#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО Kivars, связанное с группой BlackTech, развивалось с 2010 года, преимущественно угрожая организациям в Японии и Тайване различными недавними вариантами. Метод работы вредоносного ПО включает развертывание загрузчика, который устанавливается вместе с зашифрованными файлами и устанавливает Службу Windows для закрепления, в то время как он передает данные через порты 389 и 443 в свою инфраструктуру управления. Примечательно, что вредоносное ПО обладает способностью обнаруживать инструменты анализа, что отражает его изощренные методы уклонения.
-----

Вредоносное ПО Kivars, связанное с группой BlackTech, отслеживается примерно с 2010 года и представляет значительную угрозу, особенно для организаций в Японии и Тайване. Последние события, произошедшие в 2025 году, выявили несколько вариантов этого вредоносного ПО. Известные инциденты в прошлом включают использование бэкдоров прошивки Cisco, что отражает эволюционирующую тактику, применяемую группой.

Механизм работы Kivars начинается с развертывания загрузчика BlackTech, который помещает как загрузчик, так и зашифрованные файлы Kivars в системный каталог скомпрометированного компьютера. Впоследствии злоумышленник создает Службу Windows для закрепления, после чего запускается загрузчик Kivars для запуска его полезной нагрузки в памяти. Этот метод гарантирует, что вредоносное ПО Kivars остается эффективным, избегая обнаружения аналитическими инструментами.

Когда Kivars запускается, он выполняет перечисление процессов, чтобы подтвердить, что никакие инструменты анализа не активны, демонстрируя высокую осведомленность о своей операционной среде. На техническом уровне вредоносное ПО обменивается данными в основном через порты 389 и 443 с указанными внешними адресатами, что указывает на выбор им широко используемых сетевых каналов для облегчения связи и, возможно, операций управления.

Для улучшения реагирования на инциденты и анализа угроз, связанных с Kivars, был разработан специализированный инструмент, который позволяет извлекать, расшифровывать и анализировать данные конфигурации Kivars непосредственно из его загрузчика. Этот инструмент, доступный в общедоступном репозитории GitHub, подчеркивает растущую важность ресурсов сообщества в борьбе с этой постоянной угрозой.

Было задокументировано несколько файловых хэшей, связанных с Kivars и его вариантами загрузки, что иллюстрирует разнообразие и потенциальное воздействие этого набора вредоносных ПО. Информация, связанная с обнаружением и поведением Kivars, подчеркивает возможности и намерения группы, что требует повышенной бдительности со стороны целевых секторов и требует принятия надежных защитных мер.

#ParsedReport #CompletenessMedium
10-10-2025

North Koreas Contagious Interview Campaign Escalates: 338 Malicious npm Packages, 50,000 Downloads

https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages

Report completeness: Medium

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated, cyber_espionage)

Threats:
Beavertail
Hexeval
Xorindex
Invisibleferret
Typosquatting_technique
Supply_chain_technique
Strictor

Victims:
Cryptocurrency sector, Blockchain sector, Web3 developers, Technical job seekers

Industry:
Financial, Healthcare

Geo:
North koreas, North korea, Dprk, North korean

TTPs:
Tactics: 6
Technics: 9

IOCs:
File: 8
Email: 183
IP: 7
Url: 8

Soft:
macOS, Linux

Wallets:
tron

Crypto:
bitcoin, ethereum

Algorithms:
aes-256-cbc

Languages:
python, javascript

Platforms:
cross-platform

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северная Корея активизировала свою кампанию по Contagious Interview, используя реестр npm для распространения более 338 вредоносных пакетов, нацеленных на разработчиков криптовалют. Операция включает в себя тактику социальной инженерии, направленную на то, чтобы заманить жертв к выполнению вредоносного кода с помощью вводящих в заблуждение предложений о собеседовании, используя для эксплуатации перехватчики жизненного цикла npm. Ключевые компоненты вредоносного ПО включают загрузчики, которые облегчают выполнение бэкдоров BeaverTail и InvisibleFerret в нескольких операционных системах, нацеленных в первую очередь на кражу криптовалюты и постоянный доступ к скомпрометированным системам.
-----

Кампания Северной Кореи "Contagious Interview" включала распространение более 338 вредоносных пакетов через реестр npm с примерно 50 000 загрузок. Целями часто становятся разработчики криптовалют и блокчейна, а злоумышленники Маскировка под вербовщиков в Социальных сетях, в частности в LinkedIn. Кампания включает в себя фазу быстрого создания оружия, на которой злоумышленники часто загружают измененный вредоносный код. Злоумышленники отправляют сообщения-интервью, в которых жертвам предлагается клонировать репозитории, которые выполняют сценарий инициализации для запуска цепочки вредоносного ПО. Эксплуатация основана на том, что жертвы выполняют вредоносный код без использования уязвимостей программного обеспечения. Вредоносное ПО работает с помощью перехватчиков жизненного цикла npm во время процессов установки или импорта. Он использует три семейства загрузчиков для перехода от доставки к выполнению вредоносного кода. Первоначальные загрузчики запускают вложенные пакеты, которые восстанавливают в памяти сложное вредоносное ПО, известное как BeaverTail, которое затем извлекает бэкдор под названием InvisibleFerret для кроссплатформенной работы. Вредоносное ПО использует методы обфускации, такие как кодирование полезной нагрузки и XOR-шифрование, чтобы избежать обнаружения. BeaverTail взаимодействует через HTTP (ы) и WebSocket для командования и контроля, стремясь к краже криптовалюты и постоянному доступу к системам жертв. Сообщается, что акторы, связанные с Северной Кореей, украли 2 миллиарда долларов в 2025 году, что указывает на значительные финансовые мотивы. Тактика отражает тенденции социальной инженерии в криптосекторе, манипулируя жертвами, заставляя их запускать вредоносное ПО. Кампания соответствует тактике MITRE ATT&CK, включая Компрометацию цепочки поставок, Выполнение с участием пользователей и запутывание вредоносных скриптов.

#ParsedReport #CompletenessMedium
11-10-2025

APT \| Sea Lotus Group Havoc Remote Control Trojan Analysis

https://www.ctfiot.com/273664.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus
C5pider

Threats:
Havoc

Victims:
Party and government organs, National defense and military industry, Scientific research institutes, Critical information infrastructure, Energy, Healthcare, Civil military integration

Industry:
Military, Healthcare, Energy, Government

Geo:
Asia, Asian, China, Vietnam

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 1
Registry: 1
File: 26
Hash: 2

Soft:
Mac OS, WeChat

Algorithms:
deflate, aes, md5, gzip, aes-256-ctr

Win API:
RtlAddVectoredExceptionHandler, ReleaseDC, CommandLineToArgvW, SysAllocString, WinHttpGetProxyForUrl, GetSidSubAuthority, LsaEnumerateLogonSessions, GetAdaptersInfo

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Sea Lotus, или APT32, является хакерской группировкой в Юго-Восточной Азии, которая распространила свою деятельность с китайского правительства и вооруженных сил на более широкие секторы, такие как энергетика и здравоохранение. Они используют методы Целевого фишинга и пользовательское вредоносное ПО, такое как троянец удаленного управления Havoc, для проникновения в сети и извлечения конфиденциальных данных. Их эволюционирующая тактика указывает на постоянную угрозу, которая направлена на то, чтобы влиять на региональную политическую динамику, сохраняя при этом сложные возможности удаленного доступа.
-----

Группа Sea Lotus, также известная как OceanLotus или APT32, представляет собой хакерскую группировку в Юго-Восточной Азии, которая участвует в кампаниях по сложной целенаправленной угрозе (APT), в первую очередь нацеленных на Китай и страны Юго-Восточной Азии. С годами эта группа переключила свое внимание на более широкий спектр секторов, включая критически важную информационную инфраструктуру, энергетику, здравоохранение и гражданско-военную интеграцию, расширив сферу своей деятельности за пределы предыдущих целей, таких как китайское правительство, военные и научные учреждения.

В ходе недавних атак Sea Lotus использовала различные методы Целевого фишинга для проникновения в сети и извлечения конфиденциальных данных. Их тактика часто включает в себя использование социальной инженерии, нацеленной на внутренние оппозиционные группы, а также организации в соседних странах. Это отражает стратегический подход, направленный не только на сбор разведывательных данных, но и на то, чтобы нарушить политическую динамику в регионе или повлиять на нее.

Группа фокусируется на использовании пользовательского вредоносного ПО, включая троянца удаленного управления Havoc, который предназначен для облегчения удаленного доступа к скомпрометированным системам. Havoc свидетельствует о технических возможностях группы в разработке сложных инструментов, которые могут поддерживать постоянные соединения и обеспечивать всесторонний сбор данных. Возможности этого троянца подчеркивают угрозу, исходящую от Sea Lotus, которая продолжает адаптировать и развивать свои методологии в ответ на контрмеры.

В результате организации в целевых регионах должны сохранять бдительность, внедряя надежные меры кибербезопасности для защиты от потенциальных вторжений и несанкционированного доступа, возникающих в результате этих целевых кампаний по наисложнейшим целенаправленным угрозам.

#ParsedReport #CompletenessLow
09-10-2025

Investigating targeted payroll pirate attacks affecting US universities

https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/

Report completeness: Low

Actors/Campaigns:
Storm-2657 (motivation: financially_motivated)

Threats:
Aitm_technique
Bec_technique

Victims:
Higher education, Universities, Us based organizations, Employees

Industry:
Financial, Education

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3

Soft:
Microsoft Defender, Microsoft Exchange, Office 365, Android, Twitter

Functions:
InternetMessageId

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft Threat Intelligence выявила Storm-2657, финансово мотивированного злоумышленника, нацелившегося на университеты США с помощью операций по "пиратству заработной платы". Их подход включает в себя сложные методы фишинга и методы Злоумышленника посередине (AITM) для получения кодов Многофакторной аутентификации (MFA), что приводит к несанкционированному доступу к учетным записям сотрудников Exchange Online и Workday для перенаправления выплат заработной платы. С марта 2025 года группа скомпрометировала 11 учетных записей в трех университетах и отправила попытки фишинга примерно на 6000 адресов.
-----

Microsoft Threat Intelligence выявила финансово мотивированного злоумышленника, известного как Storm-2657, который активно атакует университеты США в серии атак, получивших название "payroll pirate". Основная цель Storm-2657 - скомпрометировать учетные записи сотрудников, чтобы перенаправить выплаты заработной платы на счета, контролируемые злоумышленниками. Эта группа особенно ориентирована на сотрудников сектора высшего образования, ищущих доступ к сторонним платформам "Программное обеспечение для управления персоналом как услуга" (SaaS), таким как Workday.

Начальная фаза кампании включает в себя сложные методы фишинга, которые используют методы Злоумышленника посередине (AITM), чтобы обманом заставить жертв раскрыть коды Многофакторной аутентификации (MFA). Электронные письма с фишингом в высшей степени реалистичны и с марта 2025 года успешно привели к компрометации 11 учетных записей в трех университетах. Эти взломанные учетные записи затем используются для отправки фишинг-писем почти на 6000 Адресов эл. почты в 25 различных университетах.

После получения необходимых кодов MFA Storm-2657 получает несанкционированный доступ к онлайн-аккаунтам Exchange. Этот доступ впоследствии позволяет злоумышленникам перехватывать рабочие профили жертв, где они могут изменять важную информацию о заработной плате и банковских счетах. Используя возможности Workday по единому входу (SSO), злоумышленник способствует внесению изменений, которые переводят заработную плату жертв на их собственные выделенные счета.

Microsoft Defender XDR оснащен всем необходимым для обеспечения интегрированных мер обнаружения угроз и предотвращения подобных атак путем координации наблюдения за конечными точками, идентификационными данными, электронной почтой и приложениями. Система включает в себя специальный соединитель для Workday, который фиксирует важные события записи, такие как обновления учетных записей и конфигураций расчета заработной платы, помогая в расследовании таких нарушений в начислении заработной платы. Ключевые события, относящиеся к сценарию атаки, регистрируются в таблицах поиска CloudAppEvents Defender XDR, предоставляя информацию для текущего анализа и расследования угроз.

#ParsedReport #CompletenessLow
09-10-2025

ClayRat: A New Android Spyware Targeting Russia

https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia

Report completeness: Low

Threats:
Clayrat

Victims:
Android users

Geo:
Russian, Russia

TTPs:
Tactics: 9
Technics: 10

Soft:
Android, Telegram, WhatsApp, TikTok, Google Play

Algorithms:
base64, aes-gcm

Links:
https://github.com/Zimperium/IOC/tree/master/2025-10-ClayRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat - это шпионская программа для Android, нацеленная на российских пользователей и распространяемая через поддельные Telegram-каналы и сайты фишинга. Вредоносное ПО использует тактику социальной инженерии для использования доверия пользователей, Маскировки под популярные приложения и использования обманчивых методов установки, которые обходят ограничения Android 13. Он использует роли обработчиков SMS для получения широкого доступа к функциям обмена сообщениями, облегчая эксфильтрацию данных, включая SMS-сообщения и журналы вызовов, при динамическом управлении своей инфраструктурой управления для повышения эффективности уклонения.
-----

ClayRat - это шпионская программа для Android, нацеленная в первую очередь на российских пользователей, распространяемая через поддельные Telegram-каналы и сайты фишинга, Маскировка которых осуществляется под популярные приложения, такие как WhatsApp и TikTok. Злоумышленники используют сложную тактику социальной инженерии, чтобы воспользоваться доверием пользователей, создавая домены, которые очень напоминают легальные сервисы, чтобы заманить жертв. По этим обманчивым каналам пользователям предлагается загрузить вредоносные APK-файлы, часто сопровождаемые вводящими в заблуждение инструкциями, предназначенными для обхода встроенных мер безопасности Android.

Шпионское ПО эволюционировало, включив в себя различные тактики установки, в частности, используя методы, основанные на сеансах, для обхода ограничений, введенных в Android 13. ClayRat часто маскируется под приложение-дроппер, где основная полезная нагрузка вредоносного ПО зашифрована и хранится в ресурсах приложения, обманывая пользователей поддельными экранами обновлений Google Play. Одна из эффективных тактик заключается в злоупотреблении ролью обработчика SMS на устройствах Android, предоставляя вредоносному ПО обширный доступ к содержимому SMS и функциям обмена сообщениями. Это позволяет шпионскому ПО считывать, сохранять и пересылать сообщения, не требуя индивидуальных разрешений во время выполнения, что упрощает процесс атаки.

Инфраструктура управления ClayRat (C2) облегчает обширный сбор данных и управление устройством жертвы. Программа-шпион может извлекать список установленных приложений, получать доступ к журналам вызовов, делать снимки фронтальной камерой и массово отправлять SMS-сообщения контактам жертв. Он динамически управляет прокси-серверами, чтобы скрыть свою деятельность, преобразуя HTTP / HTTPS-соединения в WebSocket-соединения для улучшенного уклонения.

Согласно MITRE ATT&CK framework mapping, ClayRat использует множество методов в рамках различных тактик. Он использует фишинг для первоначального доступа и поддерживает закрепление с помощью инициируемого событиями выполнения, используя широковещательные приемники для SMS-сообщений. Способность вредоносного ПО к Маскировке позволяет ему выглядеть законным, в то время как методы обнаружения системы позволяют ему собирать информацию об устройстве. Он извлекает конфиденциальные пользовательские данные, такие как SMS-сообщения и журналы вызовов, передавая эту информацию по своим каналам C2.

#ParsedReport #CompletenessLow
13-10-2025

Mapping latest Lumma infrastructure

https://intelinsights.substack.com/p/mapping-latest-lumma-infrastructure

Report completeness: Low

Threats:
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1008, T1583.001, T1583.003, T1583.004

IOCs:
Domain: 390
IP: 10

Soft:
Ubuntu

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 4, table: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы вредоносного ПО Lumma постоянно используют кластерную инфраструктуру для командования и контроля и распространения доменов, причем многие домены привязаны к IP-адресу 46.28.71.142 и связаны с ROUTE95 GREEN FLOID LLC. Дальнейший анализ выявил еще один IP-адрес, 172.86.89.51, связанный с более чем 350 вредоносными доменами, использующими аналогичные соглашения об именовании. Обнаружение этих инфраструктурных шаблонов, наряду с подключениями к определенным службам хостинга, открывает возможности для идентификации кибербезопасности, несмотря на частую смену домена вредоносным ПО.
-----

Продолжающиеся усилия по борьбе с вредоносным ПО Lumma свидетельствуют о последовательном использовании кластерной инфраструктуры ее операторами, что делает анализ действий командования и контроля (C2) и распределения доменов важным для понимания этой угрозы. Недавние расследования показывают, что значительное количество доменов, связанных с Lumma, размещено по определенному IP-адресу 46.28.71.142, который зарегистрирован на ROUTE95 GREEN FLOID LLC (ASN 8254). С помощью таких инструментов, как Validin, исследователи определили, что этот хост поддерживает около 320 доменов, большинство из которых ранее были помечены как распространяющие вредоносное ПО Lumma и остаются активными.

В дополнение к этому IP-адресу анализ также отметил наличие другого подозрительного IP-адреса, 172.86.89.51, связанного с более чем 350 вредоносными доменами, которые используют соглашения об именовании, аналогичные уже идентифицированным. Используя эти IP-адреса и отпечатки сертификатов, расследование могло бы выявить дополнительные связи между доменами, участвующими в кампании Lumma.

Объединение инфраструктуры в кластеры подтверждает предположение о том, что операторы Lumma's используют специальные услуги хостинга, включая Routerhosting и Proton66, для облегчения распространения вредоносного ПО. Этот вывод подтверждается связью между наблюдаемыми доменами и использованием определенных ASN, которые могут быть использованы для целей обнаружения, несмотря на частую смену доменов вредоносным ПО. В целом, такая кластеризация инфраструктуры открывает возможности для усилий по кибербезопасности, направленных на выявление и снижение рисков, создаваемых Lumma.

#ParsedReport #CompletenessLow
13-10-2025

Catch them while you can

https://medium.com/@DCSO_CyTec/catch-them-while-you-can-5c43007ae99e?source=rss-7c32125308fc------2

Report completeness: Low

Threats:
Defendercontrol_tool
Mimikatz_tool
Impacket_tool
Credential_dumping_technique
Anydesk_tool
Rclone_tool

Geo:
French, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1039, T1046, T1074, T1078, T1110, T1567.002

IOCs:
File: 8
Path: 1

Soft:
Microsoft Defender, PsExec, MSSQL

Links:
https://github.com/pgkt04/defender-control/tree/main