CTT Report Hub
#ParsedReport #CompletenessLow 04-10-2025 PoisonSeed YouTube-themed Career Phishing https://malasada.tech/poisonseed-youtube-themed-career-phishing/ Report completeness: Low Actors/Campaigns: Poisonseed 0ktapus Threats: Credential_harvesting_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания карьерного фишинга на YouTube, связанная с злоумышленником PoisonSeed, использует ресурсы Salesforce для рассылки вводящих в заблуждение электронных писем, содержащих Вредоносные ссылки. Пользователи перенаправляются на поддельную страницу с ошибкой, которая приводит к поддельной форме планирования, предназначенной для сбора учетных данных, включая имена пользователей и пароли. Эта кампания использует тактику уклонения от обнаружения, такую как использование страницы nginx по умолчанию для представления себя безвредной, и связана с предыдущими тенденциями фишинга, связанными с аналогичными злоумышленниками.
-----
Расследование освещает кампанию карьерного фишинга на YouTube, которая, вероятно, связана с злоумышленником PoisonSeed. В рамках кампании используются ресурсы SalesForce для облегчения доставки фишинг-писем, которые кажутся подлинными и обманом заставляют пользователей подключаться к вредоносному контенту. Электронные письма обычно содержат ссылку, которая ведет на URL-адрес системы отслеживания SalesForce, в частности на домен "cl.s12.exct.net ." Эта схема свидетельствует о тактике, применяемой злоумышленниками, которые стремятся подделать законные сообщения.
Как только пользователи нажимают на встроенную ссылку, они перенаправляются на целевую страницу для фишинга, созданную так, чтобы она напоминала поддельную страницу с ошибкой. Такая конструкция служит мерой противодействия анализу, усложняющей автоматизированное обнаружение. Следующий шаг в процессе фишинга включает в себя представление поддельной формы планирования, в которой пользователям предлагается ввести свои учетные данные под предлогом завершения законного процесса. Хотя ни в одном из записанных сеансов не было показано заполнение этой формы, можно с высокой степенью уверенности предположить, что пользователи столкнутся с поддельным интерфейсом входа в систему, направленным на захват имен пользователей и паролей.
Методология кампании также включает в себя различные тактики для поддержания закрепления и уклонения от обнаружения. Например, использование страницы nginx по умолчанию служит средством проверки, которое может ввести исследователей в заблуждение, заставив их поверить, что домен безвреден, если он не обслуживает страницу фишинга. Кроме того, показатели, собранные другими аналитиками и различными базами данных, указывают на устойчивый характер этой операции фишинга, связывая ее с тенденциями, отмеченными в предыдущих кампаниях, приписываемых тем же или связанным с ними злоумышленникам.
Аналитикам рекомендуется использовать специальные поисковые инструменты, такие как Any Run, для выявления дополнительных случаев этой кампании фишинга. Это может включать в себя запрос уникальных доменных имен отправителей электронной почты или связанных с ними вредоносных URL-адресов. Анализ атрибуции, включая информацию от значительных специалистов в этой области, соотносит эту деятельность с обозначением PoisonSeed, подчеркивая ее связь с более широкой тактикой фишинга, исторически связанной с такими группами, как 0ktapus и Scattered Spider.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания карьерного фишинга на YouTube, связанная с злоумышленником PoisonSeed, использует ресурсы Salesforce для рассылки вводящих в заблуждение электронных писем, содержащих Вредоносные ссылки. Пользователи перенаправляются на поддельную страницу с ошибкой, которая приводит к поддельной форме планирования, предназначенной для сбора учетных данных, включая имена пользователей и пароли. Эта кампания использует тактику уклонения от обнаружения, такую как использование страницы nginx по умолчанию для представления себя безвредной, и связана с предыдущими тенденциями фишинга, связанными с аналогичными злоумышленниками.
-----
Расследование освещает кампанию карьерного фишинга на YouTube, которая, вероятно, связана с злоумышленником PoisonSeed. В рамках кампании используются ресурсы SalesForce для облегчения доставки фишинг-писем, которые кажутся подлинными и обманом заставляют пользователей подключаться к вредоносному контенту. Электронные письма обычно содержат ссылку, которая ведет на URL-адрес системы отслеживания SalesForce, в частности на домен "cl.s12.exct.net ." Эта схема свидетельствует о тактике, применяемой злоумышленниками, которые стремятся подделать законные сообщения.
Как только пользователи нажимают на встроенную ссылку, они перенаправляются на целевую страницу для фишинга, созданную так, чтобы она напоминала поддельную страницу с ошибкой. Такая конструкция служит мерой противодействия анализу, усложняющей автоматизированное обнаружение. Следующий шаг в процессе фишинга включает в себя представление поддельной формы планирования, в которой пользователям предлагается ввести свои учетные данные под предлогом завершения законного процесса. Хотя ни в одном из записанных сеансов не было показано заполнение этой формы, можно с высокой степенью уверенности предположить, что пользователи столкнутся с поддельным интерфейсом входа в систему, направленным на захват имен пользователей и паролей.
Методология кампании также включает в себя различные тактики для поддержания закрепления и уклонения от обнаружения. Например, использование страницы nginx по умолчанию служит средством проверки, которое может ввести исследователей в заблуждение, заставив их поверить, что домен безвреден, если он не обслуживает страницу фишинга. Кроме того, показатели, собранные другими аналитиками и различными базами данных, указывают на устойчивый характер этой операции фишинга, связывая ее с тенденциями, отмеченными в предыдущих кампаниях, приписываемых тем же или связанным с ними злоумышленникам.
Аналитикам рекомендуется использовать специальные поисковые инструменты, такие как Any Run, для выявления дополнительных случаев этой кампании фишинга. Это может включать в себя запрос уникальных доменных имен отправителей электронной почты или связанных с ними вредоносных URL-адресов. Анализ атрибуции, включая информацию от значительных специалистов в этой области, соотносит эту деятельность с обозначением PoisonSeed, подчеркивая ее связь с более широкой тактикой фишинга, исторически связанной с такими группами, как 0ktapus и Scattered Spider.
#ParsedReport #CompletenessLow
11-10-2025
Hunting For TamperedChef Infostealer
https://medium.com/@Mr.AnyThink/hunting-for-tamperedchef-infostealer-825dc94cee00?source=rss-b61b59bd2c7c------2
Report completeness: Low
Threats:
Tamperedchef
Justaskjacky
Epibrowser
Credential_harvesting_technique
Credential_dumping_technique
TTPs:
Tactics: 3
Technics: 6
IOCs:
File: 3
Command: 3
Path: 5
Registry: 12
Domain: 5
Soft:
Node.js, Chrome
Languages:
javascript
11-10-2025
Hunting For TamperedChef Infostealer
https://medium.com/@Mr.AnyThink/hunting-for-tamperedchef-infostealer-825dc94cee00?source=rss-b61b59bd2c7c------2
Report completeness: Low
Threats:
Tamperedchef
Justaskjacky
Epibrowser
Credential_harvesting_technique
Credential_dumping_technique
TTPs:
Tactics: 3
Technics: 6
IOCs:
File: 3
Command: 3
Path: 5
Registry: 12
Domain: 5
Soft:
Node.js, Chrome
Languages:
javascript
Medium
Hunting For TamperedChef Infostealer
What if that innocent-looking “free PDF editor” you downloaded wasn’t really what it claimed to be? What if, weeks later, it quietly…
CTT Report Hub
#ParsedReport #CompletenessLow 11-10-2025 Hunting For TamperedChef Infostealer https://medium.com/@Mr.AnyThink/hunting-for-tamperedchef-infostealer-825dc94cee00?source=rss-b61b59bd2c7c------2 Report completeness: Low Threats: Tamperedchef Justaskjacky…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TamperedChef - это стиллер информации, который маскируется под законное программное обеспечение, поставляемое в комплекте с приложениями, и поставляется посредством загрузки по инициативе пользователя. Он устанавливает себя сам, выполняя полезную нагрузку JavaScript через Node.js , создает запланированную задачу для закрепления и проводит разведку с помощью WMI для опроса активных браузеров и программного обеспечения безопасности. Вредоносное ПО нацелено на сбор учетных записей из различных источников, включая базы данных SQLite, секретные данные DPAPI и локальные Менеджеры паролей, при этом используются тактические приемы из платформы MITRE ATT&CK, такие как выполнение из командной строки, получение учетных данных и методы обхода защиты.
-----
TamperedChef - это недавно идентифицированный стиллер информации, который маскируется под законное программное обеспечение, обычно поставляется в комплекте с такими приложениями, как PDF-редакторы или программы для чтения вручную, и поставляется путем загрузки по инициативе пользователя. После запуска он использует различные методы для самоутверждения и извлечения конфиденциальной информации.
После установки TamperedChef автоматически запускает команду с помощью командной строки (cmd.exe ), с помощью Node.js время выполнения (node.exe ) выполняет свою полезную нагрузку JavaScript. Эта полезная нагрузка размещена в имени файла GUID в каталоге %TEMP% и содержит функции для сбора данных и связи с серверами управления.
Чтобы обеспечить закрепление, TamperedChef создает запланированную задачу, которая позволяет ей оставаться активной даже после перезагрузки системы. Вредоносное ПО проводит разведку зараженной системы, чтобы определить, какие браузеры и программное обеспечение безопасности присутствуют. Он использует Инструментарий управления Windows(WMI) для перечисления процессов, проверяя наличие активных браузеров, таких как Chrome и Edge. Кроме того, он обращается к системному реестру для сбора информации о другом установленном программном обеспечении, помогая понять меры безопасности на устройстве.
Для сбора учетных записей стиллер ориентирован на несколько источников. Он извлекает данные для входа в систему и веб—данные из баз данных SQLite, связанных с Chrome и Edge, извлекает секреты Windows Data Protection API (DPAPI) — зашифрованные данные, хранящиеся локально, - и обращается к локальным Менеджерам паролей для любых сохраненных учетных данных пользователя.
С точки зрения поведения и методологии атаки, действия TamperedChef's согласуются с различными техниками, описанными в рамках MITRE ATT&CK. В частности, выполнение достигается с помощью действий командной строки (T1059), получение учетных данных осуществляется путем извлечения из хранилищ паролей (T1555) и Получения дампа учетных данных операционной системы (T1003). Вредоносное ПО использует тактику обхода защиты, такую как выполнение двоичного прокси-сервера с подписью (T1218) и Маскировку (T1036), чтобы избежать обнаружения, в то время как закрепление устанавливается с помощью запланированных задач (T1053). Кроме того, методы обнаружения системы (T1082) и запроса реестра (T1012) используются как часть этапа разведки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
TamperedChef - это стиллер информации, который маскируется под законное программное обеспечение, поставляемое в комплекте с приложениями, и поставляется посредством загрузки по инициативе пользователя. Он устанавливает себя сам, выполняя полезную нагрузку JavaScript через Node.js , создает запланированную задачу для закрепления и проводит разведку с помощью WMI для опроса активных браузеров и программного обеспечения безопасности. Вредоносное ПО нацелено на сбор учетных записей из различных источников, включая базы данных SQLite, секретные данные DPAPI и локальные Менеджеры паролей, при этом используются тактические приемы из платформы MITRE ATT&CK, такие как выполнение из командной строки, получение учетных данных и методы обхода защиты.
-----
TamperedChef - это недавно идентифицированный стиллер информации, который маскируется под законное программное обеспечение, обычно поставляется в комплекте с такими приложениями, как PDF-редакторы или программы для чтения вручную, и поставляется путем загрузки по инициативе пользователя. После запуска он использует различные методы для самоутверждения и извлечения конфиденциальной информации.
После установки TamperedChef автоматически запускает команду с помощью командной строки (cmd.exe ), с помощью Node.js время выполнения (node.exe ) выполняет свою полезную нагрузку JavaScript. Эта полезная нагрузка размещена в имени файла GUID в каталоге %TEMP% и содержит функции для сбора данных и связи с серверами управления.
Чтобы обеспечить закрепление, TamperedChef создает запланированную задачу, которая позволяет ей оставаться активной даже после перезагрузки системы. Вредоносное ПО проводит разведку зараженной системы, чтобы определить, какие браузеры и программное обеспечение безопасности присутствуют. Он использует Инструментарий управления Windows(WMI) для перечисления процессов, проверяя наличие активных браузеров, таких как Chrome и Edge. Кроме того, он обращается к системному реестру для сбора информации о другом установленном программном обеспечении, помогая понять меры безопасности на устройстве.
Для сбора учетных записей стиллер ориентирован на несколько источников. Он извлекает данные для входа в систему и веб—данные из баз данных SQLite, связанных с Chrome и Edge, извлекает секреты Windows Data Protection API (DPAPI) — зашифрованные данные, хранящиеся локально, - и обращается к локальным Менеджерам паролей для любых сохраненных учетных данных пользователя.
С точки зрения поведения и методологии атаки, действия TamperedChef's согласуются с различными техниками, описанными в рамках MITRE ATT&CK. В частности, выполнение достигается с помощью действий командной строки (T1059), получение учетных данных осуществляется путем извлечения из хранилищ паролей (T1555) и Получения дампа учетных данных операционной системы (T1003). Вредоносное ПО использует тактику обхода защиты, такую как выполнение двоичного прокси-сервера с подписью (T1218) и Маскировку (T1036), чтобы избежать обнаружения, в то время как закрепление устанавливается с помощью запланированных задач (T1053). Кроме того, методы обнаружения системы (T1082) и запроса реестра (T1012) используются как часть этапа разведки.
#ParsedReport #CompletenessMedium
08-10-2025
Variants of BlackTech's Kivars malware identified in 2025.
https://sect.iij.ad.jp/blog/2025/10/blacktech-malware-kivars-2025/
Report completeness: Medium
Actors/Campaigns:
Blacktech (motivation: cyber_espionage)
Unc5325
Threats:
Kivars
Nailaolocker
Lumma_stealer
Rig_tool
Matrix_ransom
Mirai
Tinyshell
Victims:
Companies and organizations in japan and taiwan
Geo:
Taiwan, Japan, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1055, T1057, T1071.001, T1543.003
IOCs:
File: 5
Hash: 12
Domain: 9
IP: 9
Registry: 1
Soft:
Windows service, Twitter, Linux
Algorithms:
rc4, sha256
Links:
08-10-2025
Variants of BlackTech's Kivars malware identified in 2025.
https://sect.iij.ad.jp/blog/2025/10/blacktech-malware-kivars-2025/
Report completeness: Medium
Actors/Campaigns:
Blacktech (motivation: cyber_espionage)
Unc5325
Threats:
Kivars
Nailaolocker
Lumma_stealer
Rig_tool
Matrix_ransom
Mirai
Tinyshell
Victims:
Companies and organizations in japan and taiwan
Geo:
Taiwan, Japan, China
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1055, T1057, T1071.001, T1543.003
IOCs:
File: 5
Hash: 12
Domain: 9
IP: 9
Registry: 1
Soft:
Windows service, Twitter, Linux
Algorithms:
rc4, sha256
Links:
https://github.com/mopisec/research/blob/main/decrypt\_kivars\_21201\_config.pyIIJ Security Diary
2025年に確認されたBlackTechのマルウェアKivarsの亜種 – IIJ Security Diary
Kivarsは2010年頃から観測されている1、攻撃グループBlackTechが使用するマルウェアです。BlackTechは主に日本や台湾の企業・組織を標的とした攻撃グループです。近年でもバ...
CTT Report Hub
#ParsedReport #CompletenessMedium 08-10-2025 Variants of BlackTech's Kivars malware identified in 2025. https://sect.iij.ad.jp/blog/2025/10/blacktech-malware-kivars-2025/ Report completeness: Medium Actors/Campaigns: Blacktech (motivation: cyber_espionage)…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Kivars, связанное с группой BlackTech, развивалось с 2010 года, преимущественно угрожая организациям в Японии и Тайване различными недавними вариантами. Метод работы вредоносного ПО включает развертывание загрузчика, который устанавливается вместе с зашифрованными файлами и устанавливает Службу Windows для закрепления, в то время как он передает данные через порты 389 и 443 в свою инфраструктуру управления. Примечательно, что вредоносное ПО обладает способностью обнаруживать инструменты анализа, что отражает его изощренные методы уклонения.
-----
Вредоносное ПО Kivars, связанное с группой BlackTech, отслеживается примерно с 2010 года и представляет значительную угрозу, особенно для организаций в Японии и Тайване. Последние события, произошедшие в 2025 году, выявили несколько вариантов этого вредоносного ПО. Известные инциденты в прошлом включают использование бэкдоров прошивки Cisco, что отражает эволюционирующую тактику, применяемую группой.
Механизм работы Kivars начинается с развертывания загрузчика BlackTech, который помещает как загрузчик, так и зашифрованные файлы Kivars в системный каталог скомпрометированного компьютера. Впоследствии злоумышленник создает Службу Windows для закрепления, после чего запускается загрузчик Kivars для запуска его полезной нагрузки в памяти. Этот метод гарантирует, что вредоносное ПО Kivars остается эффективным, избегая обнаружения аналитическими инструментами.
Когда Kivars запускается, он выполняет перечисление процессов, чтобы подтвердить, что никакие инструменты анализа не активны, демонстрируя высокую осведомленность о своей операционной среде. На техническом уровне вредоносное ПО обменивается данными в основном через порты 389 и 443 с указанными внешними адресатами, что указывает на выбор им широко используемых сетевых каналов для облегчения связи и, возможно, операций управления.
Для улучшения реагирования на инциденты и анализа угроз, связанных с Kivars, был разработан специализированный инструмент, который позволяет извлекать, расшифровывать и анализировать данные конфигурации Kivars непосредственно из его загрузчика. Этот инструмент, доступный в общедоступном репозитории GitHub, подчеркивает растущую важность ресурсов сообщества в борьбе с этой постоянной угрозой.
Было задокументировано несколько файловых хэшей, связанных с Kivars и его вариантами загрузки, что иллюстрирует разнообразие и потенциальное воздействие этого набора вредоносных ПО. Информация, связанная с обнаружением и поведением Kivars, подчеркивает возможности и намерения группы, что требует повышенной бдительности со стороны целевых секторов и требует принятия надежных защитных мер.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО Kivars, связанное с группой BlackTech, развивалось с 2010 года, преимущественно угрожая организациям в Японии и Тайване различными недавними вариантами. Метод работы вредоносного ПО включает развертывание загрузчика, который устанавливается вместе с зашифрованными файлами и устанавливает Службу Windows для закрепления, в то время как он передает данные через порты 389 и 443 в свою инфраструктуру управления. Примечательно, что вредоносное ПО обладает способностью обнаруживать инструменты анализа, что отражает его изощренные методы уклонения.
-----
Вредоносное ПО Kivars, связанное с группой BlackTech, отслеживается примерно с 2010 года и представляет значительную угрозу, особенно для организаций в Японии и Тайване. Последние события, произошедшие в 2025 году, выявили несколько вариантов этого вредоносного ПО. Известные инциденты в прошлом включают использование бэкдоров прошивки Cisco, что отражает эволюционирующую тактику, применяемую группой.
Механизм работы Kivars начинается с развертывания загрузчика BlackTech, который помещает как загрузчик, так и зашифрованные файлы Kivars в системный каталог скомпрометированного компьютера. Впоследствии злоумышленник создает Службу Windows для закрепления, после чего запускается загрузчик Kivars для запуска его полезной нагрузки в памяти. Этот метод гарантирует, что вредоносное ПО Kivars остается эффективным, избегая обнаружения аналитическими инструментами.
Когда Kivars запускается, он выполняет перечисление процессов, чтобы подтвердить, что никакие инструменты анализа не активны, демонстрируя высокую осведомленность о своей операционной среде. На техническом уровне вредоносное ПО обменивается данными в основном через порты 389 и 443 с указанными внешними адресатами, что указывает на выбор им широко используемых сетевых каналов для облегчения связи и, возможно, операций управления.
Для улучшения реагирования на инциденты и анализа угроз, связанных с Kivars, был разработан специализированный инструмент, который позволяет извлекать, расшифровывать и анализировать данные конфигурации Kivars непосредственно из его загрузчика. Этот инструмент, доступный в общедоступном репозитории GitHub, подчеркивает растущую важность ресурсов сообщества в борьбе с этой постоянной угрозой.
Было задокументировано несколько файловых хэшей, связанных с Kivars и его вариантами загрузки, что иллюстрирует разнообразие и потенциальное воздействие этого набора вредоносных ПО. Информация, связанная с обнаружением и поведением Kivars, подчеркивает возможности и намерения группы, что требует повышенной бдительности со стороны целевых секторов и требует принятия надежных защитных мер.
#ParsedReport #CompletenessMedium
10-10-2025
North Koreas Contagious Interview Campaign Escalates: 338 Malicious npm Packages, 50,000 Downloads
https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages
Report completeness: Medium
Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, cyber_espionage)
Threats:
Beavertail
Hexeval
Xorindex
Invisibleferret
Typosquatting_technique
Supply_chain_technique
Strictor
Victims:
Cryptocurrency sector, Blockchain sector, Web3 developers, Technical job seekers
Industry:
Financial, Healthcare
Geo:
North koreas, North korea, Dprk, North korean
TTPs:
Tactics: 6
Technics: 9
IOCs:
File: 8
Email: 183
IP: 7
Url: 8
Soft:
macOS, Linux
Wallets:
tron
Crypto:
bitcoin, ethereum
Algorithms:
aes-256-cbc
Languages:
python, javascript
Platforms:
cross-platform
10-10-2025
North Koreas Contagious Interview Campaign Escalates: 338 Malicious npm Packages, 50,000 Downloads
https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages
Report completeness: Medium
Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, cyber_espionage)
Threats:
Beavertail
Hexeval
Xorindex
Invisibleferret
Typosquatting_technique
Supply_chain_technique
Strictor
Victims:
Cryptocurrency sector, Blockchain sector, Web3 developers, Technical job seekers
Industry:
Financial, Healthcare
Geo:
North koreas, North korea, Dprk, North korean
TTPs:
Tactics: 6
Technics: 9
IOCs:
File: 8
Email: 183
IP: 7
Url: 8
Soft:
macOS, Linux
Wallets:
tron
Crypto:
bitcoin, ethereum
Algorithms:
aes-256-cbc
Languages:
python, javascript
Platforms:
cross-platform
Socket
North Korea’s Contagious Interview Campaign Escalates: 338 M...
The Socket Threat Research Team is tracking weekly intrusions into the npm registry that follow a repeatable adversarial playbook used by North Korean...
CTT Report Hub
#ParsedReport #CompletenessMedium 10-10-2025 North Koreas Contagious Interview Campaign Escalates: 338 Malicious npm Packages, 50,000 Downloads https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Северная Корея активизировала свою кампанию по Contagious Interview, используя реестр npm для распространения более 338 вредоносных пакетов, нацеленных на разработчиков криптовалют. Операция включает в себя тактику социальной инженерии, направленную на то, чтобы заманить жертв к выполнению вредоносного кода с помощью вводящих в заблуждение предложений о собеседовании, используя для эксплуатации перехватчики жизненного цикла npm. Ключевые компоненты вредоносного ПО включают загрузчики, которые облегчают выполнение бэкдоров BeaverTail и InvisibleFerret в нескольких операционных системах, нацеленных в первую очередь на кражу криптовалюты и постоянный доступ к скомпрометированным системам.
-----
Кампания Северной Кореи "Contagious Interview" включала распространение более 338 вредоносных пакетов через реестр npm с примерно 50 000 загрузок. Целями часто становятся разработчики криптовалют и блокчейна, а злоумышленники Маскировка под вербовщиков в Социальных сетях, в частности в LinkedIn. Кампания включает в себя фазу быстрого создания оружия, на которой злоумышленники часто загружают измененный вредоносный код. Злоумышленники отправляют сообщения-интервью, в которых жертвам предлагается клонировать репозитории, которые выполняют сценарий инициализации для запуска цепочки вредоносного ПО. Эксплуатация основана на том, что жертвы выполняют вредоносный код без использования уязвимостей программного обеспечения. Вредоносное ПО работает с помощью перехватчиков жизненного цикла npm во время процессов установки или импорта. Он использует три семейства загрузчиков для перехода от доставки к выполнению вредоносного кода. Первоначальные загрузчики запускают вложенные пакеты, которые восстанавливают в памяти сложное вредоносное ПО, известное как BeaverTail, которое затем извлекает бэкдор под названием InvisibleFerret для кроссплатформенной работы. Вредоносное ПО использует методы обфускации, такие как кодирование полезной нагрузки и XOR-шифрование, чтобы избежать обнаружения. BeaverTail взаимодействует через HTTP (ы) и WebSocket для командования и контроля, стремясь к краже криптовалюты и постоянному доступу к системам жертв. Сообщается, что акторы, связанные с Северной Кореей, украли 2 миллиарда долларов в 2025 году, что указывает на значительные финансовые мотивы. Тактика отражает тенденции социальной инженерии в криптосекторе, манипулируя жертвами, заставляя их запускать вредоносное ПО. Кампания соответствует тактике MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователей и запутывание вредоносных скриптов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Северная Корея активизировала свою кампанию по Contagious Interview, используя реестр npm для распространения более 338 вредоносных пакетов, нацеленных на разработчиков криптовалют. Операция включает в себя тактику социальной инженерии, направленную на то, чтобы заманить жертв к выполнению вредоносного кода с помощью вводящих в заблуждение предложений о собеседовании, используя для эксплуатации перехватчики жизненного цикла npm. Ключевые компоненты вредоносного ПО включают загрузчики, которые облегчают выполнение бэкдоров BeaverTail и InvisibleFerret в нескольких операционных системах, нацеленных в первую очередь на кражу криптовалюты и постоянный доступ к скомпрометированным системам.
-----
Кампания Северной Кореи "Contagious Interview" включала распространение более 338 вредоносных пакетов через реестр npm с примерно 50 000 загрузок. Целями часто становятся разработчики криптовалют и блокчейна, а злоумышленники Маскировка под вербовщиков в Социальных сетях, в частности в LinkedIn. Кампания включает в себя фазу быстрого создания оружия, на которой злоумышленники часто загружают измененный вредоносный код. Злоумышленники отправляют сообщения-интервью, в которых жертвам предлагается клонировать репозитории, которые выполняют сценарий инициализации для запуска цепочки вредоносного ПО. Эксплуатация основана на том, что жертвы выполняют вредоносный код без использования уязвимостей программного обеспечения. Вредоносное ПО работает с помощью перехватчиков жизненного цикла npm во время процессов установки или импорта. Он использует три семейства загрузчиков для перехода от доставки к выполнению вредоносного кода. Первоначальные загрузчики запускают вложенные пакеты, которые восстанавливают в памяти сложное вредоносное ПО, известное как BeaverTail, которое затем извлекает бэкдор под названием InvisibleFerret для кроссплатформенной работы. Вредоносное ПО использует методы обфускации, такие как кодирование полезной нагрузки и XOR-шифрование, чтобы избежать обнаружения. BeaverTail взаимодействует через HTTP (ы) и WebSocket для командования и контроля, стремясь к краже криптовалюты и постоянному доступу к системам жертв. Сообщается, что акторы, связанные с Северной Кореей, украли 2 миллиарда долларов в 2025 году, что указывает на значительные финансовые мотивы. Тактика отражает тенденции социальной инженерии в криптосекторе, манипулируя жертвами, заставляя их запускать вредоносное ПО. Кампания соответствует тактике MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователей и запутывание вредоносных скриптов.
#ParsedReport #CompletenessMedium
11-10-2025
APT \| Sea Lotus Group Havoc Remote Control Trojan Analysis
https://www.ctfiot.com/273664.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
C5pider
Threats:
Havoc
Victims:
Party and government organs, National defense and military industry, Scientific research institutes, Critical information infrastructure, Energy, Healthcare, Civil military integration
Industry:
Military, Healthcare, Energy, Government
Geo:
Asia, Asian, China, Vietnam
TTPs:
Tactics: 1
Technics: 0
IOCs:
IP: 1
Registry: 1
File: 26
Hash: 2
Soft:
Mac OS, WeChat
Algorithms:
deflate, aes, md5, gzip, aes-256-ctr
Win API:
RtlAddVectoredExceptionHandler, ReleaseDC, CommandLineToArgvW, SysAllocString, WinHttpGetProxyForUrl, GetSidSubAuthority, LsaEnumerateLogonSessions, GetAdaptersInfo
Platforms:
intel
11-10-2025
APT \| Sea Lotus Group Havoc Remote Control Trojan Analysis
https://www.ctfiot.com/273664.html
Report completeness: Medium
Actors/Campaigns:
Oceanlotus
C5pider
Threats:
Havoc
Victims:
Party and government organs, National defense and military industry, Scientific research institutes, Critical information infrastructure, Energy, Healthcare, Civil military integration
Industry:
Military, Healthcare, Energy, Government
Geo:
Asia, Asian, China, Vietnam
TTPs:
Tactics: 1
Technics: 0
IOCs:
IP: 1
Registry: 1
File: 26
Hash: 2
Soft:
Mac OS, WeChat
Algorithms:
deflate, aes, md5, gzip, aes-256-ctr
Win API:
RtlAddVectoredExceptionHandler, ReleaseDC, CommandLineToArgvW, SysAllocString, WinHttpGetProxyForUrl, GetSidSubAuthority, LsaEnumerateLogonSessions, GetAdaptersInfo
Platforms:
intel
CTF导航
APT | 海莲花组织Havoc远控木马分析 | CTF导航
1.组织概述OceanLotus(海莲花、APT32、APT-Q-31)是一个长期针对中国及周边东南亚国家(地区)发起APT攻击的东南亚黑客组织,由于其多年来对我国党政机关、国防军工、科研院所等核心要害单位发起攻击,近两年攻...
CTT Report Hub
#ParsedReport #CompletenessMedium 11-10-2025 APT \| Sea Lotus Group Havoc Remote Control Trojan Analysis https://www.ctfiot.com/273664.html Report completeness: Medium Actors/Campaigns: Oceanlotus C5pider Threats: Havoc Victims: Party and government…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Sea Lotus, или APT32, является хакерской группировкой в Юго-Восточной Азии, которая распространила свою деятельность с китайского правительства и вооруженных сил на более широкие секторы, такие как энергетика и здравоохранение. Они используют методы Целевого фишинга и пользовательское вредоносное ПО, такое как троянец удаленного управления Havoc, для проникновения в сети и извлечения конфиденциальных данных. Их эволюционирующая тактика указывает на постоянную угрозу, которая направлена на то, чтобы влиять на региональную политическую динамику, сохраняя при этом сложные возможности удаленного доступа.
-----
Группа Sea Lotus, также известная как OceanLotus или APT32, представляет собой хакерскую группировку в Юго-Восточной Азии, которая участвует в кампаниях по сложной целенаправленной угрозе (APT), в первую очередь нацеленных на Китай и страны Юго-Восточной Азии. С годами эта группа переключила свое внимание на более широкий спектр секторов, включая критически важную информационную инфраструктуру, энергетику, здравоохранение и гражданско-военную интеграцию, расширив сферу своей деятельности за пределы предыдущих целей, таких как китайское правительство, военные и научные учреждения.
В ходе недавних атак Sea Lotus использовала различные методы Целевого фишинга для проникновения в сети и извлечения конфиденциальных данных. Их тактика часто включает в себя использование социальной инженерии, нацеленной на внутренние оппозиционные группы, а также организации в соседних странах. Это отражает стратегический подход, направленный не только на сбор разведывательных данных, но и на то, чтобы нарушить политическую динамику в регионе или повлиять на нее.
Группа фокусируется на использовании пользовательского вредоносного ПО, включая троянца удаленного управления Havoc, который предназначен для облегчения удаленного доступа к скомпрометированным системам. Havoc свидетельствует о технических возможностях группы в разработке сложных инструментов, которые могут поддерживать постоянные соединения и обеспечивать всесторонний сбор данных. Возможности этого троянца подчеркивают угрозу, исходящую от Sea Lotus, которая продолжает адаптировать и развивать свои методологии в ответ на контрмеры.
В результате организации в целевых регионах должны сохранять бдительность, внедряя надежные меры кибербезопасности для защиты от потенциальных вторжений и несанкционированного доступа, возникающих в результате этих целевых кампаний по наисложнейшим целенаправленным угрозам.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа Sea Lotus, или APT32, является хакерской группировкой в Юго-Восточной Азии, которая распространила свою деятельность с китайского правительства и вооруженных сил на более широкие секторы, такие как энергетика и здравоохранение. Они используют методы Целевого фишинга и пользовательское вредоносное ПО, такое как троянец удаленного управления Havoc, для проникновения в сети и извлечения конфиденциальных данных. Их эволюционирующая тактика указывает на постоянную угрозу, которая направлена на то, чтобы влиять на региональную политическую динамику, сохраняя при этом сложные возможности удаленного доступа.
-----
Группа Sea Lotus, также известная как OceanLotus или APT32, представляет собой хакерскую группировку в Юго-Восточной Азии, которая участвует в кампаниях по сложной целенаправленной угрозе (APT), в первую очередь нацеленных на Китай и страны Юго-Восточной Азии. С годами эта группа переключила свое внимание на более широкий спектр секторов, включая критически важную информационную инфраструктуру, энергетику, здравоохранение и гражданско-военную интеграцию, расширив сферу своей деятельности за пределы предыдущих целей, таких как китайское правительство, военные и научные учреждения.
В ходе недавних атак Sea Lotus использовала различные методы Целевого фишинга для проникновения в сети и извлечения конфиденциальных данных. Их тактика часто включает в себя использование социальной инженерии, нацеленной на внутренние оппозиционные группы, а также организации в соседних странах. Это отражает стратегический подход, направленный не только на сбор разведывательных данных, но и на то, чтобы нарушить политическую динамику в регионе или повлиять на нее.
Группа фокусируется на использовании пользовательского вредоносного ПО, включая троянца удаленного управления Havoc, который предназначен для облегчения удаленного доступа к скомпрометированным системам. Havoc свидетельствует о технических возможностях группы в разработке сложных инструментов, которые могут поддерживать постоянные соединения и обеспечивать всесторонний сбор данных. Возможности этого троянца подчеркивают угрозу, исходящую от Sea Lotus, которая продолжает адаптировать и развивать свои методологии в ответ на контрмеры.
В результате организации в целевых регионах должны сохранять бдительность, внедряя надежные меры кибербезопасности для защиты от потенциальных вторжений и несанкционированного доступа, возникающих в результате этих целевых кампаний по наисложнейшим целенаправленным угрозам.
#ParsedReport #CompletenessLow
09-10-2025
Investigating targeted payroll pirate attacks affecting US universities
https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/
Report completeness: Low
Actors/Campaigns:
Storm-2657 (motivation: financially_motivated)
Threats:
Aitm_technique
Bec_technique
Victims:
Higher education, Universities, Us based organizations, Employees
Industry:
Financial, Education
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 3
Soft:
Microsoft Defender, Microsoft Exchange, Office 365, Android, Twitter
Functions:
InternetMessageId
09-10-2025
Investigating targeted payroll pirate attacks affecting US universities
https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/
Report completeness: Low
Actors/Campaigns:
Storm-2657 (motivation: financially_motivated)
Threats:
Aitm_technique
Bec_technique
Victims:
Higher education, Universities, Us based organizations, Employees
Industry:
Financial, Education
TTPs:
Tactics: 4
Technics: 0
IOCs:
File: 3
Soft:
Microsoft Defender, Microsoft Exchange, Office 365, Android, Twitter
Functions:
InternetMessageId
Microsoft News
Investigating targeted “payroll pirate” attacks affecting US universities
Microsoft Threat Intelligence has identified a financially motivated threat actor that we track as Storm-2657 compromising employee accounts to gain unauthorized access to employee profiles and divert salary payments to attacker-controlled accounts, attacks…
CTT Report Hub
#ParsedReport #CompletenessLow 09-10-2025 Investigating targeted payroll pirate attacks affecting US universities https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Microsoft Threat Intelligence выявила Storm-2657, финансово мотивированного злоумышленника, нацелившегося на университеты США с помощью операций по "пиратству заработной платы". Их подход включает в себя сложные методы фишинга и методы Злоумышленника посередине (AITM) для получения кодов Многофакторной аутентификации (MFA), что приводит к несанкционированному доступу к учетным записям сотрудников Exchange Online и Workday для перенаправления выплат заработной платы. С марта 2025 года группа скомпрометировала 11 учетных записей в трех университетах и отправила попытки фишинга примерно на 6000 адресов.
-----
Microsoft Threat Intelligence выявила финансово мотивированного злоумышленника, известного как Storm-2657, который активно атакует университеты США в серии атак, получивших название "payroll pirate". Основная цель Storm-2657 - скомпрометировать учетные записи сотрудников, чтобы перенаправить выплаты заработной платы на счета, контролируемые злоумышленниками. Эта группа особенно ориентирована на сотрудников сектора высшего образования, ищущих доступ к сторонним платформам "Программное обеспечение для управления персоналом как услуга" (SaaS), таким как Workday.
Начальная фаза кампании включает в себя сложные методы фишинга, которые используют методы Злоумышленника посередине (AITM), чтобы обманом заставить жертв раскрыть коды Многофакторной аутентификации (MFA). Электронные письма с фишингом в высшей степени реалистичны и с марта 2025 года успешно привели к компрометации 11 учетных записей в трех университетах. Эти взломанные учетные записи затем используются для отправки фишинг-писем почти на 6000 Адресов эл. почты в 25 различных университетах.
После получения необходимых кодов MFA Storm-2657 получает несанкционированный доступ к онлайн-аккаунтам Exchange. Этот доступ впоследствии позволяет злоумышленникам перехватывать рабочие профили жертв, где они могут изменять важную информацию о заработной плате и банковских счетах. Используя возможности Workday по единому входу (SSO), злоумышленник способствует внесению изменений, которые переводят заработную плату жертв на их собственные выделенные счета.
Microsoft Defender XDR оснащен всем необходимым для обеспечения интегрированных мер обнаружения угроз и предотвращения подобных атак путем координации наблюдения за конечными точками, идентификационными данными, электронной почтой и приложениями. Система включает в себя специальный соединитель для Workday, который фиксирует важные события записи, такие как обновления учетных записей и конфигураций расчета заработной платы, помогая в расследовании таких нарушений в начислении заработной платы. Ключевые события, относящиеся к сценарию атаки, регистрируются в таблицах поиска CloudAppEvents Defender XDR, предоставляя информацию для текущего анализа и расследования угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Microsoft Threat Intelligence выявила Storm-2657, финансово мотивированного злоумышленника, нацелившегося на университеты США с помощью операций по "пиратству заработной платы". Их подход включает в себя сложные методы фишинга и методы Злоумышленника посередине (AITM) для получения кодов Многофакторной аутентификации (MFA), что приводит к несанкционированному доступу к учетным записям сотрудников Exchange Online и Workday для перенаправления выплат заработной платы. С марта 2025 года группа скомпрометировала 11 учетных записей в трех университетах и отправила попытки фишинга примерно на 6000 адресов.
-----
Microsoft Threat Intelligence выявила финансово мотивированного злоумышленника, известного как Storm-2657, который активно атакует университеты США в серии атак, получивших название "payroll pirate". Основная цель Storm-2657 - скомпрометировать учетные записи сотрудников, чтобы перенаправить выплаты заработной платы на счета, контролируемые злоумышленниками. Эта группа особенно ориентирована на сотрудников сектора высшего образования, ищущих доступ к сторонним платформам "Программное обеспечение для управления персоналом как услуга" (SaaS), таким как Workday.
Начальная фаза кампании включает в себя сложные методы фишинга, которые используют методы Злоумышленника посередине (AITM), чтобы обманом заставить жертв раскрыть коды Многофакторной аутентификации (MFA). Электронные письма с фишингом в высшей степени реалистичны и с марта 2025 года успешно привели к компрометации 11 учетных записей в трех университетах. Эти взломанные учетные записи затем используются для отправки фишинг-писем почти на 6000 Адресов эл. почты в 25 различных университетах.
После получения необходимых кодов MFA Storm-2657 получает несанкционированный доступ к онлайн-аккаунтам Exchange. Этот доступ впоследствии позволяет злоумышленникам перехватывать рабочие профили жертв, где они могут изменять важную информацию о заработной плате и банковских счетах. Используя возможности Workday по единому входу (SSO), злоумышленник способствует внесению изменений, которые переводят заработную плату жертв на их собственные выделенные счета.
Microsoft Defender XDR оснащен всем необходимым для обеспечения интегрированных мер обнаружения угроз и предотвращения подобных атак путем координации наблюдения за конечными точками, идентификационными данными, электронной почтой и приложениями. Система включает в себя специальный соединитель для Workday, который фиксирует важные события записи, такие как обновления учетных записей и конфигураций расчета заработной платы, помогая в расследовании таких нарушений в начислении заработной платы. Ключевые события, относящиеся к сценарию атаки, регистрируются в таблицах поиска CloudAppEvents Defender XDR, предоставляя информацию для текущего анализа и расследования угроз.
#ParsedReport #CompletenessLow
09-10-2025
ClayRat: A New Android Spyware Targeting Russia
https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia
Report completeness: Low
Threats:
Clayrat
Victims:
Android users
Geo:
Russian, Russia
TTPs:
Tactics: 9
Technics: 10
Soft:
Android, Telegram, WhatsApp, TikTok, Google Play
Algorithms:
base64, aes-gcm
Links:
09-10-2025
ClayRat: A New Android Spyware Targeting Russia
https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia
Report completeness: Low
Threats:
Clayrat
Victims:
Android users
Geo:
Russian, Russia
TTPs:
Tactics: 9
Technics: 10
Soft:
Android, Telegram, WhatsApp, TikTok, Google Play
Algorithms:
base64, aes-gcm
Links:
https://github.com/Zimperium/IOC/tree/master/2025-10-ClayRatZimperium
ClayRat: A New Android Spyware Targeting Russia
true