#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка, осуществляющая действия в области киберугроз, непреднамеренно установила программное обеспечение Huntress, предоставив исследователям представление об их операциях, которые включали обширную разведку финансовых организаций США и организаций, занимающихся недвижимостью, создание фишингов -сообщений и поиск таких инструментов, как Evilginx, для атак типа "man-in-the-middle". Использование актором искусственного интеллекта для автоматизации задач и зависимость от сервисов residential proxy указывают на то, что основное внимание уделяется запутыванию и уклонению от обнаружения. Их активность в "темном интернете", особенно в STYX Market, подчеркивает продолжающуюся эволюцию и изощренность тактики киберпреступников.
-----

Всплыл интригующий инцидент, когда хакерская группировка, участвующая в создании киберугроз, непреднамеренно установила программное обеспечение Huntress на свой рабочий компьютер после того, как обнаружила его через рекламу во время изучения других решений для обеспечения безопасности. Этот непреднамеренный акт предоставил исследователям редкую возможность изучить повседневные операции и методологию противника. Примечательно, что злоумышленник продемонстрировал знакомые модели поведения, обычно ассоциирующиеся с киберпреступниками, о чем свидетельствует совпадение имени его компьютера с именем, отслеживаемым в предыдущих инцидентах.

При дальнейшем анализе история браузера Chrome от злоумышленника выявила обширную разведку, направленную на различные организации, включая финансовые учреждения и компании по недвижимости в США. Исследование включало активную обработку фишингов -сообщений и поиск таких инструментов, как Evilginx, который известен своими возможностями атаки man-in-the-middle.. Этот человек специально искал запущенные экземпляры Evilginx через Censys, предлагая потенциальную оперативную тактику для использования существующих скомпрометированных сред.

Более того, анализ показал, что злоумышленник в значительной степени полагается на Искусственный интеллект (ИИ) для улучшения своих операционных процессов. Это использование знаменует собой большой шаг в тактике борьбы с конкурентами, показывая, как искусственный интеллект может автоматизировать задачи и оптимизировать вредоносные операции. Это было дополнительно подчеркнуто их интересом к сервисам residential proxy, таким как LunaProxy и Nstbrowser, которые предоставляют средства для маскировки их деятельности путем маршрутизации трафика через IP-адреса резидентов, что указывает на попытку обойти механизмы безопасности и скрыть личность.

Использование Google Translate в их деятельности также наводило на мысль о попытках создавать эффективные сообщения о фишинге, нацеленные на различные организации, одновременно повышая их способность общаться на разных языках. Злоумышленник продемонстрировал постоянное взаимодействие с dark web, в частности со STYX Market, платформой, связанной с продажей украденных учетных данных и различных вредоносных сервисов.

Этот инцидент подчеркивает изощренность и адаптивность киберпреступников, демонстрируя их готовность использовать новые технологии и методологии. Тщательный характер их разведки и интеграция искусственного интеллекта в их оперативные стратегии иллюстрируют меняющийся ландшафт угроз, подчеркивая необходимость постоянной бдительности и адаптации в сообществе кибербезопасности.

#ParsedReport #CompletenessLow
11-09-2025

Analysis of Backdoor.WIN32.Buterat

https://www.pointwild.com/threat-intelligence/analysis-of-backdoor-win32-buterat

Report completeness: Low

Threats:
Buterat

Industry:
Government

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1055.003, T1059, T1071.001, T1105, T1106, T1112, T1573

IOCs:
Hash: 8
Path: 6
File: 6

Algorithms:
sha256, sha1, md5

Functions:
Obfuscated

Win API:
SetThreadContext, ResumeThread

Languages:
delphi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, dump: 2, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Backdoor.WIN32.Buterat - вредоносное ПО с скрытым бэкдором, предназначенное для постоянного несанкционированного доступа к системам, позволяющее удаленно управлять развертыванием дополнительной полезной нагрузки и эксфильтрацией данных. Он использует зашифрованные и запутанные строки, чтобы скрыть свое выполнение, и подключается к определенному удаленному серверу управления по адресу ginomp3.mooo.com . Ключевыми показателями компрометации являются несанкционированные файлы с именами amhost.exe и другие в общих каталогах, подчеркивая его значительную угрозу в сетевых средах.
-----

Backdoor.WIN32.Buterat - это разновидность бэкдорного вредоносного ПО, предназначенного для поддержания несанкционированного постоянного доступа к скомпрометированным системам, оставаясь при этом скрытым. В отличие от традиционного вредоносного ПО, которое может быть нацелено на причинение немедленного вреда или кражу данных, основная цель Buterat's - обеспечить удаленный контроль над зараженными конечными точками. Эта возможность позволяет злоумышленникам развертывать дополнительную полезную нагрузку, извлекать конфиденциальные данные и осуществлять перемещение внутри компании с минимальным обнаружением.

Вредоносное ПО обладает несколькими характеристиками, указывающими на его злонамеренный умысел. Статический анализ выявляет наличие зашифрованных или запутанных строк, направленных на то, чтобы скрыть процесс его выполнения. Такие строки могут содержать вызовы API, которые облегчают выполнение или загрузку других Вредоносных файлов. Вредоносное ПО Buterat, в частности, подключается к удаленному серверу управления (C2), расположенному по адресу http://ginomp3.mooo.com /, помечая его как значительную угрозу во время мониторинга сети.

Для борьбы с рисками, связанными с Backdoor.WIN32.Кроме того, рекомендуются различные технические средства контроля. Организациям следует убедиться, что они используют современное антивирусное программное обеспечение, способное обнаруживать и устранять такие угрозы. Инструменты мониторинга сети могут быть использованы для выявления подозрительных подключений, в то время как брандмауэры должны быть настроены таким образом, чтобы блокировать несанкционированный доступ. Использование системы обнаружения вторжений (IDS) также может помочь отслеживать необычную сетевую активность, указывающую на потенциальное заражение. Мониторинг целостности системы имеет решающее значение для выявления несанкционированного создания или модификации файлов, особенно связанных с Вредоносными файлами, такими как amhost.exe , bmhost.exe , cmhost.exe , dmhost.exe , и lqL1gG.exe размещается в типичных установочных каталогах. Следует принять меры по контролю приложений, чтобы предотвратить запуск несанкционированных исполняемых файлов и эффективно остановить распространение инфекции.

Кроме того, обучение сотрудников имеет важное значение для снижения риска заражения. Backdoor.WIN32.Buterat часто распространяется с помощью кампаний фишинга и загрузки зараженного программного обеспечения. Сотрудники должны быть обучены выявлению подозрительных сообщений и поощряться к загрузке программного обеспечения исключительно из надежных источников.

#ParsedReport #CompletenessMedium
11-09-2025

Analysis of APT-C-24 (Sidewinder) Recent LNK File Phishing Attacks

https://www.ctfiot.com/270213.html

Report completeness: Medium

Actors/Campaigns:
Sidewinder

Victims:
Government, Energy, Military, Mining

Industry:
Military, Government, Energy

Geo:
Pakistan, Afghanistan, Nepal, Sri lanka, Asia, Bhutan, Myanmar

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-0199 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1204.002, T1218.005, T1566.001

IOCs:
File: 5
Hash: 35
Url: 32
IP: 1
Domain: 3

Soft:
nginx, WeChat

Algorithms:
base64, md5, xor

Languages:
jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-24, или Sidewinder, является постоянным злоумышленником, нацеленным на страны Южной Азии, уделяя особое внимание таким секторам, как правительство и вооруженные силы. Их недавние атаки связаны с распространением вредоносных файлов LNK в сжатых пакетах, выполняемых через Microsoft HTML Application Host (MSHTA), которые извлекают запутанные скрипты с определенных URL-адресов для загрузки вредоносных компонентов в память. Этот метод демонстрирует их адаптивность и изощренность в использовании обычных функциональных возможностей Windows для проникновения.
-----

APT-C-24, также известная как Sidewinder, является организацией, занимающейся сложными целенаправленными атаками, действующей в основном в Южной Азии, с историей операций, начиная с 2012 года. Группа нацелена на несколько стран, включая Пакистан, Афганистан, Непал, Бутан и Мьянму, уделяя особое внимание таким секторам, как государственное управление, энергетика, военное дело и горнодобывающая промышленность, для извлечения конфиденциальной информации. Недавно их тактика включала использование файлов LNK (Windows shortcut) в фишинг-атаках, как было выявлено Институтом перспективных исследований угроз 360 во время учений по поиску угроз.

Недавняя методология атаки, используемая Sidewinder, включает распространение вредоносных LNK-файлов, содержащихся в сжатых пакетах. Каждый пакет обычно содержит три таких файла, которые выполняются с помощью Microsoft HTML Application Host (MSHTA). Файлы LNK запрограммированы на извлечение и выполнение вредоносных скриптов с определенных удаленных URL-адресов. Примечательно, что эти URL-адреса часто содержат такие параметры, как "yui=0/1/2", что указывает на потенциальный способ запутать фактический адресат или назначение URL-адресов. Сами скрипты сильно запутаны, что усложняет анализ и препятствует усилиям по обнаружению. Конечной целью этих скриптов является загрузка и выполнение вредоносных компонентов непосредственно в память системы жертвы, что позволяет Sidewinder установить удаленный контроль над хостом.

Эта эволюционирующая тактика подчеркивает неизменную адаптивность группы в использовании распространенных типов файлов для проникновения, в то же время применяя сложные методы запутывания для обхода мер безопасности. Использование файлов LNK и утилиты MSHTA подчеркивает целенаправленный подход, направленный на использование часто используемых функциональных возможностей в операционной среде Windows. Последствия этих атак могут быть существенными, особенно для организаций в чувствительных секторах, которые могут хранить ценные данные, подверженные такой тактике проникновения.

#ParsedReport #CompletenessMedium
12-09-2025

Yurei & The Ghost of Open Source Ransomware

https://research.checkpoint.com/2025/yurei-the-ghost-of-open-source-ransomware/

Report completeness: Medium

Threats:
Yurei
Prince_ransomware
Shadow_copies_delete_technique
Crazyhunter_ransomware
Satanlock

Victims:
Food manufacturing

Industry:
Financial, Foodtech

Geo:
Morocco, India, Nigeria, Japanese

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1190, T1486, T1490, T1583.006

IOCs:
File: 2
Path: 1
Domain: 1
Hash: 9
Url: 2

Wallets:
harmony_wallet

Algorithms:
chacha20

Languages:
powershell

Links:
https://github.com/oakkaya/Prince-Ransomware/tree/main/Encryptor
https://github.com/oakkaya/Prince-Ransomware

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei - это группа программ-вымогателей, которая использует метод двойного вымогательства, нацеливаясь на корпоративную инфраструктуру путем шифрования и эксфильтрации конфиденциальных данных. Он использует модифицированную версию Prince-Ransomware с открытым исходным кодом, шифрующую файлы с помощью алгоритма ChaCha20 и добавляющую ".Расширение "Yurei", но ему не хватает сильных функций антианализа. Заметной уязвимостью в работе Yurei является ее неспособность удалять Shadow Copies, что позволяет жертвам потенциально восстанавливать файлы, подчеркивая тенденцию групп вымогателей к краже данных с целью вымогательства.
-----

Yurei - это недавно выявленная группа программ-вымогателей, которая применила модель двойного вымогательства, в первую очередь нацеливаясь на корпоративную инфраструктуру путем шифрования файлов и эксфильтрации конфиденциальных данных, прежде чем требовать выкуп за расшифровку. О деятельности группы впервые стало известно 5 сентября 2023 года, причем ее первой жертвой стала компания по производству продуктов питания в Шри-Ланке. Программа-вымогатель, используемая Yurei, является производной от Prince-Ransomware с открытым исходным кодом, использующей язык программирования Go лишь с незначительными изменениями. Эта ситуация подчеркивает важную тенденцию в киберпреступности, когда вредоносное ПО с открытым исходным кодом облегчает менее квалифицированным акторам участие в атаках с использованием программ-вымогателей.

Программа-вымогатель Yurei шифрует файлы с использованием алгоритма ChaCha20 и добавляет ".Расширение "Yurei" для затронутых файлов. В процессе шифрования используется уникальный подход, заключающийся в том, что он генерирует случайный ключ ChaCha20 и одноразовый номер для каждого файла, которые затем шифруются с помощью ECIES (интегрированная схема шифрования с эллиптической кривой) с использованием открытого ключа злоумышленника. Несмотря на внесенные изменения в исходный код Prince-Ransomware, в реализации Yurei отсутствуют надежные функции антианализа или запутывания, что делает ее работу более уязвимой для обнаружения.

Одной из критических уязвимостей в коде Yurei является невозможность удаления существующих Shadow Copy, созданных службой Shadow Copy томов Windows (VSS). Этот недосмотр допускает потенциальное восстановление файлов в средах, где включена функция VSS, предоставляя жертвам значительную возможность восстановить данные без уплаты выкупа. По мере того, как группа Yurei расширяет свои операции — сообщается, что в общей сложности жертвами уже стали три человека, — для организаций становится первостепенной необходимостью усилить свои меры по кибербезопасности.

Тактика группы также включает в себя угрозы для поддержания давления на жертв, включая удаление ключей дешифрования в случае невыполнения условий и публичное раскрытие конфиденциальных данных. Эта стратегия вымогательства подчеркивает важность защиты конфиденциальных данных и подчеркивает растущую тенденцию операций программ-вымогателей, ориентирующихся на методы вымогательства, основанные на краже данных.

Расследования происхождения хакерской группировки предполагают возможную связь с Марокко. Использование Yurei таких платформ, как VirusTotal, для тестирования показателей обнаружения указывает на низкий уровень квалификации ее операторов, поскольку они пытаются оценить эффективность своего вредоносного ПО перед развертыванием. В целом, появление программы-вымогателя Yurei отражает эволюционирующий ландшафт киберугроз, где низкие барьеры для проникновения дают новой волне киберпреступников значительные возможности.

#ParsedReport #CompletenessLow
11-09-2025

Fake Bureau of Motor Vehicles texts are after your personal and banking details

https://www.malwarebytes.com/blog/news/2025/09/fake-bureau-motor-vehicles-texts-are-after-your-personal-and-banking-details

Report completeness: Low

Victims:
Individuals, Drivers, Residents

Industry:
Government, Transport, Financial

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566

IOCs:
Url: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Мошеннические текстовые сообщения, выдающие себя за Бюро автотранспортных средств штата Огайо, предназначены для сбора личной и банковской информации. В этих мошеннических сообщениях присутствуют такие тревожные сигналы, как грамматические ошибки, фиктивные юридические коды и ложное представление о срочности платежей, а также ссылки для немедленных действий, которые законные органы не стали бы использовать. В сообщениях отсутствует персонализация, что контрастирует с аутентичными сообщениями и вызывает подозрения у получателей.
-----

В последнее время появились случаи мошенничества, когда мошеннические текстовые сообщения, Маскировка под сообщение от Бюро автотранспортных средств штата Огайо (BMV), направлены на получение личной и банковской информации от получателей. Департамент общественной безопасности штата Огайо уже выпустил предупреждения относительно этой аферы, подчеркнув ее распространенность и изощренность. В сообщениях присутствуют различные красные флажки, указывающие на их нелегитимность. Примечательно, что тексты содержат орфографические и грамматические ошибки, включая неправильное форматирование дат, что часто вызывает подозрения. Кроме того, они создают ложное ощущение срочности, требуя выплат в течение дня или двух, сопровождая их преувеличенными угрозами о потенциальном воздействии на кредитные баллы за неоплаченные нарушения.

В текстах часто цитируются вымышленные правовые нормы, такие как "Административный кодекс штата Огайо 15С-16.003", которых нет в действующем законодательстве штата Огайо о транспортных средствах BMV. В официальных правительственных сообщениях обычно используются точные ссылки и правовые рамки. Другим тревожным аспектом является наличие сомнительных платежных ссылок, призывающих к немедленным действиям; настоящие агентства воздерживаются от отправки срочных платежных запросов посредством текстовых сообщений. Наконец, для таких мошенников характерны расплывчатые или неперсонифицированные сообщения, что резко контрастирует с подлинными сообщениями, в которых получатели часто обращаются к своим официальным именам.

Чтобы снизить риски, связанные с подобными мошенничествами, частным лицам рекомендуется немедленно принять меры, изменив пароли для любых потенциально скомпрометированных учетных записей. Крайне важно проинформировать банки или финансовые учреждения об инциденте, чтобы они могли принять защитные меры, такие как замораживание счетов или мониторинг подозрительных действий. Кроме того, рекомендуется направить уведомление о мошенничестве или замораживании кредита в три основных кредитных бюро, что усложняет работу мошенников, пытающихся создать новые учетные записи на имя жертвы. В случаях подтвержденной кражи личных данных гражданам США рекомендуется сообщать об инцидентах в Федеральную торговую комиссию посредством identitytheft.gov. В целом, для защиты личной информации и финансового благополучия необходимо проявлять бдительность в отношении подобных тактик обмана.

#ParsedReport #CompletenessLow
12-09-2025

NightMARE on 0xelm Street, a guidedtour

https://www.elastic.co/security-labs/nightmare-on-0xelm-street

Report completeness: Low

Threats:
Lumma_stealer
Blister
Ghostpulse
Latrodectus
Lobshot
Netwire_rat
Redline_stealer
Remcos_rat
Smokeloader
Stealc
Strela_stealer
Xorddos

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1140

IOCs:
File: 3
Hash: 1
Url: 9

Soft:
Steam, Qiling

Algorithms:
chacha20

Functions:
Emulate, ChaCha20

Languages:
python

Links:
https://github.com/elastic/nightMARE
have more...
https://github.com/capstone-engine/capstone
https://github.com/lief-project/LIEF

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье обсуждается nightMARE, библиотека анализа вредоносного ПО на основе Python, разработанная Elastic Security Labs, предназначенная для улучшения обратного проектирования с помощью различных интегрированных модулей для статического и динамического анализа. В нем демонстрируется LUMMA STEALER, вредоносное ПО, использующее запутывание потока управления и шифрование ChaCha20, что усложняет анализ. Используя nightMARE, исследователи могут успешно расшифровывать информацию сервера C2 из вредоносного ПО, облегчая извлечение информации из сложных конфигураций.
-----

В статье представлена библиотека nightMARE на основе Python, разработанная Elastic Security Labs с целью облегчения анализа и исследования вредоносного ПО. nightMARE объединяет различные функции для обратного проектирования и анализа вредоносного ПО, позволяя создавать средства извлечения конфигурации, адаптированные к нескольким семействам вредоносного ПО. Он синтезирует многочисленные модули Python, такие как LIEF для разбора исполняемых форматов (PE, ELF), Capstone для дизассемблирования и SMDA для анализа перекрестных ссылок, для расширения возможностей статического анализа.

Организованный в отдельные модули, nightMARE включает в себя модуль "анализ" для статического исследования, модуль "ядро", содержащий основные подмодули для побитовых операций и функций регулярных выражений, и модуль "вредоносное ПО", который содержит конкретные алгоритмы для таких задач, как обработка криптографических функций и извлечение конфигурации, относящиеся к различным семействам вредоносных ПО. Библиотека в некоторой степени поддерживает динамический анализ благодаря возможности легкой эмуляции PE, специально разработанной для выполнения фрагментов кода без полной эмуляции Windows.

В статье рассматривается LUMMA STEALER, также называемый LUMMAC2, в качестве примера демонстрации функциональности библиотеки. LUMMA STEALER характеризуется использованием обфускации потока управления и шифрования данных, что усложняет как статический, так и динамический анализ. Вредоносное ПО использует криптографический контекст ChaCha20, инициализируемый при загрузке определенной библиотеки DLL, где процесс дешифрования эффективно использует этот контекст повторно при вызовах функций. Анализ включает в себя поиск функции дешифрования и идентификацию базового адреса зашифрованного домена с помощью обратного проектирования, за которым следует расшифровка домена с использованием возможностей эмуляции библиотеки.

Библиотека демонстрирует процесс использования nightMARE, приводящий к успешной расшифровке информации сервера command and control (C2), хранящейся в вредоносном ПО. С помощью практических примеров и структурированного подхода nightMARE демонстрирует свой потенциал в качестве полезного ресурса для исследователей вредоносного ПО, занимающихся извлечением интеллектуальных показателей из сложных и запутанных конфигураций вредоносного ПО.

#ParsedReport #CompletenessHigh
12-09-2025

Head Mare in the Wild: Backdoor Chain and SSH Tunnel to Penetrate Infrastructure

https://securelist.ru/head-mare-new-phantom-backdoors-and-ssh-tunneling/113473/

Report completeness: High

Actors/Campaigns:
Head_mare (motivation: hacktivism)

Threats:
Phantomremote
Polyglot_technique
Phantomcsloader
Phantomsagent
Spear-phishing_technique
Phantompsupload

Industry:
Logistic

Geo:
Russian, Belarus

TTPs:
Tactics: 1
Technics: 10

IOCs:
IP: 8
Path: 6
File: 11
Command: 3
Url: 6
Hash: 14

Soft:
Microsoft Excel, Windows SSH

Algorithms:
zip

Functions:
WriteAllBytes, ReadAllBytes, DllentryPoint, InternetTgetConNETEDATATE, taskName, taskAction, taskTrigger, taskSettings, GetString, GetEncoding, have more...

Win API:
Getcomputernamew

Win Services:
WebClient

Languages:
powershell, python

#ParsedReport #GeneratedSchema
Generated with GPT-4