#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ChillyHell - это сложный модульный бэкдор, нацеленный на macOS, связанный с злоумышленником UNC4487, который ранее атаковал украинский сайт автострахования. Он маскируется под законное приложение, используя профилирование хоста, самоустанавливается как LaunchAgent или LaunchDaemon и изменяет сценарии профиля оболочки для закрепления. Вредоносное ПО использует передовые методы, такие как Изменение временных меток, чтобы избежать обнаружения, и использует структурированный коммуникационный протокол для взаимодействия со своей инфраструктурой управления, обеспечивая динамическое выполнение задач.
-----

ChillyHell - это сложный модульный бэкдор, нацеленный на системы macOS, впервые выявленный Jamf Threat Labs с помощью образцов, проанализированных на VirusTotal. Хотя его существование было ранее задокументировано, он остается незамеченным многими антивирусными решениями. Это вредоносное ПО было связано с злоумышленником UNC4487, который осуществил атаку на украинский сайт автострахования в 2022 году, доставив MATANBUCHUS malware и предоставив доступ к скомпрометированным системам.

Бэкдор ChillyHell разработан для архитектур Intel и маскируется под законный апплет macOS, но в нем отсутствуют основные компоненты, типичные для подлинных приложений macOS, что делает его нефункциональным в этом контексте. Вредоносное ПО использует различные методы профилирования хоста и закрепления. Он использует вспомогательную функцию Utils::getUsers() для перечисления учетных записей пользователей и устанавливает себя как LaunchAgent или LaunchDaemon в зависимости от контекста выполнения либо при входе пользователя в систему, либо при загрузке системы.

Чтобы обеспечить закрепление, ChillyHell модифицирует скрипты профиля оболочки, такие как .zshrc или .bash_profile, вводя команды для запуска вредоносного ПО при каждом новом сеансе терминала. Кроме того, он использует методы Изменения временных меток для изменения временных меток файлов, используя системные вызовы и команды оболочки, чтобы обмануть исследователей и снизить вероятность обнаружения.

Связь с инфраструктурой управления (C2) устанавливается с помощью функции TransportInit(). ChillyHell поддерживает активный основной цикл выполнения, который периодически извлекает задачи с сервера C2. Механизм поиска задач создает запрос C2 на основе метаданных, относящихся к конкретному хосту, отправляя запросы DNS TXT для получения дескрипторов задач, которые определяют его действия.

Бэкдор способен динамически выполнять различные задачи с помощью модульных компонентов, таких как ModuleUpdater для самообновления и ModuleSUBF для Взлома паролей методом грубой силы. Каждая новая задача обрабатывается путем создания экземпляра соответствующего модуля, при этом циклы выполнения перемежаются случайными задержками, чтобы запутать ее активность и избежать обнаружения.

ChillyHell характеризуется множеством уровней закрепления, сложными методами коммуникации и модульной архитектурой, включая такие функциональные возможности, как Изменение временных меток и Взлом паролей методом грубой силы. Примечательно, что оно было нотариально заверено, что иллюстрирует тревожную тенденцию, когда вредоносный код маскируется под законное программное обеспечение, бросая вызов предположениям о безопасности нотариально заверенных приложений на macOS.

#ParsedReport #CompletenessLow
11-09-2025

Dark Web Profile: Mr Hamza

https://socradar.io/dark-web-profile-mr-hamza/

Report completeness: Low

Actors/Campaigns:
Mr_hamza (motivation: propaganda, politically_motivated, hacktivism)
Anonymous_sudan
Holy_league (motivation: hacktivism)
Noname057 (motivation: hacktivism)
Opisrael
Opusa
Opgermany
Anonymous_guys
Anonymous_arab_team
Dienet

Threats:
V-rebirth
Ryzer_stresser_tool
Cindy_network_tool
Monacoc2
Wraithc2
Sapphire
Hyperion_tool
Email-tracker_tool
Chiasmodon_tool
Http_spectral_phantom_tool
Dns_amplification_technique

Victims:
General public sector and private sector targets during conflict

Industry:
Financial, Government, E-commerce, Telco, Military

Geo:
United arab emirates, Jordan, Kurdish, France, Arab emirates, Saudi arabia, Taiwan, India, Spain, Morocco, Israel, Latin american, Germany, Netherlands

ChatGPT TTPs:
do not use without manual check
T1102, T1498, T1498.001, T1585.001, T1588.002

IOCs:
File: 1

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mr.Hamza, хактивистская группа марокканского происхождения, появилась в конце 2024 года и активизировалась во время ирано-израильского конфликта в июне 2025 года, сосредоточившись на распределенных атаках типа "Отказ в обслуживании" (DDoS). Они используют Telegram для оперативной координации и пропаганды, объявляя цели и продавая инструменты для атак, такие как ботнет. Их организованный стиль общения и сотрудничество с другими хактивистскими организациями усиливают их воздействие и присутствие в хакерском сообществе.
-----

Mr.Hamza - это хактивистская группа, возникшая в конце 2024 года, демонстрирующая прочные связи с марокканским происхождением и потенциально действующая как небольшая команда. В основном действовавшая во время ирано-израильского конфликта в июне 2025 года, группа приобрела дурную славу за организацию распределенных атак типа "Отказ в обслуживании" (DDoS) и использование Telegram как платформы для координации, так и для пропаганды. Их Telegram-канал служит двойной цели: облегчает операции с помощью объявлений и свидетельств атак, а также функционирует как торговая площадка для продажи различных инструментов для атак, включая ботнет и стрессоры.

Оперативные методы группы включают объявление целей в Telegram, где они не только распространяют информацию, но и создают импульс для своих целей, используя соответствующие хэштеги. Активность в этом Telegram-канале последовательна, демонстрируя организованный ритм общения, что подчеркивает их усилия по созданию надежного присутствия в Сети. Более того, сеть Mr.Hamza's не изолирована, о чем свидетельствует перекрестное продвижение и общий контент от других хактивистских организаций, что указывает на совместный подход в хакерском сообществе.

В ответ на угрозу, исходящую от Mr.Hamza, тактика смягчения последствий сосредоточена на комплексной стратегии защиты от DDoS-атак. Организациям рекомендуется сотрудничать с интернет-провайдерами (ISP) для внедрения экстренной фильтрации трафика и маршрутизации "черных дыр" для перехвата вредоносных потоков до того, как они достигнут их сетей. Использование сетей доставки контента (CDN) или подписка на облачные сервисы очистки расширяют возможности эффективного управления атаками большого объема. Кроме того, защита уровня DNS с помощью специализированных служб, которые могут фильтровать запросы распознавателя, помогает смягчить атаки на основе усиления и отражения на основе DNS.

На более локализованном уровне организации могут развертывать брандмауэры веб-приложений (WAFs) для фильтрации HTTP-трафика, настраивая наборы правил, которые идентифицируют и противодействуют ботоп-подобному поведению, связанному с методологиями Mr.Hamza's. Кроме того, внедрение специализированных локальных средств защиты от DDoS-атак может обеспечить дополнительную защиту в случае сбоя вышестоящих средств защиты. Таким образом, Mr.Hamza представляет собой заметную угрозу из-за изощренного использования Telegram для координации и продвижения атак, в то время как устоявшаяся тактика предотвращения DDoS-атак остается важной для организаций, на которые нацелены такие хактивистские группы.

#ParsedReport #CompletenessLow
11-09-2025

Dual Threat: Threat Actors Combine Credential Phishing and Malware

https://cofense.com/blog/dual-threat-threat-actors-combine-credential-phishing-and-malware

Report completeness: Low

Threats:
Screenconnect_tool
Simplehelp_tool
Muck_stealer

Geo:
American

ChatGPT TTPs:
do not use without manual check
T1036, T1059.005, T1102, T1105, T1189, T1204, T1204.001, T1204.002, T1555, T1566.002, have more...

IOCs:
Url: 4

Soft:
Android, Google Play, Microsoft Office

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние хакерские кАмпании по борьбе с киберугрозами все чаще сочетают фишинг учетных данных с доставкой вредоносного ПО, чтобы повысить их успешность. Например, атака в июле 2025 года перенаправила пользователей Windows на страницу подмены в Microsoft Store, которая загрузила SimpleHelp RAT, в то время как кампания в январе 2025 года запустила скрипт Visual Basic для развертывания средства кражи информации после ввода учетных данных. Эта развивающаяся стратегия подчеркивает изощренный подход, при котором злоумышленники могут эффективно собирать конфиденциальную информацию и проводить разведку скомпрометированных систем.
-----

Недавние хакерские кАмпании по борьбе с киберугрозами все больше размывают границы между фишингом с использованием учетных данных и доставкой вредоносного ПО, при этом злоумышленники используют оба метода в одной атаке, чтобы повысить свои шансы на успех. Эта стратегия позволяет злоумышленникам обходить средства защиты, которые могут быть мощными в одной области, тем самым максимально расширяя их возможности по получению конфиденциальных учетных данных.

Появилось несколько методов двойной доставки вредоносного ПО и фишинга учетных данных. Заметная кампания, проведенная в июле 2025 года, продемонстрировала тактику, которая включала встроенную ссылку, ведущую к различным результатам в зависимости от пользовательского агента браузера пользователя. В частности, пользователи, получившие доступ к URL-адресу заражения с помощью пользовательского агента Windows, были перенаправлены на страницу подмены Microsoft Store, которая выполняла загрузку SimpleHelp RAT.

В другой кампании, начиная с января 2025 года, злоумышленники использовали страницу фишинга с учетными данными, встроенную в электронное письмо. Когда жертва вводила свои учетные данные, запускался сценарий Visual Basic (VBS), что приводило к развертыванию настроенного средства кражи информации, работающего в памяти. Этот похититель информации не только стремился перехватить введенные учетные данные, но и, вероятно, стремился получить любые сохраненные учетные данные из системы жертвы, особенно те, которые связаны с Microsoft Office.

Между тем, кампания, проведенная в декабре 2024 года, продемонстрировала процесс, в котором вредоносный загрузчик использовался для запуска Muck Stealer. Затем это вредоносное ПО инициировало HTML-файл, предназначенный для сбора учетных данных, и в конечном итоге направило их в Google Sheet для просмотра злоумышленниками. Этот метод не только помог запутать поведение Muck Stealer, но и усилил угрозу, исходящую от сбора учетных данных.

Двойной подход, применяемый этими злоумышленниками, свидетельствует об изменяющемся ландшафте киберугроз, когда злоумышленники максимизируют эффективность своих операций, комбинируя различные методы. Это не только позволяет осуществлять более широкий спектр сбора данных, но и повышает их способность проводить разведку скомпрометированных систем. Используя такие многогранные стратегии, злоумышленники могут получать конфиденциальную информацию с повышенной эффективностью, что делает крайне важным для организаций принятие комплексных мер безопасности, направленных как на обнаружение вредоносного ПО, так и на предотвращение фишинга.

#ParsedReport #CompletenessHigh
11-09-2025

FinalDraft Malware: The Stealthy Threat Using Microsoft Services

https://socradar.io/finaldraft-malware-the-stealthy-threat-using-microsoft-services/

Report completeness: High

Threats:
Finaldraft
Pathloader
Process_injection_technique

Industry:
Financial, Healthcare, Telco, Government, Education

Geo:
Asia, America

TTPs:
Tactics: 1
Technics: 6

IOCs:
File: 1
Hash: 9
Url: 3
Domain: 4

Soft:
Linux, Microsoft Outlook, Graph API, Outlook

Algorithms:
sha1, sha256, md5

Languages:
powershell

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FinalDraft - это сложное вредоносное ПО, предназначенное для долгосрочного шпионажа, использующее сервисы Microsoft для скрытности. Он заражает как системы Windows, так и Linux и взаимодействует с серверами управления (C2), используя папку "Черновики" Outlook для сокрытия зашифрованных сообщений. Первоначальное заражение происходит с помощью загрузчика под названием PathLoader, который активирует бэкдор, использующий Microsoft Graph API, позволяя вредоносному ПО обходить традиционные меры безопасности, нацеливаясь на критические сектора для получения ценных данных.
-----

Вредоносное ПО FinalDraft - это сложная киберугроза, предназначенная для скрытого долгосрочного шпионажа с использованием законных служб Microsoft, чтобы избежать обнаружения. Это кроссплатформенное вредоносное ПО может заражать среды как Windows, так и Linux, в первую очередь незаметно взаимодействуя с серверами Управления (C2). Он использует папку "Черновики" Microsoft Outlook для сокрытия зашифрованных сообщений, что позволяет ему передавать команды и обратную связь между зараженным компьютером и злоумышленником, не вызывая типичных предупреждений о безопасности сети.

Первоначальное заражение обычно происходит с помощью компонента загрузчика с именем PathLoader, который расшифровывает и выполняет шелл-код для активации Backdoor. FinalDraft После ввода в эксплуатацию этот бэкдор использует Microsoft Graph API для аутентификации и обмена данными, эффективно встраиваясь в законные Облачные сервисы и обходя стандартные меры безопасности.

FinalDraft реализует несколько передовых методов, согласованных с платформой MITRE ATT&CK, что позволяет ему скрытно достигать своих целей и избегать обнаружения. Его цели охватывают целый ряд важнейших секторов, что указывает на потенциальный интерес к ценным данным и системам.

Учитывая скрытные характеристики FinalDraft, многоуровневая стратегия защиты необходима организациям, стремящимся защитить себя. Поддержание обновленной информации об угрозах, передовых систем мониторинга и надежных планов реагирования на инциденты жизненно важно для выявления и смягчения последствий таких сложных угроз. Появление вредоносного ПО подчеркивает важность упреждающих мер защиты в сфере кибербезопасности, где традиционные методы обнаружения могут оказаться неэффективными в сравнении с развивающейся тактикой и закреплением.

#ParsedReport #CompletenessHigh
11-09-2025

EggStreme Malware: Unpacking a New APT Framework Targeting a Philippine Military Company

https://www.bitdefender.com/en-us/blog/businessinsights/eggstreme-fileless-malware-cyberattack-apac

Report completeness: High

Threats:
Eggstreme_agent
Dll_sideloading_technique
Eggstreme_fuel
Eggstreme_loader
Eggstreme_reflectiveloader
Eggstreme_keylogger
Eggstreme_wizard
Process_injection_technique
Shadow_copies_delete_technique
Impacket_tool
Timestomp_technique
Stowaway_tool
Proxychains_tool

Victims:
Philippine military company, Defense

Industry:
Military

Geo:
China, Philippine, Philippines, Chinese

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1016, T1021.002, T1027, T1036.005, T1055, T1056.001, T1057, T1059.003, T1071.001, have more...

IOCs:
File: 18
Path: 11
Command: 2
Domain: 13
IP: 6
Url: 3
Hash: 33

Soft:
winlogon, Windows service, Windows Defender, process explorer, Task Scheduler

Algorithms:
gzip, md5, rc4, xor, aes

Functions:
CreateProcessWithToken, Create, DllMain, EggStremeAgent, CoStartOutlookExpressW, CorGetSvc, ServiceMain

Win API:
SeDebugPrivilege, LoadLibrary, GetProcAddress, VirtualProtect, VirtualAllocEx, WriteProcessMemory, ResumeThread, RegSetValueExW, WTSEnumerateSessionsA, OpenSCManagerA, have more...

Win Services:
MsMpEng, NTLMSSP

Platforms:
intel

Links:
https://github.com/ph4ntonn/Stowaway/releases
https://github.com/bitdefender/malware-ioc/blob/master/2025\_09\_10-eggstreme-iocs.csv

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО EggStreme, приписываемое китайской группировке по атаке наисложнейшими целенаправленными атаками, представляет собой сложный фреймворк без файлов, предназначенный для шпионажа против филиппинской военной структуры. Он использует многоэтапный подход для закрепления, используя законные Службы Windows и скрытно выполняя команды, одновременно используя бэкдор EggStremeFuel для удаленного управления и связи с серверами C2. Его компоненты, включая кейлоггер и инструмент Stowaway для доступа к внутренней сети, подчеркивают скоординированную стратегию атаки, ориентированную на операции в памяти, чтобы избежать обнаружения.
-----

Вредоносное ПО EggStreme - это сложный фреймворк без файлов, который был развернут китайской APT-группой на филиппинскую военную компанию с целью шпионажа. Этот многоступенчатый набор инструментов использует различные методы для поддержания закрепления при скрытном выполнении команд. Первоначальное нарушение было вызвано с помощью пакетного сценария входа в систему, выполненного с удаленного общего ресурса SMB, но точный метод входа остается в стадии расследования.

Как только злоумышленники получили доступ с помощью бэкдора EggStremeFuel, они внедрили закрепление, используя законные Службы Windows, которые либо выполняются вручную, либо отключены по умолчанию, таким образом избегая обнаружения. Анализ инфраструктуры показал, что все конфигурации, связанные с EggStremeAgent, использовали общий центр сертификации (CA) для безопасной связи между их серверами командования и контроля (C2), что облегчало взаимную передачу данных по протоколу TLS.

Набор инструментов EggStreme для вредоносного ПО специально разработан для выполнения хорошо скоординированной последовательности атак. Его компоненты служат различным целям - от выполнения до доставки полезной нагрузки и удаленного управления, с заметным акцентом на операции в памяти, чтобы избежать обнаружения диска. Вредоносное ПО EggStremeFuel инициирует связь с серверами C2 через законное приложение, устанавливая обратные оболочки для удаленного выполнения команд. Этот загрузчик инициализируется с помощью жестко закодированных данных C2 и проверяет наличие зашифрованных файлов конфигурации для обновления параметров в памяти.

Ключевые части фреймворка включают в себя основной бэкдор ядра, EggStremeAgent, который работает как бесфайловый имплантат, вводимый в память, и использует шифрование RC4. Фреймворк также содержит дополнительные компоненты, такие как EggStremeWizard в качестве резервного бэкдора и EggStremeKeylogger для проведения обширных мероприятий по наблюдению. Кейлоггер работает, вводя себя в explorer.exe процесс, фиксирующий нажатия клавиш и содержимое буфера обмена при сохранении журналов в зашифрованном формате.

Кроме того, злоумышленники использовали инструмент Stowaway для создания открытого прокси-сервера на скомпрометированных хостах, что обеспечивало доступ к внутренней сети и выполнение команд в разных системах. Каждый аспект вредоносного ПО EggStreme демонстрирует высокий уровень организации и общий набор инструментов, что указывает на исключительное происхождение разработки, ориентированной на эффективный шпионаж и оперативную целостность в скомпрометированных сетях.

#ParsedReport #CompletenessMedium
11-09-2025

How an Attackers Blunder Gave Us a Rare Look Inside Their Day-to-Day Operations

https://www.huntress.com/blog/rare-look-inside-attacker-operation

Report completeness: Medium

Threats:
Evilginx_tool
Mitm_technique
Graphspy_tool
Bloodhound_tool
Teamfiltration_tool
Residential_proxy_technique
Lunaproxy_tool
Supply_chain_technique
Roadtools_tool

Victims:
Banks, Real estate companies

Industry:
Education, Telco, Government, E-commerce, Military, Financial

Geo:
California, Portuguese, Nigeria, Canada, Brazil

ChatGPT TTPs:
do not use without manual check
T1090, T1583, T1589, T1593

IOCs:
File: 3
Domain: 1
Path: 6

Soft:
Google Chrome, Chrome, Telegram

Wallets:
nifty

Algorithms:
7zip

Functions:
getUpdates

Languages:
python

Platforms:
x86

Links:
https://github.com/dirkjanm/ROADtools/wiki/ROADtools-Token-eXchange-(roadtx)

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 3, chats: 1, code: 4, chart: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, осуществляющая действия в области киберугроз, непреднамеренно установила программное обеспечение Huntress, предоставив исследователям представление об их операциях, которые включали обширную разведку финансовых организаций США и организаций, занимающихся недвижимостью, создание фишингов -сообщений и поиск таких инструментов, как Evilginx, для атак типа "man-in-the-middle". Использование актором искусственного интеллекта для автоматизации задач и зависимость от сервисов residential proxy указывают на то, что основное внимание уделяется запутыванию и уклонению от обнаружения. Их активность в "темном интернете", особенно в STYX Market, подчеркивает продолжающуюся эволюцию и изощренность тактики киберпреступников.
-----

Всплыл интригующий инцидент, когда хакерская группировка, участвующая в создании киберугроз, непреднамеренно установила программное обеспечение Huntress на свой рабочий компьютер после того, как обнаружила его через рекламу во время изучения других решений для обеспечения безопасности. Этот непреднамеренный акт предоставил исследователям редкую возможность изучить повседневные операции и методологию противника. Примечательно, что злоумышленник продемонстрировал знакомые модели поведения, обычно ассоциирующиеся с киберпреступниками, о чем свидетельствует совпадение имени его компьютера с именем, отслеживаемым в предыдущих инцидентах.

При дальнейшем анализе история браузера Chrome от злоумышленника выявила обширную разведку, направленную на различные организации, включая финансовые учреждения и компании по недвижимости в США. Исследование включало активную обработку фишингов -сообщений и поиск таких инструментов, как Evilginx, который известен своими возможностями атаки man-in-the-middle.. Этот человек специально искал запущенные экземпляры Evilginx через Censys, предлагая потенциальную оперативную тактику для использования существующих скомпрометированных сред.

Более того, анализ показал, что злоумышленник в значительной степени полагается на Искусственный интеллект (ИИ) для улучшения своих операционных процессов. Это использование знаменует собой большой шаг в тактике борьбы с конкурентами, показывая, как искусственный интеллект может автоматизировать задачи и оптимизировать вредоносные операции. Это было дополнительно подчеркнуто их интересом к сервисам residential proxy, таким как LunaProxy и Nstbrowser, которые предоставляют средства для маскировки их деятельности путем маршрутизации трафика через IP-адреса резидентов, что указывает на попытку обойти механизмы безопасности и скрыть личность.

Использование Google Translate в их деятельности также наводило на мысль о попытках создавать эффективные сообщения о фишинге, нацеленные на различные организации, одновременно повышая их способность общаться на разных языках. Злоумышленник продемонстрировал постоянное взаимодействие с dark web, в частности со STYX Market, платформой, связанной с продажей украденных учетных данных и различных вредоносных сервисов.

Этот инцидент подчеркивает изощренность и адаптивность киберпреступников, демонстрируя их готовность использовать новые технологии и методологии. Тщательный характер их разведки и интеграция искусственного интеллекта в их оперативные стратегии иллюстрируют меняющийся ландшафт угроз, подчеркивая необходимость постоянной бдительности и адаптации в сообществе кибербезопасности.

#ParsedReport #CompletenessLow
11-09-2025

Analysis of Backdoor.WIN32.Buterat

https://www.pointwild.com/threat-intelligence/analysis-of-backdoor-win32-buterat

Report completeness: Low

Threats:
Buterat

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.003, T1059, T1071.001, T1105, T1106, T1112, T1573

IOCs:
Hash: 8
Path: 6
File: 6

Algorithms:
sha256, sha1, md5

Functions:
Obfuscated

Win API:
SetThreadContext, ResumeThread

Languages:
delphi