#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В конце июня - начале июля группа Head Mare проводила кампании фишинга, нацеленные на клиентов с электронными письмами, содержащими бэкдор PhantomRemote, используя polyglot file для обфускации вредоносного ПО. После выполнения с помощью скрипта PowerShell PhantomRemote установил подключение к командному серверу, в то время как злоумышленники также развернули несколько бэкдоров, таких как PhantomCSLoader и PhantomPSUpload, что позволило удаленно выполнять команды и эксфильтрацию данных. Операция демонстрирует передовые методы, такие как обратное туннелирование по SSH и использование сетевых конфигураций для повышения закрепления и сбора разведывательной информации в скомпрометированных средах.
-----

В конце июня - начале июля была замечена серия электронных писем с фишингом, содержащих вредоносное вложение, известное как бэкдор PhantomRemote, предназначенный для различных клиентов. Тактика, применяемая для обфускации вредоносного ПО, заключалась в использовании polyglot file, который позволяет комбинировать несколько форматов файлов без потери функциональности. Этот метод способствовал сокрытию бэкдора, который запускается при взаимодействии со скриптом PowerShell, устанавливающим соединение с командным сервером для получения команд для выполнения на зараженном хосте. Эта операция подпадает под действие MITRE ATT&CK framework с T1566.001, в котором подчеркивается использование фишинга с помощью Целевого фишинга с вложениями в качестве метода первоначального доступа.

PhantomRemote, созданный с использованием Visual C++, включает в себя функциональность для удаленного выполнения команд и экспортирует две функции, имеющие решающее значение для его работы. После заражения хоста вредоносное ПО собирает информацию о системе и ее сетевых конфигурациях, используя T1016, который относится к Изучению конфигурации сети. Дальнейшая сложность цепочки атак очевидна, поскольку операторы используют другой бэкдор, PhantomCSLoader, созданный на C#, что сигнализирует о многоуровневом подходе к закреплению в скомпрометированных средах.

В дополнение к возможностям бэкдора злоумышленники развернули обратный SSH-туннель, классифицированный как T1572 для Туннелирования протокола, для поддержания доступа и потенциального обхода механизмов обнаружения. Более того, был обнаружен бэкдор PhantomPSUpload, который использует скрипты PowerShell для передачи конфиденциальных данных из систем-жертв в облачную инфраструктуру злоумышленников, подчеркивая двойной подход: консолидация доступа при одновременной фильтрации ценной информации.

Группа Head Mare считается злоумышленником, стоящим за этими операциями, демонстрируя модель непрерывной эволюции инструментов и сценариев атак, направленных на использование уязвимостей в целевых системах. В этой кампании использовалось несколько типов бэкдоров, включая новые версии PhantomRemote и дополнительные экземпляры PhantomCSLoader и PhantomSAgent, написанные на различных языках программирования. Группа, по-видимому, использует общие цели между подгруппами, сохраняя при этом четкие операционные характеристики. В целом, обнаруженные действия иллюстрируют стратегическое усовершенствование их инструментария, направленное на улучшение проникновения и закрепления в скомпрометированных сетях, подчеркивая необходимость надежных стратегий обнаружения и реагирования на такие многогранные угрозы.

#ParsedReport #CompletenessMedium
12-09-2025

Deconstructing a Cyber Deception: An Analysis of the Clickfix HijackLoader Phishing Campaign

https://www.seqrite.com/blog/deconstructing-a-cyber-deception-an-analysis-of-the-clickfix-hijackloader-phishing-campaign/

Report completeness: Medium

Actors/Campaigns:
Tag-150

Threats:
Clickfix_technique
Hijackloader
Seo_poisoning_technique
Deerstealer
Castleloader
Castlebot
Process_doppelganging_technique
Pe_injection_technique
Nekostealer
Lumma_stealer
Spear-phishing_technique
Process_injection_technique

TTPs:
Tactics: 7
Technics: 17

IOCs:
File: 5
Url: 3
Hash: 10
IP: 2
Domain: 1

Soft:
VirtualBox

Algorithms:
base64, xor

Win Services:
WebClient

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, code: 9

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга Clickfix HijackLoader освещает эволюцию киберугроз, уделяя особое внимание загрузчикам атак, предназначенным для обхода мер безопасности и закрепления в скомпрометированных системах. Эти загрузчики позволяют внедрять усовершенствованное вредоносное ПО, используя уязвимости в системах безопасности организации, сохраняя при этом скрытность, чтобы избежать обнаружения. Кампания знаменует собой изменение векторов угроз, подчеркивая необходимость более глубокого понимания и анализа поведения загрузчиков в области кибербезопасности.
-----

Кампания фишинга с помощью Clickfix HijackLoader иллюстрирует эволюционирующую природу киберугроз, подчеркивая критическую роль загрузчиков атак в содействии вредоносным операциям. В отличие от традиционного вредоносного ПО, которое служит лишь конечной полезной нагрузкой, загрузчики, такие как Clickfix, специально разработаны для обхода мер безопасности, обеспечения закрепления в скомпрометированных системах и создания благоприятных условий для запуска более совершенного вредоносного ПО. Они представляют собой сложную точку входа, что вызывает повышенную озабоченность специалистов по кибербезопасности, поскольку эти загрузчики играют ключевую роль в установлении первоначального доступа к целевым сетям.

Функциональный дизайн Clickfix позволяет ему эффективно развертывать дополнительные вредоносные программы, сохраняя при этом скрытность, чтобы избежать обнаружения. Эти загрузчики атак стратегически разработаны для использования уязвимостей в системе безопасности организации, адаптируясь для обхода средств защиты. Сосредоточившись на нюансах поведения загрузчиков, аналитики могут лучше понять их методы уклонения и закрепления, которые имеют решающее значение для общей картины угроз.

Эта кампания иллюстрирует необходимость бдительности и постоянного анализа таких методов, поскольку последствия скомпрометированной среды могут быть серьезными. Акцент на загрузчиках атак, таких как Clickfix, показывает изменение векторов угроз и подчеркивает необходимость усовершенствованных стратегий обнаружения и упреждающих защитных мер в рамках операций по кибербезопасности.

#ParsedReport #CompletenessLow
12-09-2025

Sidewinder APT leverages Nepal protests to push mobile malware

https://strikeready.com/blog/sidewinder-apt-leverages-nepal-protests-to-push-mobile-malware/

Report completeness: Low

Actors/Campaigns:
Sidewinder (motivation: information_theft)

Victims:
Mobile users interested in nepal protests

Industry:
Government

Geo:
Nepal

ChatGPT TTPs:
do not use without manual check
T1204, T1566

IOCs:
Domain: 2
Path: 1
IP: 1
Hash: 3

Soft:
Android

Languages:
php

Links:
https://github.com/StrikeReady-Inc/research/tree/main/2025-09-10%20sidewinder%20targets%20nepal

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Sidewinder использует сложную целенаправленную атаку на продолжающиеся протесты в Непале для распространения вредоносного ПО для мобильных устройств, используя беспорядки в качестве приманки для социальной инженерии. Эта стратегия нацелена на людей, которые ищут информацию о протестах, извлекая выгоду из политически напряженной обстановки. Акцент на мобильном вредоносном ПО подчеркивает повышенный риск для пользователей, особенно в регионах, сталкивающихся с социально-политическими потрясениями, поскольку злоумышленники адаптируют свои методы для использования событий реального мира.
-----

Sidewinder, сложная целенаправленная атака, адаптировала свою тактику для использования продолжающихся протестов в Непале, используя беспорядки в качестве вектора распространения вредоносного ПО для мобильных устройств. Поскольку эта геополитическая ситуация развивается после запрета Социальных сетей и обвинений в коррупции в правительстве, злоумышленник использует общественный интерес к этим событиям, чтобы нацелиться на конкретных пользователей.

Стратегия группы по проведению сложных целенаправленных атак предполагает использование протестов в качестве приманки социальной инженерии для распространения вредоносного ПО, направленного на заражение мобильных устройств людей, которые могут запрашивать информацию о протестах. Эта тактика подчеркивает сохраняющуюся тенденцию, когда хакерские группировки используют события реального мира, чтобы склонить жертв к использованию вредоносного контента. Сочетание политически напряженной atmosphere и социальных потрясений создает благодатную почву для таких целенаправленных нападений.

Акцент на мобильном вредоносном ПО особенно примечателен, учитывая распространенность использования мобильных устройств среди протестующих и тех, кто стремится быть в курсе событий. Приспосабливая свой подход к контексту протестов, Sidewinder сложная целенаправленная атака является примером стратегической модификации методов для повышения вероятности успешного проникновения в целевую демографическую группу. Это изменение фокуса подчеркивает необходимость повышения бдительности пользователей, особенно в регионах, переживающих социально-политические потрясения, поскольку они могут столкнуться с угрозами, заложенными в кажущихся безобидными сообщениях, связанных с текущими событиями.

#ParsedReport #CompletenessLow
13-09-2025

Echoleak- Send a prompt , extract secret from Copilot AI!( CVE-2025-32711)

https://www.seqrite.com/blog/echoleak-send-a-prompt-extract-secret-from-copilot-ai-cve-2025-32711/

Report completeness: Low

Threats:
Echoleak_vuln

Victims:
Microsoft 365 copilot users

CVEs:
CVE-2025-32711 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


Soft:
Microsoft Office, Outlook

Algorithms:
base64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость EchoLeak (CVE-2025-32711) в Microsoft 365 Copilot представляет серьезную угрозу безопасности, поскольку позволяет злоумышленникам извлекать конфиденциальные данные без участия пользователя с помощью эксплойта с нулевым щелчком мыши. Этот недостаток вызывает опасения по поводу утечки информации и целостности приложений ИИ, подчеркивая необходимость повышения безопасности интегрированных с ИИ систем на фоне их растущего использования для управления конфиденциальной информацией. В исследовании подчеркиваются риски, связанные с недостаточной защитой таких технологий.
-----

Уязвимость EchoLeak, идентифицированная как CVE-2025-32711, представляет собой серьезную угрозу безопасности, связанную с Microsoft 365 Copilot, инструментом искусственного интеллекта, интегрированным в различные приложения Microsoft Office, такие как Word и Excel. Этот эксплойт с нулевым щелчком мыши позволяет злоумышленникам извлекать конфиденциальную информацию из AI assistant, не требуя прямого взаимодействия с пользователем, например, перехода по ссылке или открытия электронного письма. Уязвимость подчеркивает потенциальную опасность, которую могут представлять агенты ИИ при недостаточной защите, что отражает более широкие последствия для безопасности систем, интегрированных с ИИ.

Исследователи подчеркнули, что эта уязвимость облегчает эксфильтрацию секретов непосредственно из функций второго пилота, тем самым вызывая опасения по поводу утечки данных и целостности приложений искусственного интеллекта на рабочих местах. Поскольку инструменты искусственного интеллекта становятся все более распространенными при обработке конфиденциальной информации, этот эксплойт служит предупреждением относительно мер безопасности, которым необходимо уделять приоритетное внимание для предотвращения манипуляций и несанкционированного доступа.

#ParsedReport #CompletenessMedium
13-09-2025

You re invited: Four phishing lures in campaigns dropping RMM tools

https://redcanary.com/blog/threat-intelligence/phishing-rmm-tools/

Report completeness: Medium

Threats:
Itarian_tool
Simplehelp_tool
Atera_tool
Pdq_connect_tool
Hijackloader
Deerstealer
Screenconnect_tool

Victims:
Windows desktop users

Industry:
Government, Healthcare

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1041, T1071.001, T1105, T1204.001, T1204.002, T1219, T1497.001, T1566.002, T1583.001, have more...

IOCs:
Domain: 25
Url: 4
File: 27
Hash: 11
IP: 1

Soft:
Google Chrome, Chrome, SysInternals, Microsoft Teams, Zoom, Microsoft Excel, Android, Telegram, Cloudflare R2

Win API:
arc

Languages:
javascript

Platforms:
intel, apple, x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кампании по фишингу нацелены на пользователей Windows, используя тактику социальной инженерии для предоставления инструментов удаленного мониторинга и управления (RMM). Злоумышленники используют различные приманки, включая поддельные обновления браузера и Имперсонацию законного программного обеспечения, такого как Microsoft Teams, часто в комплекте с инструментами RMM, такими как Atera и ScreenConnect. Вредоносные скрипты извлекают информацию об устройстве и передают ее на серверы командования и контроля (C2), что указывает на организованную попытку использовать доверие к аутентичному программному обеспечению и правительственным коммуникациям для развертывания RMM.
-----

Недавнее исследование Red Canary Intelligence и Zscaler выявило серию кампаний фишинга, в которых используются тактики социальной инженерии для предоставления инструментов удаленного мониторинга и управления (RMM), специально предназначенных для пользователей Windows. В кампаниях используются различные приманки, включая поддельные обновления браузера, приглашения на собрания, вечеринки и Имперсонацию бланков правительства США.

Поддельная приманка для обновления браузера предлагает пользователям веб-страницу, на которой утверждается, что необходимо обновить браузер для доступа к ожидаемому контенту. Эта тактика эффективна, поскольку ранее она использовалась другими семействами вредоносных ПО, причем обнаруженные случаи были связаны со скомпрометированными спортивными веб-сайтами и попытками получить доступ к доменам медицинского обслуживания. Злоумышленники внедряют скрипты, которые извлекают информацию, такую как сведения об устройстве, которая затем отправляется на сервер командования и контроля (C2).

В дополнение к поддельному обновлению браузера кампании также выдают себя за законные программные приложения, такие как Microsoft Teams, Excel и Zoom, чтобы отказаться от инструментов RMM, таких как Atera, PDQ и ScreenConnect. Эти инструменты либо поставляются в комплекте с законным программным обеспечением, либо маскируются под установщики, чтобы избежать подозрений пользователей, и часто имеют названия, похожие на подлинное программное обеспечение (например, MicrosoftTeams.msi).

Приманка для приглашения на вечеринку работает аналогичным образом, используя созданную тему для распространения файла MSI, Маскировки под "Электронное приглашение" или "Средство просмотра партийных карточек". Кроме того, было выявлено использование электронных писем с фишингом, выдающих себя за формы правительства США, такие как формы W9 или заявления о социальном страховании. Эти электронные письма приводят к различным развертываниям RMM, указывая на то, что несколько инструментов могут выполняться быстро и последовательно.

Для борьбы с этими угрозами организациям крайне важно внедрять надежные меры безопасности. Это влечет за собой ведение утвержденного списка инструментов и мониторинг несанкционированного программного обеспечения RMM, учитывая риск эксплуатации, связанный с законными инструментами. Защитные механизмы, такие как изоляция браузера и бдительность в отношении подозрительных регистраций доменов, могли бы помочь в раннем обнаружении и сдерживании этих попыток фишинга.

Были выделены несколько доменов и URL-адресов, используемых в этих кампаниях, включая вредоносные серверы C2, связанные с инструментами SimpleHelp и ScreenConnect. В анализе подчеркивается важность осведомленности организации о наличии вредоносных сообщений, особенно тех, которые напоминают законные обновления программного обеспечения или государственные формы, для снижения потенциальных рисков безопасности.

#ParsedReport #CompletenessLow
13-09-2025

Uncloaking VoidProxy: a Novel and Evasive Phishing-as-a-Service Framework

https://sec.okta.com/articles/uncloakingvoidproxy/

Report completeness: Low

Threats:
Voidproxy_tool
Aitm_technique
Bec_technique

ChatGPT TTPs:
do not use without manual check
T1102, T1204.002, T1205, T1550.004, T1557.002, T1566.003, T1583.001, T1583.006, T1584.005, T1586.002, have more...

IOCs:
Url: 2
Domain: 4

Soft:
gatekeeper, Office 365, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VoidProxy - это продвинутая операция "фишинг как услуга", использующая скомпрометированные Учетные записи эл. почты от авторитетных провайдеров для распространения фишинг-приманок, тем самым обходя спам-фильтры. Как только пользователи подключаются к этим приманкам, их учетные данные — часто Microsoft или Google — собираются с помощью прокси-сервера Account in the Middle (AitM), который позволяет беспрепятственно перехватывать сеансы. В ходе операции используется сложная инфраструктура с эфемерными интерфейсами и стабильной Бессерверной инфраструктурой, что повышает ее устойчивость к обнаружению.
-----

Анализ, проведенный Okta Threat Intelligence, выявил сложную операцию "Фишинг как услуга" (PhaaS) под названием VoidProxy, характеризующуюся многоуровневой тактикой атаки и инновационными методами уклонения. Жизненный цикл атаки состоит из нескольких отдельных этапов, которые повышают ее эффективность против ничего не подозревающих пользователей.

Изначально VoidProxy использует скомпрометированные Учетные записи эл. почты от известных поставщиков услуг электронной почты (ESP), таких как Constant Contact и Active Campaign. Используя эти доверенные учетные записи для рассылки фишинг-приманок, операция позволяет обойти спам-фильтры, которые обычно защищают пользователей от вредоносных электронных писем. Эта тактика создает ложное чувство безопасности у целей, повышая их вероятность использования фишингов -контента.

Как только пользователь взаимодействует с приманкой, его браузер связывается с Cloudflare Worker, который действует как привратник и загрузчик приманки. Роль этого сотрудника является ключевой, поскольку он фильтрует входящий трафик, гарантируя, что только пользователи, прошедшие определенные испытания, будут перенаправлены на страницу фишинга. Архитектура эффективно отделяет начальный этап фильтрации от фактической операции фишинга, повышая вероятность успешного сбора учетных записей.

После ввода их учетных данных, обычно связанных с учетными записями Microsoft или Google, информация передается на основной сервер VoidProxy, который использует учетную запись в промежуточной (AitM) прокси-атаке. Этот сложный метод позволяет злоумышленникам беспрепятственно перехватывать сеансы пользователей, обеспечивая постоянный доступ к учетным записям, не вызывая подозрений.

Инфраструктура, лежащая в основе VoidProxy, особенно сложна. Он использует сочетание эфемерных интерфейсов с высокой текучестью, которые, вероятно, не будут обнаружены, и более стабильного бэкенда, размещенного на архитектуре Бессерверной инфраструктуры. Такая конструкция повышает оперативную устойчивость, усложняя усилия защитников по смягчению последствий.

#ParsedReport #CompletenessMedium
13-09-2025

Mac.c stealer evolves into MacSync: Now with a backdoor

https://moonlock.com/macc-stealer-macsync-backdoor

Report completeness: Medium

Actors/Campaigns:
Mentalpositive

Threats:
Macc_stealer
Amos_stealer
Clickfix_technique

Industry:
Healthcare

Geo:
America, Germany, Ukraine

ChatGPT TTPs:
do not use without manual check
T1041, T1059, T1059.002, T1071.001, T1102, T1560

IOCs:
Hash: 2
Url: 3
Domain: 16
File: 1

Soft:
macOS, Cloudflare Turnstile, BurpSuite, curl

Algorithms:
sha256, zip

Languages:
applescript

Platforms:
arm, apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 1, dump: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4