#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания фишинга была нацелена на колумбийских пользователей с помощью вводящего в заблуждение электронного письма, выдающего себя за уведомление суда, с использованием SVG-файлов для доставки незамеченного вредоносного кода. Эта цепочка включала выполнение HTA-файла, который запускал скрипт VBS, который генерировал закодированный скрипт PowerShell для загрузки .NET DLL-файла, служащего загрузчиком для AsyncRAT, Trojan. AsyncRAT использует множество тактик уклонения, чтобы избежать обнаружения, включая проверки виртуальных машин и запутывание кода, в то же время извлекая данные с помощью зашифрованных сообщений.
-----

Недавняя кампания по кибербезопасности была нацелена на колумбийских пользователей с помощью фишинг-атаки, призванной выдать себя за судебное уведомление от "17-го муниципального гражданского суда округа Богот". В атаке используются файлы SVG (масштабируемой векторной графики), которые приобрели популярность среди злоумышленников для встраивания вредоносного кода благодаря их формату на основе XML, что позволяет им оставаться незамеченными многими традиционными решениями безопасности.

Цепочка заражения начинается с электронного письма на фишинг-языке на испанском языке, содержащего вводящую в заблуждение строку темы, относящуюся к судебному иску. Это электронное письмо содержит, казалось бы, безобидное вложение в формате SVG. При выполнении SVG-файл выпускает вредоносный HTA-файл (HTML-приложение), который содержит как безвредный, так и вредоносный код. Значительная часть этого вредоносного кода скрыта в виде данных, закодированных в base64, которые при декодировании обнаруживают файл скрипта VBS (Visual Basic Script). Этот файл VBS генерирует скрипт PowerShell, который закодирован таким образом, что скрывает его истинное назначение, полагаясь на закодированные замены символов и дальнейшее вложение кодировок base64.

Скрипт PowerShell загружает текстовый файл из удаленного хранилища и впоследствии запускает .NET DLL-файл, функционирующий как программа-загрузчик. Этот компонент в первую очередь предназначен для закрепления в зараженной системе, а также для управления подключением к серверу управления (C&C) для получения дальнейших инструкций. Основные методы закрепления включают создание запланированных задач и записей в реестре, которые гарантируют, что вредоносное ПО сохраняется даже после перезагрузки системы.

Само вредоносное ПО было идентифицировано как AsyncRAT, троян удаленного доступа, который может выполнять различные вредоносные действия, включая регистрацию нажатий клавиш и выполнение других полезных задач. Функциональность AsyncRAT варьируется в зависимости от его конфигурации, но его основная цель - отфильтровать данные обратно злоумышленникам с помощью зашифрованных сообщений.

Примечательно, что вредоносное ПО включает в себя множество тактик обхода защиты, которые защищают его от обнаружения. Он использует такие методы, как проверка наличия сред виртуальных машин, чтобы избежать анализа, и использует методы запутывания, чтобы скрыть свой код. Кроме того, он может перечислять запущенные процессы и собирать системную информацию, включая наличие веб-камеры.

Таким образом, эта кампания является примером изощренного использования SVG-файлов для первоначального доступа, использования различных языков сценариев и передовых методов закрепления и обхода, кульминацией которых стало внедрение AsyncRAT.

#technique

From Broadcast to Breach: LLMNR/NBT-NS Poisoning in Action

https://www.resecurity.com/blog/article/from-broadcast-to-breach-llmnrnbt-ns-poisoning-in-action

#ParsedReport #CompletenessHigh
13-10-2025

When the monster bytes: tracking TA585 and its arsenal

https://www.proofpoint.com/us/blog/threat-insight/when-monster-bytes-tracking-ta585-and-its-arsenal

Report completeness: High

Actors/Campaigns:
Ta585 (motivation: cyber_criminal)

Threats:
Monster_ransomware
Lumma_stealer
Rhadamanthys
Clickfix_technique
Coresecthree
Stealc
Hvnc_tool
Soniccrypt
Remcos_rat
Uac_bypass_technique
Bloat_technique
Junk_code_technique

Victims:
Government impersonation targets, General users, Financial tax themed lure recipients

Industry:
Financial, Government

Geo:
Brazil, Belarus, Turkmenistan, Kyrgyzstan, Kazakhstan, Uzbekistan, Armenia, Tajikistan, Russian, Moldova, Lithuania, Latvia, Estonia, Ukraine, Russia

ChatGPT TTPs:
do not use without manual check
T1027, T1059.001, T1105, T1204.002, T1566.002, T1620

IOCs:
Domain: 1
File: 3
Hash: 12
IP: 10

Soft:
Steam, Telegram, Discord, Chrome, Windows Defender, task scheduler

Algorithms:
base64, sha256, chacha20

Functions:
TaskScheduler

Win API:
SeDebugPrivilege, SeTakeOwnershipPrivilege, SeIncreaseBasePriorityPrivilege, SeIncreaseWorkingSetPrivilege, SeSecurityPrivilege, SeShutdownPrivilege, WSARecv

Languages:
typescript, powershell, javascript, python

Links:
https://github.com/prodaft/malware-ioc/tree/master/CoreSecThree

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TA585 - это изощренная киберпреступная группировка, которая использует передовые методы доставки и эксплуатации вредоносного ПО. Его основной инструмент, MonsterV2, представляет собой многофункциональное вредоносное ПО, действующее как троян удаленного доступа, загрузчик и стиллер данных, которое доставляется с помощью веб-инъекций и тактик социальной инженерии, в частности, с использованием Имперсонации Налоговой службы. Выполнение вредоносного ПО включает расшифровку с помощью компонента под названием SonicCrypt, предназначенного для усложнения обнаружения избыточным junk code, что подчеркивает эволюционирующие стратегии киберпреступности.
-----

TA585 - это передовая киберпреступная группировка, известная своими изощренными методологиями атак, как подчеркивает Proofpoint. Этот злоумышленник организует всю систему атак, включая управление инфраструктурой, доставку электронной почты и развертывание вредоносного ПО. Центральное место в деятельности TA585 занимает вредоносное ПО MonsterV2, которое он распространяет с помощью инновационной тактики веб-внедрения и сложных процессов фильтрации. В отличие от многих других семейств вредоносных ПО, MonsterV2 обслуживает множество покупателей-киберпреступников и обладает возможностями, характерными для трояна удаленного доступа (RAT), загрузчика и Stealer. Примечательно, что TA585 избегает нацеливания на системы, расположенные в странах Содружества Независимых Государств (СНГ).

Первое обнаружение MonsterV2 произошло во время кампании в конце февраля 2025 года. В этой кампании использовалась тактика Имперсонации Налоговой службы США (IRS) для заманивания жертв с помощью Вредоносных ссылок, направляющих пользователей на PDF-файл. PDF-файл содержал URL-адрес, который перенаправлял на веб-страницу, использующую метод ClickFix. Этот метод побуждает пользователей вручную выполнить вредоносную команду через окно запуска Windows или терминал PowerShell, демонстрируя творческий потенциал группы в области социальной инженерии.

Вредоносное ПО MonsterV2 обладает универсальной функциональностью, часто работая либо как стиллер данных, либо как загрузчик, способный развертывать дополнительное вредоносное ПО, такое как StealC версии 2. Обычно он ассоциируется с TA585, но может использоваться и другими злоумышленниками. Выполнение MonsterV2 обычно включает в себя подготовительный этап, на котором он расшифровывается и загружается с помощью другого компонента вредоносного ПО, известного как SonicCrypt. Этот шифровальщик, разработанный на C++, печально известен тем, что загружает исполняемые файлы избыточным junk code, что усложняет статический анализ. Несоответствия, наблюдаемые в образцах SonicCrypt, еще больше помогают обойти механизмы обнаружения, что является распространенной тактикой, применяемой киберпреступниками.

Таким образом, TA585 иллюстрирует эволюционирующую сложность киберпреступности, использующей передовые стратегии доставки и установки вредоносного ПО, при этом MonsterV2 становится ключевым инструментом в их арсенале. Постоянное появление новых семейств вредоносных ПО, подкрепленных существующими возможностями, свидетельствует о постоянной задаче в борьбе с эволюционирующими киберугрозами.

#ParsedReport #CompletenessLow
14-10-2025

A variant of BlackTech's Kivars malware discovered in 2025

https://sect.iij.ad.jp/blog/2025/10/blacktech-malware-kivars-2025/

Report completeness: Low

Actors/Campaigns:
Blacktech (motivation: cyber_espionage)

Threats:
Kivars

Victims:
Companies and organizations

Geo:
Taiwan, China, Japan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1057, T1074.001, T1112, T1543.003

IOCs:
File: 5
Hash: 12
Domain: 9
IP: 9
Registry: 1

Soft:
Windows service

Algorithms:
rc4, sha256

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/mopisec/research/blob/main/decrypt\_kivars\_21201\_config.py

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 2, code: 4, windows: 1, chart: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В 2025 году был идентифицирован вариант вредоносного ПО Kivars, связанный с хакерской группировкой BlackTech, нацеленный на организации в Японии и Тайване, использующие скомпрометированную прошивку Cisco с бэкдорами. Загрузчик вредоносного ПО вводится вместе с зашифрованным файлом, создавая Службу Windows для закрепления и выполнения компонентов в памяти, повышая скрытность. Kivars может перечислять активные процессы, чтобы избежать обнаружения, и сохраняет оперативные данные в реестре Windows, что может облегчить его взаимодействие с серверами управления.
-----

В 2025 году был выявлен новый вариант вредоносного ПО Kivars, связанный с хакерской группировкой BlackTech. BlackTech известна тем, что нацелена на организации в Японии и Тайване, применяя различные методы атак, включая использование скомпрометированной прошивки Cisco, встроенной с помощью бэкдоров. Такие действия указывают на постоянный и эволюционирующий ландшафт угроз, связанный с деятельностью BlackTech.

Вредоносное ПО Kivars использует загрузчик, который вводится в взломанную систему вместе с зашифрованным файлом данных. Первые шаги в этом процессе включают в себя размещение злоумышленником этих элементов в системном каталоге и установку Службы Windows для обеспечения закрепления. После этой настройки запускается загрузчик Kivars, позволяющий ему запускать свои основные компоненты непосредственно в памяти. Такой оперативный процесс повышает скрытность и эффективность вредоносного ПО, что усложняет обнаружение для решений безопасности.

Чтобы помочь в анализе Kivars, был разработан специализированный инструмент для извлечения и расшифровки информации о конфигурации из загрузчика вредоносного ПО. Этот инструмент упрощает процесс реагирования на инциденты и поддерживает усилия по поиску угроз, отражая проактивный подход к управлению этой киберугрозой.

После запуска вредоносное ПО Kivars запускает несколько процедур, которые включают в себя перечисление активных процессов. Эта возможность позволяет Kivars определять, присутствуют ли и запущены ли какие-либо инструменты анализа, - тактика, обычно используемая вредоносным ПО, чтобы избежать обнаружения во время работы.

Известно, что в дополнение к своим специфическим операционным механизмам Kivars хранит данные в реестре Windows под ключом HKLM:\SYSTEM\CurrentControlSet\Services\Parameters. Эти данные могут быть использованы во время первоначальной связи вредоносного ПО со своим сервером управления (C2), потенциально выступая в качестве идентификатора кампании или других примечаний для злоумышленников, тем самым помогая им в оперативном планировании.

#ParsedReport #CompletenessLow
09-10-2025

RondoDox: From Targeting Pwn2Own Vulnerabilities to Shotgunning Exploits

https://www.trendmicro.com/en_us/research/25/j/rondodox.html

Report completeness: Low

Threats:
Rondodox
Mirai
Shellshock_vuln

Victims:
Organizations operating internet facing network devices

Geo:
Ireland

CVEs:
CVE-2017-18369 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-36553 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
have more...

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1190, T1587, T1588

IOCs:
File: 1

Soft:
Digiever, Tenda, LB-LINK, ZyXEL, apparmor

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Ботнет-кампания RondoDox нацелена на более чем 50 уязвимостей на различных устройствах, используя эксплойты, такие как CVE-2023-1389, которые влияют на маршрутизаторы TP-Link. Эта операция, известная использованием ошибок ввода команд, эволюционировала, включив методы многовекторного заряжания и использования дробовика, что отражает передовую стратегию использования как публично раскрытых уязвимостей, так и тех, которые представлены в таких соревнованиях, как Pwn2Own. Активная эксплуатация наблюдается во всем мире с середины 2025 года, что создает значительные риски, такие как эксфильтрация данных и постоянные компрометации сети.
-----

Кампания RondoDox ботнет, выявленная Trend Research и ZDI Threat Hunters, представляет собой крупномасштабную операцию, направленную на устранение более 50 уязвимостей от более чем 30 поставщиков, включая несколько уязвимостей, впервые представленных на мероприятиях Pwn2Own. Эта кампания создает значительные риски для организаций, подвергая их потенциальной эксфильтрации данных, постоянным сетевым сбоям и сбоям в работе. Организациям, имеющим Сетевые устройства, подключенные к Интернету, следует быть особенно осторожными, поскольку активная эксплуатация была зафиксирована во всем мире с середины 2025 года. Некоторые из затронутых уязвимостей теперь перечислены в каталоге известных эксплуатируемых уязвимостей (KEV) CISA, что подчеркивает настоятельную необходимость для организаций определить приоритеты исправления.

Первоначальная попытка вторжения, приписываемая RondoDox, была отмечена 15 июня 2025 года с использованием уязвимости, отслеживаемой как CVE-2023-1389, которая нацелена на интерфейс WAN Wi-Fi маршрутизатора Archer AX21 от TP-Link. Этот инцидент подчеркивает нацеленность кампании на использование уязвимостей, выявленных в ходе конкурсов по безопасности, что отражает ее оперативные цели.

RondoDox появился как скрытый ботнет в середине 2025 года, воспользовавшись ошибками ввода команд в различных устройствах, включая маршрутизаторы, видеорегистраторы, NVR-системы и системы видеонаблюдения. Его нацеливание на эти устройства позволяет злоумышленникам получить доступ к оболочке, облегчая развертывание полезных нагрузок с несколькими архитектурами. Первоначальный анализ показал, что такие уязвимости, как CVE-2024-3721 и CVE-2024-12856, были ключевыми точками использования на ранних этапах кампании.

Кампания эволюционировала, теперь в ней используется расширенный арсенал эксплойтов, который включает в себя множество новых CVE и использование методов использования дробовика. Этот сдвиг означает переход от ориентации на отдельные устройства к выполнению более сложной многовекторной операции загрузки. Непрерывная эволюция тактики эксплуатации демонстрирует, как злоумышленники становятся все более искусными в использовании как публично раскрытых уязвимостей, так и тех, которые были обнаружены в ходе соревнований по безопасности, таких как Pwn2Own.

В свете этих изменений организациям рекомендуется внедрять проактивные стратегии управления уязвимостями, которые включают регулярные оценки, исправление известных уязвимостей — особенно тех, которые указаны в каталоге KEV, — и усиление мониторинга Сетевых устройств для обнаружения аномальных действий.

#ParsedReport #CompletenessLow
14-10-2025

Weaponized Trust: Microsofts Logo as a Gateway to Tech Support Scams

https://cofense.com/blog/weaponized-trust-microsoft-s-logo-as-a-gateway-to-tech-support-scams

Report completeness: Low

Victims:
Technology users

Geo:
Syria

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566

IOCs:
Url: 10
IP: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сообщалось о кампании фишинга с использованием бренда Microsoft, использующей тактику социальной инженерии, чтобы обмануть пользователей, заставив их поверить, что им требуется техническая помощь. Атака использует поддельные системные оповещения и вводящие в заблуждение наложения пользовательского интерфейса для повышения доверия и маскировки мошенничества, эффективно заставляя жертв участвовать в мошеннических сообщениях. Такой подход подчеркивает использование доверия, связанного с известными брендами, что создает риски финансовых потерь и дальнейшей эксплуатации системы.
-----

Центр защиты от фишинга Cofense сообщил о кампании, использующей бренд Microsoft для мошенничества с технической поддержкой. В этой операции используется ряд тактик социальной инженерии, направленных на то, чтобы заставить пользователей поверить, что они нуждаются в технической помощи. Он использует поддельные системные оповещения, имитирующие законные уведомления, что повышает доверие к нему.

Кроме того, в атаке используются обманчивые наложения пользовательского интерфейса (UI), что затрудняет жертвам распознать мошеннический характер сообщения. Этот метод эффективно маскирует мошенничество, побуждая пользователей обращаться к тому, что они считают подлинной поддержкой. Изощренное использование таких элементов пользовательского интерфейса предполагает преднамеренные усилия злоумышленников использовать доверие, связанное с таким известным брендом, как Microsoft, что в конечном итоге приводит к потенциальным финансовым потерям или дальнейшей эксплуатации систем жертв.

Поскольку организации продолжают бороться с подобными видами мошенничества, значительная зависимость от известных торговых марок подчеркивает сохраняющуюся проблему выявления развивающихся стратегий фишинга и реагирования на них. Пересечение брендинга и технологий в этих схемах иллюстрирует необходимость постоянной бдительности и осведомленности о такой тактике социальной инженерии в области кибербезопасности.

#ParsedReport #CompletenessHigh
14-10-2025

FileFix in the wild! New FileFix campaign goes beyond POC and leverages steganography

https://www.acronis.com/en/tru/posts/filefix-in-the-wild-new-filefix-campaign-goes-beyond-poc-and-leverages-steganography/

Report completeness: High

Threats:
Filefix_technique
Steganography_technique
Clickfix_technique
Stealc
Promptfix_technique

Victims:
Facebook users

Industry:
Education, Entertainment

Geo:
Nepal, Philippines, Germany, Spanish, Bangladesh, China, Polish, French, Chinese, Russian, Dominican republic, Tunisia, Serbia, Japanese, German, Peru

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.003, T1055, T1059.001, T1105, T1140, T1204.002, T1497, T1566.002, T1583.001, have more...

IOCs:
File: 2
Domain: 7
IP: 1
Hash: 9
Url: 4

Soft:
Chrome, FireFox, Maxthon, Electrum-LTC, Ledger Live, Telegram, Discord, Pidgin, OLLVM

Wallets:
daedalus, mainnet, wassabi, electrum, electron_cash, multidoge, jaxx, atomicwallet, coinomi, guarda_wallet, have more...

Crypto:
bitcoin, dogecoin, ethereum, binance

Algorithms:
base64, xor, gzip, rc4

Functions:
getNtAllocateVirtualMemory, getEnumDisplayDevicesA

Win API:
decompress, EnumDisplayDevicesA, NtAllocateVirtualMemory

Languages:
powershell, javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-05-16-IOCs-on-recent-ClickFix-activity.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была определена усовершенствованная кампания по FileFix, развивающаяся на основе оригинальной концепции, разработанной мистером d0x. Эта кампания начинается с фишинга электронных писем, маскирующихся под систему безопасности Facebook, что приводит жертв на сайт фишинга, использующий запутанный JavaScript для доставки полезной нагрузки, который включает команду PowerShell, извлекающую вредоносный контент из файла изображения. Окончательный исполняемый файл, обфускированный загрузчик на базе Go, развертывает вредоносное ПО StealC для кражи информации и демонстрирует глобальный подход к таргетингу, что указывает на адаптивный и сложный ландшафт киберугроз.
-----

Недавнее исследование, проведенное подразделением Acronis по исследованию угроз, выявило передовой пример кампании по FileFix, который свидетельствует о значительном отклонении от первоначальной концепции proof of concept (POC), разработанной мистером d0x. Эта кампания связана с более широким спектром атак *Fix, который также включает варианты ClickFix и PromptFix. Злоумышленники инициируют атаку с помощью сложного электронного письма с фишингом, выдавая себя за службу безопасности Facebook и направляя жертв на хорошо продуманный сайт для фишинга.

На сайте фишинга используются сложные методы, в том числе запутанный JavaScript, предназначенный для повышения эффективности атаки. Доставка полезной нагрузки особенно сложна, поскольку представляет собой команду PowerShell, которая частично запутана и фрагментирована в Base64. Этот подход превосходит типичные методы, наблюдаемые при аналогичных атаках, которые обычно включают более четкие инструкции по полезной нагрузке.

При взаимодействии с сайтом фишинга жертвы непреднамеренно запускают последовательность вредоносных действий. Первоначально пользователи вводят команду в панель загрузки файла, ожидая "Отчета об инциденте", который якобы объясняет процесс обжалования закрытия их аккаунта в Facebook. На самом деле это действие облегчает злоумышленнику извлечение вредоносной полезной нагрузки, скрытой в файле изображения. Сценарий второго этапа, созданный на основе образа, использует расшифровку RC4 и сжатие gzip для извлечения исполняемых полезных файлов, которые зашифрованы внутри образа, таким образом избегая обнаружения.

Конечная полезная нагрузка - это запутанный загрузчик, написанный на Go, который выполняет проверки виртуальной машины и расшифровывает шелл-код для выполнения. Этот шелл-код впоследствии распаковывает StealC, вредоносное ПО для кражи информации, которое также может функционировать как загрузчик. Структура кампании значительно изменилась за короткий период, перейдя от одноэтапного сценария к двухэтапному методу и намекая на дальнейшие модификации, включая потенциальное удаление дополнительных исполняемых файлов.

Более того, обзор заявок VirusTotal показывает, что кампания не ограничивается конкретным географическим регионом, с зарегистрированными заявками из нескольких стран, что предполагает глобальный подход к таргетингу. Поскольку метод FileFix превращается из POC в функциональную кампанию примерно за два месяца, он подчеркивает растущую сложность и адаптивность атак в условиях киберугроз. Использование Стеганографии остается важнейшим элементом этой развивающейся стратегии атаки, вызывая опасения по поводу ее потенциальных будущих повторений и воздействия.

#ParsedReport #CompletenessMedium
14-10-2025

Kaiji Malware: Anatomy, Persistence and Detection

https://www.aquasec.com/blog/kaiji-malware-anatomy-persistence-detection/

Report completeness: Medium

Threats:
Kaiji
Sshscan_tool
Billgates
Mirai

Victims:
Organizations with exposed ssh, Infrastructure targeted for ddos

Industry:
Software_development, Iot

CVEs:
CVE-2024-6387 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 4
Technics: 0

IOCs:
IP: 3
Hash: 12
File: 1

Soft:
SELinux, linux

Algorithms:
md5

Platforms:
amd64, mips

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1