#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость zero-day, CVE-2025-61882, была использована Cl0p ransomware group с оценкой CVSS 9,8. Эта уязвимость позволяет удаленно выполнять код по сети без аутентификации, позволяя злоумышленникам выполнять произвольный код в уязвимых системах Oracle. Простота эксплуатации значительно повышает риск успешных атак.
-----

Недавно выявленная уязвимость zero-day, обозначенная как CVE-2025-61882, была использована Cl0p ransomware group. Эта уязвимость является критической и получила оценку CVSS в 9,8 баллов из 10, что указывает на серьезную угрозу безопасности. Серьезная проблема связана с его возможностью использования по сети без каких-либо требований к аутентификации, что означает, что злоумышленникам не нужны имя пользователя и пароль для запуска эксплойта.

Природа этой уязвимости обеспечивает удаленное выполнение кода, позволяя злоумышленникам выполнять произвольный код в уязвимых системах. Простота эксплуатации значительно повышает вероятность успешных атак, поэтому организациям, использующим продукты Oracle, крайне важно применить недавнее исправление, выпущенное Oracle, чтобы снизить риск, связанный с этим недостатком, и защитить свои системы от потенциального использования.

#ParsedReport #CompletenessLow
07-10-2025

TamperedChef: Malvertising to Credential Theft

https://labs.withsecure.com/publications/tamperedchef

Report completeness: Low

Threats:
Tamperedchef

Victims:
European organizations

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1105, T1189, T1204.002, T1555.003, T1583.001

IOCs:
Domain: 3
File: 5
Url: 1

Soft:
Electron, NuGet

Languages:
javascript

Platforms:
x64

Links:
have more...
https://github.com/WithSecureLabs/iocs/tree/master/TamperedChef

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания вредоносного ПО TamperedChef нацелена на европейские организации посредством Вредоносной рекламы, маскирующейся под PDF-редактор, чтобы облегчить кражу учетных данных. Жертвы неосознанно загружают установщик Microsoft, который начинает собирать учетные данные браузера с помощью полезной нагрузки JavaScript после кажущегося законным процесса установки. По мере усиления контроля злоумышленники обновили версии своих приложений и внедрили новый инструмент S3-Forge, что свидетельствует об их адаптивности и продолжающихся операциях по краже учетных данных.
-----

TamperedChef - это кампания вредоносного ПО, которая использует тактику Вредоносной рекламы для облегчения кражи учетных данных, нацеленная на европейские организации. Кампания умело маскируется под законное приложение для редактирования PDF-файлов, привлекая пользователей с помощью хорошо продуманной рекламной стратегии. При нажатии на вредоносную рекламу жертвы перенаправляются на страницу загрузки, управляемую злоумышленниками, где они непреднамеренно устанавливают пакет Microsoft Installer (MSI), Маскировку под законное приложение. Этот установщик имеет диалоговое окно принятия лицензионного соглашения, которое служит для повышения его легитимности и позволяет обойти некоторые автоматизированные меры безопасности, включая обнаружение в изолированной среде.

Истинная функциональность вредоносного ПО была запущена 21 августа 2025 года, когда оно начало собирать учетные данные браузера, используя встроенную полезную нагрузку, расположенную в файле JavaScript с именем pdfeditor.js . В ответ на обнаружение вредоносной активности злоумышленники быстро выпустили обновленные версии приложения, в частности 1.0.40 и 1.0.41, в которых был удален вредоносный код и обфускация. Однако эти версии по-прежнему поддерживали подключения к инфраструктуре злоумышленников, что по-прежнему создавало риски для пользователей.

В ходе расследования исследователи выявили родственное приложение под названием AppSuite Print, которое имеет схожие атрибуты с редактором PDF. Созданный и подписанный 20 мая 2025 года, этот вариант содержал запутанный JavaScript-файл с именем appsuite-print.js, но, похоже, злоумышленники отказались от него, вероятно, из-за отсутствия интереса к утилитам печати по сравнению с редактированием PDF.

Поскольку кампания TamperedChef столкнулась с повышенным вниманием и обнаружением, ее операторы быстро адаптировались и перешли к разработке нового приложения, получившего название S3-Forge. Этот сдвиг указывает на постоянные усилия злоумышленников по поддержанию своей операционной эффективности, несмотря на неблагоприятные реакции на их вредоносную деятельность.

Усилия по обнаружению TamperedChef реализуются с помощью продуктов безопасности, использующих как общие, так и специфические сигнатуры для выявления и смягчения угрозы. Эти меры имеют решающее значение, учитывая способность злоумышленников быстро разрабатывать свои стратегии и инструменты, чтобы избежать обнаружения и продолжить свои операции по краже учетных данных.

#ParsedReport #CompletenessMedium
07-10-2025

Executive Summary

https://www.cloudsek.com/blog/an-insider-look-at-the-irgc-linked-apt35-operations

Report completeness: Medium

Actors/Campaigns:
Charming_kitten (motivation: cyber_espionage)
Irgc (motivation: cyber_espionage)

Threats:
Supply_chain_technique
Bellaciao
Credential_harvesting_technique
Sqlmap_tool
Acunetix_tool
Rtm_locker
Nmap_tool
Nuclei_tool
Routerscan_tool
Routersploit_tool
Adminer
Smishing_technique
Wpscan_tool
Dll_hijacking_technique
Credential_dumping_technique

Victims:
Government, Legal, Academic, Aviation, Energy, Financial services, Education, Judicial systems, Water utility, Defense contractor relationships, have more...

Industry:
Government, E-commerce, Critical_infrastructure, Transport, Energy, Education, Financial, Aerospace

Geo:
Iran, Saudi arabia, Palestine, Turkey, Middle east, India, Israeli, Iranian, Tehran, Qatar, Singapore, Saudi, Jordan, Asia, Azerbaijan, Israel, Usa, Oman

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-1708 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2012-1823 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2019-18935 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-11317 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-3506 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 0

IOCs:
Hash: 3

Soft:
Active Directory, MySQL, Burp Suite, Instagram, Telegram, Photoshop, cPanel, Starlink, ASP.NET, Twitter, have more...

Wallets:
atomicwallet, metamask

Crypto:
binance

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Анализ просочившихся материалов иранской группы кибершпионажа Charming Kitten (APT35) раскрывает их сложные операционные возможности, включая использование таких уязвимостей, как CVE-2024-1709, и массовое манипулирование DNS. Группа использует такие тактики, как пользовательские трояны удаленного доступа, продвинутые кампании фишинга и SQL-инъекции, уделяя особое внимание долгосрочному доступу и эксфильтрации данных из целевых секторов, включая правительство и финансы на Ближнем Востоке, в США и Азии. Их методы организованного шпионажа подчеркивают значительную угрозу национальной безопасности, особенно со стороны акторов, связанных с КСИР.
-----

CloudSEK провела анализ того, что, по-видимому, является существенной утечкой оперативных материалов, связанных с иранской кибершпионажной группой Charming Kitten, также известной как APT35. Этот набор данных содержит внутренние документы на персидском языке с подробной информацией о персонале, используемых инструментах и отчетах о стратегических кампаниях. Примечательно, что материал указывает на способность группы быстро использовать уязвимости, в частности CVE-2024-1709, и участвовать в массовых манипуляциях с DNS маршрутизаторами. Целевые секторы охватывают государственную, юридическую, академическую, авиационную, энергетическую и финансовую сферы, преимущественно на Ближнем Востоке, но также распространяются на США и некоторые районы Азии. Описанные операционные методы предполагают сосредоточение внимания на долгосрочном закреплении в целевых сетях, использовании Active Directory и значительной эксфильтрации данных.

Мастерство, продемонстрированное APT35, демонстрирует внедрение пользовательских троянов удаленного доступа (RATs), методы обхода систем обнаружения конечных точек и реагирования (EDR), а также продвинутые попытки фишинга. Оперативные данные подчеркивают возможность организованного шпионажа, создающего повышенные риски для Цепочек поставок и национальной безопасности, особенно со стороны акторов, связанных с КСИР.

Временная шкала операций освещает кампании по внедрению SQL и использование конкретных уязвимостей сетевых устройств, что указывает на сложный подход к компрометации инфраструктуры. Акторы использовали различные тактики социальной инженерии, очевидные в их кампаниях по фишингу, в которых приоритетное внимание уделялось сбору учетных записей от целевых ближневосточных организаций, и все они отражали интересы, связанные с иранской разведкой.

Отдельные роли в группе включали разработку вредоносного ПО и управление социальной инженерией, при этом значительное количество часов было потрачено на проекты, связанные с пользовательскими RATS и сложными кампаниями фишинга в Социальных сетях. Один оператор специализировался на создании инфраструктуры для многоплатформенного фишинга, включая значительную работу с криптовалютными платежными системами и профилирование в Социальных сетях.

Другой оператор сосредоточил свое внимание на сложных целенаправленных угрозах, обеспечивая долгосрочный доступ и обширную эксфильтрацию данных из скомпрометированных доменов, демонстрируя широкие возможности по поддержанию операционной безопасности с помощью таких методов, как компрометация инфраструктуры резервного копирования и обход EDR.

Анализ подчеркивает структурированную методологию, используемую Charming Kitten, с тщательным планированием инфраструктуры, методами наблюдения и использованием различных инструментов для быстрой эксплуатации и сбора данных. Повсеместное влияние группы и региональные стратегии нацеливания, особенно в правовом и правительственном секторах, подчеркивают значительную и непосредственную угрозу, которую они представляют как государственные акторы кибершпионажа.

#ParsedReport #CompletenessMedium
07-10-2025

Shuyal Stealer: Advanced Infostealer Targeting 19 Browsers

https://www.pointwild.com/threat-intelligence/shuyal-stealer-advanced-infostealer-targeting-19-browsers

Report completeness: Medium

Threats:
Shuyal
Credential_harvesting_technique
Trojan.w64.100925.shuyal

Victims:
Browser users

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1041, T1053.005, T1070.004, T1074.001, T1083, T1113, T1555.003, T1560

IOCs:
Hash: 2
File: 8
Url: 1
Path: 1

Soft:
Chrome, Discord, Telegram, Windows registry, Opera, Opera GX, Vivaldi, Chromium, Waterfox, Slimjet, have more...

Algorithms:
md5, sha256, zip

Win API:
TerminateProcess, CopyFileA, OpenClipboard, GetClipboardData, GdiplusStartup, BitBlt

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shuyal Стиллер - это сложное вредоносное ПО-стиллер-инфостилер, которое нацелено на 19 браузеров, облегчая обширный сбор данных с помощью системной разведки и захвата скриншотов, содержимого буфера обмена и конфиденциальных токенов. Он использует PowerShell для операций, локально архивирует украденные данные и извлекает их через Telegram, одновременно стирая следы, чтобы избежать обнаружения. Для обеспечения закрепления он интегрируется в папку автозагрузки Windows, что усложняет удаление, и использует целевые SQL-запросы для извлечения учетных данных из баз данных браузера.
-----

Shuyal Стиллер - это сложное вредоносное ПО-стиллер информации, предназначенное для 19 различных браузеров, выходящих за рамки типичных платформ, таких как Chrome и Edge. Широкий охват таргетинга значительно расширяет его возможности по сбору данных. В отличие от стандартных стиллеров, которые обычно фокусируются на простой краже учетных данных, Shuyal проводит всестороннюю разведку системы, собирая подробную информацию о дисководах, устройствах ввода и конфигурациях дисплея. Он еще больше усиливает кражу данных, захватывая скриншоты и содержимое буфера обмена, а также крадя конфиденциальные токены, например, из Discord. Эта собранная информация тайно отфильтровывается через инфраструктуру ботов Telegram, которая действует как канал удаленного командования и контроля для злоумышленника.

Вредоносное ПО использует скрипты PowerShell для своих операций, сжимая украденные данные в архив, хранящийся локально, перед отправкой его через Telegram. После эксфильтрации Shuyal выполняет очистку, удаляя как сжатый архив, так и любые отслеживаемые остатки базы данных в зараженной системе. Этот тщательный процесс сводит к минимуму следы криминалистической экспертизы, усложняя усилия по обнаружению и устранению последствий.

Чтобы усилить свое закрепление, Shuyal использует методы скрытого уклонения. Он интегрируется в папку автозагрузки Windows с помощью CopyFileA API, гарантируя автоматическую повторную активацию при каждой перезагрузке системы. Этот механизм саморепликации гарантирует его присутствие в зараженной системе, затрудняя пользователям и решениям безопасности его обнаружение и удаление.

Возможности Shuyal's по краже данных особенно расширяются благодаря его способности извлекать учетные данные для входа в систему из файла "Login Data" — базы данных SQLite, которая хранит имена пользователей и URL-адреса в различных браузерах. Его целевые SQL—запросы к этим базам данных обеспечивают эффективный сбор учетных записей, что в сочетании с его способностью ориентироваться на широкий спектр веб—браузеров, включая нишевые, такие как Falkon, Epic и некоторые другие, значительно повышает его эффективность в качестве инструмента credential-stealing.

Чтобы уменьшить угрозу, исходящую от Shuyal Стиллера, пользователям рекомендуется загружать свои системы в безопасном режиме с подключением к сети и использовать антивирусные решения, такие как UltraAV, который распознает вредоносное ПО под обозначением Trojan.W64.100925.Shuyal.ГОД.

#technique #llm

LLM Poisoning [1/3] - Reading the Transformer's Thoughts

https://www.synacktiv.com/en/publications/llm-poisoning-13-reading-the-transformers-thoughts.html

#ParsedReport #CompletenessMedium
08-10-2025

APT PROFILE HAFNIUM

https://www.cyfirma.com/research/apt-profile-hafnium/

Report completeness: Medium

Actors/Campaigns:
Hafnium (motivation: cyber_espionage)

Threats:
Covenant_tool
Impacket_tool
Nishang_tool
Powercat_tool
Chinachopper
Aspxspy_shell
Tarrask
Plugx_rat
Whitebird
Seo_poisoning_technique
Password_spray_technique
Credential_dumping_technique

Victims:
Critical sectors, Supply chains, Iot networks, Cloud services, Sharepoint servers

Industry:
Iot, Healthcare, Education, Government

Geo:
Japan, United kingdom, Australia, Vietnam, Mexico, America, China, Chinese

CVEs:
CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-0688 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 13
Technics: 44

Soft:
Microsoft SharePoint, PsExec

Languages:
powershell

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Hafnium - это спонсируемая китайским государством сложная целенаправленная угроза, связанная с Министерством государственной безопасности, нацеленная на глобальную критически важную инфраструктуру с помощью передовых методов кибершпионажа. Их недавние действия включают использование уязвимости Microsoft SharePoint для компрометации тысяч серверов и смещение акцента на угрозы Цепочки поставок и Интернета вещей. Группа использует поисковую систему SEO poisoning ( employso employs, чтобы направлять пользователей на вредоносные загрузки, и использует многоуровневую контрактную модель для разработки сложных инструментов кибератак, усложняющих атрибуцию атак.
-----

Hafnium - это спонсируемая китайским государством APT группировка, связанная с Министерством государственной безопасности (MSS). Известный своими изощренными усилиями по кибершпионажу, Hafnium нацелен на критически важные сектора инфраструктуры по всему миру. Группа использует передовые методы атак и часто сотрудничает с технологическими фирмами по контракту для расширения своих оперативных возможностей.

Одно из недавних значительных действий, приписываемых Hafnium, связано с использованием уязвимости в Microsoft SharePoint. Этот конкретный недостаток позволил группе скомпрометировать тысячи серверов, продемонстрировав свою способность использовать конкретные уязвимости программного обеспечения для широкомасштабного воздействия. В дополнение к SharePoint недавние кампании Hafnium уделяли особое внимание угрозам Цепочки поставок и Интернета вещей (IoT), отмечая заметный сдвиг в сторону этих областей. Группа использует тактику Отравления поисковой оптимизации (SEO) для манипулирования результатами поисковой системы, направляя пользователей по ссылкам для скачивания вредоносного программного обеспечения, тем самым способствуя дальнейшему заражению.

Hafnium работает по многоуровневой контрактной модели, в рамках которой она сотрудничает с номинально частными китайскими фирмами для разработки специализированных инструментов кибератак. Такой сетевой подход не только усложняет приписывание атак Hafnium, но и предоставляет группе разнообразный и сложный инструментарий для проведения операций. Их сосредоточенность на постоянном сборе разведывательной информации с помощью скомпрометированных Цепочек поставок и сетей Интернета вещей указывает на стратегическую цель обеспечения устойчивого доступа к критически важным данным и системам.

#ParsedReport #CompletenessLow
08-10-2025

The Exploitation of Legitimate Remote Access Tools in Modern Ransomware Campaigns

https://www.seqrite.com/blog/exploiting-legitimate-remote-access-tools-in-ransomware-campaigns/

Report completeness: Low

Threats:
Anydesk_tool
Ultraviewer_tool
Rustdesk_tool
Clonedesk_tool
Splashtop_tool
Wevtutil_tool
Shadow_copies_delete_technique
Lolbin_technique
Lockbit
Targetcompany
D3adcrypt
Makop
Phobos
Dharma
Shinra_ransomware
Medusalocker
C3rb3r
Lolkek
Spiderprey
Ryuk
Lockxxx
Ransomhub
Proxima

TTPs:
Tactics: 7
Technics: 7

IOCs:
Path: 2
File: 5
Registry: 1

Soft:
AppAnywhere, TightVNC

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Современные кампании программ-вымогателей используют законные ПО для удаленного доступа (RATs) для усиления своих атак, следуя многоэтапному процессу, известному как цепочка уничтожения программ-вымогателей. Злоумышленники обычно получают первоначальный доступ путем компрометации учетных данных с помощью атак методом перебора на RDP и SMB, часто нацеливаясь на учетные записи администраторов. Оказавшись внутри, они устанавливают постоянный контроль, изменяя ключи реестра и запланированные задачи, в конечном счете внедряя программы-вымогатели, сводя к минимуму обнаружение с помощью таких тактик, как отключение мер безопасности и использование двоичных файлов Living-off-the-Land.
-----

Современные кампании вымогателей превратились во все более изощренные угрозы, которые используют законные ПО для удаленного доступа (RATs) для улучшения своих стратегий атак. Эти злоумышленники выполняют многоэтапный процесс атаки, известный как цепочка уничтожения программ-вымогателей, который включает в себя ряд методов, направленных на получение первоначального доступа, постоянный контроль и, в конечном счете, выполнение самой полезной нагрузки программ-вымогателей.

На этапе первоначального доступа злоумышленники часто компрометируют учетные данные с помощью атак методом перебора на конечные точки Протокола удаленного рабочего стола (RDP) и Server Message Block (SMB), иногда используя повторное использование учетных данных в результате предыдущих утечек. Основное внимание уделяется настройке учетных записей администраторов для эффективного получения максимальных привилегий. Как только доступ получен, злоумышленники используют RAT, что позволяет им действовать скрытно, перехватывая существующие сеансы или устанавливая инструменты незаметно, не вызывая подозрений. Это достигается с помощью таких методов, как перечисление установленных RATs и изменение конфигураций для включения учетных данных злоумышленника, при этом избегается создание новых файлов или процессов, которые могли бы сигнализировать об их присутствии.

Обеспечение закрепления и консолидации привилегий имеет решающее значение в этих кампаниях. Злоумышленники изменяют ключи Изменения реестра и запланированные задачи, чтобы гарантировать автоматический запуск RATs даже после перезагрузки системы. Они могут повысить привилегии, запустив RATs как систему, чтобы получить более высокие уровни доступа. Кроме того, они часто манипулируют политиками безопасности и отключают антивирусное программное обеспечение, создавая среду, благоприятствующую их деятельности, и сводя к минимуму риск обнаружения.

На этапе развертывания полезной нагрузки злоумышленники усиливают свои операции, отключая меры безопасности, очищая журналы событий и используя двоичные файлы Living-off-the-Land (LOLBins), такие как PowerShell, для выполнения вредоносных команд. Эта тактика скрывает их действия в сети, способствуя успешному внедрению программ-вымогателей, которые впоследствии шифруют критически важные организационные данные. Эти действия завершаются изменением учетных данных для RATs, чтобы предотвратить административное исправление, и эффективной блокировкой учетных записей, которая может помешать усилиям по восстановлению.

Варианты программ-вымогателей, такие как LockBit и Black, иллюстрируют эти методики в реальных атаках. По мере развития этих операций они все больше характеризуются автоматизацией и использованием облачных технологий, что свидетельствует об изменении ландшафта угроз.

Чтобы противостоять рискам, связанным со злоупотреблениями RAT в программах-вымогателях, организации должны применять многоуровневый подход к защите, который объединяет механизмы управления, мониторинга и быстрого реагирования. Сопоставляя тактику, методы и процедуры, используемые противниками, с такими платформами, как MITRE ATT&CK, команды безопасности могут лучше подготовиться к защите от этих развивающихся угроз.

#ParsedReport #CompletenessLow
08-10-2025

New CipherWolf RaaS, Oracle EBS 0Day Exploit & Money Laundering Service Detected on Hacker Forums

https://socradar.io/cipherwolf-raas-oracle-ebs-0day-money-laundering-service-hacker-forums/

Report completeness: Low

Threats:
Cipherwolf
Blitz_tool
Shadow_copies_delete_technique

Victims:
Industrial machinery and equipment sector, Google email users, Windows systems users

Geo:
United kingdom

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1486, T1489, T1490, T1588

Soft:
Telegram, Active Directory

Languages:
rust