#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
28 сентября 2023 года произошел всплеск попыток эксплуатации Grafana, в основном со 107 IP-адресов в Бангладеш, нацеленных на конечные точки в США. Эти атаки использовали более старые уязвимости, в частности CVE-2021-43798, для несанкционированного доступа и продемонстрировали одинаковое соотношение целей среди США, Словакии и Тайваня. Исторический анализ показал использование множества инструментов и уникальных отпечатков TCP, выявляя методический подход злоумышленников, который указывает на организованные усилия киберпреступников, использующих слабые места в системе безопасности в установках Grafana.
-----

28 сентября 2023 года была отмечена значительная волна попыток эксплуатации, нацеленных на Grafana, при этом 110 уникальных IP-адресов были задействованы в этой деятельности, преимущественно направленной на Соединенные Штаты, Словакию и Тайвань. Большая часть активности исходила из Бангладеш, где были отслежены 107 из 110 IP-адресов, в основном с конечными точками в США. Инцидент выявил хорошо скоординированную схему атаки, поскольку эти IP-адреса демонстрировали согласованное поведение в отношении целей в разных странах наблюдения, соблюдая четкое соотношение примерно 3:1:1, что соответствует США, Словакии и Тайваню, соответственно.

С точки зрения географического распределения, еще 2 IP-адреса из Китая и 1 из Германии также демонстрировали схожие модели таргетинга, хотя и в меньшем масштабе. Примечательно, что китайские IP-адреса были включены в число наиболее значимых, наблюдаемых в связи с этим событием, с идентифицируемыми отпечатками TCP, относящимися к тем же трем странам, что указывает на целый ряд инструментов, используемых для достижения этих целей. Кроме того, анализ исторических данных, проведенный GreyNoise, выявил по меньшей мере два уникальных отпечатка HTTP, свидетельствующих об использовании нескольких инструментов, нацеленных на общую целевую базу.

Попытки эксплуатации, в частности, использовали старые уязвимости, в частности CVE-2021-43798, уязвимость с высокой степенью воздействия, которая, как известно, допускает несанкционированный доступ. Такая схема использования старых уязвимостей указывает на стратегический выбор злоумышленников, отражающий потенциальный пробел в средствах защиты среди целевых установок Grafana.

Хотя GreyNoise не приписывает эту активность конкретному злоумышленнику, наблюдаемая конвергенция в моделях таргетинга и инструментарии позволяет предположить, что либо один оператор использует разнообразную инфраструктуру, либо несколько операторов используют общий набор эксплойтов против одного и того же набора целей. Скоординированный характер этих атак указывает на организованные усилия киберпреступников, а не на изолированные инциденты, подчеркивая сохраняющиеся риски, связанные с развертыванием уязвимого программного обеспечения в критических средах.

#ParsedReport #CompletenessMedium
02-10-2025

Larva-25010 APT Down PC

https://asec.ahnlab.com/ko/90408/

Report completeness: Medium

Actors/Campaigns:
Larva-25010
Kimsuky
Winnti
Unc3886
Unc5221
Apt31

Threats:
Cobalt_strike_tool
Syslogk_rootkit
Tinyshell

Industry:
Military, Telco, Government

Geo:
Chinese, North korean, Taiwan, Korean, Japan, North korea, Korea

CVEs:
CVE-2025-0282 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
Hash: 5
Domain: 1
IP: 1

Soft:
JBoss, Ivanti

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В сложной целенаправленной угрозе Down, связанной с кибероперациями Северной Кореи, используются продвинутые варианты вредоносного ПО, использующие сложные методы уклонения для обхода мер безопасности. Группа использует специфические уязвимости программного обеспечения для несанкционированного доступа и эксфильтрации данных, применяя особую тактику, охватывающую первоначальный доступ, повышение привилегий, а также перемещение внутри компании в сетях. Постоянный мониторинг этих вредоносных ПО и связанных с ними уязвимостей имеет решающее значение для выявления потенциальных компрометаций.
-----

Отчет об устранении сложной целенаправленной угрозы, специально обозначенный как Larva-25010, содержит углубленный анализ кибердеятельности группы. Подавление сложной целенаправленной угрозы связано с кибероперациями Северной Кореи и было связано с различными вредоносными кампаниями, нацеленными на конкретные организации. Анализ выделяет тактику, методы и процедуры группы (TTP), которые отражают детальное понимание их операционного поведения и инструментов, которые они используют.

Одним из важнейших выводов отчета является идентификация уникальных вариантов вредоносного ПО, связанных с сложной целенаправленной угрозой отключения. Эти вредоносные ПО используют продвинутую тактику уклонения для обхода мер безопасности, что указывает на сложный уровень разработки и развертывания. В отчете подчеркивается важность мониторинга этих вредоносных инструментов на наличие признаков заражения или компрометации в целевых системах.

Обсуждаются уязвимости, эксплуатируемые с помощью сложных целенаправленных угроз Down, раскрывающие схему нацеливания на слабые места программного обеспечения, которые допускают несанкционированный доступ или эксфильтрацию данных. В отчете подробно описываются конкретные уязвимости, которые были использованы в прошлых кампаниях, и дается представление об общих точках входа, используемых группой.

Кроме того, в отчете анализируются процедурные характеристики атак с использованием технологии "Сбой сложных целенаправленных угроз", включая их методы первоначального доступа, повышения привилегий, а также перемещения внутри компании в скомпрометированных сетях. Эта информация служит организациям основой для разработки более эффективных средств защиты от подобных угроз, подчеркивая необходимость упреждающего мониторинга и управления уязвимостями.

#ParsedReport #CompletenessHigh
02-10-2025

Confucius Espionage: From Stealer to Backdoor

https://www.fortinet.com/blog/threat-research/confucius-espionage-from-stealer-to-backdoor

Report completeness: High

Actors/Campaigns:
Apt59 (motivation: cyber_espionage)

Threats:
Wooperstealer
Anondoor
Spear-phishing_technique
Dll_sideloading_technique
Passworddumper_tool

Victims:
Pakistan users

Industry:
Government, Military

Geo:
Asia, Pakistan

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1059.003, T1059.006, T1105, T1202, T1204.002, T1566.001, T1574.002, have more...

IOCs:
File: 17
Domain: 9
Url: 9
Path: 4
Hash: 8

Soft:
Firefox, curl

Algorithms:
base64, zip

Functions:
GetByteArrayAsync

Win API:
GetLogicalDrives, GetDiskFreeSpaceExW

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 23, windows: 1, chart: 1, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка Confucius развила свою тактику от кражи документов вредоносным ПО до изощренных бэкдорных решений, используя кампании фишинга с использованием обманчивых вложений PowerPoint, нацеленных на пользователей в Пакистане. К марту 2025 года группа интегрировала вредоносные файлы LNK, которые выполняли измененные законные файлы Windows, что позволило внедрить многоуровневое вредоносное ПО, включающее загруженные вредоносные библиотеки DLL и формы-приманки. Такая адаптивность отражает повышение сложности и переход к более изощренным методам кибершпионажа, использующим различные семейства вредоносных ПО и способы доставки.
-----

Хакерская группировка Confucius продемонстрировала заметную эволюцию в своей тактике, перейдя от вредоносного ПО для кражи документов к внедрению сложных бэкдорных решений. Со временем эта связанная с государством группировка усовершенствовала свои методы, чтобы повысить оперативную эффективность и избежать обнаружения.

В ходе кампании по фишингу, которая началась в декабре 2024 года, группа Confucius рассылала пользователям в Пакистане электронные письма с вложениями, замаскированными под файл PowerPoint (Document.ppsx). Использованные элементы социальной инженерии включали подмену полномочий и тонкий призыв к действию, направленный на то, чтобы заставить получателей открыть файл, тем самым инициируя цепочку заражения.

К марту 2025 года тактика группы Confucius получила дальнейшее развитие, включив вредоносные файлы LNK в свои механизмы доставки. Примером, выявленным в ходе расследования, была Вредоносная ссылка (Invoice_Jan25.pdf.lnk), ведущая к запуску законного файла Windows (BlueAle.exe ), который был изменен из исходного системного файла (C:\Windows\System32\fixmapi.exe ). Этот метод включал загрузку вредоносной библиотеки DLL и поддельной PDF-формы с удаленного сервера, демонстрируя многоуровневый подход к развертыванию вредоносного ПО.

В августе 2025 года группа представила еще один вредоносный файл LNK (NLC.pdf.lnk), в котором использовалась аналогичная стратегия выполнения, но содержалась новая полезная нагрузка. Анализ команды, расшифрованной в этом файле, показал увеличение сложности.

На протяжении всех этих разработок группа Confucius демонстрировала техническую гибкость, постоянно адаптируясь путем включения различных типов файлов и методов первоначального доступа. Их операции включали в себя сочетание OLE-объектов, вредоносных скриптов, загрузчиков PowerShell, загрузчиков MSIL и сильно запутанных полезных нагрузок. Такая адаптивность означает изменение не только в используемом семействе вредоносных ПО, таких как WooperStealer, AnonDoor (на основе MSIL) и недавно разработанный вариант Python, но и в их общем подходе к кибершпионажу, отражающем все более сложный ландшафт киберугроз.

#ParsedReport #CompletenessHigh
03-10-2025

YUREI RANSOMWARE : THE DIGITAL GHOST

https://www.cyfirma.com/research/yurei-ransomware-the-digital-ghost/

Report completeness: High

Threats:
Yurei
Prince_ransomware
Shadow_copies_delete_technique
Psexec_tool
Satanlock
Vssadmin_tool
Timestomp_technique
Credential_dumping_technique

Victims:
Food manufacturing, Sri lanka

Industry:
Foodtech

Geo:
Japanese, Germany, Japan, Sri lanka, Morocco, Turkey

TTPs:
Tactics: 8
Technics: 39

IOCs:
File: 7
Command: 1
Path: 1
Hash: 2
Url: 2

Soft:
PsExec, Windows Service, Outlook

Algorithms:
aes, chacha20, sha256

Functions:
setWallpaper, getAllDrives, disableBackups, Get-ChildItem, Remove-Item, InitPrinceKeys

Win API:
WriteFile

Languages:
php, powershell

Platforms:
x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
code: 15, schema: 1, dump: 2, windows: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Yurei Ransomware - это сложное вредоносное ПО, нацеленное на среды Windows, использующее программирование Go для быстрого шифрования файлов с помощью отдельных ключей ChaCha20, добавляя при этом ".Расширение "Yurei". В нем используются методы удаления Shadow Copies томов и системных журналов, препятствующие усилиям по восстановлению и судебно-медицинским расследованиям. Программа-вымогатель распространяется через общие ресурсы USB и SMB, использует перемещение внутри компании на основе учетных данных и включает механизм самоуничтожения для устранения следов после выполнения, что указывает на продвинутый уровень угрозы.
-----

Yurei Ransomware представляет собой сложную и агрессивную угрозу в среде вредоносного программного обеспечения, использующую передовые тактики и методы для эффективного компрометирования систем. Разработанный с использованием языка программирования Go, Yurei ориентирован на среду Windows и обладает возможностями быстрого шифрования. Он шифрует файлы на локальных и сетевых дисках, используя для каждого файла ключи ChaCha20, добавляя уникальный ".Расширение "Yurei" для затронутых файлов, а также использует механизм удаления Shadow Copies томов и системных резервных копий, тем самым отключая параметры восстановления.

Программа-вымогатель использует передовые средства защиты от криминалистики, включая удаление журналов событий Windows и системных журналов, чтобы препятствовать судебно-медицинским расследованиям. Он использует команды PowerShell для незаметного выполнения этих удалений, что свидетельствует о явном намерении помешать усилиям по восстановлению. Полезная нагрузка вредоносного ПО включает в себя компоненты для перемещения внутри компании по сетям на основе учетных данных, использующие такие методы, как PSCredential и PsExec для удаленного выполнения команд. Кроме того, он распространяется через USB-накопители и доступные для записи общие ресурсы SMB, создавая эффект быстрого распространения.

После выполнения Yurei не только шифрует файлы, но и изменяет обои рабочего стола жертвы, чтобы создать видимый сбой. Это создает записку с требованием выкупа, _README_Yurei.txt , внутри каждого зашифрованного каталога, предупреждая жертв о компрометации и предлагая инструкции по оплате, но также угрожая потенциальной утечкой данных в качестве принудительной меры, что отражает его двойные возможности вымогательства.

Дизайн Yurei Ransomware включает в себя сложную функцию самоуничтожения, которая удаляется после выполнения, чтобы устранить следы, которые могли бы позволить судебно-медицинское восстановление. Метод шифрования сочетает в себе ChaCha20 и ECIES для управления ключами, что затрудняет жертвам восстановление своих данных без вмешательства злоумышленника. Кроме того, имеются признаки повторного использования кода из проекта Prince ransomware, что указывает на связь между различными семействами программ-вымогателей и повторное использование методов и методологий оптимизации.

Таким образом, Yurei Ransomware - это продвинутая программа-вымогатель с двойным вымогательством, обладающая широкими возможностями шифрования данных, уклонения от обнаружения и препятствующая попыткам восстановления, что усиливает ее воздействие на потенциальных жертв. Он демонстрирует сочетание технической сложности и операционной эффективности, что создает значительные проблемы для реагирования на инциденты и восстановления в пострадавших организациях. Связь с ранее наблюдавшимися разработками программ-вымогателей подчеркивает постоянный и эволюционирующий ландшафт угроз.

#ParsedReport #CompletenessMedium
02-10-2025

New spyware campaigns target privacy-conscious Android users in the UAE

https://www.welivesecurity.com/en/eset-research/new-spyware-campaigns-target-privacy-conscious-android-users-uae/

Report completeness: Medium

Threats:
Prospy
Tospy

Victims:
Android users, Privacy conscious users

Geo:
Netherlands, Arab emirates, Ukraine, United arab emirates

TTPs:
Tactics: 7
Technics: 12

IOCs:
Url: 6
File: 6
Domain: 12
IP: 12
Hash: 12

Soft:
Android, Google Play

Algorithms:
cbc, zip, sha1, aes

Languages:
javascript

Platforms:
apple

Links:
https://github.com/eset/malware-ioc/tree/master/prospytospy

#ParsedReport #ExtractedSchema

Classified images:
windows: 4, schema: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследование ESET выявило две шпионские кампании, ProSpy и ToSpy, нацеленные на пользователей Android в ОАЭ. ProSpy маскируется под плагин для шифрования сигналов и приложение ToTok, используя для распространения фишинг-сайты и запрашивая обширные разрешения, перенаправляя пользователей на легальные страницы приложений, чтобы скрыть свое присутствие. В обеих кампаниях используются такие методы, как фишинг для первоначального доступа, выполнение запланированных задач и фоновые службы для закрепления, сбор конфиденциальных данных с помощью эксфильтрации HTTPS с шифрованием AES.
-----

Недавнее исследование, проведенное ESET, выявило появление двух кампаний шпионского ПО, нацеленных на пользователей Android, заботящихся о конфиденциальности, в Объединенных Арабских Эмиратах: ProSpy и ToSpy. Кампания ProSpy была объявлена в июне 2025 года, и есть признаки того, что она могла начаться уже в 2024 году. В рамках этой кампании вредоносное ПО маскируется под несуществующее приложение-плагин для шифрования сигналов и приложение для обмена сообщениями ToTok, используя для распространения фишинг-сайты, такие как signal.ct.ws и encryption-plug-in-signal.com-ae.net . Жертв заманивают разрешить ручную установку вредоносных APK-файлов, которые запрашивают обширные разрешения для доступа к контактам, SMS-сообщениям и файлам.

Вредоносное ПО ProSpy демонстрирует уникальный процесс выполнения; после запуска оно перенаправляет пользователей на официальную страницу загрузки ToTok, тем самым повышая видимость легитимности. Любые будущие запуски вредоносного приложения приводят пользователей непосредственно к законному приложению ToTok, эффективно скрывая его присутствие при сохранении двух значков приложений на устройстве — это потенциально может вызвать подозрения. Аналогичным образом, вариант плагина для шифрования сигналов шпионского ПО обманывает пользователей, открывая страницу с информацией о приложении для сервисов Google Play, что еще больше маскирует его злонамеренные намерения.

Впоследствии телеметрические системы ESET выявили кампанию ToSpy, признанную отдельным семейством программ-шпионов для Android, также нацеленную на пользователей в ОАЭ. Это вредоносное ПО распространялось через веб-сайты, призванные выдавать себя за законные платформы приложений, в том числе одну, имитирующую Galaxy Store, что увеличивало вероятность обмана пользователей.

В обеих кампаниях используются различные методы закрепления и фоновой работы. Они используют AlarmManager для поддержания непрерывности обслуживания и получения широковещательных намерений BOOT_COMPLETED для запуска при запуске устройства. Шпионское ПО собирает широкий спектр данных, включая контакты и SMS-сообщения, и использует шифрование AES для безопасной эксфильтрации этих данных по каналам HTTPS.

С точки зрения конкретной тактики, согласованной с методами MITRE ATT&CK, первоначальный доступ достигается с помощью фишинга, выполнение облегчается с помощью запланированных задач, а закрепление поддерживается с помощью фоновых служб и трансляций при запуске. Они значительно расширяют свои возможности по сбору данных, используя Изучение файлов и каталогов, а также детальное Изучение системы.

#ParsedReport #CompletenessHigh
04-10-2025

RomCom Threat Actor Evolution (20232025)

https://www.picussecurity.com/resource/blog/romcom-threat-actor-evolution

Report completeness: High

Actors/Campaigns:
Void_rabisu (motivation: cyber_espionage)
Deceptive_prospect
Unk_greensec

Threats:
Romcom_rat
Snipbot
Rustyclaw
Mythic_c2
Spear-phishing_technique
Slipscreen
Com_hijacking_technique
Dustyhammock
Shadyhammock
Meltingclaw
Dll_hijacking_technique
Transferloader
Cuba_ransomware
Dllsearchorder_hijacking_technique
Smbexec_tool
Wmiexec_tool

Victims:
Government entities, Enterprises

Industry:
Critical_infrastructure, Government, Retail, Aerospace, Entertainment, Logistic

Geo:
America, Canada, Ukraine, Russia, Russian, Ukrainian, Poland

CVEs:
CVE-2023-36884 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-49039 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-9680 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 9
Technics: 14

IOCs:
Domain: 2
Url: 1
Email: 1
Registry: 1
File: 3
Hash: 1

Soft:
ChatGPT, Microsoft Word, Firefox, Microsoft OneDrive, Windows Registry

Algorithms:
sha256, xor

Win API:
RegOpenKeyExA

Languages:
swift, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник RomCom, также известный как Storm-0978, превратился в сложную структуру, использующую значительные уязвимости, в частности WinRAR zero-day CVE-2025-8088, для развертывания различных бэкдоров вредоносного ПО, таких как SnipBot, RustyClaw и Mythic Agent. . Их тактика включает социальную инженерию для первоначального доступа и использование многоступенчатых загрузчиков и скрытных крыс, таких как SnipBot, для постоянного контроля. Расширение масштабов глобальных операций и сотрудничество с другими хакерскими группировками расширяет их возможности, что делает RomCom заметной киберугрозой к 2025 году.
-----

Злоумышленник RomCom, также известный как Storm-0978, Tropical Scorpius и Void Rabisu, превратился из региональной группы кибершпионажа в сложную гибридную организацию, которая, как ожидается, станет все более опасной к 2025 году. Эта эволюция предполагает использование значительных уязвимостей, в частности уязвимости WinRAR zero-day CVE-2025-8088, которая классифицируется как ошибка обхода пути с оценкой CVSS 8,4. Эта уязвимость позволила внедрить различные бэкдоры вредоносного ПО, включая SnipBot, RustyClaw и Mythic Agent.

Методология атак RomCom охватывает широкий спектр тактик, техник и процедур (TTP), демонстрирующих их способность действовать на протяжении всей цепочки атак. Первоначальный доступ в основном достигается с помощью тактики социальной инженерии и Имперсонации, демонстрируя предпочтение более инновационным и ориентированным на человека подходам к проникновению в системы. Примечательной характеристикой RomCom является их частое использование неопубликованных уязвимостей, поведение, которое соответствует APT группировка.

Как только они получают доступ, RomCom внедряет стратегически разработанные многоступенчатые загрузчики наряду со сложными методами обхода, чтобы поддерживать закрепление в скомпрометированных системах. Бэкдоры DustyHammock и ShadyHammock занимают центральное место в этой стратегии, функционируя не просто как отдельные имплантаты, а как ключевые компоненты более масштабной шпионской операции. В их арсенале есть бэкдор SnipBot, также известный как RomCom 5.0 или SingleCamper, который действует как троян удаленного доступа с высокой степенью скрытности (RAT), предназначенный для долгосрочного контроля и долговечности работы. Его функции безопасности включают в себя усовершенствованные методы обфускации кода, в частности новый алгоритм обфускации потока управления на основе оконных сообщений.

К 2024 году RomCom внедрила гибридную модель атаки, проводя двойные операции: длительный шпионаж против правительственных секторов и нацеленные на монетизацию нарушения, нацеленные на предприятия. Их географический охват вышел за пределы их прежних региональных границ, распространившись на Северную Америку, Европу и другие регионы, что еще больше укрепило их статус глобального злоумышленника.

Сотрудничество между хакерскими группировками расширяет возможности RomCom, указывая на взаимосвязанный ландшафт киберугроз. По мере развития стратегий киберзащиты такие организации, как Picus, помогают, имитируя TTP RomCom с использованием постоянно обновляемой библиотеки угроз, помогая организациям выявлять уязвимости в своих инфраструктурах безопасности до того, как ими смогут воспользоваться злоумышленники.

#ParsedReport #CompletenessLow
30-09-2025

CABINETRAT Backdoor used by UAC-0245 for targeted cyberattacks against IAs (CERT-UA#17479)

https://cert.gov.ua/article/6285549

Report completeness: Low

Actors/Campaigns:
Uac-0245
Sandworm

Threats:
Cabinetrat
Sandbox_evasion_technique
Antidebugging_technique

Victims:
Information agencies

Industry:
Critical_infrastructure

Geo:
Ukraine

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.002

IOCs:
File: 12
Registry: 10
Hash: 44
Path: 5
Command: 1
IP: 2

Soft:
Windows registry, VirtualBox, QEMU, Hyper-V