#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
XWorm версии 6.0, выпущенный в июне 2025 года, представляет собой универсальный набор инструментов для вредоносного ПО, развертываемый с помощью вредоносного JavaScript, который загружает скрипт PowerShell для отключения Windows AMSI для уклонения. Он использует многоэтапную атаку, чтобы внедрить своего клиента в законные процессы, и подключается к серверу C2, используя ключ шифрования для связи. Инструментарий поддерживает более 35 плагинов для таких задач, как кража учетных данных, атаки программ-вымогателей с использованием шифрования AES-CBC, и демонстрирует возможности динамического взаимодействия, что указывает на меняющийся ландшафт угроз.
-----

XWorm, первоначально идентифицированный в 2022 году как универсальный инструментарий для защиты от вредоносного ПО, эволюционировал с недавним выпуском XWorm версии 6.0 4 июня 2025 года. Эта версия якобы устраняла ранее известную уязвимость удаленного выполнения кода (RCE) и с тех пор завоевала популярность среди киберпреступников, благодаря многочисленным образцам, обнаруженным в дикой природе. Вредоносное ПО часто развертывается с помощью вредоносных файлов JavaScript, которые после выполнения загружают и запускают скрипт PowerShell. Этот сценарий PowerShell, который отключает интерфейс сканирования Windows Anti-Malware (AMSI) для уклонения от обнаружения, впоследствии подготавливает инструмент инжектора для доставки клиента XWorm.

Процесс атаки разворачивается в три этапа, начиная с файла JavaScript, который загружает скрипт PowerShell, который управляет внедрением клиентского кода XWorm в законный процесс, такой как RegSvcs.exe . После активации клиент XWorm устанавливает соединение со своим сервером управления (C2) по IP-адресу 94.159.113.64, используя для связи ключ шифрования "P0WER".

XWorm V6 включает в себя обширные возможности плагинов, позволяющие операторам выполнять различные вредоносные задачи в зараженных системах, от кражи учетных данных до внедрения программ-вымогателей. Вредоносное ПО обеспечивает закрепление с помощью нескольких методов, включая сценарии входа в систему и записи реестра, чтобы гарантировать автоматический запуск при входе пользователя в систему или перезагрузке системы. Кроме того, архитектура XWorm обеспечивает динамическое взаимодействие, благодаря которому операторы могут использовать функцию автозадачи или выполнять команды вручную.

Функциональные возможности плагинов XWorm's включают возможности управления файлами (например, загрузку, копирование и удаление файлов), удаленный доступ к рабочему столу и функции программ-вымогателей, которые шифруют целевые файлы с помощью шифрования AES-CBC, удаляя оригиналы. Примечательно, что плагин-вымогатель работает аналогично программе-вымогателю NoCry, указывая на возможное перекрытие кода, что предполагает общее происхождение или технику. Разработка более 35 плагинов демонстрирует адаптивную природу вредоносного ПО со специальными функциями, предназначенными для управления защитой системы и участия в различных кибератаках, включая эксфильтрацию данных и шифрование файлов.

Недавний анализ выявил продолжающиеся попытки взломать и модифицировать конструктор XWorm версии 6.0, что указывает на растущую доступность среди злоумышленников, стремящихся внедрить этот инструментарий вредоносного ПО. Последствия XWorm V6 подчеркивают постоянный и эволюционирующий ландшафт угроз, подчеркивая необходимость постоянной бдительности в отношении такого сложного и модульного вредоносного программного обеспечения.

#ParsedReport #CompletenessMedium
03-10-2025

CN APT targets Serbian Government

https://strikeready.com/blog/cn-apt-targets-serbian-government/

Report completeness: Medium

Threats:
Plugx_rat

Victims:
Serbian government, Government, Aviation

Industry:
Aerospace, Government

Geo:
Netherlands, Italy, Hungary, Serbian, Serbia, Belgium

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1566.001

IOCs:
Domain: 8
Hash: 16
Url: 4

Soft:
CamScanner

Algorithms:
xor, zip

Languages:
php, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания spear phishing, приписываемая группе CN по борьбе с сложнейшими целенаправленными угрозами, была нацелена на департамент гражданской авиации Сербии, что отражает постоянный интерес актора к аналогичным атакам по всей Европе. Компания CN известна сложной целенаправленной угрозой использования набора инструментов sogu/plugx/korplug во время реальных вторжений, что было постоянным элементом их деятельности на протяжении последнего десятилетия. Эти атаки в первую очередь мотивированы шпионажем, что подчеркивает значительную направленность на сбор разведывательных данных, а не на финансовую выгоду.
-----

Недавно целенаправленная кампания по spear phishing, приписываемая злоумышленнику, идентифицированному как CN сложная целенаправленная угроза, была направлена против правительственного департамента Сербии, занимающегося авиацией. Эта деятельность является частью более широкой модели, наблюдаемой в других европейских странах, что указывает на устойчивый интерес одного и того же актора к проведению аналогичных атак по всему региону. Группа CN, занимающаяся наисложнейшими целенаправленными угрозами, придерживается отличительного метода работы, преимущественно используя набор инструментов sogu/plugx/korplug для своих оперативных вторжений. Этот конкретный набор инструментов стал отличительной чертой их деятельности, демонстрируя последовательность в их подходе на протяжении последнего десятилетия.

Мотивы, стоящие за этими атаками, в первую очередь связаны со шпионажем, за редким исключением - финансовая выгода. Эта модель усиливает представление о том, что злоумышленники CN в основном сосредоточены на сборе разведывательных данных, а не на киберпреступлениях, ориентированных на получение прибыли. В целом, деятельность CN, сложная целенаправленная угроза, является примером постоянной угрозы в рамках европейского правительственного ландшафта, особенно нацеленной на чувствительные секторы. Последствия таких вторжений подчеркивают необходимость повышения бдительности и принятия стратегических защитных мер против сложных целенаправленных угроз (APT) в сфере государственной кибербезопасности.

#ParsedReport #CompletenessMedium
30-09-2025

GhostSocks: From Initial Access to Residential Proxy

https://synthient.com/blog/ghostsocks-from-initial-access-to-residential-proxy

Report completeness: Medium

Threats:
Ghostsock
Residential_proxy_technique
Blackbasta
Lumma_stealer
Garble_tool
Go-socks5_tool

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1090.001

IOCs:
Url: 1

Soft:
Outlook

Languages:
golang

YARA: Found

Links:
have more...
https://github.com/things-go/go-socks5
https://github.com/burrowers/garble

#ParsedReport #ExtractedSchema

Classified images:
code: 9, windows: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostSocks, злоумышленник, запустил новое вредоносное ПО "как услуга" (MaaS), которое преобразует скомпрометированные устройства в residential proxies, обходя механизмы защиты от мошенничества. Вредоносное ПО, разработанное в Golang, использует методы обфускации для скрытности и устойчивости к обнаружению, расшифровывая элементы во время выполнения. Несмотря на недавнее сокращение своего присутствия в Интернете, GhostSocks продолжает развиваться и подчеркивает тенденцию использования скомпрометированных устройств для дополнительных атак, доступ к которым предлагается на подпольных рынках.
-----

15 октября 2023 года злоумышленник, идентифицированный как GhostSocks, объявил о новом вредоносном ПО как сервисе (MaaS) на российском форуме по киберпреступности. Эта услуга позволяет злоумышленникам-акторам преобразовывать скомпрометированные устройства в residential proxies, облегчая обход механизмов защиты от мошенничества и позволяя использовать компьютер жертвы. GhostSocks позиционируется благодаря своей способности предоставлять анонимный доступ к сети, извлекая выгоду из скомпрометированных ресурсов невольных жертв.

Техническая архитектура GhostSocks включает в себя возможность создания 32-разрядной библиотеки динамической компоновки (DLL) или исполняемого файла, оба из которых разработаны с использованием языка программирования Golang. Вредоносное ПО использует такие методы, как запутывание с помощью проекта garble с открытым исходным кодом, чтобы скрыть строки и символы в коде. Важно отметить, что эти запутанные элементы расшифровываются во время выполнения с использованием определенной процедуры перед их использованием, что повышает скрытность вредоносного ПО и устойчивость к обнаружению.

Несмотря на более широкое подавление инфраструктуры киберпреступников, включая недавние действия правоохранительных органов против таких платформ, как XSS и LummaStealer, GhostSocks продемонстрировала непрерывную разработку и обслуживание своей платформы и связанного с ней вредоносного ПО. Однако, похоже, его онлайн-профиль сократился, поскольку он стал неактивен на новом форуме XSS, хотя причины такого изменения в поведении остаются неясными.

Устранение угрозы, исходящей от GhostSocks, в первую очередь предполагает отказ от установки ненадежных исполняемых файлов, поскольку служба полагается на другое вредоносное ПО для получения первоначального доступа и поддержания закрепления на компьютерах-жертвах. Появление GhostSocks свидетельствует о тревожной тенденции, когда злоумышленники становятся двойными жертвами, используя скомпрометированные устройства для создания дополнительных возможностей эксплуатации. Эти зараженные системы можно найти для продажи на подпольных рынках, стоимость доступа к которым начинается всего с 0,50 доллара в день, что подчеркивает коммерциализацию скомпрометированной технологии.

#ParsedReport #CompletenessMedium
06-10-2025

Detecting DLL hijacking with machine learning: real-world cases

https://securelist.com/detecting-dll-hijacking-with-machine-learning-in-kaspersky-siem/117567/

Report completeness: Medium

Actors/Campaigns:
Toddycat

Threats:
Dll_hijacking_technique
Dll_sideloading_technique
Cobalt_strike_tool
Netstat_tool
Nltest_tool

Victims:
Sharepoint service, Corporate systems

CVEs:
CVE-2021-27076 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1055, T1574.002

IOCs:
File: 9
IP: 1
Registry: 3
Hash: 6
Path: 7

Soft:
Microsoft Edge, Chrome

Languages:
dotnet, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, table: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Модель машинного обучения Kaspersky, интегрированная в их SIEM-систему, эффективно обнаруживает атаки с использованием DLL hijacking, особенно с помощью DLL Sideloading. Он проверяет все загруженные библиотеки DLL на соответствие локальным и глобальным данным, успешно выявляя такие инциденты, как использование группой ToddyCat CVE-2021-27076 для выполнения Cobalt Strike и другие случаи, связанные с вводящим в заблуждение вредоносным ПО, выдающим себя за законные системные библиотеки. Этот упреждающий подход направлен на повышение точности обнаружения при необнаруженных попытках DLL hijacking.
-----

В ходе недавнего тестирования модель машинного обучения, разработанная Kaspersky, была успешно интегрирована в их SIEM-систему для обнаружения атак с использованием DLL hijacking, в частности, с использованием метода DLL sideloading. Эта модель работает путем проведения тщательной проверки всех библиотек DLL, загруженных в систему, путем сопоставления локальных атрибутов - таких как пути к файлам, имена процессов и хэши — с глобальной базой знаний, доступ к которой осуществляется через облако Kaspersky Security Network (KSN). Сочетание локальных данных с более широкими поведенческими индикаторами повышает точность обнаружения и сводит к минимуму ложные срабатывания.

На пилотном этапе внедрения модели в их службе управляемого обнаружения и реагирования (MDR) было выявлено несколько отдельных инцидентов, в которых DLL hijacking использовался в злонамеренных целях. Один примечательный инцидент был связан с группой атак, идентифицированной как ToddyCat, которая нацелилась на уязвимую службу SharePoint с помощью CVE-2021-27076. Злоумышленники использовали эту уязвимость для выполнения команд, которые позволили им запустить инструмент Cobalt Strike, замаскированный под законную системную библиотеку.

Другой случай касался infostealer, который представился менеджером политик, о чем свидетельствует событие загрузки библиотеки DLL, отмеченное системой SIEM. Этот инцидент свидетельствует об использовании обманчивых методов для сокрытия злонамеренных намерений в библиотечных функциях системы. Наконец, произошел инцидент, когда вредоносный загрузчик маскировался под решение для обеспечения безопасности, а именно wsc.dll библиотека загружена с USB-накопителя, что также было обнаружено как событие DLL hijacking с помощью Kaspersky SIEM.

Интеграция этой модели машинного обучения обеспечила проактивную защиту от атак DLL hijacking, эффективно выявляя попытки, которые в противном случае остались бы незамеченными. Ожидается, что продолжающийся сбор данных и обновления алгоритмов в рамках KSN еще больше повысят точность модели, укрепляя ее роль в качестве важнейшего компонента мер корпоративной кибербезопасности.

#ParsedReport #CompletenessLow
06-10-2025

Attacks aimed at Italian targets, new data breach notified, vulnerabilities exploited ITW

https://www.telsy.com/attacchi-rivolti-a-target-italiani-notificati-nuovi-data-breach-vulnerabilita-sfruttate-itw/

Report completeness: Low

Actors/Campaigns:
Shinyhunters
Crimson_collective
Unc2903
Unc5174

Threats:
Purelogs
Rhadamanthys
Klopatra
Virbox_tool
Datacarry
Citrix_bleed_vuln

Victims:
Public sector, Universities, Financial services, Retail, Airline, Insurance, Technology

Industry:
Aerospace, E-commerce, Education

Geo:
Swedish, China, Canadian, Italian, Italy, Spain

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-41244 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-59689 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-32463 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-21311 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1036, T1068, T1190, T1210, T1548.003, T1555, T1566, T1568.002, T1584, T1650, have more...

Soft:
Android, Salesforce, Telegram, GoAnywhere, Sudo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Италия столкнулась с ростом числа киберугроз, включая схемы фишинга, нацеленные на правительственных пользователей и пользователей университетов, а также внедрение вредоносного ПО, такого как PureLogs infostealer и Klopatra Android RAT, что позволяет осуществлять широкий контроль над устройствами. Примечательно, что киберпреступная группа DATACARRY осуществила утечку данных примерно с 870 000 учетных записей. Кроме того, активно используются многочисленные уязвимости zero-day, в том числе CVE-2025-10035, влияющие на Fortra GoAnywhere, и серьезные риски, связанные с CVE-2025-5777, позволяющие получить несанкционированный доступ к конфиденциальным данным в сети FEMA.
-----

В Италии участились кампании фишинга, нацеленные на пользователей Sistema Tessera Sanitaria и университеты, использующие логотипы законных учреждений для обмана пользователей. Идентифицированы два варианта вредоносного ПО: infostealer PureLogs, связанный с заказами на покупку, и Rhadamanthys, связанный с Booking.com счета-фактуры. Новая Android-крыса под названием Klopatra, приписываемая тюркоязычным злоумышленникам, позволяет осуществлять полный контроль над устройством, кражу данных и мошеннические транзакции, усложняя обнаружение благодаря интеграции в Virbox. Киберпреступная группа DATACARRY несет ответственность за взлом Miljdata, в результате которого была раскрыта информация примерно с 870 000 учетных записей. Harrods сообщила о нарушении, затронувшем 430 000 клиентов электронной коммерции, связанных со сторонним поставщиком, в то время как WestJet подтвердила компромисс, связанный с конфиденциальной информацией клиентов. Allianz Life выявил нарушение, затронувшее почти 1,5 миллиона человек, приписываемое ShinyHunters, а Crimson Collective заявила о взломе частных репозиториев Red Hat на GitHub. Активное использование уязвимостей включает CVE-2025-10035 в Fortra GoAnywhere, влияющих на десериализацию ненадежных данных, CVE-2021-21311 в программном обеспечении администратора для подделки запросов на стороне сервера, CVE-2025-20352 в Cisco IOS для потенциального удаленного выполнения кода, CVE-2025-59689 в Libraesva ESG для ввода команд, и CVE-2025-32463 в Sudo для несанкционированного выполнения команды. CVE-2025-41244 в продуктах VMware связан с UNC5174 для локального повышения привилегий, в то время как CVE-2025-5777, известный как CitrixBleed 2.0, позволяет обойти Многофакторную аутентификацию, что приводит к несанкционированному доступу к конфиденциальным персональным данным и побуждает к действиям Министерство внутренней безопасности.

#ParsedReport #CompletenessMedium
06-10-2025

NGC4141: East Asian group attacks custom web applications

https://rt-solar.ru/solar-4rays/blog/6097/

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Netstat_tool
Proxychains_tool
Hping3_tool
Netcat_tool
Nmap_tool
Wso_webshell
Godzilla_webshell

Victims:
Custom web applications

Industry:
Telco

Geo:
Russian, Asia, Moscow, Asian, Korea

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 8
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, curl, docker, vim-cmd, sudo

Algorithms:
aes-256, aes-256-cbc, base64, md5, xor, aes, cbc, sha1, sha256

Functions:
getBasicsInfo, eval

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
have more...
https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NGC4141, злоумышленник, базирующийся в Восточной Азии, нацеливается на пользовательские веб-приложения, используя сложные методы атак, которые используют уязвимости, характерные для этих специализированных решений, которым часто не хватает надежных мер безопасности более распространенного программного обеспечения. Хотя в статье не указаны точные уязвимости или используемые методы атак, в ней подчеркивается растущая тенденция, когда индивидуальные приложения создают уникальные проблемы безопасности, что делает их более восприимчивыми к продвинутым угрозам. Сосредоточение внимания на таких приложениях подчеркивает эволюционирующий характер киберугроз и важность устранения недостатков в области безопасности в процессе разработки.
-----

Группа, идентифицированная как NGC4141, предположительно базирующаяся в Восточной Азии, нацеливалась на пользовательские веб-приложения с помощью сложных методов атаки. Группа использует различные уязвимости, характерные для этих специализированных решений, в которых могут отсутствовать стандартные меры безопасности, применяемые в более распространенных программных платформах. Хотя в статье не указаны точные уязвимости, используемые NGC4141, подразумевается, что пользовательские веб-приложения, возможно, не были тщательно протестированы против того же спектра векторов атак, с которыми сталкивались более широко используемые платформы, что потенциально делает их более восприимчивыми к продвинутым угрозам.

Деятельность группы подчеркивает важную тенденцию в области киберугроз, когда злоумышленники сосредотачиваются на специализированных веб-приложениях. Пользовательские приложения часто включают в себя уникальное кодирование и функциональность, что приводит к потенциальным упущениям при реализации безопасности. Эти упущения могут стать критическими точками входа для киберугроз, позволяя злоумышленникам обходить средства контроля безопасности, которые могут быть стандартными в более коммерчески доступном программном обеспечении.

Дальнейшие подробности о конкретных методах или инструментах, используемых NGC4141 в своих атаках, не были раскрыты, что оставляет пробел в понимании их оперативной методологии. Однако их сосредоточенность на веб-приложениях вызывает обеспокоенность у организаций, которые полагаются на такие индивидуальные системы, подчеркивая необходимость строгих методов обеспечения безопасности, таких как регулярные оценки уязвимостей и внедрение стандартов безопасного кодирования, для снижения рисков, создаваемых такими злоумышленниками.

Текущая деятельность NGC4141 служит напоминанием о меняющейся природе киберугроз, особенно тех, которые конкретно нацелены на уникальный ландшафт пользовательских программных приложений. Организациям настоятельно рекомендуется сохранять бдительность и обеспечивать наличие надежной защиты от целенаправленных атак, использующих специфические уязвимости, присущие пользовательской разработке.

Мы всегда топили за то, что "в лоб" использовать ИИ для работы с TI - плохая идея.
На разных конфах я рассказывал какие части анализа можно отдавать на откуп ИИ достаточно безопасно, а какие требуют доп. валидации, вплоть до ручной проверки.

Вот интересная новость в эту тему https://www.rbc.ru/technology_and_media/07/10/2025/68e4c63c9a79476d758073d8

#ParsedReport #CompletenessMedium
07-10-2025

Mustang Panda Employ Publoader Through ClaimLoader: Yes.. another DLL Side-Loading Technique Delivery via Phishing

https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Publoader_tool
Claimloader
Veletrix
Icedid

Victims:
Multiple sectors

Geo:
Tibetan, China, Chinese

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 7
Path: 3

Soft:
Windows Explorer

Algorithms:
ror13, xor, zip

Win API:
LoadLibraryW, LdrLoadDll, GetCommandLineW, CreateDirectoryW, MoveFileW, GetProcAddress, CreateProcessA, VirtualAlloc, EnumFontsW, LoadLibraryA, have more...

Win Services:
bits

Languages:
python

Links:
https://github.com/0xx0d4y/YaraRules/tree/main/MustangPanda
have more...
https://github.com/0xx0d4y/RE\_AutomationPythonScripts/tree/main/RE\_Automation/Mustang%20Panda%20-%20Voice%20if%20Voiceless%20Campaign