной точкой для цепочки заражения, где скрипты BAT играют решающую роль.

В первой выявленной кампании наблюдались различные сценарии BAT, указывающие на динамичную среду угроз. Некоторые скрипты все еще находятся в стадии разработки, что предполагает активные текущие улучшения. Эти скрипты выполняют полную цепочку атак, охватывающую возможности загрузки полезной нагрузки и выполнения. Чтобы обеспечить закрепление, вредоносное ПО создает BAT-файл в папке автозагрузки Windows, который гарантирует выполнение при запуске системы или входе пользователя в систему.

Сценарии BAT используют PowerShell для доставки полезной нагрузки в память, облегчая скрытое выполнение. Компонент loader специально разработан для того, чтобы избежать обнаружения путем отключения регистрации событий и выполнения Встроенной полезной нагрузки непосредственно в памяти. Он достигает этого с помощью таких методов, как расшифровка и выполнение .СЕТЕВЫЕ исполняемые файлы или выполнение шелл-кода с помощью VirtualProtect и делегатов.

XWorm и Remcos отличаются расширенными функциональными возможностями, которые включают Регистрацию нажатий клавиш, удаленное выполнение команд и эксфильтрацию данных. Механизмы их доставки и исполнения остаются неясными и устойчивыми к обычным методам обнаружения.

Вторая кампания показывает значительную эволюцию методов доставки вредоносного ПО. Он включает в себя файлы SVG (масштабируемая векторная графика), которые встроены с помощью JavaScript. Эти SVG-файлы предназначены для маскировки под законные файлы изображений и могут инициировать автоматическую загрузку вредоносных ZIP-архивов при открытии в уязвимых средах или через веб-страницы с фишингом. Встроенный JavaScript действует как механизм доставки, подчеркивая адаптивность злоумышленников к использованию менее традиционных форматов файлов.

#ParsedReport #CompletenessLow
11-09-2025

Trigona rebranding suspicions and global threats, Blacknevas ransomware analysis

https://asec.ahnlab.com/ko/90052/

Report completeness: Low

Actors/Campaigns:
Blacknevas_ransomware

Threats:
Trigona
Blacknevas
Ransom/mdp.decoy.m1171

Victims:
Companies, Critical infrastructure organizations

Geo:
Japan, Asia-pacific, Thailand, Lithuania, Asian, Italy, Asia, Korea, America, United kingdom

ChatGPT TTPs:
do not use without manual check
T1059, T1083, T1486

IOCs:
Hash: 4
File: 3

Algorithms:
aes, md5