#ParsedReport #CompletenessMedium
11-10-2025

APT \| Sea Lotus Group Havoc Remote Control Trojan Analysis

https://www.ctfiot.com/273664.html

Report completeness: Medium

Actors/Campaigns:
Oceanlotus
C5pider

Threats:
Havoc

Victims:
Party and government organs, National defense and military industry, Scientific research institutes, Critical information infrastructure, Energy, Healthcare, Civil military integration

Industry:
Military, Healthcare, Energy, Government

Geo:
Asia, Asian, China, Vietnam

TTPs:
Tactics: 1
Technics: 0

IOCs:
IP: 1
Registry: 1
File: 26
Hash: 2

Soft:
Mac OS, WeChat

Algorithms:
deflate, aes, md5, gzip, aes-256-ctr

Win API:
RtlAddVectoredExceptionHandler, ReleaseDC, CommandLineToArgvW, SysAllocString, WinHttpGetProxyForUrl, GetSidSubAuthority, LsaEnumerateLogonSessions, GetAdaptersInfo

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Sea Lotus, или APT32, является хакерской группировкой в Юго-Восточной Азии, которая распространила свою деятельность с китайского правительства и вооруженных сил на более широкие секторы, такие как энергетика и здравоохранение. Они используют методы Целевого фишинга и пользовательское вредоносное ПО, такое как троянец удаленного управления Havoc, для проникновения в сети и извлечения конфиденциальных данных. Их эволюционирующая тактика указывает на постоянную угрозу, которая направлена на то, чтобы влиять на региональную политическую динамику, сохраняя при этом сложные возможности удаленного доступа.
-----

Группа Sea Lotus, также известная как OceanLotus или APT32, представляет собой хакерскую группировку в Юго-Восточной Азии, которая участвует в кампаниях по сложной целенаправленной угрозе (APT), в первую очередь нацеленных на Китай и страны Юго-Восточной Азии. С годами эта группа переключила свое внимание на более широкий спектр секторов, включая критически важную информационную инфраструктуру, энергетику, здравоохранение и гражданско-военную интеграцию, расширив сферу своей деятельности за пределы предыдущих целей, таких как китайское правительство, военные и научные учреждения.

В ходе недавних атак Sea Lotus использовала различные методы Целевого фишинга для проникновения в сети и извлечения конфиденциальных данных. Их тактика часто включает в себя использование социальной инженерии, нацеленной на внутренние оппозиционные группы, а также организации в соседних странах. Это отражает стратегический подход, направленный не только на сбор разведывательных данных, но и на то, чтобы нарушить политическую динамику в регионе или повлиять на нее.

Группа фокусируется на использовании пользовательского вредоносного ПО, включая троянца удаленного управления Havoc, который предназначен для облегчения удаленного доступа к скомпрометированным системам. Havoc свидетельствует о технических возможностях группы в разработке сложных инструментов, которые могут поддерживать постоянные соединения и обеспечивать всесторонний сбор данных. Возможности этого троянца подчеркивают угрозу, исходящую от Sea Lotus, которая продолжает адаптировать и развивать свои методологии в ответ на контрмеры.

В результате организации в целевых регионах должны сохранять бдительность, внедряя надежные меры кибербезопасности для защиты от потенциальных вторжений и несанкционированного доступа, возникающих в результате этих целевых кампаний по наисложнейшим целенаправленным угрозам.

#ParsedReport #CompletenessLow
09-10-2025

Investigating targeted payroll pirate attacks affecting US universities

https://www.microsoft.com/en-us/security/blog/2025/10/09/investigating-targeted-payroll-pirate-attacks-affecting-us-universities/

Report completeness: Low

Actors/Campaigns:
Storm-2657 (motivation: financially_motivated)

Threats:
Aitm_technique
Bec_technique

Victims:
Higher education, Universities, Us based organizations, Employees

Industry:
Financial, Education

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 3

Soft:
Microsoft Defender, Microsoft Exchange, Office 365, Android, Twitter

Functions:
InternetMessageId

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Microsoft Threat Intelligence выявила Storm-2657, финансово мотивированного злоумышленника, нацелившегося на университеты США с помощью операций по "пиратству заработной платы". Их подход включает в себя сложные методы фишинга и методы Злоумышленника посередине (AITM) для получения кодов Многофакторной аутентификации (MFA), что приводит к несанкционированному доступу к учетным записям сотрудников Exchange Online и Workday для перенаправления выплат заработной платы. С марта 2025 года группа скомпрометировала 11 учетных записей в трех университетах и отправила попытки фишинга примерно на 6000 адресов.
-----

Microsoft Threat Intelligence выявила финансово мотивированного злоумышленника, известного как Storm-2657, который активно атакует университеты США в серии атак, получивших название "payroll pirate". Основная цель Storm-2657 - скомпрометировать учетные записи сотрудников, чтобы перенаправить выплаты заработной платы на счета, контролируемые злоумышленниками. Эта группа особенно ориентирована на сотрудников сектора высшего образования, ищущих доступ к сторонним платформам "Программное обеспечение для управления персоналом как услуга" (SaaS), таким как Workday.

Начальная фаза кампании включает в себя сложные методы фишинга, которые используют методы Злоумышленника посередине (AITM), чтобы обманом заставить жертв раскрыть коды Многофакторной аутентификации (MFA). Электронные письма с фишингом в высшей степени реалистичны и с марта 2025 года успешно привели к компрометации 11 учетных записей в трех университетах. Эти взломанные учетные записи затем используются для отправки фишинг-писем почти на 6000 Адресов эл. почты в 25 различных университетах.

После получения необходимых кодов MFA Storm-2657 получает несанкционированный доступ к онлайн-аккаунтам Exchange. Этот доступ впоследствии позволяет злоумышленникам перехватывать рабочие профили жертв, где они могут изменять важную информацию о заработной плате и банковских счетах. Используя возможности Workday по единому входу (SSO), злоумышленник способствует внесению изменений, которые переводят заработную плату жертв на их собственные выделенные счета.

Microsoft Defender XDR оснащен всем необходимым для обеспечения интегрированных мер обнаружения угроз и предотвращения подобных атак путем координации наблюдения за конечными точками, идентификационными данными, электронной почтой и приложениями. Система включает в себя специальный соединитель для Workday, который фиксирует важные события записи, такие как обновления учетных записей и конфигураций расчета заработной платы, помогая в расследовании таких нарушений в начислении заработной платы. Ключевые события, относящиеся к сценарию атаки, регистрируются в таблицах поиска CloudAppEvents Defender XDR, предоставляя информацию для текущего анализа и расследования угроз.

#ParsedReport #CompletenessLow
09-10-2025

ClayRat: A New Android Spyware Targeting Russia

https://zimperium.com/blog/clayrat-a-new-android-spyware-targeting-russia

Report completeness: Low

Threats:
Clayrat

Victims:
Android users

Geo:
Russian, Russia

TTPs:
Tactics: 9
Technics: 10

Soft:
Android, Telegram, WhatsApp, TikTok, Google Play

Algorithms:
base64, aes-gcm

Links:
https://github.com/Zimperium/IOC/tree/master/2025-10-ClayRat

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat - это шпионская программа для Android, нацеленная на российских пользователей и распространяемая через поддельные Telegram-каналы и сайты фишинга. Вредоносное ПО использует тактику социальной инженерии для использования доверия пользователей, Маскировки под популярные приложения и использования обманчивых методов установки, которые обходят ограничения Android 13. Он использует роли обработчиков SMS для получения широкого доступа к функциям обмена сообщениями, облегчая эксфильтрацию данных, включая SMS-сообщения и журналы вызовов, при динамическом управлении своей инфраструктурой управления для повышения эффективности уклонения.
-----

ClayRat - это шпионская программа для Android, нацеленная в первую очередь на российских пользователей, распространяемая через поддельные Telegram-каналы и сайты фишинга, Маскировка которых осуществляется под популярные приложения, такие как WhatsApp и TikTok. Злоумышленники используют сложную тактику социальной инженерии, чтобы воспользоваться доверием пользователей, создавая домены, которые очень напоминают легальные сервисы, чтобы заманить жертв. По этим обманчивым каналам пользователям предлагается загрузить вредоносные APK-файлы, часто сопровождаемые вводящими в заблуждение инструкциями, предназначенными для обхода встроенных мер безопасности Android.

Шпионское ПО эволюционировало, включив в себя различные тактики установки, в частности, используя методы, основанные на сеансах, для обхода ограничений, введенных в Android 13. ClayRat часто маскируется под приложение-дроппер, где основная полезная нагрузка вредоносного ПО зашифрована и хранится в ресурсах приложения, обманывая пользователей поддельными экранами обновлений Google Play. Одна из эффективных тактик заключается в злоупотреблении ролью обработчика SMS на устройствах Android, предоставляя вредоносному ПО обширный доступ к содержимому SMS и функциям обмена сообщениями. Это позволяет шпионскому ПО считывать, сохранять и пересылать сообщения, не требуя индивидуальных разрешений во время выполнения, что упрощает процесс атаки.

Инфраструктура управления ClayRat (C2) облегчает обширный сбор данных и управление устройством жертвы. Программа-шпион может извлекать список установленных приложений, получать доступ к журналам вызовов, делать снимки фронтальной камерой и массово отправлять SMS-сообщения контактам жертв. Он динамически управляет прокси-серверами, чтобы скрыть свою деятельность, преобразуя HTTP / HTTPS-соединения в WebSocket-соединения для улучшенного уклонения.

Согласно MITRE ATT&CK framework mapping, ClayRat использует множество методов в рамках различных тактик. Он использует фишинг для первоначального доступа и поддерживает закрепление с помощью инициируемого событиями выполнения, используя широковещательные приемники для SMS-сообщений. Способность вредоносного ПО к Маскировке позволяет ему выглядеть законным, в то время как методы обнаружения системы позволяют ему собирать информацию об устройстве. Он извлекает конфиденциальные пользовательские данные, такие как SMS-сообщения и журналы вызовов, передавая эту информацию по своим каналам C2.

#ParsedReport #CompletenessLow
13-10-2025

Mapping latest Lumma infrastructure

https://intelinsights.substack.com/p/mapping-latest-lumma-infrastructure

Report completeness: Low

Threats:
Lumma_stealer

ChatGPT TTPs:
do not use without manual check
T1008, T1583.001, T1583.003, T1583.004

IOCs:
Domain: 390
IP: 10

Soft:
Ubuntu

#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 4, table: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы вредоносного ПО Lumma постоянно используют кластерную инфраструктуру для командования и контроля и распространения доменов, причем многие домены привязаны к IP-адресу 46.28.71.142 и связаны с ROUTE95 GREEN FLOID LLC. Дальнейший анализ выявил еще один IP-адрес, 172.86.89.51, связанный с более чем 350 вредоносными доменами, использующими аналогичные соглашения об именовании. Обнаружение этих инфраструктурных шаблонов, наряду с подключениями к определенным службам хостинга, открывает возможности для идентификации кибербезопасности, несмотря на частую смену домена вредоносным ПО.
-----

Продолжающиеся усилия по борьбе с вредоносным ПО Lumma свидетельствуют о последовательном использовании кластерной инфраструктуры ее операторами, что делает анализ действий командования и контроля (C2) и распределения доменов важным для понимания этой угрозы. Недавние расследования показывают, что значительное количество доменов, связанных с Lumma, размещено по определенному IP-адресу 46.28.71.142, который зарегистрирован на ROUTE95 GREEN FLOID LLC (ASN 8254). С помощью таких инструментов, как Validin, исследователи определили, что этот хост поддерживает около 320 доменов, большинство из которых ранее были помечены как распространяющие вредоносное ПО Lumma и остаются активными.

В дополнение к этому IP-адресу анализ также отметил наличие другого подозрительного IP-адреса, 172.86.89.51, связанного с более чем 350 вредоносными доменами, которые используют соглашения об именовании, аналогичные уже идентифицированным. Используя эти IP-адреса и отпечатки сертификатов, расследование могло бы выявить дополнительные связи между доменами, участвующими в кампании Lumma.

Объединение инфраструктуры в кластеры подтверждает предположение о том, что операторы Lumma's используют специальные услуги хостинга, включая Routerhosting и Proton66, для облегчения распространения вредоносного ПО. Этот вывод подтверждается связью между наблюдаемыми доменами и использованием определенных ASN, которые могут быть использованы для целей обнаружения, несмотря на частую смену доменов вредоносным ПО. В целом, такая кластеризация инфраструктуры открывает возможности для усилий по кибербезопасности, направленных на выявление и снижение рисков, создаваемых Lumma.

#ParsedReport #CompletenessLow
13-10-2025

Catch them while you can

https://medium.com/@DCSO_CyTec/catch-them-while-you-can-5c43007ae99e?source=rss-7c32125308fc------2

Report completeness: Low

Threats:
Defendercontrol_tool
Mimikatz_tool
Impacket_tool
Credential_dumping_technique
Anydesk_tool
Rclone_tool

Geo:
French, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1039, T1046, T1074, T1078, T1110, T1567.002

IOCs:
File: 8
Path: 1

Soft:
Microsoft Defender, PsExec, MSSQL

Links:
https://github.com/pgkt04/defender-control/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент был связан с тем, что злоумышленник использовал сетевое сканирование и эксплойты для входа в систему, нацеленные на общие административные имена пользователей, чтобы получить повышенные привилегии в инфраструктуре организации. После разведки злоумышленник получил доступ к серверу базы данных ERP и начал пытаться извлечь около 80 ГБ конфиденциальных данных из каталога MSSQL, но загрузка была прервана примерно на 25 ГБ. Эффективный мониторинг и быстрое реагирование на инциденты имели решающее значение для срыва атаки и предотвращения дальнейшей кражи данных.
-----

В ходе недавнего киберинцидента злоумышленник применил ряд методов, направленных на компрометацию инфраструктуры организации. Атака началась со сканирования сети, предназначенного для составления карты среды, за которым последовали попытки использования уязвимостей для входа в систему, специально предназначенных для использования обычных административных имен пользователей, таких как "admin", "Администратор" и их вариантов на разных языках. На этом этапе были предприняты многочисленные неудачные попытки входа в систему, что указывает на попытки злоумышленника получить повышенные привилегии.

Ключевой момент наступил, когда программа Microsoft Defender for Endpoint (MDE) запустила предупреждение о карантине на контроллере домена. Это предупреждение предоставило важную возможность для обнаружения, поскольку своевременное расследование и проверка предупреждения позволили понять природу нарушения. Организация успешно обработала это предупреждение как действительно положительное, продемонстрировав важность наличия эффективных возможностей мониторинга и реагирования на инциденты.

В рамках продолжения атаки противник провел дополнительную разведку, прежде чем получить доступ к серверу базы данных ERP. В 00:54:33 UTC злоумышленник начал изучать содержимое каталога, конкретно относящегося к MSSQL, что указывает на намерение извлечь конфиденциальные данные. Они подготовились к извлечению значительного объема информации, приблизительно 80 ГБ, из целевого B:\\MSSQL каталог.

Однако атака была предотвращена, когда загрузка данных была прервана примерно на отметке в 25 ГБ. Группа реагирования на инциденты смогла получить сведения о конфигурации, подтвердив, что целевое хранилище для эксфильтрации было оставлено пустым после изменения учетных данных злоумышленника. Это высветило оперативные действия, предпринятые службой реагирования на инциденты организации для предотвращения кражи данных. В конечном счете, хотя противник мог определить дополнительные цели, расследование показало, что у них не было времени, необходимого для проведения каких-либо дальнейших усилий по эксфильтрации в окружающей среде, что подчеркивает критичность быстрого обнаружения и реагирования перед лицом возникающих киберугроз.

#ParsedReport #CompletenessMedium
13-10-2025

Oracle E-Business Suite Hit by Zero-Day Exploits & CL0P Attacks

https://www.secureblink.com/cyber-security-news/oracle-e-business-suite-hit-by-zero-day-exploits-and-cl-0-p-attacks

Report completeness: Medium

Actors/Campaigns:
Cl0p

Threats:
Clop
Sagegift
Sageleaf
Sagewave_tool

Victims:
Oracle e business suite customers, Enterprise software users

Industry:
Financial

CVEs:
CVE-2025-61884 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1133, T1190, T1651

IOCs:
Email: 2
IP: 2

Soft:
GoAnywhere, MOVEit, Telegram

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка CL0P воспользовалась уязвимостями zero-day CVE-2025-61882 и CVE-2025-61884 в Oracle E-Business Suite, запустив кампанию массового вымогательства с использованием многоэтапных цепочек эксплойтов. Как только эти уязвимости используются, группа использует имплантаты на базе Java для выполнения в памяти для извлечения конфиденциальных данных, что приводит к последующим попыткам вымогательства. Эта атака на критически важное корпоративное программное обеспечение знаменует собой изменение ориентации со стороны изощренных злоумышленников, выявляя уязвимости в важнейшей бизнес-инфраструктуре.
-----

Oracle E-Business Suite недавно подвергся атаке со стороны хакерской группировки CL0P после использования критических уязвимостей CVE-2025-61882 и CVE-2025-61884. Эти уязвимости zero-day занимают центральное место в кампании массового вымогательства, которая использует сложные многоэтапные цепочки эксплойтов для захвата контроля над средой жертвы. Анализ, проведенный CrowdStrike и Google Threat Intelligence Group (GTIG), выявляет методы, используемые CL0P, известной своей историей подобных атак на управляемые системы передачи файлов.

Механизм атаки в первую очередь связан с использованием CVE-2025-61882. Получив доступ, злоумышленники могут извлекать конфиденциальные данные, что приводит к попыткам вымогательства спустя недели. Их методика соответствует хорошо зарекомендовавшему себя сценарию: сначала используется уязвимость zero-day, затем происходит кража данных и, наконец, инициируется вымогательство.

Чтобы закрепиться в скомпрометированных системах, акторы CL0P используют имплантаты на базе Java. Эти штаммы вредоносного ПО специально разработаны для выполнения в памяти, что позволяет им избегать обнаружения, избегая операций записи на диск. Такой скрытный подход повышает долгосрочную жизнеспособность их компромисса, позволяя акторам сохранять контроль без срабатывания традиционной охранной сигнализации.

В ответ на эти уязвимости Oracle призвала своих клиентов незамедлительно применить экстренные обновления для обеих уязвимостей. Это включает в себя обеспечение того, чтобы критическое исправление CVE-2025-61882, выпущенное в октябре 2023 года, было применено в качестве предварительного условия для новых мер безопасности. Для дальнейшего снижения уровня угрозы специалистам по безопасности рекомендуется принимать упреждающие меры по поиску угроз, такие как сканирование шаблонов баз данных на наличие вредоносных имен, мониторинг индикаторов компрометации (IOCs) с использованием определенных вредоносных IP-адресов, проверка журналов сеансов на предмет подозрительной активности и уменьшение вероятности атаки путем ограничения прямого доступа к Oracle EBS через Интернет. услуги.

Ориентация на Oracle E-Business Suite представляет собой тревожную тенденцию, в соответствии с которой опытные злоумышленники все больше сосредотачиваются на критически важном для бизнеса корпоративном программном обеспечении. Переход группы CL0P к использованию уязвимостей в этой критически важной инфраструктуре демонстрирует их растущие амбиции и потенциальные последствия для организаций, полагающихся на эти системы для жизненно важных операций, включая финансы и управление клиентами. Такая эволюция тактики подчеркивает необходимость усиления бдительности и методов обеспечения безопасности для защиты от этих продвинутых угроз.

#ParsedReport #CompletenessLow
13-10-2025

CTI The Dark Cloak

https://rexorvc0.com/2025/10/13/CTI_Dark-Cloak/

Report completeness: Low

Actors/Campaigns:
Blindeagle
Magecart
Lazarus
Kimsuky

Threats:
Akira_ransomware
Steganography_technique
Spear-phishing_technique
Process_hollowing_technique
Dcrat
Asyncrat
Njrat
Shadow_copies_delete_technique
Lolbas_technique
More_eggs

Geo:
Dprk, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1486, T1589

IOCs:
File: 1

Algorithms:
zip

Functions:
GetType, GetMethod

Languages:
powershell, jscript