#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа вымогателей Qilin, первоначально известная как "Agenda", действует как программа-вымогатель как услуга (RaaS) и использует передовые методы атак, включая spear phishing и использование инструментов удаленного мониторинга и управления (RMM). Они известны тем, что используют вредоносное ПО, закодированное в Golang и Rust, и недавно нацелились на высокопоставленные организации, такие как Налоговая администрация Испании и американские компании. Их операционные стратегии подкрепляются подключениями к пуленепробиваемым сервисам хостинга, что позволяет им безопасно управлять украденными данными и уклоняться от правоохранительных органов.
-----

Группа вымогателей Qilin, которая работает как программа-вымогатель как услуга (RaaS), известна своими изощренными методами кибератак и зависимостью от инфраструктуры пуленепробиваемого хостинга (BPH). Возникшая в середине 2022 года и первоначально получившая название "Agenda", группа приобрела значительную репутацию после того, как взяла на себя ответственность за крупную атаку с использованием программ-вымогателей на японскую Asahi Group Holdings, которая нарушила работу их пивоваренных заводов почти на две недели. Qilin известна своими вариантами вредоносного ПО, разработанными в Golang и Rust, использующими такие методы, как spear phishing и инструменты удаленного мониторинга и управления (RMM) для получения первоначального доступа к целевым системам.

Последние обновления указывают на то, что в октябре Qilin объявил о нескольких новых жертвах, включая такие известные организации, как Налоговая администрация Испании, различные компании, базирующиеся в США, и правительственные учреждения. Налоговая администрация Испании, с ее обширным бюджетом и возможностями обработки данных, выделяется в качестве важной цели. Такая схема атак отражает стратегическое нацеливание группы на ценные организации с целью максимизации их охвата и воздействия.

Операционная мощь Qilin group's усиливается благодаря ее связям с подпольными поставщиками услуг по лечению аденомы простаты, что позволяет им оставаться в тени, занимаясь незаконной деятельностью. Эти сервисы BPH позволяют группе хранить данные о жертвах и управлять ими в разных юрисдикциях, что усложняет работу правоохранительных органов. Группа также была связана с платформой "WikiLeaksV2" для распространения информации об их деятельности, имеющей связи с серверами BEARHOST, известного поставщика услуг BPH.

Кроме того, недавнее закрытие важных сервисов BPH, таких как Bearhost и связанные с ним бренды, вызвало вопросы о непрерывности работы в среде киберпреступников. Операторы этих сервисов указали, что они закрываются из-за политического давления, сославшись на трудности с поддержанием операционной деятельности, однако они намекнули на возможный ребрендинг в будущем, предложив провести перегруппировку, поскольку они пересматривают свои стратегии в условиях усиливающегося контроля.

Службы BPH играют решающую роль в содействии широкому спектру незаконных действий, включая фишинг, распространение вредоносного ПО, управление ботнете и кампании по дезинформации. Они обеспечивают необходимую инфраструктуру, позволяющую киберпреступникам действовать с определенной степенью анонимности. Решение проблем, связанных с ДГПЖ, остается важным аспектом глобальных усилий по обеспечению кибербезопасности, поскольку их устойчивость к судебным искам подчеркивает острую необходимость скоординированного вмешательства правительств, правоохранительных органов и специалистов по кибербезопасности. Продолжающаяся эволюция таких групп, как Qilin, подчеркивает адаптивность и постоянные угрозы, создаваемые программами-вымогателями в современном киберпространстве.

#ParsedReport #CompletenessMedium
16-10-2025

A Year Later, Interlock Ransomware Keeps Leveling Up

https://www.forescout.com/blog/a-year-later-interlock-ransomware-keeps-leveling-up/

Report completeness: Medium

Actors/Campaigns:
Vice_society (motivation: cyber_criminal)
Chaya_002 (motivation: financially_motivated)

Threats:
Interlock
Interlockrat
Clickfix_technique
Filefix_technique
Azcopy_tool
Putty_tool
Posh-ssh_tool
Rhysida
Socgholish_loader
Kerberoasting_technique
Lumma_stealer
Anydesk_tool
Cobalt_strike_tool
Systembc
Nodesnake
Credential_harvesting_technique
Berserkstealer
Mstsc_tool
Winrm_tool
Advanced-port-scanner_tool
Byovd_technique
Vssadmin_tool
Shadow_copies_delete_technique
Plink_tool
Opendir_technique
Socghlolish
Netsupportmanager_rat
Supper_backdoor

Victims:
Healthcare, Government, Manufacturing

Industry:
Healthcare, Government

TTPs:
Tactics: 10
Technics: 2

IOCs:
File: 7
Path: 3
Registry: 1
Url: 1

Soft:
Twitter, ESXi, trycloudflare, Chrome, AnyConnect, Node.js, Microsoft Defender, Active Directory, Firefox, PsExec, have more...

Algorithms:
cbc

Functions:
Get-Service, Get-PSDrive, Get-NetNeighbor, CryptoAPI

Languages:
javascript, powershell, java, php

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Interlock ransomware, впервые выявленный в конце 2024 года, прошел стадии операционной зрелости, используя сложные тактики, включая кражу учетных данных у брокеров первоначального доступа и захват сеанса для обхода Многофакторной аутентификации. Он использует облачные инструменты для командования и контроля и эксфильтрации данных, ориентируясь при этом на такие секторы, как здравоохранение и правительство, для максимального воздействия на выкуп. Злоумышленники используют пользовательский PowerShell RAT для перемещения внутри компании и эксфильтрации данных в течение 72-96 часов перед развертыванием программ-вымогателей, что указывает на переход к методам быстрых атак и сотрудничеству с другими киберпреступными группами.
-----

Interlock ransomware впервые был обнаружен в конце 2024 года и прошел три этапа эволюции: появление, расширение возможностей и операционная зрелость. Программа-вымогатель использует методы социальной инженерии, в частности ClickFix и FileFix, для получения доступа и часто получает учетные данные от брокеров первоначального доступа (IAB). Злоумышленники могут выдавать себя за пользователей посредством перехвата сеанса с помощью действительных токенов, что позволяет им обходить Многофакторную аутентификацию (MFA).

Облачные утилиты, такие как AzCopy и Cloudflare services, используются для операций командования и контроля (C2) и эксфильтрации данных. Interlock может шифровать различные системы, включая серверы BSD и гипервизоры ESXi, повышая свое операционное воздействие. Среднее время от получения учетных данных до развертывания программы-вымогателя составляет две-три недели, при этом выполнение и закрепление поддерживается с помощью Interlock RAT.

Действия после эксплуатации включают в себя развертывание пользовательских и товарных стиллеров для повышения привилегий и обеспечения перемещения внутри компании к ценным системам, таким как контроллеры домена и серверы резервного копирования. Эксфильтрация обычно происходит в течение 72-96 часов до развертывания программы-вымогателя. В последнее время тактика сместилась в сторону подхода "бей и хватай", отдавая предпочтение скорости.

Interlock использует методы для отключения решений обнаружения конечных точек и реагирования на них (EDR) путем использования уязвимых драйверов и изменения элементов управления безопасностью. Он использует структурированный механизм уведомления о выкупе, включающий обмен сообщениями с двойным вымогательством, и общается по каналам Tor. Имеются признаки сотрудничества между Interlock и другими киберпреступными организациями, что усугубляет угрозу. Были обнаружены артефакты сценариев, связанные с Interlock, что помогает в усилиях по обнаружению.

#ParsedReport #CompletenessMedium
16-10-2025

GhostBat RAT: Inside the Resurgence of RTO-Themed Android Malware

https://cyble.com/blog/ghostbat-rat-inside-the-resurgence-of-rto-themed-android-malware/

Report completeness: Medium

Threats:
Ghostbat
Smishing_technique

Victims:
Android users, Banking users

Industry:
Financial

Geo:
Indian

TTPs:
Tactics: 16
Technics: 10

IOCs:
Hash: 20
File: 2
Url: 38

Soft:
Android, WhatsApp, Telegram, Google Play

Algorithms:
aes, xor, sha256, zip, sha1

Functions:
FindClass

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Возрождение кампаний по вредоносному ПО для Android, в частности "GhostBat RAT", характеризуется тем, что оно маскируется под индийские приложения RTO для кражи конфиденциальной пользовательской информации в Индии. Используя различные векторы распространения, такие как WhatsApp и скомпрометированные веб-сайты, вредоносное ПО использует передовые методы уклонения, такие как многоступенчатые дропперы и запутывание сложных строк. Его функциональность включает в себя фильтрацию SMS-сообщений, сбор данных об устройстве и использование Telegram-бота для Регистрации устройств, что указывает на сложную и развивающуюся среду угроз.
-----

Cyble Research and Intelligence Labs (CRIL) задокументировала возрождение кампаний по вредоносному ПО для Android, замаскированных под приложения индийского RTO (Регионального транспортного управления). Эти кампании направлены на компрометацию конфиденциальной информации пользователей в Индии, используя различные методы распространения, такие как WhatsApp, SMS, содержащие сокращенные URL-адреса, размещенные на GitHub APK-файлы и скомпрометированные веб-сайты, которые подчеркивают множественные векторы заражения, используемые злоумышленниками.

После успешной установки вредоносное ПО использует сложные методы, включая многоступенчатые дропперы, манипулирование заголовками ZIP-файлов и запутывание строк, чтобы избежать обнаружения антивирусным программным обеспечением и помешать усилиям по обратному проектированию. Проанализированные образцы продемонстрировали использование собственных библиотек (.so) для динамического разрешения вызовов API и развертывания вредоносных полезных нагрузок, таких как стиллеры банковских учетных данных и майнеры криптовалют. Кроме того, пользователям предоставляются страницы для фишинга, имитирующие законное приложение mParivahan, обманом заставляя их предоставлять конфиденциальные данные, такие как номера мобильных телефонов, регистрация транспортного средства и платежная информация UPI. Важным аспектом функциональности вредоносного ПО является его способность отправлять все SMS-сообщения, содержащие ключевые слова, связанные с банковской деятельностью, на серверы управления (C&C), а также возможность пересылать или загружать входящие SMS-сообщения, чтобы помочь в сборе одноразовых паролей (OTP).

Регистрация устройства для вредоносного ПО облегчается с помощью Telegram-бота, идентифицированного как GhostBatRat_bot, что способствует присвоению вредоносному ПО названия "GhostBat RAT". Анализ, проведенный в июле 2024 года, выявил его намерение красть контакты и SMS-сообщения с зараженных устройств, что указывает на меняющийся ландшафт угроз.

Технический анализ показывает, что GhostBat RAT использует различные передовые технологии для своей работы. Он использует многоступенчатые рабочие процессы dropper, использует встроенную двоичную упаковку и проводит антиэмуляционные проверки, чтобы затруднить анализ. Вредоносное ПО маскируется под законное приложение, чтобы обмануть пользователей, и добивается обхода защиты с помощью встроенного упаковщика, наряду с проверками для предотвращения анализа в изолированных средах. Он также собирает различную информацию об устройстве и способен фильтровать конфиденциальные SMS-данные по каналу управления.

Эти разработки отражают сложную адаптацию вредоносного ПО для Android на тему RTO, сочетающую продвинутую тактику уклонения, использование API и методы социальной инженерии, направленные на существенную компрометацию пользовательских данных. Наблюдаемая тактика согласуется с несколькими методами, описанными в MITRE ATT&CK framework, включая фишинг для первоначального доступа, использование Нативного API, использование методов обфускации и выполнение Эксфильтрации по каналам управления, что еще больше подчеркивает сложность и уровень угрозы кампании GhostBat RAT.

#ParsedReport #CompletenessLow
16-10-2025

SecuritySnack: Repo The Repo - NPM Phishing

https://dti.domaintools.com/securitysnack-repo-the-repo-npm-phishing/

Report completeness: Low

Threats:
Supply_chain_technique
Typosquatting_technique
Credential_harvesting_technique

Victims:
Software supply chain, Developers

ChatGPT TTPs:
do not use without manual check
T1041, T1078, T1195.001, T1204.002, T1556.004, T1566.002, T1583.001

IOCs:
Domain: 15

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние Компрометации цепочки поставок привели к использованию уязвимостей в репозиториях NPM, в частности, посредством фишинг-атак, нацеленных на учетные данные разработчиков. Злоумышленники используют поддельные страницы управления NPM, часто используя сходство доменных имен, например "npnjs.com " чтобы ввести пользователей в заблуждение и захватить их учетные данные. Эта кража учетных данных привела к захвату учетных записей и подчеркивает сохраняющуюся угрозу, создаваемую такой тактикой в Цепочке поставок программного обеспечения.
-----

Недавние инциденты, связанные с Компрометацией цепочки поставок, выявили уязвимости в репозиториях NPM, особенно из-за кражи учетных данных разработчика в результате атак фишинга. Злоумышленники использовали сложную кампанию фишинга, которая использует поддельные страницы управления NPM и входа в систему, эффективно извлечение учетных данных. Такой подход привел к захвату учетных записей разработчиков, что позволило осуществлять вредоносные действия, и это подчеркивает сохраняющуюся эффективность тактики кражи учетных данных.

NPM, признанный крупнейшим хранилищем пакетов JavaScript, работает в основном через два домена: npmjs.com и npmjs.org . Злоумышленники воспользовались типографским сходством и незначительными вариациями в доменных именах, такими как "npnjs.com "— чтобы ввести в заблуждение ничего не подозревающих пользователей. Эти схемы фишинга используют распространенные методы социальной инженерии для эксплуатации пользователей, часто таким образом, который легко не заметить, особенно когда URL-адреса представлены в менее различимой форме (например, строчными буквами).

Закрепление этих методов сбора учетных записей вызывает тревогу, особенно по мере того, как в сообществе разработчиков растет зависимость от общих Цепочек поставок программного обеспечения. Этот сценарий усиливает необходимость того, чтобы разработчики проявляли повышенную бдительность. Хотя Многофакторная аутентификация (MFA) может обеспечить определенный уровень безопасности, подчеркивается, что эффективность MFA снижается, если домен не проверен. Поэтому пользователям рекомендуется всегда проверять URL-адрес в адресной строке своего браузера, прежде чем вводить какую-либо конфиденциальную информацию. Более того, переход к более безопасным формам аутентификации, таким как ключи безопасности Аппаратного обеспечения, которые противостоят фишингу, может значительно усилить защиту учетной записи от этих распространенных угроз.

#ParsedReport #CompletenessHigh
16-10-2025

New Group on the Block: UNC5142 Leverages EtherHiding to Distribute Malware

https://cloud.google.com/blog/topics/threat-intelligence/unc5142-etherhiding-distribute-malware/

Report completeness: High

Threats:
Clearfake
Etherhiding_technique
Lumma_stealer
Amos_stealer
Vidar_stealer
Rhadamanthys
Clearshort
Clickfix_technique

Victims:
General users, Macos users, Windows users

Industry:
Financial

TTPs:
Tactics: 5
Technics: 4

IOCs:
File: 38
Coin: 11
Domain: 36
Url: 184
Hash: 10
IP: 6

Soft:
WordPress, Google Chrome, Chrome, macOS, curl, Outlook

Crypto:
ethereum

Algorithms:
aes, aes-gcm, base64, sha256

Functions:
defined, atob, Initial, TextDecoder

Languages:
javascript, powershell

Platforms:
apple

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 12

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC5142, финансово мотивированная хакерская группировка, которая появилась в конце 2023 года, использует передовые методы для распространения стиллеров информации через взломанные сайты WordPress и метод под названием EtherHiding, который использует интеллектуальную цепочку BNB для управления операциями с помощью смарт-контрактов. Их распространение вредоносного ПО эволюционировало до трехуровневой системы смарт-контрактов для повышения гибкости, использующей шифрование AES для полезных нагрузок, что повышает защиту от обнаружения. Группа задействовала различных стиллеров информации, включая VIDAR и ATOMIC, адаптируя их тактику и используя социальную инженерию для эффективного компрометирования систем.
-----

UNC5142 - это финансово мотивированный злоумышленник, который появился в конце 2023 года. Они распространяют вредоносное ПО, в частности стиллеров информации, используя скомпрометированные сайты WordPress. Новым методом, который они используют, является EtherHiding, который скрывает вредоносные компоненты в смарт-цепочке BNB с помощью смарт-контрактов. Атаки начинаются с использования уязвимых веб-сайтов WordPress, внедряющих вредоносный JavaScript под названием CLEARSHORT. Этот JavaScript служит загрузчиком, извлекая полезную нагрузку из смарт-контрактов, контролируемых злоумышленниками, и используя тактику социальной инженерии, такую как ClickFix.

UNC5142 перешел от единой системы смарт-контрактов к сложной трехуровневой структуре, что обеспечивает улучшенный контроль и возможность обновления операций. Они могут удаленно изменять URL-адреса полезной нагрузки с помощью встроенных административных функций в своих смарт-контрактах. С конца 2024 года они начали использовать страницы Cloudflare для размещения целевых сайтов, чтобы избежать обнаружения. Они также перешли на AES-шифрование полезной нагрузки, что значительно усложнило работу по обнаружению. Ранее их полезная нагрузка была закодирована в Base64.

Группа использовала различные стиллеры информации, включая VIDAR, LUMMAC.V2, RADTHIEF и ATOMIC, ориентированный на macOS. Их кампании по распространению включают в себя вызовы смарт-контрактов в режиме реального времени для контроля над URL-адресами дропперов вредоносного ПО. Тактика, используемая в социальной инженерии, эволюционировала таким образом, чтобы обеспечить максимальную эффективность в различных операционных системах.

UNC5142 сохраняет непрерывность своей работы, несмотря на приостановку деятельности с середины 2025 года. Использование ими современных технологий и обновленных цепочек заражения указывает на постоянную угрозу и сложные методы работы.

#ParsedReport #CompletenessLow
16-10-2025

September 2025 Infostealer Trends Report

https://asec.ahnlab.com/ko/90575/

Report completeness: Low

Threats:
Seo_poisoning_technique
Lumma_stealer
Rhadamanthys
Acr_stealer
Dll_sideloading_technique
Agent_tesla
Snake_keylogger

TTPs:
Tactics: 2
Technics: 0

Soft:
chromium, Steam, InnoSetup, task scheduler, Node.js

Algorithms:
md5

#ParsedReport #CompletenessHigh
16-10-2025

Operation Silk Lure: Scheduled Tasks Weaponized for DLL Side-Loading (drops ValleyRAT)

https://www.seqrite.com/blog/operation-silk-lure-scheduled-tasks-weaponized-for-dll-side-loading-drops-valleyrat/

Report completeness: High

Actors/Campaigns:
Silk_lure (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Valleyrat
Spear-phishing_technique
Boxedapp_packer_tool
Ghanarava
Process_injection_technique

Victims:
Chinese job seekers in fintech and crypto exchange and trading platforms

Industry:
Financial, Education

Geo:
Burma, Singapore, Macau, Guangdong, Hong kong, Taiwanese, Chinese, China

TTPs:
Tactics: 11
Technics: 30

IOCs:
Path: 8
File: 5
IP: 2
Registry: 5
Hash: 5

Soft:
RocketMQ, MySQL, Task Scheduler

Algorithms:
md5, rc4, xor

Functions:
CreateHiddenTask

Win API:
GetTickCount, NetBIOS, GetSystemDefaultUILanguage, etLastError==, GetLastError, ImageLoad

Languages:
java, powershell, solidity

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 6, dump: 3, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Шелковая приманка" - это кампания кибершпионажа, нацеленная на китайских граждан в сфере финтех-технологий и криптовалют, использующая базирующуюся в США инфраструктуру командования и контроля (C2). В кампании используется вредоносное ПО, которое устанавливает постоянный доступ к скомпрометированным системам для разведки, включая захват скриншотов и извлечение Данных из буфера обмена, причем первая полезная нагрузка доставляется с помощью вредоносного ярлыка Windows и загрузчика с именем Jli.dll . Вторая полезная нагрузка, ValleyRAT, предоставляет широкие возможности, такие как регистрация нажатий клавиш, снятие отпечатков пальцев с системы и способность обнаруживать и отключать антивирусные продукты, что указывает на хорошо скоординированную операцию по использованию конкретных целей.
-----

Операция "Шелковая приманка" - это кампания кибершпионажа, нацеленная на китайских граждан, ищущих работу в секторе финтех и криптовалют, используя инфраструктуру командования и контроля (C2), базирующуюся в Соединенных Штатах. В ходе операции используются сложные методы для компрометации систем и сбора конфиденциальной информации, что создает значительные угрозы как личной, так и организационной безопасности.

Вредоносное ПО, используемое в этой кампании, обеспечивает постоянный доступ к скомпрометированным системам, позволяя злоумышленникам проводить разведку. К ним относятся создание скриншотов, извлечение Данных из буфера обмена и получение критически важных системных метаданных. Собранная информация отправляется обратно злоумышленникам через удаленный сервер C2, что повышает риск кражи личных данных и компрометации учетных данных.

Примечательным аспектом этой операции является использование резюме на китайском языке в качестве приманки, предназначенной для привлечения потенциальных жертв. Эта приманка содержит техническую квалификацию и опыт, которые могут понравиться целевой аудитории, повышая вероятность успешного взаимодействия.

Технический анализ показывает, что вредоносное ПО использует вредоносный файл ярлыка Windows (.lnk), который выполняет команду PowerShell для доставки полезной нагрузки. Механизм опускания облегчается загрузчиком, обозначенным как Jli.dll , который считывает из определенной области своих собственных заголовков PE, чтобы найти зашифрованную полезную нагрузку, впоследствии используя RC4 для расшифровки.

Вторая полезная нагрузка, обозначенная как ValleyRAT, оснащена различными возможностями для разведки. Он может снимать отпечатки пальцев с систем, запрашивая ключи реестра и сканируя определенное установленное программное обеспечение или настройки. Вредоносное ПО может обнаруживать присутствие антивирусных продуктов и нарушать их сетевые подключения, тем самым повышая свои шансы остаться незамеченным.

ValleyRAT обладает широкими функциональными возможностями, включая захват пользовательских скриншотов, регистрацию нажатий клавиш и получение подробной системной информации, такой как MAC-адреса сетевого интерфейса и языковые настройки пользователя. Вредоносное ПО также способно устанавливать дополнительные вредоносные плагины в скомпрометированную систему, тем самым расширяя свой охват и возможности по использованию среды жертвы.

Более того, инфраструктура C2, используемая в этой кампании, привязана к доменам, зарегистрированным у хостинг-провайдера SonderCloud Limited, что свидетельствует о хорошо организованной работе. Эти домены, в основном использующие .рабочий TLD, связаны с IP-адресами в Гонконге.

Таким образом, операция "Шелковая приманка" является примером современного ландшафта угроз, где киберпреступники используют методы социальной инженерии в сочетании со сложным вредоносным ПО, чтобы использовать определенную демографию и достигать своих вредоносных целей.

#ParsedReport #CompletenessLow
16-10-2025

Privacy and Prizes: Rewards from a Malicious Browser Extension

https://cofense.com/blog/privacy%E2%80%9D-and-prizes%E2%80%9D-rewards-from-a-malicious-browser-extension

Report completeness: Low

Victims:
Internet users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1566.001, T1566.002, T1585.002

IOCs:
Domain: 1
File: 3
Url: 1
IP: 1
Hash: 3

Soft:
Chrome

Algorithms:
zip, sha256, base64, md5

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4