#ParsedReport #CompletenessLow
10-10-2025

The Golden Scale: Bling Libra and the Evolving Extortion Economy

https://unit42.paloaltonetworks.com/scattered-lapsus-hunters/

Report completeness: Low

Actors/Campaigns:
Shinyhunters (motivation: information_theft, financially_motivated, cyber_criminal)
0ktapus (motivation: cyber_criminal)
Scattered_lapsus_hunters (motivation: information_theft, cyber_criminal)
Sp1d3r_hunters
Crimson_collective (motivation: information_theft)

Threats:
Supply_chain_technique
Trufflehog_tool

Victims:
Retail sector, Hospitality sector

Industry:
Telco, Aerospace, Retail, Entertainment

Geo:
New york

Soft:
Salesforce, Telegram

Links:
https://github.com/trufflesecurity/trufflehog

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Lapsus$ Рассеянный ляпсус The Охотники, состоящие из членов таких групп, как Muddled Libra и Bling Libra, нацелены на сектор розничной торговли и гостиничного бизнеса с помощью скоординированных атак, направленных на эксфильтрацию данных с целью получения выкупа. Их тактика включает в себя изощренные методы вымогательства и внедрение модели "Вымогательство как услуга" для расширения своей преступной деятельности. Несмотря на заявления об уходе из киберпреступности, их недавнее сотрудничество с Crimson Collective предполагает сохраняющуюся значительную угрозу и потенциал для масштабных утечек данных.
-----

Появление Scattered Lapsus$ Охотники, которые могут состоять из членов групп Muddled Libra, Bling Libra и LAPSUS$, представили новую волну киберугроз, в первую очередь нацеленных на розничную торговлю и гостиничный сектор. Этот конгломерат, также известный как "Троица хаоса", участвовал в скоординированных атаках на клиентов Salesforce-арендаторов с целью извлечения конфиденциальных данных с целью получения выкупа. Их операции характеризуются значительным акцентом на тактику вымогательства, использованием сложных методов для проникновения в системы и получения ценной информации.

Одним из заметных изменений в этом ландшафте угроз является внедрение Bling Libra's модели "Вымогательство как услуга" (EAAs) 3 октября 2025 года. Этот сервис использует функциональность существующих форумов по киберпреступности, позволяя им расширить свой охват внутри преступного сообщества. В связи с этим Bling Libra сотрудничает с относительно новой группой, известной как Crimson Collective, что указывает на стратегический альянс, который повышает риск скоординированных усилий по вымогательству против целевых организаций.

Несмотря на заявления, сделанные Scattered Lapsus$ Говоря об уходе из своей деятельности по борьбе с киберпреступностью, отраслевые эксперты по-прежнему настроены скептически. Этот скептицизм подкрепляется быстрой чередой атак и сохраняющейся угрозой кражи данных с вымогательством в секторах розничной торговли и гостиничного бизнеса. Заявленный выход на пенсию, по-видимому, является временным прикрытием, поскольку их способность проводить значительные кибероперации все еще сохраняется.

Деятельность этих злоумышленников подчеркивает растущие риски, с которыми сталкиваются организации в этих отраслях. Межгрупповое сотрудничество, развивающиеся технологии и угрожающий потенциал масштабных утечек данных представляют собой серьезные проблемы, с которыми должны справляться предприятия, стремящиеся обезопасить свои данные и защититься от таких изощренных угроз. Организации должны сохранять бдительность и быть готовы к внедрению надежных мер кибербезопасности для снижения рисков, создаваемых этими эволюционирующими злоумышленниками в среде киберугроз.

#ParsedReport #CompletenessMedium
10-10-2025

WhatsApp Worm Targets Brazilian Banking Customers

https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/

Report completeness: Medium

Threats:
Coyote
Donut

Victims:
Whatsapp users, Banking customers

Industry:
Financial

Geo:
Brazil, Portuguese, Brazilian

CVEs:
CVE-2022-29072 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1204.002

IOCs:
Url: 1
File: 5
Domain: 4

Soft:
WhatsApp, selenium, Microsoft Defender

Algorithms:
zip, base64, 7zip

Languages:
powershell

Links:
https://github.com/Squirrel/Squirrel.Windows

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была начата хакерская кАмпания против пользователей WhatsApp в Бразилии, направленная на распространение самораспространяющегося червя, который использует зараженные веб-сессии. Червь распространяет Вредоносные файлы среди контактов, а после запуска устанавливает банковский троян, нацеленный на бразильские банковские системы и криптовалютные биржи. Эта операция основана на тактике социальной инженерии, направленной на использование доверия пользователей, что увеличивает риск кражи конфиденциальных финансовых данных.
-----

Недавно была развернута хакерская кАмпания по борьбе с киберугрозами, специально нацеленная на пользователей платформы обмена сообщениями WhatsApp в Бразилии. Кампания, начатая 29 сентября 2025 года, использует службу обмена сообщениями для распространения самораспространяющегося Worm. Механизм этой атаки использует зараженные веб-сеансы WhatsApp, когда червь отправляет Вредоносные файлы контактам жертвы в попытке дальнейшего распространения.

После запуска Вредоносного файла червь не только реплицируется в контактах жертвы в WhatsApp, но и устанавливает банковский троян, специально разработанный для нацеливания на бразильские банковские учреждения и криптовалютные биржи. Эта тактика подчеркивает модель двойной угрозы, в которой червь способствует как самораспространению, так и сбору конфиденциальных финансовых данных от пользователей из этой демографической группы.

Текущее расследование, проведенное исследователями из Подразделения по борьбе с угрозами (CTU), показывает, что эта кампания использует доверие пользователей к приложениям для обмена сообщениями, используя тактику социальной инженерии для повышения вероятности выполнения файлов. Пользователям настоятельно рекомендуется быть осторожными с неожиданными сообщениями и вложениями, особенно от известных контактов, поскольку злоумышленники стремятся использовать фамильярность и доверие, присущие личному общению.

#ParsedReport #CompletenessLow
10-10-2025

BreachForums Seized (Yes, Again)

https://socradar.io/breachforums-seized-yes-again/

Report completeness: Low

Actors/Campaigns:
Scattered_lapsus_hunters
Shinyhunters
0ktapus

Victims:
Salesforce customers, Saas users

Industry:
Government

Geo:
French, New york, France

ChatGPT TTPs:
do not use without manual check
T1657, T1657.001, T1659

IOCs:
Domain: 1

Soft:
Salesforce, Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Захват домена BreachForums властями США и Франции существенно меняет ситуацию с киберпреступностью, особенно оказывая воздействие на ShinyHunters и Scattered Lapsus$ Группа охотников. ShinyHunters превратилась из хакерского форума в платформу для вымогательства, сосредоточившись на угрозах программ-вымогателей в отношении клиентов Salesforce. Тем временем, Scattered Lapsus$ Охотники сочетают тактику социальной инженерии, такую как вишинг, с использованием уязвимостей SaaS для нацеливания на корпоративных клиентов, демонстрируя эволюционирующую изощренность стратегий киберпреступников.
-----

Недавний захват домена BreachForums Министерством юстиции США, ФБР и подразделением по борьбе с киберпреступностью BL2C во Франции представляет собой значительное нарушение в сфере киберпреступности, особенно затрагивающее группу, известную как ShinyHunters, и формирующийся коллектив под названием Scattered Lapsus$ Охотники. После первоначального ареста основателя BreachForums Конора Фитцпатрика в марте 2023 года и последующего захвата его первого домена в июне 2023 года сайт был перезапущен, но быстро превратился в платформу для вымогательства, направленную на использование украденных данных у клиентов Salesforce, которые отказались выполнять требования о выкупе.

Деятельность ShinyHunters в настоящее время претерпела изменения, и группа подтвердила захват посредством заявления, подписанного PGP. Деятельность группы превратилась из хакерского форума в оперативный сайт по вымогательству, демонстрирующий адаптивную стратегию перед лицом репрессий со стороны правоохранительных органов. Хронология BreachForums отражает картину турбулентности и возрождения, начиная с его первоначального создания и заканчивая последним захватом 10 октября 2025 года во время активной кампании по вымогательству Salesforce.

Scattered Lapsus$ Альянс Hunters, в который входят участники из Scattered Spider, LAPSUS$ и ShinyHunters, фокусируется на тактике социальной инженерии, в частности на "вишинге" (голосовом фишинге) и использовании уязвимостей в подключенных приложениях. Их основными целями часто являются корпоративные клиенты, использующие платформы SaaS, что подчеркивает растущую угрозу, которую представляют такие группы. Использование сложных методов для обхода мер безопасности подчеркивает растущую тенденцию в поведении киберпреступников, когда злоумышленники используют как традиционные методы взлома, так и социальные манипуляции.

В свете этих изменений непрерывный мониторинг Dark Web имеет решающее значение для организаций в целях снижения рисков. Платформы мониторинга могут дать представление о потенциальном воздействии, перемещениях акторов и утечке данных, помогая службам безопасности реагировать на угрозы до их эскалации. Возможность получать оповещения в режиме реального времени, связанные с известными злоумышленниками, позволяет разрабатывать стратегии проактивной защиты, подчеркивая необходимость бдительности в условиях быстро меняющейся ситуации с киберугрозами.

#ParsedReport #CompletenessHigh
10-10-2025

New Stealit Campaign Abuses Node.js Single Executable Application

https://www.fortinet.com/blog/threat-research/stealit-campaign-abuses-nodejs-single-executable-application

Report completeness: High

Threats:
Stealit
Procmon_tool
Dll_injection_technique
Ettercap_tool
Process_hacker_tool

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.007, T1071.001, T1105, T1204.002, T1555.003, T1583.003, T1584.001

IOCs:
File: 44
Domain: 2
Path: 17
Registry: 3
Url: 12
Command: 1
Hash: 12
Coin: 4

Soft:
Node.js, Telegram, Electron, PyInstaller, Discord, Android, VirtualBox, visual studio, Windows Defender, Brotli, have more...

Wallets:
exodus_wallet, metamask, coinbase, binancechain, tronlink, coin98, math_wallet, yoroi, guarda_wallet, jaxxx_liberty, have more...

Algorithms:
base64, aes-256-gcm

Languages:
visual_basic, powershell

Platforms:
x86

Links:
have more...
https://github.com/AngaBlue/exe
https://github.com/vercel/pkg

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Stealit использует Node.js Отдельные исполняемые приложения (SEA) для уклонения от обнаружения и расширения его воздействия, начиная с установщика, который извлекает вредоносные компоненты с сервера C2. Ключевые элементы включают в себя "save_data.exe , " для выполнения которого требуются высокие привилегии, и "stats_db.exe ," который извлекает конфиденциальную информацию из веб-браузеров, сохраняя ее в каталоге %Temp%/BrowserData. Кампания демонстрирует адаптивные методы, такие как переход на платформу Electron с шифрованием AES-256-GCM, повышающие оперативную скрытность и эффективность.
-----

Недавняя кампания Stealit использует новую технику, используя Node.js Отдельные исполняемые приложения (SEA) позволяют избежать обнаружения при одновременном расширении сферы их применения. Эта кампания по вредоносному ПО начинается с установки, которая извлекает дополнительные вредоносные компоненты с сервера Управления (C2). Запутывание связанных Node.js сценарии в этих исполняемых файлах усложняют работу по обратному проектированию, затрудняя анализ.

Установщик служит начальным уровнем атаки, который загружает и подготавливает к развертыванию основные компоненты вредоносного ПО. Важнейшим компонентом в этой структуре является "save_data.exe ," который выполняется только в том случае, если вредоносному ПО были предоставлены высокие привилегии. Это стратегически разработано для усиления доступа вредоносного ПО к целевой системе.

Другим важным элементом является "stats_db.exe ," ответственный за извлечение конфиденциальной информации из различных веб-браузеров, включая Google Chrome и Microsoft Edge. Извлеченные данные хранятся в каталоге %Temp%/BrowserData, что указывает на то, что основное внимание уделяется сбору учетных данных пользователей и другой личной информации из скомпрометированных браузеров. Полный спектр браузеров, на которые нацелен этот компонент, был подробно описан в дополнительных ресурсах.

Кроме того, "game_cache.exe " действует как канал связи с сервером C2, выполняя команды, выдаваемые злоумышленниками. Примечательно, что этот компонент работает с использованием ключа аутентификации, что повышает скрытность и целенаправленность кампании.

Интересно, что в течение нескольких недель после первоначальной кампании образцы Stealit вернулись к использованию платформы Electron, включив метод шифрования AES-256-GCM для защиты своих пакетов Node.js сценарии. Несмотря на изменение структуры, эти более поздние образцы сохраняют те же функциональные задачи, что и предыдущие варианты, использующие функцию SEA.

Использование кампанией Node.js Функция SEA, которая все еще находится в стадии разработки, подчеркивает инновационные и адаптивные методы, используемые злоумышленниками. Используя новизну этой функции, кампания Stealit нацелена на то, чтобы оставаться в поле зрения решений для обеспечения безопасности и аналитиков вредоносного ПО, максимально увеличивая свои шансы на успешное проникновение и эксфильтрацию данных. Стратегическое сочетание привилегированного выполнения, извлечения данных из браузера и надежных механизмов коммуникации подчеркивает изощренный подход, применяемый злоумышленниками в условиях этой меняющейся среды киберугроз.

#ParsedReport #CompletenessLow
09-10-2025

Exploring Invoice Fraud Email Attempts with Validin

https://www.validin.com/blog/consulting_invoice_scam/

Report completeness: Low

Victims:
Validin, Technology sector, Financial services sector

Industry:
Financial

Geo:
New york, America

ChatGPT TTPs:
do not use without manual check
T1566.002, T1583.001, T1583.006, T1589.003, T1593.001, T1608.001

IOCs:
Domain: 43
IP: 18
File: 1

Soft:
OpenSSL

Algorithms:
sha1, sha256

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
windows: 7, dump: 1, table: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
7 октября 2025 года было обнаружено электронное письмо с фишингом, нацеленное на мошенничество с выставлением счетов, привязанное к недавно созданному домену, связанному с "Ignitecore Consulting LLC", что потенциально способствовало мошенническим действиям. Аналитики обнаружили более 100 связанных доменов, использующих общий CSS-хэш, и заметили подозрительные атрибуты домена, включая возможное неправильное использование скомпрометированных конфигураций Cloudflare. В ходе расследования использовались уникальные идентификаторы серверов из HTTP-ответов, чтобы отследить исходные IP-адреса, связанные с контентом фишинга.
-----

7 октября 2025 года сотрудник Validin получил весьма убедительное электронное письмо с фишингом, которое побудило провести расследование его происхождения. Это конкретное электронное письмо было направлено на использование мошенничества со счетами, но отличалось своей сложной структурой, что вызывало опасения по поводу его эффективности, учитывая растущую доступность инструментов для киберпреступников. В электронном письме содержались сведения, указывающие на то, что оно было от "Ignitecore Consulting LLC", с довольно двусмысленным адресом, из-за которого не было отображений на картах Google, а также действительные банковские реквизиты, возможно, связанные со счетом Bank of America.

В ходе расследования аналитики провели проверку домена и обнаружили, что домену отправителя было менее трех дней, что указывает на новую настройку, вероятно, предназначенную для мошеннических действий. Дальнейший анализ сосредоточился на конкретном CSS-хэше, выявив более 100 связанных доменов, разделяющих этот контент-маркер, и выявив общие черты в темах, связанных с мошенничеством, таких как "consult" или "llc". Это привело к отслеживанию нескольких доменов, связанных с мошеннической операцией.

Анализ также затронул различные атрибуты домена, такие как история DNS и регистрационная информация. Примечательно, что теоретически некоторые домены использовали заброшенные или скомпрометированные конфигурации Cloudflare, которые могли позволить злоумышленникам доставлять вредоносный контент без прямого владения доменом. Исследователи использовали уникальные идентификаторы серверов, найденные в HTTP-ответах, для определения исходных IP-адресов, ссылающихся на фактические серверы, обслуживающие контент для фишинга, используя эти данные для дальнейшего определения угрозы.

#ParsedReport #CompletenessHigh
08-10-2025

X-Labs Q3 2025 Threat Brief: Obfuscated JavaScript & Steganography Enabling Malware Delivery

https://www.forcepoint.com/blog/x-labs/q3-2025-threat-brief-obfuscated-javascript-steganography

Report completeness: High

Threats:
Steganography_technique
Agent_tesla
Darkcloud
Remcos_rat
Formbook
Cloaking_technique
Dotnet_reactor_tool
Process_hollowing_technique

Victims:
Multiple industries, Email users

Geo:
Bulgaria, Iran

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1059.007, T1566.001

IOCs:
IP: 3
Url: 10
File: 3
Domain: 2
Email: 3

Soft:
NET Reactor, task scheduler

Algorithms:
zip, base64

Functions:
FTP

Win API:
ShowWindow, CreateProcess, VirtualAllocEx, WriteProcessMemory, ZwUnmapViewOfSection, GetThreadContext, SetThreadContext, ResumeThread, CloseHandle

Languages:
powershell, javascript, swift

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 1, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В третьем квартале 2025 года наблюдался рост числа кампаний по электронной почте с запутанными вложениями JavaScript, распространяющих вредоносное ПО, такое как DarkCloud, Remcos, Agent Tesla и Formbook. Эти электронные письма имитируют деловую переписку и используют сложные методы запутывания, чтобы избежать обнаружения, выполняя команды PowerShell через WMI для загрузки дополнительных полезных данных из скомпрометированных доменов. Кроме того, полезная нагрузка состоит из .NET-приложений с надежной защитой от обратного проектирования, что указывает на организованную деятельность злоумышленника, связанную с подземными платформами.
-----

В третьем квартале 2025 года произошел заметный всплеск кампаний по электронной почте, использующих вложения JavaScript, которые доставляют различные типы вредоносного ПО, в частности, нацеленные на инструменты для кражи информации и трояны удаленного доступа (RATs). Вредоносные полезные программы, такие как DarkCloud, Remcos, Agent Tesla и Formbook, относятся к числу тех, которые распространяются с помощью этой тактики. Электронные письма, составленные таким образом, чтобы они напоминали обычные деловые сообщения, часто составляются на региональном языке получателя с использованием шаблонов, обычно используемых командами по закупкам или управлению проектами.

Эти средства атаки в основном содержат запутанные вложения JavaScript, сжатые в обычных архивных форматах, таких как RAR, 7z, Zip или TAR. Отправители, как правило, используют такие домены, как *@ymail.com а IP-адреса, связанные с этими кампаниями, были идентифицированы в таких странах, как Болгария и Иран.

При анализе запутанного JavaScript скрипты демонстрируют сложные методы запутывания, когда строки разбросаны по массиву, перемежаясь необычными маркерами Unicode, включая эмодзи и редкие глифы. Эта сложность предназначена для того, чтобы затруднить обнаружение. Скрипты, после устранения обфускации, раскрывают команды PowerShell, направленные на последующую загрузку вредоносных полезных данных из скомпрометированных доменов. Эти команды выполняются через интерфейс Инструментария управления Windows(WMI), позволяющий процессам незаметно выполняться в фоновом режиме без уведомления пользователя.

Также было замечено, что скрипты PowerShell, задействованные в этих атаках, используют альтернативные методы доставки полезной нагрузки, такие как встраивание потоков в кодировке Base64 в текстовые файлы, которые представляют собой исполняемые двоичные файлы (EXE) или библиотеки динамической компоновки (DLL). Конечные полезные нагрузки, доставляемые с помощью этого фреймворка атаки, в основном .Сетевые приложения, в которых библиотеки DLL специально компилируются и защищаются с помощью таких инструментов, как Protector: .NET Reactor (6.X), который включает в себя запутывание потока управления и контрмеры против обратного проектирования.

Пространство имен "HackForums.gigajew" намекает на потенциальные связи с подпольными платформами, известными тем, что они обмениваются инструментами для вредоносного ПО и хакерскими ресурсами, что предполагает сложный уровень организации среди злоумышленников. Тенденция, наблюдаемая в третьем квартале 2025 года, указывает на продуманный подход злоумышленников к сокрытию вредоносных файлов JavaScript в обычных деловых электронных письмах, используя знакомую терминологию, такую как счета-фактуры и оповещения об отправке, для обхода мер безопасности.

В ответ на эти угрозы была внедрена аналитика безопасности электронной почты для выявления и блокирования вредоносных вложений JavaScript. Кроме того, исполняемые файлы, выполняющие функцию дропперов, документируются в базах данных анализа угроз, в то время как домены управления (C2), связанные с этими действиями, классифицируются и блокируются для снижения рисков.