#ParsedReport #CompletenessLow
10-10-2025
Google details Clop extortion campaign leveraging 0-day in Oracle E-Business Suite
https://www.orangecyberdefense.com/global/blog/cert-news/google-details-clop-extortion-campaign-leveraging-0-day-in-oracle-e-business-suite
Report completeness: Low
Threats:
Clop
Sageleaf
Sagewave_tool
Goldvein
Goldtomb
Victims:
Organizations running oracle e business suite
CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1190, T1588.005
IOCs:
IP: 1
10-10-2025
Google details Clop extortion campaign leveraging 0-day in Oracle E-Business Suite
https://www.orangecyberdefense.com/global/blog/cert-news/google-details-clop-extortion-campaign-leveraging-0-day-in-oracle-e-business-suite
Report completeness: Low
Threats:
Clop
Sageleaf
Sagewave_tool
Goldvein
Goldtomb
Victims:
Organizations running oracle e business suite
CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1190, T1588.005
IOCs:
IP: 1
Orangecyberdefense
0-day vulnerability exploited by Cl0p
Discover the details behind a critical vulnerability in Oracle's BI Publisher module that is exploited by cybercriminals, posing a significant threat to organizations worldwide.
CTT Report Hub
#ParsedReport #CompletenessLow 10-10-2025 Google details Clop extortion campaign leveraging 0-day in Oracle E-Business Suite https://www.orangecyberdefense.com/global/blog/cert-news/google-details-clop-extortion-campaign-leveraging-0-day-in-oracle-e-business…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей Clop провела масштабную кампанию по вымогательству, используя уязвимость zero-day в Oracle E-Business Suite до того, как стало доступно исправление. Пик этой кампании пришелся на 29 сентября 2025 года, когда основное внимание уделялось руководителям высокого уровня с целью оказания давления на соблюдение требований о вымогательстве. Эксплойт позволяет получить доступ к конфиденциальным данным, что повышает срочность реагирования организаций и подчеркивает угрозу, исходящую от злоумышленников, которые используют незащищенные уязвимости.
-----
Google, наряду с GTIG и Mandiant, предоставили информацию о масштабной кампании вымогательства, проведенной группой программ-вымогателей Clop, которая воспользовалась ранее неизвестной (zero-day) уязвимостью в Oracle E-Business Suite. Эта эксплуатация произошла за несколько недель до выпуска Oracle исправления, предназначенного для устранения уязвимости. Кампания достигла апогея 29 сентября 2025 года, характеризуясь крупномасштабным вымогательством по электронной почте, направленным в первую очередь на руководителей различных организаций, использующих Oracle EBS.
Группа Clop известна своей агрессивной тактикой, и эта конкретная кампания свидетельствует об их способности использовать недавно обнаруженные уязвимости для максимального воздействия до того, как будут доступны меры по их устранению. Нацеливаясь конкретно на руководителей высокого уровня, Clop, вероятно, стремился оказать давление и ускорить выполнение их требований о вымогательстве, повышая их шансы на финансовую выгоду. Природа уязвимости в Oracle E-Business Suite облегчает злоумышленникам доступ к конфиденциальным данным, которые они могут угрожать раскрыть, что еще больше повышает срочность реагирования организаций.
Сочетание эксплойта zero-day и целевых кампаний по электронной почте подчеркивает эволюционирующий ландшафт киберугроз, в котором злоумышленники эффективно используют незащищенные уязвимости для выполнения своих операций. Организациям, использующим Oracle EBS, настоятельно рекомендуется как можно скорее устранить уязвимость, чтобы снизить риск, связанный с такой тактикой вымогательства, и повысить общую степень безопасности от подобных угроз в будущем.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа программ-вымогателей Clop провела масштабную кампанию по вымогательству, используя уязвимость zero-day в Oracle E-Business Suite до того, как стало доступно исправление. Пик этой кампании пришелся на 29 сентября 2025 года, когда основное внимание уделялось руководителям высокого уровня с целью оказания давления на соблюдение требований о вымогательстве. Эксплойт позволяет получить доступ к конфиденциальным данным, что повышает срочность реагирования организаций и подчеркивает угрозу, исходящую от злоумышленников, которые используют незащищенные уязвимости.
-----
Google, наряду с GTIG и Mandiant, предоставили информацию о масштабной кампании вымогательства, проведенной группой программ-вымогателей Clop, которая воспользовалась ранее неизвестной (zero-day) уязвимостью в Oracle E-Business Suite. Эта эксплуатация произошла за несколько недель до выпуска Oracle исправления, предназначенного для устранения уязвимости. Кампания достигла апогея 29 сентября 2025 года, характеризуясь крупномасштабным вымогательством по электронной почте, направленным в первую очередь на руководителей различных организаций, использующих Oracle EBS.
Группа Clop известна своей агрессивной тактикой, и эта конкретная кампания свидетельствует об их способности использовать недавно обнаруженные уязвимости для максимального воздействия до того, как будут доступны меры по их устранению. Нацеливаясь конкретно на руководителей высокого уровня, Clop, вероятно, стремился оказать давление и ускорить выполнение их требований о вымогательстве, повышая их шансы на финансовую выгоду. Природа уязвимости в Oracle E-Business Suite облегчает злоумышленникам доступ к конфиденциальным данным, которые они могут угрожать раскрыть, что еще больше повышает срочность реагирования организаций.
Сочетание эксплойта zero-day и целевых кампаний по электронной почте подчеркивает эволюционирующий ландшафт киберугроз, в котором злоумышленники эффективно используют незащищенные уязвимости для выполнения своих операций. Организациям, использующим Oracle EBS, настоятельно рекомендуется как можно скорее устранить уязвимость, чтобы снизить риск, связанный с такой тактикой вымогательства, и повысить общую степень безопасности от подобных угроз в будущем.
#ParsedReport #CompletenessLow
11-10-2025
Weaponizing Discord for Command and Control Across npm, PyPI, and RubyGems.org
https://socket.dev/blog/weaponizing-discord-for-command-and-control
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Software supply chain, Open source package ecosystems
Geo:
Vietnamese, Turkish
TTPs:
Tactics: 3
Technics: 7
IOCs:
Url: 4
File: 22
Soft:
Discord
Win API:
gethostname
Languages:
python, ruby, javascript
11-10-2025
Weaponizing Discord for Command and Control Across npm, PyPI, and RubyGems.org
https://socket.dev/blog/weaponizing-discord-for-command-and-control
Report completeness: Low
Threats:
Supply_chain_technique
Victims:
Software supply chain, Open source package ecosystems
Geo:
Vietnamese, Turkish
TTPs:
Tactics: 3
Technics: 7
IOCs:
Url: 4
File: 22
Soft:
Discord
Win API:
gethostname
Languages:
python, ruby, javascript
Socket
Weaponizing Discord for Command and Control Across npm, PyPI...
Socket researchers uncover how threat actors weaponize Discord across the npm, PyPI, and RubyGems ecosystems to exfiltrate sensitive data.
CTT Report Hub
#ParsedReport #CompletenessLow 11-10-2025 Weaponizing Discord for Command and Control Across npm, PyPI, and RubyGems.org https://socket.dev/blog/weaponizing-discord-for-command-and-control Report completeness: Low Threats: Supply_chain_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют Discord для операций командования и контроля (C2), специально ориентируясь на экосистемы разработчиков, такие как npm, PyPI и RubyGems.org для эксфильтрации данных. Их методы включают использование функций webhook для передачи конфиденциальной информации из таких файлов, как config.json и .env, которые часто содержат учетные данные и ключи API. Этот подход согласован с несколькими методами MITRE ATT&CK, включая эксфильтрацию данных, Автоматизировать эксфильтрацию и обнаружение небезопасных учетных данных.
-----
Злоумышленники начали использовать Discord как средство командования и контроля (C2), особенно нацеливая свои операции на такие экосистемы, как npm, PyPI и RubyGems.org для эксфильтрации данных. Традиционно эти акторы полагались на свою собственную инфраструктуру C2; однако недавние наблюдения исследовательской группы Socket по изучению угроз указывают на сдвиг в сторону использования Discord для использования возможностей webhook. Веб-хуки служат конечными точками HTTPS, которые сочетают числовой идентификатор с секретным токеном, позволяя неавторизованным пользователям отправлять данные по указанному каналу, не раскрывая никаких предварительных данных, что делает их эффективными для вредоносной эксфильтрации данных.
В экосистеме npm вредоносный код был идентифицирован как нацеленный на определенные конфигурационные файлы, такие как config.json, .env, ayarlar.js , и ayarlar.json—файлы, в которых часто хранятся настройки приложения, учетные данные пользователя и ключи API. Использование "ayarlar", что в переводе с турецкого означает "настройки", подчеркивает глобальный охват и лингвистическую адаптируемость этих атак.
Аналогичная тактика была отмечена с пакетами Python в экосистеме PyPI, где Discord функционирует как сервер C2, позволяя злоумышленникам беспрепятственно взаимодействовать со скомпрометированными системами или получать конфиденциальную информацию. В RubyGems.org среде, драгоценный камень sqlcommenter_rails был помечен для действий по эксфильтрации, демонстрируя упрощенную, но эффективную стратегию использования существующих инструментов в вредоносных целях.
Тактика, используемая в этих операциях, связана с несколькими техниками в рамках MITRE ATT&CK. Ключевые методы включают эксфильтрацию данных из локальных систем, Автоматизированную эксфильтрацию и использование преимуществ незащищенных учетных данных, найденных в файлах. Другие соответствующие методы включают тактику обнаружения для сбора системной информации и реквизитов учетной записи, что указывает на комплексный подход к компрометации и извлечению конфиденциальных данных.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Злоумышленники используют Discord для операций командования и контроля (C2), специально ориентируясь на экосистемы разработчиков, такие как npm, PyPI и RubyGems.org для эксфильтрации данных. Их методы включают использование функций webhook для передачи конфиденциальной информации из таких файлов, как config.json и .env, которые часто содержат учетные данные и ключи API. Этот подход согласован с несколькими методами MITRE ATT&CK, включая эксфильтрацию данных, Автоматизировать эксфильтрацию и обнаружение небезопасных учетных данных.
-----
Злоумышленники начали использовать Discord как средство командования и контроля (C2), особенно нацеливая свои операции на такие экосистемы, как npm, PyPI и RubyGems.org для эксфильтрации данных. Традиционно эти акторы полагались на свою собственную инфраструктуру C2; однако недавние наблюдения исследовательской группы Socket по изучению угроз указывают на сдвиг в сторону использования Discord для использования возможностей webhook. Веб-хуки служат конечными точками HTTPS, которые сочетают числовой идентификатор с секретным токеном, позволяя неавторизованным пользователям отправлять данные по указанному каналу, не раскрывая никаких предварительных данных, что делает их эффективными для вредоносной эксфильтрации данных.
В экосистеме npm вредоносный код был идентифицирован как нацеленный на определенные конфигурационные файлы, такие как config.json, .env, ayarlar.js , и ayarlar.json—файлы, в которых часто хранятся настройки приложения, учетные данные пользователя и ключи API. Использование "ayarlar", что в переводе с турецкого означает "настройки", подчеркивает глобальный охват и лингвистическую адаптируемость этих атак.
Аналогичная тактика была отмечена с пакетами Python в экосистеме PyPI, где Discord функционирует как сервер C2, позволяя злоумышленникам беспрепятственно взаимодействовать со скомпрометированными системами или получать конфиденциальную информацию. В RubyGems.org среде, драгоценный камень sqlcommenter_rails был помечен для действий по эксфильтрации, демонстрируя упрощенную, но эффективную стратегию использования существующих инструментов в вредоносных целях.
Тактика, используемая в этих операциях, связана с несколькими техниками в рамках MITRE ATT&CK. Ключевые методы включают эксфильтрацию данных из локальных систем, Автоматизированную эксфильтрацию и использование преимуществ незащищенных учетных данных, найденных в файлах. Другие соответствующие методы включают тактику обнаружения для сбора системной информации и реквизитов учетной записи, что указывает на комплексный подход к компрометации и извлечению конфиденциальных данных.
#ParsedReport #CompletenessLow
10-10-2025
The Golden Scale: Bling Libra and the Evolving Extortion Economy
https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated, cyber_criminal)
0ktapus (motivation: cyber_criminal)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Sp1d3r_hunters
Crimson_collective (motivation: information_theft)
Threats:
Supply_chain_technique
Trufflehog_tool
Victims:
Retail sector, Hospitality sector
Industry:
Telco, Aerospace, Retail, Entertainment
Geo:
New york
Soft:
Salesforce, Telegram
Links:
10-10-2025
The Golden Scale: Bling Libra and the Evolving Extortion Economy
https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/
Report completeness: Low
Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated, cyber_criminal)
0ktapus (motivation: cyber_criminal)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Sp1d3r_hunters
Crimson_collective (motivation: information_theft)
Threats:
Supply_chain_technique
Trufflehog_tool
Victims:
Retail sector, Hospitality sector
Industry:
Telco, Aerospace, Retail, Entertainment
Geo:
New york
Soft:
Salesforce, Telegram
Links:
https://github.com/trufflesecurity/trufflehogUnit 42
The Golden Scale: Bling Libra and the Evolving Extortion Economy
Scattered Lapsus$ Hunters: Organizations, be aware of the effort of this cybercriminal alliance as they target retail and hospitality for extortion.
CTT Report Hub
#ParsedReport #CompletenessLow 10-10-2025 The Golden Scale: Bling Libra and the Evolving Extortion Economy https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/ Report completeness: Low Actors/Campaigns: Shinyhunters (motivation: information_theft…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
The Scattered Lapsus$ Рассеянный ляпсус The Охотники, состоящие из членов таких групп, как Muddled Libra и Bling Libra, нацелены на сектор розничной торговли и гостиничного бизнеса с помощью скоординированных атак, направленных на эксфильтрацию данных с целью получения выкупа. Их тактика включает в себя изощренные методы вымогательства и внедрение модели "Вымогательство как услуга" для расширения своей преступной деятельности. Несмотря на заявления об уходе из киберпреступности, их недавнее сотрудничество с Crimson Collective предполагает сохраняющуюся значительную угрозу и потенциал для масштабных утечек данных.
-----
Появление Scattered Lapsus$ Охотники, которые могут состоять из членов групп Muddled Libra, Bling Libra и LAPSUS$, представили новую волну киберугроз, в первую очередь нацеленных на розничную торговлю и гостиничный сектор. Этот конгломерат, также известный как "Троица хаоса", участвовал в скоординированных атаках на клиентов Salesforce-арендаторов с целью извлечения конфиденциальных данных с целью получения выкупа. Их операции характеризуются значительным акцентом на тактику вымогательства, использованием сложных методов для проникновения в системы и получения ценной информации.
Одним из заметных изменений в этом ландшафте угроз является внедрение Bling Libra's модели "Вымогательство как услуга" (EAAs) 3 октября 2025 года. Этот сервис использует функциональность существующих форумов по киберпреступности, позволяя им расширить свой охват внутри преступного сообщества. В связи с этим Bling Libra сотрудничает с относительно новой группой, известной как Crimson Collective, что указывает на стратегический альянс, который повышает риск скоординированных усилий по вымогательству против целевых организаций.
Несмотря на заявления, сделанные Scattered Lapsus$ Говоря об уходе из своей деятельности по борьбе с киберпреступностью, отраслевые эксперты по-прежнему настроены скептически. Этот скептицизм подкрепляется быстрой чередой атак и сохраняющейся угрозой кражи данных с вымогательством в секторах розничной торговли и гостиничного бизнеса. Заявленный выход на пенсию, по-видимому, является временным прикрытием, поскольку их способность проводить значительные кибероперации все еще сохраняется.
Деятельность этих злоумышленников подчеркивает растущие риски, с которыми сталкиваются организации в этих отраслях. Межгрупповое сотрудничество, развивающиеся технологии и угрожающий потенциал масштабных утечек данных представляют собой серьезные проблемы, с которыми должны справляться предприятия, стремящиеся обезопасить свои данные и защититься от таких изощренных угроз. Организации должны сохранять бдительность и быть готовы к внедрению надежных мер кибербезопасности для снижения рисков, создаваемых этими эволюционирующими злоумышленниками в среде киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
The Scattered Lapsus$ Рассеянный ляпсус The Охотники, состоящие из членов таких групп, как Muddled Libra и Bling Libra, нацелены на сектор розничной торговли и гостиничного бизнеса с помощью скоординированных атак, направленных на эксфильтрацию данных с целью получения выкупа. Их тактика включает в себя изощренные методы вымогательства и внедрение модели "Вымогательство как услуга" для расширения своей преступной деятельности. Несмотря на заявления об уходе из киберпреступности, их недавнее сотрудничество с Crimson Collective предполагает сохраняющуюся значительную угрозу и потенциал для масштабных утечек данных.
-----
Появление Scattered Lapsus$ Охотники, которые могут состоять из членов групп Muddled Libra, Bling Libra и LAPSUS$, представили новую волну киберугроз, в первую очередь нацеленных на розничную торговлю и гостиничный сектор. Этот конгломерат, также известный как "Троица хаоса", участвовал в скоординированных атаках на клиентов Salesforce-арендаторов с целью извлечения конфиденциальных данных с целью получения выкупа. Их операции характеризуются значительным акцентом на тактику вымогательства, использованием сложных методов для проникновения в системы и получения ценной информации.
Одним из заметных изменений в этом ландшафте угроз является внедрение Bling Libra's модели "Вымогательство как услуга" (EAAs) 3 октября 2025 года. Этот сервис использует функциональность существующих форумов по киберпреступности, позволяя им расширить свой охват внутри преступного сообщества. В связи с этим Bling Libra сотрудничает с относительно новой группой, известной как Crimson Collective, что указывает на стратегический альянс, который повышает риск скоординированных усилий по вымогательству против целевых организаций.
Несмотря на заявления, сделанные Scattered Lapsus$ Говоря об уходе из своей деятельности по борьбе с киберпреступностью, отраслевые эксперты по-прежнему настроены скептически. Этот скептицизм подкрепляется быстрой чередой атак и сохраняющейся угрозой кражи данных с вымогательством в секторах розничной торговли и гостиничного бизнеса. Заявленный выход на пенсию, по-видимому, является временным прикрытием, поскольку их способность проводить значительные кибероперации все еще сохраняется.
Деятельность этих злоумышленников подчеркивает растущие риски, с которыми сталкиваются организации в этих отраслях. Межгрупповое сотрудничество, развивающиеся технологии и угрожающий потенциал масштабных утечек данных представляют собой серьезные проблемы, с которыми должны справляться предприятия, стремящиеся обезопасить свои данные и защититься от таких изощренных угроз. Организации должны сохранять бдительность и быть готовы к внедрению надежных мер кибербезопасности для снижения рисков, создаваемых этими эволюционирующими злоумышленниками в среде киберугроз.
#ParsedReport #CompletenessMedium
10-10-2025
WhatsApp Worm Targets Brazilian Banking Customers
https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/
Report completeness: Medium
Threats:
Coyote
Donut
Victims:
Whatsapp users, Banking customers
Industry:
Financial
Geo:
Brazil, Portuguese, Brazilian
CVEs:
CVE-2022-29072 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
T1105, T1204.002
IOCs:
Url: 1
File: 5
Domain: 4
Soft:
WhatsApp, selenium, Microsoft Defender
Algorithms:
zip, base64, 7zip
Languages:
powershell
Links:
10-10-2025
WhatsApp Worm Targets Brazilian Banking Customers
https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/
Report completeness: Medium
Threats:
Coyote
Donut
Victims:
Whatsapp users, Banking customers
Industry:
Financial
Geo:
Brazil, Portuguese, Brazilian
CVEs:
CVE-2022-29072 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
ChatGPT TTPs:
do not use without manual checkT1105, T1204.002
IOCs:
Url: 1
File: 5
Domain: 4
Soft:
WhatsApp, selenium, Microsoft Defender
Algorithms:
zip, base64, 7zip
Languages:
powershell
Links:
https://github.com/Squirrel/Squirrel.WindowsSophos
WhatsApp Worm Targets Brazilian Banking Customers
Counter Threat Unit™ (CTU) researchers are investigating multiple incidents in an ongoing campaign targeting users of the WhatsApp messaging platform. The campaign, which started on September 29, 2025, is focused on Brazil and seeks to trick users into executing…
CTT Report Hub
#ParsedReport #CompletenessMedium 10-10-2025 WhatsApp Worm Targets Brazilian Banking Customers https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/ Report completeness: Medium Threats: Coyote Donut Victims: Whatsapp…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была начата хакерская кАмпания против пользователей WhatsApp в Бразилии, направленная на распространение самораспространяющегося червя, который использует зараженные веб-сессии. Червь распространяет Вредоносные файлы среди контактов, а после запуска устанавливает банковский троян, нацеленный на бразильские банковские системы и криптовалютные биржи. Эта операция основана на тактике социальной инженерии, направленной на использование доверия пользователей, что увеличивает риск кражи конфиденциальных финансовых данных.
-----
Недавно была развернута хакерская кАмпания по борьбе с киберугрозами, специально нацеленная на пользователей платформы обмена сообщениями WhatsApp в Бразилии. Кампания, начатая 29 сентября 2025 года, использует службу обмена сообщениями для распространения самораспространяющегося Worm. Механизм этой атаки использует зараженные веб-сеансы WhatsApp, когда червь отправляет Вредоносные файлы контактам жертвы в попытке дальнейшего распространения.
После запуска Вредоносного файла червь не только реплицируется в контактах жертвы в WhatsApp, но и устанавливает банковский троян, специально разработанный для нацеливания на бразильские банковские учреждения и криптовалютные биржи. Эта тактика подчеркивает модель двойной угрозы, в которой червь способствует как самораспространению, так и сбору конфиденциальных финансовых данных от пользователей из этой демографической группы.
Текущее расследование, проведенное исследователями из Подразделения по борьбе с угрозами (CTU), показывает, что эта кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов. Пользователям настоятельно рекомендуется быть осторожными с неожиданными сообщениями и вложениями, особенно от известных контактов, поскольку злоумышленники стремятся использовать фамильярность и доверие, присущие личному общению.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Была начата хакерская кАмпания против пользователей WhatsApp в Бразилии, направленная на распространение самораспространяющегося червя, который использует зараженные веб-сессии. Червь распространяет Вредоносные файлы среди контактов, а после запуска устанавливает банковский троян, нацеленный на бразильские банковские системы и криптовалютные биржи. Эта операция основана на тактике социальной инженерии, направленной на использование доверия пользователей, что увеличивает риск кражи конфиденциальных финансовых данных.
-----
Недавно была развернута хакерская кАмпания по борьбе с киберугрозами, специально нацеленная на пользователей платформы обмена сообщениями WhatsApp в Бразилии. Кампания, начатая 29 сентября 2025 года, использует службу обмена сообщениями для распространения самораспространяющегося Worm. Механизм этой атаки использует зараженные веб-сеансы WhatsApp, когда червь отправляет Вредоносные файлы контактам жертвы в попытке дальнейшего распространения.
После запуска Вредоносного файла червь не только реплицируется в контактах жертвы в WhatsApp, но и устанавливает банковский троян, специально разработанный для нацеливания на бразильские банковские учреждения и криптовалютные биржи. Эта тактика подчеркивает модель двойной угрозы, в которой червь способствует как самораспространению, так и сбору конфиденциальных финансовых данных от пользователей из этой демографической группы.
Текущее расследование, проведенное исследователями из Подразделения по борьбе с угрозами (CTU), показывает, что эта кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов. Пользователям настоятельно рекомендуется быть осторожными с неожиданными сообщениями и вложениями, особенно от известных контактов, поскольку злоумышленники стремятся использовать фамильярность и доверие, присущие личному общению.
#ParsedReport #CompletenessLow
10-10-2025
BreachForums Seized (Yes, Again)
https://socradar.io/breachforums-seized-yes-again/
Report completeness: Low
Actors/Campaigns:
Scattered_lapsus_hunters
Shinyhunters
0ktapus
Victims:
Salesforce customers, Saas users
Industry:
Government
Geo:
French, New york, France
ChatGPT TTPs:
T1657, T1657.001, T1659
IOCs:
Domain: 1
Soft:
Salesforce, Telegram
10-10-2025
BreachForums Seized (Yes, Again)
https://socradar.io/breachforums-seized-yes-again/
Report completeness: Low
Actors/Campaigns:
Scattered_lapsus_hunters
Shinyhunters
0ktapus
Victims:
Salesforce customers, Saas users
Industry:
Government
Geo:
French, New york, France
ChatGPT TTPs:
do not use without manual checkT1657, T1657.001, T1659
IOCs:
Domain: 1
Soft:
Salesforce, Telegram
SOCRadar® Cyber Intelligence Inc.
BreachForums Seized (Yes, Again)
The U.S. Department of Justice, FBI, and France’s BL2C cybercrime unit, with support from the Paris Prosecutor’s Office, have seized the latest BreachForums
CTT Report Hub
#ParsedReport #CompletenessLow 10-10-2025 BreachForums Seized (Yes, Again) https://socradar.io/breachforums-seized-yes-again/ Report completeness: Low Actors/Campaigns: Scattered_lapsus_hunters Shinyhunters 0ktapus Victims: Salesforce customers, Saas…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Захват домена BreachForums властями США и Франции существенно меняет ситуацию с киберпреступностью, особенно оказывая воздействие на ShinyHunters и Scattered Lapsus$ Группа охотников. ShinyHunters превратилась из хакерского форума в платформу для вымогательства, сосредоточившись на угрозах программ-вымогателей в отношении клиентов Salesforce. Тем временем, Scattered Lapsus$ Охотники сочетают тактику социальной инженерии, такую как вишинг, с использованием уязвимостей SaaS для нацеливания на корпоративных клиентов, демонстрируя эволюционирующую изощренность стратегий киберпреступников.
-----
Недавний захват домена BreachForums Министерством юстиции США, ФБР и подразделением по борьбе с киберпреступностью BL2C во Франции представляет собой значительное нарушение в сфере киберпреступности, особенно затрагивающее группу, известную как ShinyHunters, и формирующийся коллектив под названием Scattered Lapsus$ Охотники. После первоначального ареста основателя BreachForums Конора Фитцпатрика в марте 2023 года и последующего захвата его первого домена в июне 2023 года сайт был перезапущен, но быстро превратился в платформу для вымогательства, направленную на использование украденных данных у клиентов Salesforce, которые отказались выполнять требования о выкупе.
Деятельность ShinyHunters в настоящее время претерпела изменения, и группа подтвердила захват посредством заявления, подписанного PGP. Деятельность группы превратилась из хакерского форума в оперативный сайт по вымогательству, демонстрирующий адаптивную стратегию перед лицом репрессий со стороны правоохранительных органов. Хронология BreachForums отражает картину турбулентности и возрождения, начиная с его первоначального создания и заканчивая последним захватом 10 октября 2025 года во время активной кампании по вымогательству Salesforce.
Scattered Lapsus$ Альянс Hunters, в который входят участники из Scattered Spider, LAPSUS$ и ShinyHunters, фокусируется на тактике социальной инженерии, в частности на "вишинге" (голосовом фишинге) и использовании уязвимостей в подключенных приложениях. Их основными целями часто являются корпоративные клиенты, использующие платформы SaaS, что подчеркивает растущую угрозу, которую представляют такие группы. Использование сложных методов для обхода мер безопасности подчеркивает растущую тенденцию в поведении киберпреступников, когда злоумышленники используют как традиционные методы взлома, так и социальные манипуляции.
В свете этих изменений непрерывный мониторинг Dark Web имеет решающее значение для организаций в целях снижения рисков. Платформы мониторинга могут дать представление о потенциальном воздействии, перемещениях акторов и утечке данных, помогая службам безопасности реагировать на угрозы до их эскалации. Возможность получать оповещения в режиме реального времени, связанные с известными злоумышленниками, позволяет разрабатывать стратегии проактивной защиты, подчеркивая необходимость бдительности в условиях быстро меняющейся ситуации с киберугрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Захват домена BreachForums властями США и Франции существенно меняет ситуацию с киберпреступностью, особенно оказывая воздействие на ShinyHunters и Scattered Lapsus$ Группа охотников. ShinyHunters превратилась из хакерского форума в платформу для вымогательства, сосредоточившись на угрозах программ-вымогателей в отношении клиентов Salesforce. Тем временем, Scattered Lapsus$ Охотники сочетают тактику социальной инженерии, такую как вишинг, с использованием уязвимостей SaaS для нацеливания на корпоративных клиентов, демонстрируя эволюционирующую изощренность стратегий киберпреступников.
-----
Недавний захват домена BreachForums Министерством юстиции США, ФБР и подразделением по борьбе с киберпреступностью BL2C во Франции представляет собой значительное нарушение в сфере киберпреступности, особенно затрагивающее группу, известную как ShinyHunters, и формирующийся коллектив под названием Scattered Lapsus$ Охотники. После первоначального ареста основателя BreachForums Конора Фитцпатрика в марте 2023 года и последующего захвата его первого домена в июне 2023 года сайт был перезапущен, но быстро превратился в платформу для вымогательства, направленную на использование украденных данных у клиентов Salesforce, которые отказались выполнять требования о выкупе.
Деятельность ShinyHunters в настоящее время претерпела изменения, и группа подтвердила захват посредством заявления, подписанного PGP. Деятельность группы превратилась из хакерского форума в оперативный сайт по вымогательству, демонстрирующий адаптивную стратегию перед лицом репрессий со стороны правоохранительных органов. Хронология BreachForums отражает картину турбулентности и возрождения, начиная с его первоначального создания и заканчивая последним захватом 10 октября 2025 года во время активной кампании по вымогательству Salesforce.
Scattered Lapsus$ Альянс Hunters, в который входят участники из Scattered Spider, LAPSUS$ и ShinyHunters, фокусируется на тактике социальной инженерии, в частности на "вишинге" (голосовом фишинге) и использовании уязвимостей в подключенных приложениях. Их основными целями часто являются корпоративные клиенты, использующие платформы SaaS, что подчеркивает растущую угрозу, которую представляют такие группы. Использование сложных методов для обхода мер безопасности подчеркивает растущую тенденцию в поведении киберпреступников, когда злоумышленники используют как традиционные методы взлома, так и социальные манипуляции.
В свете этих изменений непрерывный мониторинг Dark Web имеет решающее значение для организаций в целях снижения рисков. Платформы мониторинга могут дать представление о потенциальном воздействии, перемещениях акторов и утечке данных, помогая службам безопасности реагировать на угрозы до их эскалации. Возможность получать оповещения в режиме реального времени, связанные с известными злоумышленниками, позволяет разрабатывать стратегии проактивной защиты, подчеркивая необходимость бдительности в условиях быстро меняющейся ситуации с киберугрозами.
#ParsedReport #CompletenessHigh
10-10-2025
New Stealit Campaign Abuses Node.js Single Executable Application
https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application
Report completeness: High
Threats:
Stealit
Procmon_tool
Dll_injection_technique
Ettercap_tool
Process_hacker_tool
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
T1005, T1027, T1059.007, T1071.001, T1105, T1204.002, T1555.003, T1583.003, T1584.001
IOCs:
File: 44
Domain: 2
Path: 17
Registry: 3
Url: 12
Command: 1
Hash: 12
Coin: 4
Soft:
Node.js, Telegram, Electron, PyInstaller, Discord, Android, VirtualBox, visual studio, Windows Defender, Brotli, have more...
Wallets:
exodus_wallet, metamask, coinbase, binancechain, tronlink, coin98, math_wallet, yoroi, guarda_wallet, jaxxx_liberty, have more...
Algorithms:
base64, aes-256-gcm
Languages:
visual_basic, powershell
Platforms:
x86
Links:
have more...
10-10-2025
New Stealit Campaign Abuses Node.js Single Executable Application
https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application
Report completeness: High
Threats:
Stealit
Procmon_tool
Dll_injection_technique
Ettercap_tool
Process_hacker_tool
TTPs:
Tactics: 2
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1027, T1059.007, T1071.001, T1105, T1204.002, T1555.003, T1583.003, T1584.001
IOCs:
File: 44
Domain: 2
Path: 17
Registry: 3
Url: 12
Command: 1
Hash: 12
Coin: 4
Soft:
Node.js, Telegram, Electron, PyInstaller, Discord, Android, VirtualBox, visual studio, Windows Defender, Brotli, have more...
Wallets:
exodus_wallet, metamask, coinbase, binancechain, tronlink, coin98, math_wallet, yoroi, guarda_wallet, jaxxx_liberty, have more...
Algorithms:
base64, aes-256-gcm
Languages:
visual_basic, powershell
Platforms:
x86
Links:
have more...
https://github.com/AngaBlue/exehttps://github.com/vercel/pkgFortinet Blog
New Stealit Campaign Abuses Node.js Single Executable Application
A new Stealit campaign uses Node.js Single Executable Application (SEA) to deliver obfuscated malware. FortiGuard Labs details tactics and defenses. Learn more.…
CTT Report Hub
#ParsedReport #CompletenessHigh 10-10-2025 New Stealit Campaign Abuses Node.js Single Executable Application https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application Report completeness: High Threats: Stealit…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Stealit использует Node.js Отдельные исполняемые приложения (SEA) для уклонения от обнаружения и расширения его воздействия, начиная с установщика, который извлекает вредоносные компоненты с сервера C2. Ключевые элементы включают в себя "save_data.exe , " для выполнения которого требуются высокие привилегии, и "stats_db.exe ," который извлекает конфиденциальную информацию из веб-браузеров, сохраняя ее в каталоге %Temp%/BrowserData. Кампания демонстрирует адаптивные методы, такие как переход на платформу Electron с шифрованием AES-256-GCM, повышающие оперативную скрытность и эффективность.
-----
Недавняя кампания Stealit использует новую технику, используя Node.js Отдельные исполняемые приложения (SEA) позволяют избежать обнаружения при одновременном расширении сферы их применения. Эта кампания по вредоносному ПО начинается с установки, которая извлекает дополнительные вредоносные компоненты с сервера Управления (C2). Запутывание связанных Node.js сценарии в этих исполняемых файлах усложняют работу по обратному проектированию, затрудняя анализ.
Установщик служит начальным уровнем атаки, который загружает и подготавливает к развертыванию основные компоненты вредоносного ПО. Важнейшим компонентом в этой структуре является "save_data.exe ," который выполняется только в том случае, если вредоносному ПО были предоставлены высокие привилегии. Это стратегически разработано для усиления доступа вредоносного ПО к целевой системе.
Другим важным элементом является "stats_db.exe ," ответственный за извлечение конфиденциальной информации из различных веб-браузеров, включая Google Chrome и Microsoft Edge. Извлеченные данные хранятся в каталоге %Temp%/BrowserData, что указывает на то, что основное внимание уделяется сбору учетных данных пользователей и другой личной информации из скомпрометированных браузеров. Полный спектр браузеров, на которые нацелен этот компонент, был подробно описан в дополнительных ресурсах.
Кроме того, "game_cache.exe " действует как канал связи с сервером C2, выполняя команды, выдаваемые злоумышленниками. Примечательно, что этот компонент работает с использованием ключа аутентификации, что повышает скрытность и целенаправленность кампании.
Интересно, что в течение нескольких недель после первоначальной кампании образцы Stealit вернулись к использованию платформы Electron, включив метод шифрования AES-256-GCM для защиты своих пакетов Node.js сценарии. Несмотря на изменение структуры, эти более поздние образцы сохраняют те же функциональные задачи, что и предыдущие варианты, использующие функцию SEA.
Использование кампанией Node.js Функция SEA, которая все еще находится в стадии разработки, подчеркивает инновационные и адаптивные методы, используемые злоумышленниками. Используя новизну этой функции, кампания Stealit нацелена на то, чтобы оставаться в поле зрения решений для обеспечения безопасности и аналитиков вредоносного ПО, максимально увеличивая свои шансы на успешное проникновение и эксфильтрацию данных. Стратегическое сочетание привилегированного выполнения, извлечения данных из браузера и надежных механизмов коммуникации подчеркивает изощренный подход, применяемый злоумышленниками в условиях этой меняющейся среды киберугроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания Stealit использует Node.js Отдельные исполняемые приложения (SEA) для уклонения от обнаружения и расширения его воздействия, начиная с установщика, который извлекает вредоносные компоненты с сервера C2. Ключевые элементы включают в себя "save_data.exe , " для выполнения которого требуются высокие привилегии, и "stats_db.exe ," который извлекает конфиденциальную информацию из веб-браузеров, сохраняя ее в каталоге %Temp%/BrowserData. Кампания демонстрирует адаптивные методы, такие как переход на платформу Electron с шифрованием AES-256-GCM, повышающие оперативную скрытность и эффективность.
-----
Недавняя кампания Stealit использует новую технику, используя Node.js Отдельные исполняемые приложения (SEA) позволяют избежать обнаружения при одновременном расширении сферы их применения. Эта кампания по вредоносному ПО начинается с установки, которая извлекает дополнительные вредоносные компоненты с сервера Управления (C2). Запутывание связанных Node.js сценарии в этих исполняемых файлах усложняют работу по обратному проектированию, затрудняя анализ.
Установщик служит начальным уровнем атаки, который загружает и подготавливает к развертыванию основные компоненты вредоносного ПО. Важнейшим компонентом в этой структуре является "save_data.exe ," который выполняется только в том случае, если вредоносному ПО были предоставлены высокие привилегии. Это стратегически разработано для усиления доступа вредоносного ПО к целевой системе.
Другим важным элементом является "stats_db.exe ," ответственный за извлечение конфиденциальной информации из различных веб-браузеров, включая Google Chrome и Microsoft Edge. Извлеченные данные хранятся в каталоге %Temp%/BrowserData, что указывает на то, что основное внимание уделяется сбору учетных данных пользователей и другой личной информации из скомпрометированных браузеров. Полный спектр браузеров, на которые нацелен этот компонент, был подробно описан в дополнительных ресурсах.
Кроме того, "game_cache.exe " действует как канал связи с сервером C2, выполняя команды, выдаваемые злоумышленниками. Примечательно, что этот компонент работает с использованием ключа аутентификации, что повышает скрытность и целенаправленность кампании.
Интересно, что в течение нескольких недель после первоначальной кампании образцы Stealit вернулись к использованию платформы Electron, включив метод шифрования AES-256-GCM для защиты своих пакетов Node.js сценарии. Несмотря на изменение структуры, эти более поздние образцы сохраняют те же функциональные задачи, что и предыдущие варианты, использующие функцию SEA.
Использование кампанией Node.js Функция SEA, которая все еще находится в стадии разработки, подчеркивает инновационные и адаптивные методы, используемые злоумышленниками. Используя новизну этой функции, кампания Stealit нацелена на то, чтобы оставаться в поле зрения решений для обеспечения безопасности и аналитиков вредоносного ПО, максимально увеличивая свои шансы на успешное проникновение и эксфильтрацию данных. Стратегическое сочетание привилегированного выполнения, извлечения данных из браузера и надежных механизмов коммуникации подчеркивает изощренный подход, применяемый злоумышленниками в условиях этой меняющейся среды киберугроз.
#ParsedReport #CompletenessLow
09-10-2025
Exploring Invoice Fraud Email Attempts with Validin
https://www.validin.com/blog/consulting_invoice_scam/
Report completeness: Low
Victims:
Validin, Technology sector, Financial services sector
Industry:
Financial
Geo:
New york, America
ChatGPT TTPs:
T1566.002, T1583.001, T1583.006, T1589.003, T1593.001, T1608.001
IOCs:
Domain: 43
IP: 18
File: 1
Soft:
OpenSSL
Algorithms:
sha1, sha256
Languages:
php
09-10-2025
Exploring Invoice Fraud Email Attempts with Validin
https://www.validin.com/blog/consulting_invoice_scam/
Report completeness: Low
Victims:
Validin, Technology sector, Financial services sector
Industry:
Financial
Geo:
New york, America
ChatGPT TTPs:
do not use without manual checkT1566.002, T1583.001, T1583.006, T1589.003, T1593.001, T1608.001
IOCs:
Domain: 43
IP: 18
File: 1
Soft:
OpenSSL
Algorithms:
sha1, sha256
Languages:
php
Validin
Exploring Invoice Fraud Email Attempts with Validin | Validin
Investigating a surprisingly well-crafted scam directed at a Validin employee