#ParsedReport #CompletenessMedium
10-10-2025

Astaroth: Banking Trojan Abusing GitHub for Resilience

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/astaroth-banking-trojan-abusing-github-for-resilience/

Report completeness: Medium

Threats:
Astaroth
Ngrok_tool
Steganography_technique

Victims:
Banking users, Cryptocurrency users

Industry:
Financial

Geo:
Ecuador, Chile, Panama, Portugal, Mexico, Uruguay, American, Venezuela, America, Bolivia, Brazil, Argentina, Peru, Colombia, Italy, Paraguay

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.003, T1027.009, T1041, T1055, T1056.001, T1059.007, T1071.004, T1090, have more...

IOCs:
File: 6
Url: 15
Hash: 9
Domain: 11

Soft:
chrome

Wallets:
metamask

Crypto:
binance

Algorithms:
zip

Languages:
delphi, autoit, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 1, code: 3, dump: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Astaroth - это сложный банковский троянец, нацеленный в первую очередь на Южную Америку и некоторые европейские страны с помощью фишинг-писем, в которых используется файл быстрого доступа Windows для установки вредоносного ПО. Он использует Регистрацию нажатий клавиш для сбора конфиденциальной информации с банковских сайтов и сайтов с криптовалютами и взаимодействует с обратным прокси-сервисом Ngrok. Вредоносное ПО разработано на Delphi, использует методы антианализа и обновляет свою тактику с помощью конфигураций, размещенных на GitHub, используя Стеганографию для скрытности и закрепления.
-----

Astaroth - это сложный банковский троян, идентифицированный как серьезная угроза, нацеленный в первую очередь на пользователей в Южной Америке и некоторых европейских странах. Вредоносное ПО получает первоначальный доступ с помощью фишинг-писем, содержащих ссылку на сжатый файл ярлыка Windows (.lnk). После выполнения этот файл устанавливает вредоносное ПО Astaroth. Одной из его примечательных особенностей является его способность определять, когда пользователи посещают банковские сайты или веб-сайты с криптовалютами, используя методы Регистрации нажатием клавиш для сбора конфиденциальных учетных данных. Затем украденные данные передаются злоумышленникам через службу обратного прокси-сервера Ngrok.

Astaroth отличается тем, что использует GitHub в качестве хостинга для своих конфигурационных файлов. Эта стратегия позволяет вредоносному ПО обновлять свою тактику работы, обходя традиционные зависимости сервера командования и контроля (C2). Встраивая соответствующую информацию в изображения с помощью Стеганографии в репозиториях GitHub, Astaroth остается устойчивым к попыткам удаления. Даже когда о вредоносных репозиториях сообщается и они удаляются, вредоносное ПО может продолжать функционировать благодаря своей способности извлекать сведения о конфигурации из альтернативных источников на GitHub.

Вредоносное ПО создано на Delphi и включает в себя различные методы антианализа, предназначенные для предотвращения обнаружения и анализа, включая самоуничтожение при обнаружении среды отладки. Механизм закрепления инфекции использует ярлык, размещенный в папке автозагрузки системы, который запускает сценарий автозагрузки для повторного запуска вредоносного ПО во время загрузки системы.

Связь с его инфраструктурой C2 осуществляется с помощью пользовательских двоичных протоколов, что еще больше усложняет меры обнаружения. Данные конфигурации зашифрованы и хранятся в файле с именем dump.log, что указывает на высокий уровень изощренности вредоносного ПО в защите своих рабочих параметров.

Оперативные детали, связанные с Astaroth, включают в себя нацеливание на многочисленные страны Южной Америки, такие как Бразилия, Аргентина и Колумбия, а также на части Европы, включая Португалию и Италию. Обнаружение McAfee этой кампании привело к их сотрудничеству с GitHub для окончательного удаления вредоносных репозиториев, что временно нарушило работу Astaroth's, но указывает на продолжающуюся борьбу с такими скрытыми киберугрозами. Широкое использование вредоносным ПО законных платформ, таких как GitHub, подчеркивает эволюционирующую тактику, используемую киберпреступниками для поддержания закрепления и уклонения от обнаружения во все более защищенной цифровой экосистеме.

#ParsedReport #CompletenessLow
06-10-2025

CrowdStrike Identifies Campaign Targeting Oracle E-Business Suite via Zero-Day Vulnerability (now tracked as CVE-2025-61882)

https://www.crowdstrike.com/en-us/blog/crowdstrike-identifies-campaign-targeting-oracle-e-business-suite-zero-day-CVE-2025-61882/

Report completeness: Low

Actors/Campaigns:
Ta505
0ktapus
Lapsus
Shinyhunters

Threats:
Clop

Victims:
Oracle e business suite users

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1505.003

IOCs:
Hash: 1
Email: 2

Soft:
Telegram

Algorithms:
sha256

Languages:
java

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена активная кампания по эксплуатации, нацеленная на приложения Oracle E-Business Suite (EBS) с помощью уязвимости zero-day (CVE-2025-61882), которая позволяет выполнять удаленный код без проверки подлинности. Группа GRACEFUL SPIDER взяла на себя ответственность за утечку данных с участием Oracle EBS, используя запросы GET и POST для загрузки вредоносного шаблона XSLT, который выполняет команды и развертывает Веб-шеллы. Определенные файлы Java, включая FileUtils.java и Log4jConfigQpgsubFilter.java , были идентифицированы как компоненты вредоносной полезной нагрузки.
-----

CrowdStrike выявила активную кампанию по эксплуатации приложений Oracle E-Business Suite (EBS), использующую недавно обнаруженную уязвимость zero-day, которая теперь обозначена как CVE-2025-61882. Эта уязвимость обеспечивает удаленное выполнение кода без проверки подлинности (RCE), позволяя злоумышленникам выполнять произвольный код без необходимости аутентификации.

29 сентября 2025 года хакерская группировка, известная как GRACEFUL SPIDER, взяла на себя ответственность за утечку данных, связанную с приложениями Oracle EBS, утверждая, что они получили доступ к данным и отфильтровали их. Вскоре после этого, 4 октября 2025 года, Oracle обнародовала информацию о CVE-2025-61882. Хотя в рекомендациях Oracle не указывалось на прямое использование в дикой природе, в них содержались индикаторы компрометации (IOCs), такие как подозрительные IP-адреса и поведение файлов, что позволяет предположить, что уязвимость действительно была использована.

Механизм использования включает в себя таргетинг на менеджер шаблонов Oracle XML Publisher. Злоумышленники отправляют запросы GET и POST, направленные на определенные URL-адреса в среде EBS, в частности /OA_HTML/RF.jsp и /OA_HTML/OA.jsp. Эти запросы используются для загрузки вредоносного шаблона XSLT, который при предварительном просмотре выполняет встроенные в него команды. Этот метод позволяет развернуть Веб-шелл с определенными идентифицированными файлами Java, включая FileUtils.java в качестве загрузчика и Log4jConfigQpgsubFilter.java функционирующий как Backdoor.

Аналитики разведывательной службы CrowdStrike выражают высокую степень уверенности в том, что один или несколько злоумышленников используют эту уязвимость zero-day в рамках скоординированной кампании по эксплуатации. Они подчеркивают срочность мониторинга этих действий, о чем свидетельствует предоставление шаблона правил обнаружения для клиентов Falcon следующего поколения SIEM, который фокусируется на выявлении подозрительного поведения процессов Java, указывающего на попытки эксплуатации, нацеленные на Oracle EBS.

#ParsedReport #CompletenessLow
10-10-2025

Google details Clop extortion campaign leveraging 0-day in Oracle E-Business Suite

https://www.orangecyberdefense.com/global/blog/cert-news/google-details-clop-extortion-campaign-leveraging-0-day-in-oracle-e-business-suite

Report completeness: Low

Threats:
Clop
Sageleaf
Sagewave_tool
Goldvein
Goldtomb

Victims:
Organizations running oracle e business suite

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1588.005

IOCs:
IP: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа программ-вымогателей Clop провела масштабную кампанию по вымогательству, используя уязвимость zero-day в Oracle E-Business Suite до того, как стало доступно исправление. Пик этой кампании пришелся на 29 сентября 2025 года, когда основное внимание уделялось руководителям высокого уровня с целью оказания давления на соблюдение требований о вымогательстве. Эксплойт позволяет получить доступ к конфиденциальным данным, что повышает срочность реагирования организаций и подчеркивает угрозу, исходящую от злоумышленников, которые используют незащищенные уязвимости.
-----

Google, наряду с GTIG и Mandiant, предоставили информацию о масштабной кампании вымогательства, проведенной группой программ-вымогателей Clop, которая воспользовалась ранее неизвестной (zero-day) уязвимостью в Oracle E-Business Suite. Эта эксплуатация произошла за несколько недель до выпуска Oracle исправления, предназначенного для устранения уязвимости. Кампания достигла апогея 29 сентября 2025 года, характеризуясь крупномасштабным вымогательством по электронной почте, направленным в первую очередь на руководителей различных организаций, использующих Oracle EBS.

Группа Clop известна своей агрессивной тактикой, и эта конкретная кампания свидетельствует об их способности использовать недавно обнаруженные уязвимости для максимального воздействия до того, как будут доступны меры по их устранению. Нацеливаясь конкретно на руководителей высокого уровня, Clop, вероятно, стремился оказать давление и ускорить выполнение их требований о вымогательстве, повышая их шансы на финансовую выгоду. Природа уязвимости в Oracle E-Business Suite облегчает злоумышленникам доступ к конфиденциальным данным, которые они могут угрожать раскрыть, что еще больше повышает срочность реагирования организаций.

Сочетание эксплойта zero-day и целевых кампаний по электронной почте подчеркивает эволюционирующий ландшафт киберугроз, в котором злоумышленники эффективно используют незащищенные уязвимости для выполнения своих операций. Организациям, использующим Oracle EBS, настоятельно рекомендуется как можно скорее устранить уязвимость, чтобы снизить риск, связанный с такой тактикой вымогательства, и повысить общую степень безопасности от подобных угроз в будущем.

#ParsedReport #CompletenessLow
11-10-2025

Weaponizing Discord for Command and Control Across npm, PyPI, and RubyGems.org

https://socket.dev/blog/weaponizing-discord-for-command-and-control

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Software supply chain, Open source package ecosystems

Geo:
Vietnamese, Turkish

TTPs:
Tactics: 3
Technics: 7

IOCs:
Url: 4
File: 22

Soft:
Discord

Win API:
gethostname

Languages:
python, ruby, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники используют Discord для операций командования и контроля (C2), специально ориентируясь на экосистемы разработчиков, такие как npm, PyPI и RubyGems.org для эксфильтрации данных. Их методы включают использование функций webhook для передачи конфиденциальной информации из таких файлов, как config.json и .env, которые часто содержат учетные данные и ключи API. Этот подход согласован с несколькими методами MITRE ATT&CK, включая эксфильтрацию данных, Автоматизировать эксфильтрацию и обнаружение небезопасных учетных данных.
-----

Злоумышленники начали использовать Discord как средство командования и контроля (C2), особенно нацеливая свои операции на такие экосистемы, как npm, PyPI и RubyGems.org для эксфильтрации данных. Традиционно эти акторы полагались на свою собственную инфраструктуру C2; однако недавние наблюдения исследовательской группы Socket по изучению угроз указывают на сдвиг в сторону использования Discord для использования возможностей webhook. Веб-хуки служат конечными точками HTTPS, которые сочетают числовой идентификатор с секретным токеном, позволяя неавторизованным пользователям отправлять данные по указанному каналу, не раскрывая никаких предварительных данных, что делает их эффективными для вредоносной эксфильтрации данных.

В экосистеме npm вредоносный код был идентифицирован как нацеленный на определенные конфигурационные файлы, такие как config.json, .env, ayarlar.js , и ayarlar.json—файлы, в которых часто хранятся настройки приложения, учетные данные пользователя и ключи API. Использование "ayarlar", что в переводе с турецкого означает "настройки", подчеркивает глобальный охват и лингвистическую адаптируемость этих атак.

Аналогичная тактика была отмечена с пакетами Python в экосистеме PyPI, где Discord функционирует как сервер C2, позволяя злоумышленникам беспрепятственно взаимодействовать со скомпрометированными системами или получать конфиденциальную информацию. В RubyGems.org среде, драгоценный камень sqlcommenter_rails был помечен для действий по эксфильтрации, демонстрируя упрощенную, но эффективную стратегию использования существующих инструментов в вредоносных целях.

Тактика, используемая в этих операциях, связана с несколькими техниками в рамках MITRE ATT&CK. Ключевые методы включают эксфильтрацию данных из локальных систем, Автоматизированную эксфильтрацию и использование преимуществ незащищенных учетных данных, найденных в файлах. Другие соответствующие методы включают тактику обнаружения для сбора системной информации и реквизитов учетной записи, что указывает на комплексный подход к компрометации и извлечению конфиденциальных данных.

#ParsedReport #CompletenessLow
10-10-2025

The Golden Scale: Bling Libra and the Evolving Extortion Economy

https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated, cyber_criminal)
0ktapus (motivation: cyber_criminal)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Sp1d3r_hunters
Crimson_collective (motivation: information_theft)

Threats:
Supply_chain_technique
Trufflehog_tool

Victims:
Retail sector, Hospitality sector

Industry:
Telco, Aerospace, Retail, Entertainment

Geo:
New york

Soft:
Salesforce, Telegram

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Lapsus$ Рассеянный ляпсус The Охотники, состоящие из членов таких групп, как Muddled Libra и Bling Libra, нацелены на сектор розничной торговли и гостиничного бизнеса с помощью скоординированных атак, направленных на эксфильтрацию данных с целью получения выкупа. Их тактика включает в себя изощренные методы вымогательства и внедрение модели "Вымогательство как услуга" для расширения своей преступной деятельности. Несмотря на заявления об уходе из киберпреступности, их недавнее сотрудничество с Crimson Collective предполагает сохраняющуюся значительную угрозу и потенциал для масштабных утечек данных.
-----

Появление Scattered Lapsus$ Охотники, которые могут состоять из членов групп Muddled Libra, Bling Libra и LAPSUS$, представили новую волну киберугроз, в первую очередь нацеленных на розничную торговлю и гостиничный сектор. Этот конгломерат, также известный как "Троица хаоса", участвовал в скоординированных атаках на клиентов Salesforce-арендаторов с целью извлечения конфиденциальных данных с целью получения выкупа. Их операции характеризуются значительным акцентом на тактику вымогательства, использованием сложных методов для проникновения в системы и получения ценной информации.

Одним из заметных изменений в этом ландшафте угроз является внедрение Bling Libra's модели "Вымогательство как услуга" (EAAs) 3 октября 2025 года. Этот сервис использует функциональность существующих форумов по киберпреступности, позволяя им расширить свой охват внутри преступного сообщества. В связи с этим Bling Libra сотрудничает с относительно новой группой, известной как Crimson Collective, что указывает на стратегический альянс, который повышает риск скоординированных усилий по вымогательству против целевых организаций.

Несмотря на заявления, сделанные Scattered Lapsus$ Говоря об уходе из своей деятельности по борьбе с киберпреступностью, отраслевые эксперты по-прежнему настроены скептически. Этот скептицизм подкрепляется быстрой чередой атак и сохраняющейся угрозой кражи данных с вымогательством в секторах розничной торговли и гостиничного бизнеса. Заявленный выход на пенсию, по-видимому, является временным прикрытием, поскольку их способность проводить значительные кибероперации все еще сохраняется.

Деятельность этих злоумышленников подчеркивает растущие риски, с которыми сталкиваются организации в этих отраслях. Межгрупповое сотрудничество, развивающиеся технологии и угрожающий потенциал масштабных утечек данных представляют собой серьезные проблемы, с которыми должны справляться предприятия, стремящиеся обезопасить свои данные и защититься от таких изощренных угроз. Организации должны сохранять бдительность и быть готовы к внедрению надежных мер кибербезопасности для снижения рисков, создаваемых этими эволюционирующими злоумышленниками в среде киберугроз.

#ParsedReport #CompletenessMedium
10-10-2025

WhatsApp Worm Targets Brazilian Banking Customers

https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/

Report completeness: Medium

Threats:
Coyote
Donut

Victims:
Whatsapp users, Banking customers

Industry:
Financial

Geo:
Brazil, Portuguese, Brazilian

CVEs:
CVE-2022-29072 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1204.002

IOCs:
Url: 1
File: 5
Domain: 4

Soft:
WhatsApp, selenium, Microsoft Defender

Algorithms:
zip, base64, 7zip

Languages:
powershell

Links:
https://github.com/Squirrel/Squirrel.Windows

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была начата хакерская кАмпания против пользователей WhatsApp в Бразилии, направленная на распространение самораспространяющегося червя, который использует зараженные веб-сессии. Червь распространяет Вредоносные файлы среди контактов, а после запуска устанавливает банковский троян, нацеленный на бразильские банковские системы и криптовалютные биржи. Эта операция основана на тактике социальной инженерии, направленной на использование доверия пользователей, что увеличивает риск кражи конфиденциальных финансовых данных.
-----

Недавно была развернута хакерская кАмпания по борьбе с киберугрозами, специально нацеленная на пользователей платформы обмена сообщениями WhatsApp в Бразилии. Кампания, начатая 29 сентября 2025 года, использует службу обмена сообщениями для распространения самораспространяющегося Worm. Механизм этой атаки использует зараженные веб-сеансы WhatsApp, когда червь отправляет Вредоносные файлы контактам жертвы в попытке дальнейшего распространения.

После запуска Вредоносного файла червь не только реплицируется в контактах жертвы в WhatsApp, но и устанавливает банковский троян, специально разработанный для нацеливания на бразильские банковские учреждения и криптовалютные биржи. Эта тактика подчеркивает модель двойной угрозы, в которой червь способствует как самораспространению, так и сбору конфиденциальных финансовых данных от пользователей из этой демографической группы.

Текущее расследование, проведенное исследователями из Подразделения по борьбе с угрозами (CTU), показывает, что эта кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов. Пользователям настоятельно рекомендуется быть осторожными с неожиданными сообщениями и вложениями, особенно от известных контактов, поскольку злоумышленники стремятся использовать фамильярность и доверие, присущие личному общению.

#ParsedReport #CompletenessLow
10-10-2025

BreachForums Seized (Yes, Again)

https://socradar.io/breachforums-seized-yes-again/

Report completeness: Low

Actors/Campaigns:
Scattered_lapsus_hunters
Shinyhunters
0ktapus

Victims:
Salesforce customers, Saas users

Industry:
Government

Geo:
French, New york, France

ChatGPT TTPs:
do not use without manual check
T1657, T1657.001, T1659

IOCs:
Domain: 1

Soft:
Salesforce, Telegram