#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Италия столкнулась с ростом числа киберугроз, включая схемы фишинга, нацеленные на правительственных пользователей и пользователей университетов, а также внедрение вредоносного ПО, такого как PureLogs infostealer и Klopatra Android RAT, что позволяет осуществлять широкий контроль над устройствами. Примечательно, что киберпреступная группа DATACARRY осуществила утечку данных примерно с 870 000 учетных записей. Кроме того, активно используются многочисленные уязвимости zero-day, в том числе CVE-2025-10035, влияющие на Fortra GoAnywhere, и серьезные риски, связанные с CVE-2025-5777, позволяющие получить несанкционированный доступ к конфиденциальным данным в сети FEMA.
-----

В Италии участились кампании фишинга, нацеленные на пользователей Sistema Tessera Sanitaria и университеты, использующие логотипы законных учреждений для обмана пользователей. Идентифицированы два варианта вредоносного ПО: infostealer PureLogs, связанный с заказами на покупку, и Rhadamanthys, связанный с Booking.com счета-фактуры. Новая Android-крыса под названием Klopatra, приписываемая тюркоязычным злоумышленникам, позволяет осуществлять полный контроль над устройством, кражу данных и мошеннические транзакции, усложняя обнаружение благодаря интеграции в Virbox. Киберпреступная группа DATACARRY несет ответственность за взлом Miljdata, в результате которого была раскрыта информация примерно с 870 000 учетных записей. Harrods сообщила о нарушении, затронувшем 430 000 клиентов электронной коммерции, связанных со сторонним поставщиком, в то время как WestJet подтвердила компромисс, связанный с конфиденциальной информацией клиентов. Allianz Life выявил нарушение, затронувшее почти 1,5 миллиона человек, приписываемое ShinyHunters, а Crimson Collective заявила о взломе частных репозиториев Red Hat на GitHub. Активное использование уязвимостей включает CVE-2025-10035 в Fortra GoAnywhere, влияющих на десериализацию ненадежных данных, CVE-2021-21311 в программном обеспечении администратора для подделки запросов на стороне сервера, CVE-2025-20352 в Cisco IOS для потенциального удаленного выполнения кода, CVE-2025-59689 в Libraesva ESG для ввода команд, и CVE-2025-32463 в Sudo для несанкционированного выполнения команды. CVE-2025-41244 в продуктах VMware связан с UNC5174 для локального повышения привилегий, в то время как CVE-2025-5777, известный как CitrixBleed 2.0, позволяет обойти Многофакторную аутентификацию, что приводит к несанкционированному доступу к конфиденциальным персональным данным и побуждает к действиям Министерство внутренней безопасности.

#ParsedReport #CompletenessMedium
06-10-2025

NGC4141: East Asian group attacks custom web applications

https://rt-solar.ru/solar-4rays/blog/6097/

Report completeness: Medium

Actors/Campaigns:
Ngc4141 (motivation: cyber_espionage)

Threats:
Netstat_tool
Proxychains_tool
Hping3_tool
Netcat_tool
Nmap_tool
Wso_webshell
Godzilla_webshell

Victims:
Custom web applications

Industry:
Telco

Geo:
Russian, Asia, Moscow, Asian, Korea

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 8
IP: 14
Hash: 17

Soft:
WordPress, Bitrix, curl, docker, vim-cmd, sudo

Algorithms:
aes-256, aes-256-cbc, base64, md5, xor, aes, cbc, sha1, sha256

Functions:
getBasicsInfo, eval

Win API:
readfile

Languages:
python, php

Platforms:
x64

Links:
https://github.com/808Mak1r/GodzillaSource/blob/main/src/main/resources/shell/php/template/base64.bin
have more...
https://github.com/mIcHyAmRaNe/wso-webshell/blob/master/wso.php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NGC4141, злоумышленник, базирующийся в Восточной Азии, нацеливается на пользовательские веб-приложения, используя сложные методы атак, которые используют уязвимости, характерные для этих специализированных решений, которым часто не хватает надежных мер безопасности более распространенного программного обеспечения. Хотя в статье не указаны точные уязвимости или используемые методы атак, в ней подчеркивается растущая тенденция, когда индивидуальные приложения создают уникальные проблемы безопасности, что делает их более восприимчивыми к продвинутым угрозам. Сосредоточение внимания на таких приложениях подчеркивает эволюционирующий характер киберугроз и важность устранения недостатков в области безопасности в процессе разработки.
-----

Группа, идентифицированная как NGC4141, предположительно базирующаяся в Восточной Азии, нацеливалась на пользовательские веб-приложения с помощью сложных методов атаки. Группа использует различные уязвимости, характерные для этих специализированных решений, в которых могут отсутствовать стандартные меры безопасности, применяемые в более распространенных программных платформах. Хотя в статье не указаны точные уязвимости, используемые NGC4141, подразумевается, что пользовательские веб-приложения, возможно, не были тщательно протестированы против того же спектра векторов атак, с которыми сталкивались более широко используемые платформы, что потенциально делает их более восприимчивыми к продвинутым угрозам.

Деятельность группы подчеркивает важную тенденцию в области киберугроз, когда злоумышленники сосредотачиваются на специализированных веб-приложениях. Пользовательские приложения часто включают в себя уникальное кодирование и функциональность, что приводит к потенциальным упущениям при реализации безопасности. Эти упущения могут стать критическими точками входа для киберугроз, позволяя злоумышленникам обходить средства контроля безопасности, которые могут быть стандартными в более коммерчески доступном программном обеспечении.

Дальнейшие подробности о конкретных методах или инструментах, используемых NGC4141 в своих атаках, не были раскрыты, что оставляет пробел в понимании их оперативной методологии. Однако их сосредоточенность на веб-приложениях вызывает обеспокоенность у организаций, которые полагаются на такие индивидуальные системы, подчеркивая необходимость строгих методов обеспечения безопасности, таких как регулярные оценки уязвимостей и внедрение стандартов безопасного кодирования, для снижения рисков, создаваемых такими злоумышленниками.

Текущая деятельность NGC4141 служит напоминанием о меняющейся природе киберугроз, особенно тех, которые конкретно нацелены на уникальный ландшафт пользовательских программных приложений. Организациям настоятельно рекомендуется сохранять бдительность и обеспечивать наличие надежной защиты от целенаправленных атак, использующих специфические уязвимости, присущие пользовательской разработке.

Мы всегда топили за то, что "в лоб" использовать ИИ для работы с TI - плохая идея.
На разных конфах я рассказывал какие части анализа можно отдавать на откуп ИИ достаточно безопасно, а какие требуют доп. валидации, вплоть до ручной проверки.

Вот интересная новость в эту тему https://www.rbc.ru/technology_and_media/07/10/2025/68e4c63c9a79476d758073d8

#ParsedReport #CompletenessMedium
07-10-2025

Mustang Panda Employ Publoader Through ClaimLoader: Yes.. another DLL Side-Loading Technique Delivery via Phishing

https://0x0d4y.blog/mustang-panda-employ-publoader-through-claimloader-yes-another-dll-side-loading-technique-delivery-via-phishing/

Report completeness: Medium

Actors/Campaigns:
Red_delta

Threats:
Dll_sideloading_technique
Publoader_tool
Claimloader
Veletrix
Icedid

Victims:
Multiple sectors

Geo:
Tibetan, China, Chinese

TTPs:
Tactics: 2
Technics: 2

IOCs:
File: 7
Path: 3

Soft:
Windows Explorer

Algorithms:
ror13, xor, zip

Win API:
LoadLibraryW, LdrLoadDll, GetCommandLineW, CreateDirectoryW, MoveFileW, GetProcAddress, CreateProcessA, VirtualAlloc, EnumFontsW, LoadLibraryA, have more...

Win Services:
bits

Languages:
python

Links:
https://github.com/0xx0d4y/YaraRules/tree/main/MustangPanda
have more...
https://github.com/0xx0d4y/RE\_AutomationPythonScripts/tree/main/RE\_Automation/Mustang%20Panda%20-%20Voice%20if%20Voiceless%20Campaign

#ParsedReport #ExtractedSchema

Classified images:
table: 1, dump: 8, windows: 4, code: 13, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mustang Panda, хакерская группировка, связанная с Китаем, использует метод DLL side-loading с помощью фишинга, предоставляя полезную нагрузку, содержащуюся в .ZIP-файл для загрузки вредоносной библиотеки DLL, libjyy.dll , функционирующий как Claimloader. Это вредоносное ПО выполняет расшифровку строки с помощью XOR для загрузки API и обрабатывает аргументы командной строки для управления путями выполнения. Вредоносное ПО также допускает извлечение шеллкода и отражает операционные схемы, наблюдаемые в других группах, занимающихся сложными целенаправленными угрозами, что указывает на общий набор инструментов и эволюционирующую тактику в ландшафте угроз.
-----

Mustang Panda, хакерская группировка, связанная с Китаем, использовала в своих операциях метод DLL side-loading, используя метод фишинга для доставки полезных данных. Механизм доставки включает в себя файл-приманку, содержащийся в .ZIP-архив, который был замечен в предыдущих кампаниях с участием других злоумышленников, связанных с Китаем. Основная функция этой приманки заключается в загрузке вредоносной библиотеки DLL с именем libjyy.dll , который действует как основной компонент вредоносного ПО.

После изучения libjyy.dll , он раскрывает свою роль в качестве Claimloader, в первую очередь ответственного за выполнение различных функций. Ключевым аспектом его работы является расшифровка строк, выполняемая с помощью простой операции XOR с однобайтовым ключом. Эта процедура расшифровки имеет решающее значение, поскольку она динамически загружает API, необходимые для выделения, внедрения и выполнения последующих этапов, включая Publoader.

Claimloader предназначен для обработки аргументов командной строки. Он определяет свое поведение в зависимости от того, присутствует или отсутствует допустимый аргумент, что приводит к различным путям выполнения внутри кода. В сценариях, где правильный аргумент не обнаружен, Claimloader запустит альтернативные пути выполнения кода, чтобы обеспечить непрерывную работу в зараженной системе.

Кроме того, возможности вредоносного ПО распространяются на извлечение шеллкода, что возможно с помощью инструментов динамического анализа, таких как x32dbg. Этот процесс включает в себя правильную идентификацию и извлечение шелл-кода из памяти, который впоследствии может быть проанализирован на предмет его функциональности. Первоначальные попытки проанализировать извлеченный шеллкод с помощью таких инструментов, как Malcat или IDA Pro, могут столкнуться с трудностями, что указывает на необходимость специальных методологий, адаптированных для обработки таких образцов.

Оперативные методологии, рассмотренные в этом расследовании, отражают более широкие закономерности, обнаруженные в других кампаниях по борьбе с наисложнейшими целенаправленными угрозами, связанных с Китаем, что позволяет предположить наличие общего набора методов и тактики у этих злоумышленников. В целом, этот случай иллюстрирует ландшафт постоянных угроз, характеризуемый эволюционирующей тактикой таких групп, как Mustang Panda, что подтверждает важность постоянного мониторинга и анализа в сфере разведки киберугроз.

#ParsedReport #CompletenessLow
07-10-2025

Phishing from Home The Hidden Danger in Remote Jobs Lurking in Tesla, Google, Ferrari, and Glassdoor

https://cofense.com/blog/phishing-from-home-the-hidden-danger-in-remote-jobs

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Job seekers, Social media roles, Marketing roles

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002, T1585.001, T1586.003, T1589, T1606.003

IOCs:
Url: 9
IP: 10

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В третьем квартале 2024 года кампания фишинга была нацелена на специалистов по Социальным сетям и маркетингу, которые выдавали себя за компании из списка Fortune 500 с помощью поддельных заявлений о приеме на работу. Злоумышленники использовали поддельные Адреса эл. почты и создали многоэтапный процесс с использованием CAPTCHA и поддельной целевой страницы Glassdoor для сбора учетных данных электронной почты и Facebook, а также запрашивали резюме для повышения аутентичности. Этот метод ознаменовал собой отход от традиционной тактики, ориентированной исключительно на PII, что указывает на эволюцию стратегий фишинга.
-----

В третьем квартале 2024 года Центр защиты от фишинга Cofense (PDC) раскрыл кампанию фишинга, направленную на отдельных лиц в Социальных сетях и на маркетинговые роли, которые использовали поддельные заявления о приеме на работу, выдавая себя за несколько известных компаний из списка Fortune 500, включая Tesla, Google, Ferrari и Glassdoor. Эта тенденция нацеливания на лиц, ищущих работу, с помощью изощренных методов фишинга демонстрирует, как злоумышленники становятся все более искусными в разработке правдоподобных сценариев для обмана жертв. Кампания основана на более ранних выводах PDC относительно использования сведений о резюме в аналогичных атаках "Spear Phishing" при подаче заявления о приеме на работу.

Чтобы повысить легитимность кампании, злоумышленники использовали Адреса эл. почты, подделывающие известные бренды, в частности, используя "messaging-service@post.xero.com ". Несмотря на то, что Xero является законной компанией, ее инфраструктура ранее использовалась киберпреступниками, что позволило злоумышленникам увеличить шансы обойти меры безопасности и завоевать доверие своих целей. Эта тактика подчеркивает растущую зависимость злоумышленников от доверенных доменов для облегчения своих схем.

Кампания по фишингу включала в себя многоэтапный процесс, который начинался со страницы с капчей и приводил к поддельной целевой странице Glassdoor. Эта страница была стратегически разработана для того, чтобы побудить жертв либо ввести свои учетные данные электронной почты напрямую, либо войти в систему через поддельный портал Facebook с целью получения информации для входа в Facebook. Заметным изменением в кампании стало включение запросов на резюме, что ознаменовало отход от предыдущей тактики, которая была сосредоточена исключительно на получении информации, позволяющей установить личность (PII), такой как полное имя, номер телефона и адрес. Попросив кандидатов загрузить свои резюме, злоумышленники еще больше усилили иллюзию подлинности, тем самым увеличив вероятность успешного компрометации и позволив собрать дополнительные персональные данные для последующих усилий по социальной инженерии.

#ParsedReport #CompletenessMedium
06-10-2025

Investigating active exploitation of CVE-2025-10035 GoAnywhere Managed File Transfer vulnerability

https://www.microsoft.com/en-us/security/blog/2025/10/06/investigating-active-exploitation-of-cve-2025-10035-goanywhere-managed-file-transfer-vulnerability/

Report completeness: Medium

Actors/Campaigns:
Storm-1175 (motivation: cyber_criminal)

Threats:
Medusa_ransomware
Simplehelp_tool
Meshagent_tool
Netscan_tool
Rclone_tool
Nltest_tool
Bitsadmin_tool

Victims:
Organizations, Goanywhere mft users

CVEs:
CVE-2025-10035 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 7
Hash: 4
IP: 3

Soft:
GoAnywhere, Microsoft Defender, Microsoft Defender for Endpoint, Twitter

Algorithms:
sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
18 сентября 2025 года была обнаружена критическая уязвимость десериализации (CVE-2025-10035) в программном обеспечении Fortra's GoAnywhere MFT с оценкой CVSS 10,0, затрагивающая версии вплоть до 7.8.3. Эта уязвимость позволяет злоумышленникам, в частности связанным с группой Storm-1175, известной как Medusa ransomware, обходить сигнатуру проверка и, возможно, выполнение удаленного кода посредством внедрения команд через десериализованные объекты. Действия по эксплуатации были отмечены Microsoft Threat Intelligence незадолго до раскрытия информации, что подчеркнуло текущие риски, связанные с этим недостатком.
-----

18 сентября 2025 года Fortra раскрыла критическую уязвимость десериализации в программном обеспечении GoAnywhere Managed File Transfer (MFT), идентифицированную как CVE-2025-10035, которая имеет максимальную оценку CVSS 10,0. Эта уязвимость затрагивает сервлет лицензирования GoAnywhere MFT версий до 7.8.3 и может позволить злоумышленникам использовать процесс десериализации. В частности, злоумышленник может обойти проверку подписи, используя поддельную подпись ответа на лицензию, что позволяет ему десериализовать произвольные объекты, контролируемые злоумышленником. Этот недостаток может привести к вводу команд и потенциальному удаленному выполнению кода (RCE).

Microsoft Threat Intelligence связала киберпреступную деятельность, связанную с этой уязвимостью, с группой, известной как Storm-1175. Эта группа признана за внедрение Medusa ransomware и известна тем, что использует общедоступные приложения для первоначального доступа. Доказательства эксплуатационной деятельности, приписываемой Storm-1175, были обнаружены 11 сентября 2025 года, что соответствует их известной тактике, методам и процедурам (TTP).

В ответ на обнаруженную уязвимость исследователи Microsoft Defender предприняли активные меры для защиты клиентов. Они усовершенствовали инструменты управления уязвимостями Microsoft, чтобы точно идентифицировать все устройства, затронутые CVE-2025-10035, в среде клиентов. Кроме того, был обновлен Microsoft Defender для Endpoint, чтобы улучшить возможности обнаружения и оповещения по всей цепочке атак, связанных с этой уязвимостью.

Несмотря на принятые меры оповещения и защиты, Корпорация Майкрософт также посоветовала пользователям Microsoft Defender XDR использовать отчеты аналитики угроз, доступные на портале Defender, для получения последней информации о Storm-1175, их вредоносных действиях и рекомендуемых действиях по устранению угроз. В частности, эта информация имеет решающее значение для организаций, чтобы усилить свою защиту от использования CVE-2025-10035 и эффективно управлять связанными с этим рисками.

#ParsedReport #CompletenessMedium
06-10-2025

Fake Microsoft Teams Installers Deliver Oyster Backdoor

https://socradar.io/fake-microsoft-teams-installers-oyster-backdoor/

Report completeness: Medium

Threats:
Oyster
Seo_poisoning_technique

Victims:
Companies, It managers, Microsoft teams users, Healthcare, Finance, Professional services

Industry:
Financial, Healthcare

TTPs:
Tactics: 1
Technics: 3

IOCs:
File: 1
Domain: 5
IP: 3
Hash: 9

Soft:
Microsoft Teams

Algorithms:
sha256, sha1, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберугрозы были связаны с поддельными установщиками Microsoft Teams, распространяемыми с помощью вредоносной рекламы и Отравления поисковой оптимизации(SEO), что приводит пользователей к поддельным веб-сайтам, где они загружают файлы, содержащие Backdoor. Oyster (Broomstick), который используется для использования в качестве бэкдора. Это стойкое вредоносное ПО обеспечивает злоумышленникам долгосрочный доступ, запуская вредоносный DLL-файл через rundll32.exe обработка и создание запланированных задач. Ключевые показатели компрометации включают домен "teams-install.icu" и конкретные хэши файлов, что указывает на значительный риск для организаций, особенно в таких секторах, как здравоохранение и финансы.
-----

Недавние киберугрозы, связанные с поддельными установщиками Microsoft Teams, продемонстрировали сохраняющуюся эффективность вредоносной рекламы и Отравления поисковой оптимизации (SEO) в качестве методов выполнения атак. Злоумышленники использовали измененный рейтинг в поисковых системах и вводящие в заблуждение ссылки для скачивания Microsoft Teams, приводя ничего не подозревающих пользователей на поддельные веб-сайты. Здесь они по незнанию загрузили установочные файлы, которые содержали Oyster (Broomstick) Backdoor. Этот бэкдор функционирует как стойкое вредоносное ПО, обеспечивая злоумышленникам долгосрочный доступ.

Процесс заражения инициируется пользователями, нажимающими на вводящие в заблуждение объявления и искажающие результаты поиска. После нажатия жертвы перенаправляются на мошеннические сайты, с которых они загружают установщики, которые кажутся законными, но содержат вредоносные компоненты. Бэкдор Oyster особенно примечателен своей способностью сохранять скрытность с помощью таких тактик, как создание запланированных задач. В частности, в нем используются следующие rundll32.exe процесс регулярного выполнения вредоносного DLL-файла, гарантирующий сохранение его функциональности даже после перезагрузки компьютера.

К целевым лицам в первую очередь относятся компании и ИТ-менеджеры, особенно в таких отраслях, как здравоохранение, финансы и профессиональные услуги. Глобальный характер этой кампании обусловлен ее опорой на широко используемые Поисковые системы, что делает широкую аудиторию уязвимой для атак. Ключевые показатели компрометации (IOCs), связанные с этой кампанией, включают домен "teams-install.icu", а также конкретные IP-адреса и хэши файлов, связанные с зараженными установщиками.

Чтобы усилить усилия по обнаружению и предотвращению, организациям рекомендуется отслеживать необычные действия rundll32, отслеживать новые запланированные задачи и тщательно проверять загрузки, происходящие из ненадежных источников. Внедрение строгого контроля за загрузкой программного обеспечения, ограничение доступа к официальным доменам поставщиков и информирование персонала о рисках, связанных с Вредоносной рекламой, являются важными мерами по смягчению этих угроз.

Предприятиям также следует включать аналитические каналы об угрозах, чтобы оставаться в курсе IOCS, использовать список разрешенных приложений для предотвращения попадания исполняемых файлов в папки, доступные для записи пользователем, и применять меры сетевой безопасности для блокировки известных вредоносных доменов и IP-адресов. Кампания подчеркивает необходимость постоянного мониторинга и оперативного реагирования на инциденты, чтобы быстро изолировать скомпрометированные конечные точки и предпринять шаги по устранению неполадок в случае заражения. Поскольку все больше злоумышленников используют надежные бренды и популярные приложения для распространения продвинутых угроз, таких как бэкдор Oyster, для организаций крайне важно сохранять бдительность в целях защиты конфиденциальных данных и ресурсов.

#ParsedReport #CompletenessLow
07-10-2025

Bifrost Burned: Dissecting Asgard Protectors Defenses

https://spycloud.com/blog/asgard-protector-crypter-analysis/

Report completeness: Low

Actors/Campaigns:
Shinyhunters

Threats:
Asgard_protector_tool
Adwind_rat
X2anylock
Lumma_stealer
Rhadamanthys
Cypherit
Acr_stealer
Quasar_rat
Vidar_stealer

ChatGPT TTPs:
do not use without manual check
T1036.005, T1059, T1059.003, T1074.001, T1105, T1140, T1204.002

IOCs:
File: 3

Soft:
Telegram

Algorithms:
rc4, lznt1

Languages:
autoit