#ParsedReport #ExtractedSchema

Classified images:
chart: 2, schema: 4, table: 1, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операторы вредоносного ПО Lumma постоянно используют кластерную инфраструктуру для командования и контроля и распространения доменов, причем многие домены привязаны к IP-адресу 46.28.71.142 и связаны с ROUTE95 GREEN FLOID LLC. Дальнейший анализ выявил еще один IP-адрес, 172.86.89.51, связанный с более чем 350 вредоносными доменами, использующими аналогичные соглашения об именовании. Обнаружение этих инфраструктурных шаблонов, наряду с подключениями к определенным службам хостинга, открывает возможности для идентификации кибербезопасности, несмотря на частую смену домена вредоносным ПО.
-----

Продолжающиеся усилия по борьбе с вредоносным ПО Lumma свидетельствуют о последовательном использовании кластерной инфраструктуры ее операторами, что делает анализ действий командования и контроля (C2) и распределения доменов важным для понимания этой угрозы. Недавние расследования показывают, что значительное количество доменов, связанных с Lumma, размещено по определенному IP-адресу 46.28.71.142, который зарегистрирован на ROUTE95 GREEN FLOID LLC (ASN 8254). С помощью таких инструментов, как Validin, исследователи определили, что этот хост поддерживает около 320 доменов, большинство из которых ранее были помечены как распространяющие вредоносное ПО Lumma и остаются активными.

В дополнение к этому IP-адресу анализ также отметил наличие другого подозрительного IP-адреса, 172.86.89.51, связанного с более чем 350 вредоносными доменами, которые используют соглашения об именовании, аналогичные уже идентифицированным. Используя эти IP-адреса и отпечатки сертификатов, расследование могло бы выявить дополнительные связи между доменами, участвующими в кампании Lumma.

Объединение инфраструктуры в кластеры подтверждает предположение о том, что операторы Lumma's используют специальные услуги хостинга, включая Routerhosting и Proton66, для облегчения распространения вредоносного ПО. Этот вывод подтверждается связью между наблюдаемыми доменами и использованием определенных ASN, которые могут быть использованы для целей обнаружения, несмотря на частую смену доменов вредоносным ПО. В целом, такая кластеризация инфраструктуры открывает возможности для усилий по кибербезопасности, направленных на выявление и снижение рисков, создаваемых Lumma.

#ParsedReport #CompletenessLow
13-10-2025

Catch them while you can

https://medium.com/@DCSO_CyTec/catch-them-while-you-can-5c43007ae99e?source=rss-7c32125308fc------2

Report completeness: Low

Threats:
Defendercontrol_tool
Mimikatz_tool
Impacket_tool
Credential_dumping_technique
Anydesk_tool
Rclone_tool

Geo:
French, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1039, T1046, T1074, T1078, T1110, T1567.002

IOCs:
File: 8
Path: 1

Soft:
Microsoft Defender, PsExec, MSSQL

Links:
https://github.com/pgkt04/defender-control/tree/main

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Инцидент был связан с тем, что злоумышленник использовал сетевое сканирование и эксплойты для входа в систему, нацеленные на общие административные имена пользователей, чтобы получить повышенные привилегии в инфраструктуре организации. После разведки злоумышленник получил доступ к серверу базы данных ERP и начал пытаться извлечь около 80 ГБ конфиденциальных данных из каталога MSSQL, но загрузка была прервана примерно на 25 ГБ. Эффективный мониторинг и быстрое реагирование на инциденты имели решающее значение для срыва атаки и предотвращения дальнейшей кражи данных.
-----

В ходе недавнего киберинцидента злоумышленник применил ряд методов, направленных на компрометацию инфраструктуры организации. Атака началась со сканирования сети, предназначенного для составления карты среды, за которым последовали попытки использования уязвимостей для входа в систему, специально предназначенных для использования обычных административных имен пользователей, таких как "admin", "Администратор" и их вариантов на разных языках. На этом этапе были предприняты многочисленные неудачные попытки входа в систему, что указывает на попытки злоумышленника получить повышенные привилегии.

Ключевой момент наступил, когда программа Microsoft Defender for Endpoint (MDE) запустила предупреждение о карантине на контроллере домена. Это предупреждение предоставило важную возможность для обнаружения, поскольку своевременное расследование и проверка предупреждения позволили понять природу нарушения. Организация успешно обработала это предупреждение как действительно положительное, продемонстрировав важность наличия эффективных возможностей мониторинга и реагирования на инциденты.

В рамках продолжения атаки противник провел дополнительную разведку, прежде чем получить доступ к серверу базы данных ERP. В 00:54:33 UTC злоумышленник начал изучать содержимое каталога, конкретно относящегося к MSSQL, что указывает на намерение извлечь конфиденциальные данные. Они подготовились к извлечению значительного объема информации, приблизительно 80 ГБ, из целевого B:\\MSSQL каталог.

Однако атака была предотвращена, когда загрузка данных была прервана примерно на отметке в 25 ГБ. Группа реагирования на инциденты смогла получить сведения о конфигурации, подтвердив, что целевое хранилище для эксфильтрации было оставлено пустым после изменения учетных данных злоумышленника. Это высветило оперативные действия, предпринятые службой реагирования на инциденты организации для предотвращения кражи данных. В конечном счете, хотя противник мог определить дополнительные цели, расследование показало, что у них не было времени, необходимого для проведения каких-либо дальнейших усилий по эксфильтрации в окружающей среде, что подчеркивает критичность быстрого обнаружения и реагирования перед лицом возникающих киберугроз.

#ParsedReport #CompletenessMedium
13-10-2025

Oracle E-Business Suite Hit by Zero-Day Exploits & CL0P Attacks

https://www.secureblink.com/cyber-security-news/oracle-e-business-suite-hit-by-zero-day-exploits-and-cl-0-p-attacks

Report completeness: Medium

Actors/Campaigns:
Cl0p

Threats:
Clop
Sagegift
Sageleaf
Sagewave_tool

Victims:
Oracle e business suite customers, Enterprise software users

Industry:
Financial

CVEs:
CVE-2025-61884 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-61882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1133, T1190, T1651

IOCs:
Email: 2
IP: 2

Soft:
GoAnywhere, MOVEit, Telegram

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерская группировка CL0P воспользовалась уязвимостями zero-day CVE-2025-61882 и CVE-2025-61884 в Oracle E-Business Suite, запустив кампанию массового вымогательства с использованием многоэтапных цепочек эксплойтов. Как только эти уязвимости используются, группа использует имплантаты на базе Java для выполнения в памяти для извлечения конфиденциальных данных, что приводит к последующим попыткам вымогательства. Эта атака на критически важное корпоративное программное обеспечение знаменует собой изменение ориентации со стороны изощренных злоумышленников, выявляя уязвимости в важнейшей бизнес-инфраструктуре.
-----

Oracle E-Business Suite недавно подвергся атаке со стороны хакерской группировки CL0P после использования критических уязвимостей CVE-2025-61882 и CVE-2025-61884. Эти уязвимости zero-day занимают центральное место в кампании массового вымогательства, которая использует сложные многоэтапные цепочки эксплойтов для захвата контроля над средой жертвы. Анализ, проведенный CrowdStrike и Google Threat Intelligence Group (GTIG), выявляет методы, используемые CL0P, известной своей историей подобных атак на управляемые системы передачи файлов.

Механизм атаки в первую очередь связан с использованием CVE-2025-61882. Получив доступ, злоумышленники могут извлекать конфиденциальные данные, что приводит к попыткам вымогательства спустя недели. Их методика соответствует хорошо зарекомендовавшему себя сценарию: сначала используется уязвимость zero-day, затем происходит кража данных и, наконец, инициируется вымогательство.

Чтобы закрепиться в скомпрометированных системах, акторы CL0P используют имплантаты на базе Java. Эти штаммы вредоносного ПО специально разработаны для выполнения в памяти, что позволяет им избегать обнаружения, избегая операций записи на диск. Такой скрытный подход повышает долгосрочную жизнеспособность их компромисса, позволяя акторам сохранять контроль без срабатывания традиционной охранной сигнализации.

В ответ на эти уязвимости Oracle призвала своих клиентов незамедлительно применить экстренные обновления для обеих уязвимостей. Это включает в себя обеспечение того, чтобы критическое исправление CVE-2025-61882, выпущенное в октябре 2023 года, было применено в качестве предварительного условия для новых мер безопасности. Для дальнейшего снижения уровня угрозы специалистам по безопасности рекомендуется принимать упреждающие меры по поиску угроз, такие как сканирование шаблонов баз данных на наличие вредоносных имен, мониторинг индикаторов компрометации (IOCs) с использованием определенных вредоносных IP-адресов, проверка журналов сеансов на предмет подозрительной активности и уменьшение вероятности атаки путем ограничения прямого доступа к Oracle EBS через Интернет. услуги.

Ориентация на Oracle E-Business Suite представляет собой тревожную тенденцию, в соответствии с которой опытные злоумышленники все больше сосредотачиваются на критически важном для бизнеса корпоративном программном обеспечении. Переход группы CL0P к использованию уязвимостей в этой критически важной инфраструктуре демонстрирует их растущие амбиции и потенциальные последствия для организаций, полагающихся на эти системы для жизненно важных операций, включая финансы и управление клиентами. Такая эволюция тактики подчеркивает необходимость усиления бдительности и методов обеспечения безопасности для защиты от этих продвинутых угроз.

#ParsedReport #CompletenessLow
13-10-2025

CTI The Dark Cloak

https://rexorvc0.com/2025/10/13/CTI_Dark-Cloak/

Report completeness: Low

Actors/Campaigns:
Blindeagle
Magecart
Lazarus
Kimsuky

Threats:
Akira_ransomware
Steganography_technique
Spear-phishing_technique
Process_hollowing_technique
Dcrat
Asyncrat
Njrat
Shadow_copies_delete_technique
Lolbas_technique
More_eggs

Geo:
Dprk, Spanish

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1190, T1486, T1589

IOCs:
File: 1

Algorithms:
zip

Functions:
GetType, GetMethod

Languages:
powershell, jscript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В презентации "CTI: Темный плащ" обсуждалась тактическая важность разведки киберугроз (CTI) для усиления реагирования на инциденты, помогая выявлять злоумышленников и их тактику, методы и процедуры. В нем освещались тематические исследования с участием BlindEagle, Akira и FIN6, иллюстрирующие роль CTI в анализе вредоносного ПО и обеспечивающие контекст для эффективного определения и понимания угроз. Акцент был сделан на распространении информации между различными командами для повышения осведомленности о возникающих угрозах и содействия принятию упреждающих мер безопасности.
-----

Презентация под названием "CTI: Темный плащ", представленная на конференции "Наваха Негра", дала представление о тактической роли разведки киберугроз (CTI) в реагировании на инциденты, подчеркнув ее важнейшую поддержку в выявлении злоумышленников, их тактики, методов и процедур (TTP) и связанных с ними поведение вредоносного ПО. CTI помогает службам реагирования на инциденты (командам DFIR), предоставляя информацию о противниках посредством сбора индикаторов компрометации (IOCS) и детального анализа недавно обнаруженного вредоносного ПО. Это позволяет более эффективно реагировать на инциденты, поскольку CTI обеспечивает целостное понимание исторических методов актора, направляя команды DFIR при принятии стратегических решений во время инцидентов и при анализе после инцидентов.

В докладе были освещены три конкретных тематических исследования: BlindEagle (APT-C-36), Akira и FIN6. В случае с BlindEagle метод CTI включал сбор IOCS затронутых устройств, анализ вредоносного ПО и предоставление контекстной информации, которая помогала идентифицировать и понимать цепочку выполнения. Дело Akira было сосредоточено на программах-вымогателях и предполагало сотрудничество с командами DFIR для устранения растущей угрозы, исходящей от таких групп. Кейс FIN6 продемонстрировал прямую связь между поиском угроз (TH) и реагированием на инциденты, продемонстрировав, как CTI может улучшить понимание и документирование угроз для повышения осведомленности организации и защиты.

Заслуживающим внимания моментом была важность распространения информации за пределами технических групп. Переводя технические данные в доступные форматы, менее технические команды, такие как отделы бизнеса и маркетинга, могли бы использовать информацию из отчетов CTI для информирования потенциальных клиентов и заинтересованных сторон о возникающих угрозах. Например, выявление эксплуатируемых общих уязвимостей и уязвимых мест (CVE) в технологиях, используемых клиентами, позволяет организациям заблаговременно устранять риски безопасности. Ведение учета инцидентов облегчает распознавание тенденций, позволяя различным командам, включая DFIR, TH и Центры управления безопасностью (SOC), быть в курсе текущих методов, инструментов и противников, тем самым улучшая свои защитные меры и стратегическое планирование на случай непредвиденных обстоятельств в будущем. В целом, интеграция CTI между командами не только укрепляет возможности реагирования на инциденты, но и обогащает организационную информацию о потенциальных киберугрозах.

#ParsedReport #CompletenessMedium
13-10-2025

Judicial Notification Phish Targets Colombian Users .SVG Attachment Deploys Info-stealer Malware

https://www.seqrite.com/blog/judicial-notification-phish-colombia-svg-asyncrat/

Report completeness: Medium

Threats:
Asyncrat
Junk_code_technique
Amsi_bypass_technique

Victims:
Colombian users

Industry:
Government

Geo:
Spanish, Colombian, Colombia

TTPs:
Tactics: 9
Technics: 22

IOCs:
File: 12
Command: 1
Hash: 6
Registry: 1

Soft:
VirtualBox

Algorithms:
base64, md5, xor

Functions:
VBS, openDocument, createObjectURL

Languages:
javascript, powershell, visual_basic

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 8

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга была нацелена на колумбийских пользователей с помощью вводящего в заблуждение электронного письма, выдающего себя за уведомление суда, с использованием SVG-файлов для доставки незамеченного вредоносного кода. Эта цепочка включала выполнение HTA-файла, который запускал скрипт VBS, который генерировал закодированный скрипт PowerShell для загрузки .NET DLL-файла, служащего загрузчиком для AsyncRAT, Trojan. AsyncRAT использует множество тактик уклонения, чтобы избежать обнаружения, включая проверки виртуальных машин и запутывание кода, в то же время извлекая данные с помощью зашифрованных сообщений.
-----

Недавняя кампания по кибербезопасности была нацелена на колумбийских пользователей с помощью фишинг-атаки, призванной выдать себя за судебное уведомление от "17-го муниципального гражданского суда округа Богот". В атаке используются файлы SVG (масштабируемой векторной графики), которые приобрели популярность среди злоумышленников для встраивания вредоносного кода благодаря их формату на основе XML, что позволяет им оставаться незамеченными многими традиционными решениями безопасности.

Цепочка заражения начинается с электронного письма на фишинг-языке на испанском языке, содержащего вводящую в заблуждение строку темы, относящуюся к судебному иску. Это электронное письмо содержит, казалось бы, безобидное вложение в формате SVG. При выполнении SVG-файл выпускает вредоносный HTA-файл (HTML-приложение), который содержит как безвредный, так и вредоносный код. Значительная часть этого вредоносного кода скрыта в виде данных, закодированных в base64, которые при декодировании обнаруживают файл скрипта VBS (Visual Basic Script). Этот файл VBS генерирует скрипт PowerShell, который закодирован таким образом, что скрывает его истинное назначение, полагаясь на закодированные замены символов и дальнейшее вложение кодировок base64.

Скрипт PowerShell загружает текстовый файл из удаленного хранилища и впоследствии запускает .NET DLL-файл, функционирующий как программа-загрузчик. Этот компонент в первую очередь предназначен для закрепления в зараженной системе, а также для управления подключением к серверу управления (C&C) для получения дальнейших инструкций. Основные методы закрепления включают создание запланированных задач и записей в реестре, которые гарантируют, что вредоносное ПО сохраняется даже после перезагрузки системы.

Само вредоносное ПО было идентифицировано как AsyncRAT, троян удаленного доступа, который может выполнять различные вредоносные действия, включая регистрацию нажатий клавиш и выполнение других полезных задач. Функциональность AsyncRAT варьируется в зависимости от его конфигурации, но его основная цель - отфильтровать данные обратно злоумышленникам с помощью зашифрованных сообщений.

Примечательно, что вредоносное ПО включает в себя множество тактик обхода защиты, которые защищают его от обнаружения. Он использует такие методы, как проверка наличия сред виртуальных машин, чтобы избежать анализа, и использует методы запутывания, чтобы скрыть свой код. Кроме того, он может перечислять запущенные процессы и собирать системную информацию, включая наличие веб-камеры.

Таким образом, эта кампания является примером изощренного использования SVG-файлов для первоначального доступа, использования различных языков сценариев и передовых методов закрепления и обхода, кульминацией которых стало внедрение AsyncRAT.

#technique

From Broadcast to Breach: LLMNR/NBT-NS Poisoning in Action

https://www.resecurity.com/blog/article/from-broadcast-to-breach-llmnrnbt-ns-poisoning-in-action

#ParsedReport #CompletenessHigh
13-10-2025

When the monster bytes: tracking TA585 and its arsenal

https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal

Report completeness: High

Actors/Campaigns:
Ta585 (motivation: cyber_criminal)

Threats:
Monster_ransomware
Lumma_stealer
Rhadamanthys
Clickfix_technique
Coresecthree
Stealc
Hvnc_tool
Soniccrypt
Remcos_rat
Uac_bypass_technique
Bloat_technique
Junk_code_technique

Victims:
Government impersonation targets, General users, Financial tax themed lure recipients

Industry:
Financial, Government

Geo:
Brazil, Belarus, Turkmenistan, Kyrgyzstan, Kazakhstan, Uzbekistan, Armenia, Tajikistan, Russian, Moldova, Lithuania, Latvia, Estonia, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1204.002, T1566.002, T1620

IOCs:
Domain: 1
File: 3
Hash: 12
IP: 10

Soft:
Steam, Telegram, Discord, Chrome, Windows Defender, task scheduler

Algorithms:
base64, sha256, chacha20

Functions:
TaskScheduler

Win API:
SeDebugPrivilege, SeTakeOwnershipPrivilege, SeIncreaseBasePriorityPrivilege, SeIncreaseWorkingSetPrivilege, SeSecurityPrivilege, SeShutdownPrivilege, WSARecv

Languages:
typescript, powershell, javascript, python

Links:
https://github.com/prodaft/malware-ioc/tree/master/CoreSecThree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA585 - это изощренная киберпреступная группировка, которая использует передовые методы доставки и эксплуатации вредоносного ПО. Его основной инструмент, MonsterV2, представляет собой многофункциональное вредоносное ПО, действующее как троян удаленного доступа, загрузчик и стиллер данных, которое доставляется с помощью веб-инъекций и тактик социальной инженерии, в частности, с использованием Имперсонации Налоговой службы. Выполнение вредоносного ПО включает расшифровку с помощью компонента под названием SonicCrypt, предназначенного для усложнения обнаружения избыточным junk code, что подчеркивает эволюционирующие стратегии киберпреступности.
-----

TA585 - это передовая киберпреступная группировка, известная своими изощренными методологиями атак, как подчеркивает Proofpoint. Этот злоумышленник организует всю систему атак, включая управление инфраструктурой, доставку электронной почты и развертывание вредоносного ПО. Центральное место в деятельности TA585 занимает вредоносное ПО MonsterV2, которое он распространяет с помощью инновационной тактики веб-внедрения и сложных процессов фильтрации. В отличие от многих других семейств вредоносных ПО, MonsterV2 обслуживает множество покупателей-киберпреступников и обладает возможностями, характерными для трояна удаленного доступа (RAT), загрузчика и Stealer. Примечательно, что TA585 избегает нацеливания на системы, расположенные в странах Содружества Независимых Государств (СНГ).

Первое обнаружение MonsterV2 произошло во время кампании в конце февраля 2025 года. В этой кампании использовалась тактика Имперсонации Налоговой службы США (IRS) для заманивания жертв с помощью Вредоносных ссылок, направляющих пользователей на PDF-файл. PDF-файл содержал URL-адрес, который перенаправлял на веб-страницу, использующую метод ClickFix. Этот метод побуждает пользователей вручную выполнить вредоносную команду через окно запуска Windows или терминал PowerShell, демонстрируя творческий потенциал группы в области социальной инженерии.

Вредоносное ПО MonsterV2 обладает универсальной функциональностью, часто работая либо как стиллер данных, либо как загрузчик, способный развертывать дополнительное вредоносное ПО, такое как StealC версии 2. Обычно он ассоциируется с TA585, но может использоваться и другими злоумышленниками. Выполнение MonsterV2 обычно включает в себя подготовительный этап, на котором он расшифровывается и загружается с помощью другого компонента вредоносного ПО, известного как SonicCrypt. Этот шифровальщик, разработанный на C++, печально известен тем, что загружает исполняемые файлы избыточным junk code, что усложняет статический анализ. Несоответствия, наблюдаемые в образцах SonicCrypt, еще больше помогают обойти механизмы обнаружения, что является распространенной тактикой, применяемой киберпреступниками.

Таким образом, TA585 иллюстрирует эволюционирующую сложность киберпреступности, использующей передовые стратегии доставки и установки вредоносного ПО, при этом MonsterV2 становится ключевым инструментом в их арсенале. Постоянное появление новых семейств вредоносных ПО, подкрепленных существующими возможностями, свидетельствует о постоянной задаче в борьбе с эволюционирующими киберугрозами.

#ParsedReport #CompletenessLow
14-10-2025

A variant of BlackTech's Kivars malware discovered in 2025

https://sect.iij.ad.jp/blog/2025/10/blacktech-malware-kivars-2025/

Report completeness: Low

Actors/Campaigns:
Blacktech (motivation: cyber_espionage)

Threats:
Kivars

Victims:
Companies and organizations

Geo:
Taiwan, China, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1074.001, T1112, T1543.003

IOCs:
File: 5
Hash: 12
Domain: 9
IP: 9
Registry: 1

Soft:
Windows service

Algorithms:
rc4, sha256

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/mopisec/research/blob/main/decrypt\_kivars\_21201\_config.py