#ParsedReport #CompletenessHigh
16-10-2025

Operation Silk Lure: Scheduled Tasks Weaponized for DLL Side-Loading (drops ValleyRAT)

https://www.seqrite.com/blog/operation-silk-lure-scheduled-tasks-weaponized-for-dll-side-loading-drops-valleyrat/

Report completeness: High

Actors/Campaigns:
Silk_lure (motivation: cyber_espionage)

Threats:
Dll_sideloading_technique
Valleyrat
Spear-phishing_technique
Boxedapp_packer_tool
Ghanarava
Process_injection_technique

Victims:
Chinese job seekers in fintech and crypto exchange and trading platforms

Industry:
Financial, Education

Geo:
Burma, Singapore, Macau, Guangdong, Hong kong, Taiwanese, Chinese, China

TTPs:
Tactics: 11
Technics: 30

IOCs:
Path: 8
File: 5
IP: 2
Registry: 5
Hash: 5

Soft:
RocketMQ, MySQL, Task Scheduler

Algorithms:
md5, rc4, xor

Functions:
CreateHiddenTask

Win API:
GetTickCount, NetBIOS, GetSystemDefaultUILanguage, etLastError==, GetLastError, ImageLoad

Languages:
java, powershell, solidity

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 6, dump: 3, table: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Шелковая приманка" - это кампания кибершпионажа, нацеленная на китайских граждан в сфере финтех-технологий и криптовалют, использующая базирующуюся в США инфраструктуру командования и контроля (C2). В кампании используется вредоносное ПО, которое устанавливает постоянный доступ к скомпрометированным системам для разведки, включая захват скриншотов и извлечение Данных из буфера обмена, причем первая полезная нагрузка доставляется с помощью вредоносного ярлыка Windows и загрузчика с именем Jli.dll . Вторая полезная нагрузка, ValleyRAT, предоставляет широкие возможности, такие как регистрация нажатий клавиш, снятие отпечатков пальцев с системы и способность обнаруживать и отключать антивирусные продукты, что указывает на хорошо скоординированную операцию по использованию конкретных целей.
-----

Операция "Шелковая приманка" - это кампания кибершпионажа, нацеленная на китайских граждан, ищущих работу в секторе финтех и криптовалют, используя инфраструктуру командования и контроля (C2), базирующуюся в Соединенных Штатах. В ходе операции используются сложные методы для компрометации систем и сбора конфиденциальной информации, что создает значительные угрозы как личной, так и организационной безопасности.

Вредоносное ПО, используемое в этой кампании, обеспечивает постоянный доступ к скомпрометированным системам, позволяя злоумышленникам проводить разведку. К ним относятся создание скриншотов, извлечение Данных из буфера обмена и получение критически важных системных метаданных. Собранная информация отправляется обратно злоумышленникам через удаленный сервер C2, что повышает риск кражи личных данных и компрометации учетных данных.

Примечательным аспектом этой операции является использование резюме на китайском языке в качестве приманки, предназначенной для привлечения потенциальных жертв. Эта приманка содержит техническую квалификацию и опыт, которые могут понравиться целевой аудитории, повышая вероятность успешного взаимодействия.

Технический анализ показывает, что вредоносное ПО использует вредоносный файл ярлыка Windows (.lnk), который выполняет команду PowerShell для доставки полезной нагрузки. Механизм опускания облегчается загрузчиком, обозначенным как Jli.dll , который считывает из определенной области своих собственных заголовков PE, чтобы найти зашифрованную полезную нагрузку, впоследствии используя RC4 для расшифровки.

Вторая полезная нагрузка, обозначенная как ValleyRAT, оснащена различными возможностями для разведки. Он может снимать отпечатки пальцев с систем, запрашивая ключи реестра и сканируя определенное установленное программное обеспечение или настройки. Вредоносное ПО может обнаруживать присутствие антивирусных продуктов и нарушать их сетевые подключения, тем самым повышая свои шансы остаться незамеченным.

ValleyRAT обладает широкими функциональными возможностями, включая захват пользовательских скриншотов, регистрацию нажатий клавиш и получение подробной системной информации, такой как MAC-адреса сетевого интерфейса и языковые настройки пользователя. Вредоносное ПО также способно устанавливать дополнительные вредоносные плагины в скомпрометированную систему, тем самым расширяя свой охват и возможности по использованию среды жертвы.

Более того, инфраструктура C2, используемая в этой кампании, привязана к доменам, зарегистрированным у хостинг-провайдера SonderCloud Limited, что свидетельствует о хорошо организованной работе. Эти домены, в основном использующие .рабочий TLD, связаны с IP-адресами в Гонконге.

Таким образом, операция "Шелковая приманка" является примером современного ландшафта угроз, где киберпреступники используют методы социальной инженерии в сочетании со сложным вредоносным ПО, чтобы использовать определенную демографию и достигать своих вредоносных целей.

#ParsedReport #CompletenessLow
16-10-2025

Privacy and Prizes: Rewards from a Malicious Browser Extension

https://cofense.com/blog/privacy%E2%80%9D-and-prizes%E2%80%9D-rewards-from-a-malicious-browser-extension

Report completeness: Low

Victims:
Internet users

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002, T1566.001, T1566.002, T1585.002

IOCs:
Domain: 1
File: 3
Url: 1
IP: 1
Hash: 3

Soft:
Chrome

Algorithms:
zip, sha256, base64, md5

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая киберугроза связана с вредоносным расширением Chrome, которое использует пользователей с помощью вводящих в заблуждение электронных писем, обещая приз в размере 50 000 долларов за расширенное использование. Это расширение "MAC spoofer", скорее всего, работает как инструмент сбора данных, а не для повышения конфиденциальности, используя тактику социальной инженерии для манипулирования доверием пользователей. Кампания освещает уязвимости в расширениях браузера и легкость, с которой их можно замаскировать, подчеркивая сохраняющиеся риски, связанные с установкой нежелательного программного обеспечения.
-----

Недавнее открытие, сделанное Центром защиты от фишинга Cofense (PDC), указывает на новую киберугрозу, связанную с вредоносным расширением браузера, предназначенным для эксплуатации пользователей с помощью обманчивых сообщений электронной почты. Кампания побуждает пользователей установить расширение для Chrome с заманчивым обещанием приза в размере 50 000 долларов, если они сохранят расширение активным в течение 30 дней. Эта тактика использует социальную инженерию, чтобы манипулировать стремлением пользователей к конфиденциальности и денежной выгоде, пользуясь их доверием к очевидной легитимности, поскольку отправитель электронной почты имитирует домен технической компании (hibarriotech.com ).

Несмотря на то, что это расширение рекламируется как "спуферинг для MAC", фактическая функциональность этого расширения вызывает серьезные опасения относительно поведения вредоносного ПО. Мотивы, стоящие за таким расширением, предполагают, что это не просто инструмент для повышения конфиденциальности; вместо этого, оно, вероятно, служит для злоумышленника средством сбора личных данных или выполнения других вредоносных действий под видом безобидного приложения. Использование приманки, сочетающей финансовый стимул с привлекательным обещанием повышенной конфиденциальности, отражает глубокое понимание психологии пользователей, направленное на снижение сопротивляемости установке потенциально вредоносного программного обеспечения.

Последствия этого вектора атаки подчеркивают уязвимости, связанные с расширениями браузера, особенно в том, насколько легко их можно замаскировать и представить как законные. Пользователи должны сохранять бдительность в отношении подобных мошенничеств, поскольку даже кажущиеся безобидными установки могут привести к серьезным нарушениям конфиденциальности или краже данных. Зависимость злоумышленника от надежного фасада усиливает текущую проблему борьбы с социальной инженерией в области кибербезопасности, подчеркивая необходимость непрерывного обучения пользователей и осведомленности о рисках, связанных с нежелательными рекомендациями по программному обеспечению.

#ParsedReport #CompletenessLow
17-10-2025

OtterCandy, malware used by WaterPlum

https://jp.security.ntt/insights_resources/tech_blog/ottercandy_malware_e/

Report completeness: Low

Actors/Campaigns:
Famous_chollima
Clickfake_interview
Contagious_interview
Blocknovas
Lazarus

Threats:
Ottercandy
Beavertail
Flexibleferret
Frostyferret
Ottercookie
Clickfix_technique
Invisibleferret
Supply_chain_technique

Geo:
Russian, North korean, Japan, Dprk, North korea

IOCs:
File: 1
IP: 6

Soft:
macOS, Linux, Node.js

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, table: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WaterPlum, также известная как Famous Chollima или PurpleBravo, является северокорейской хакерской группой, участвующей в киберкампаниях, в частности в серии ClickFake Interview, с акцентом на подмножество под названием Cluster B. В их операциях используется троян удаленного доступа (RAT) под названием OtterCandy, основанный на предыдущих вредоносных ПО, таких как RATatouille и OtterCookie, который был неверно идентифицирован в прошлых отчетах. Вредоносное ПО получило минимальные обновления, в августе 2025 года была выпущена версия 2, в которой были внесены изменения, не детализированные публично, что подчеркивает необходимость постоянного мониторинга их вредоносной активности.
-----

WaterPlum, северокорейская хакерская группа, также известная как Famous Chollima или PurpleBravo, связана с различными кампаниями по кибератакам, в частности с сериями ClickFake Interview и Contagious Interview. Недавняя активность была сосредоточена на конкретной подгруппе группы, известной как кластер В, которая играет заметную роль в кампании ClickFake Interview.

Ключевым компонентом их деятельности является вредоносное ПО под названием OtterCandy, троян удаленного доступа (RAT) и стиллер информации, разработанный с использованием Node.js . OtterCandy объединяет функции ранее идентифицированного вредоносного ПО, известного как RATatouille и OtterCookie. Анализ его образцов, в частности одного, представленного в VirusTotal в феврале 2025 года, подтвердил, что в предыдущих отчетах он был неправильно идентифицирован как OtterCookie.

Вредоносное ПО претерпело минимальные изменения с момента своего первоначального выпуска, сохранив в основном тот же основной код с изменениями только адресов серверов управления (C2). Однако в конце августа 2025 года было внедрено значительное обновление, получившее название версии 2 (v2). Это обновление версии 2 внесло три заметных изменения, хотя конкретные детали этих модификаций не были раскрыты.

Мониторинг OtterCandy и более широких операций кластера B в рамках кампании ClickFake Interview жизненно важен для понимания и смягчения текущих киберугроз, исходящих от WaterPlum. Постоянная бдительность необходима, учитывая активный статус группы и использование ими расширяющихся возможностей вредоносного ПО.

#ParsedReport #CompletenessHigh
17-10-2025

Operation MotorBeacon : Threat Actor targets Russian Automotive Sector using .NET Implant

https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/

Report completeness: High

Actors/Campaigns:
Motorbeacon

Threats:
Spear-phishing_technique
Lolbin_technique
Minidump_tool

Victims:
Russian automobile commerce industry, Russian automobile sector

Industry:
Transport, E-commerce

Geo:
Russian, Russian federation

TTPs:
Tactics: 8
Technics: 10

IOCs:
File: 10
Domain: 2
Url: 1
IP: 1
Path: 1
Hash: 3

Soft:
Chrome, Firefox

Algorithms:
md5, zip

Functions:
ReceiveCommands, GetExecutingAssembly

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 19, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция MotorBeacon нацелена на российский автомобильный сектор с помощью .NET- вредоносного ПО под названием CAPI Backdoor, обнаруженного 3 октября 2025 года. Атака начинается с вредоносного файла LNK, встроенного в ZIP-архив, выполняющего внедрение библиотеки DLL с использованием rundll32.exe , который устанавливает бэкдор для эксфильтрации данных. Кампания использует сложную тактику фишинга, используя поддельные документы, связанные с налоговым законодательством, и используя алгоритм генерации доменов для создания случайных доменов, в том числе похожих на законный сайт.
-----

Было выявлено, что недавняя кибероперация, получившая название **Операция MotorBeacon**, нацелена на российский автомобильный сектор, который охватывает как автомобилестроение, так и коммерцию. Злоумышленник использует .NET- вредоносное ПО под названием **CAPI Backdoor**, обнаруженное 3 октября 2025 года. Это вредоносное ПО распространялось через вредоносный ZIP-архив, обнаруженный на VirusTotal, содержащий документы-приманки с расширениями файлов PDF и LNK, предназначенные для Целевых фишинг-атак.

Начальный этап атаки основан на **вредоносном LNK-скрипте**, встроенном в ZIP-файл с определенным именем **01.10.2025.lnk**. Основная функция этого скрипта заключается в выполнении вредоносного DLL-импланта **CAPI** с использованием утилиты Windows **rundll32.exe**. Единственная цель файла LNK - действовать как триггер для развертывания вредоносного ПО.

На втором этапе проводится анализ фактического вредоносного ПО, называемого **adobe.dll** или **client6.dll**, показывает, что он создан в .NET и предназначен для постоянного создания бэкдора в целевой среде. Имплантат предоставляет широкие возможности, включая возможность извлечения конфиденциальных данных и сохранения доступа для будущих вредоносных операций.

Злоумышленник, стоящий за этой кампанией, использует стратегические методы фишинга, используя приманки, которые изначально кажутся относящимися к налоговому законодательству, повышая вероятность взаимодействия с пользователем. Один такой документ-приманка идентифицирован как **P4353.pdf**, который полностью пуст, что еще раз указывает на обман, задействованный в атаке. Еще одна приманка, **adobe.xml**, аналогично связан с темами, связанными с налогами, вероятно, с целью побудить получателей открыть связанные файлы.

Кроме того, расследование операции выявило использование алгоритма генерации домена **(DGA)** для создания случайного домена, что свидетельствует об уровне сложности инфраструктуры злоумышленника. В кампании также задействован поддельный домен, **carprlce.ru**, предназначенный для имитации законного **carprice.ru**, в котором подчеркивается целенаправленный подход к российской автомобильной промышленности.

#ParsedReport #CompletenessLow
17-10-2025

The post-exploitation framework is now delivered in npm as well

https://securelist.ru/adaptixc2-agent-found-in-an-npm-package/113825/

Report completeness: Low

Threats:
Cobalt_strike_tool
Adaptixc2_tool
Dll_sideloading_technique
Shai-hulud
Supply_chain_technique

Victims:
Windows users, Linux users, Macos users

ChatGPT TTPs:
do not use without manual check
T1059, T1195.001, T1204.002, T1587

IOCs:
Path: 1
File: 2
Hash: 5
Url: 6

Soft:
Linux, macOS

Platforms:
arm, x64, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа постэксплуатации AdaptixC2, доступная через npm в начале 2025 года, предоставляет злоумышленникам гибкие методы развертывания полезной нагрузки, адаптированные к различным операционным системам, включая Windows, Linux и macOS. Универсальность этого фреймворка повышает его потенциал для использования во вредоносных действиях, вызывая обеспокоенность у специалистов по кибербезопасности по поводу его широкой доступности и последствий для развивающихся стратегий и методологий атак.
-----

В начале 2025 года в качестве альтернативы Cobalt Strike появилась платформа постэксплуатации AdaptixC2, доступная теперь через npm. Этот фреймворк предлагает злоумышленникам различные методы развертывания своей полезной нагрузки, настраивая подход на основе операционной системы жертвы. В частности, он поддерживает параметры загрузки для Windows, Linux и macOS, гарантируя, что имплантат эффективно загружается и выполняется в соответствии со структурами каталогов конкретной операционной системы, независимо от того, используются ли системные или пользовательские каталоги.

Адаптация метода доставки полезной нагрузки подчеркивает гибкость фреймворка при работе с различными средами, что делает его универсальным инструментом для злоумышленников. Решение обнародовать такой фреймворк в npm повышает его потенциальную доступность и использование среди вредоносных акторов, вызывая обеспокоенность специалистов по безопасности по поводу рисков, связанных с широким внедрением этого инструмента для последующей эксплуатации. Последствия этого развития подчеркивают продолжающуюся эволюцию методологий атак и необходимость постоянной бдительности в защите от кибербезопасности.

#ParsedReport #CompletenessMedium
17-10-2025

Odyssey Stealer and AMOS Campaign Targets macOS Developers Through Fake Tools

https://hunt.io/blog/macos-odyssey-amos-malware-campaign

Report completeness: Medium

Threats:
Odyssey_stealer
Amos_stealer
Logmein_tool
Credential_harvesting_technique
Clickfix_technique
Clickflix_technique
Typosquatting_technique

Victims:
Macos users, Developers

Geo:
Finland, Polish

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1071.001, T1082, T1105, T1140, T1204.001, T1222.002, T1497.001, T1548.003, have more...

IOCs:
IP: 2
Domain: 9
File: 2

Soft:
macOS, TradingView, curl, Gatekeeper, sudo, QEMU, Microsoft OneDrive

Algorithms:
base64

Languages:
javascript, applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Odyssey Stealer и AMOS в первую очередь нацелена на разработчиков macOS с помощью поддельных сайтов загрузки программного обеспечения, имитирующих авторитетные платформы. Злоумышленники используют социальную инженерию, чтобы обманом заставить жертв выполнять команды в кодировке base64 в терминале, что приводит к появлению вредоносного ПО, которое крадет системные данные, информацию о браузере и учетные данные криптовалюты. Вредоносное ПО обладает способностью к повышению привилегий и использует механизмы антианализа, позволяющие избежать обнаружения в контролируемых средах, с более чем 85 доменами фишинга, связанными с кампанией.
-----

Кампания Odyssey Stealer и AMOS специально нацелена на разработчиков macOS с помощью обманчивых веб-сайтов для загрузки программного обеспечения, которые выдают себя за надежные платформы, такие как Homebrew, TradingView и LogMeIn. Злоумышленники используют методы социальной инженерии, чтобы обманом заставить пользователей выполнять команды в кодировке base64 в терминале, что приводит к загрузке вредоносных полезных файлов. Идентифицируемые как Odyssey Stealer или AMOS (атомарный стиллер macOS), эти варианты вредоносного ПО способны красть системные данные, информацию о браузере и учетные данные криптовалюты. К этой кампании было подключено более 85 доменов для фишинга, которые совместно использовали SSL-сертификаты и базовую инфраструктуру, что указывает на согласованную и продолжающуюся стратегию атаки.

Исследование началось, когда эксперт по кибербезопасности Рааз раскрыл подозрительные веб-сайты, распространяющие Odyssey Stealer. Примечательно, что IP-адрес 93.152.230.79, обнаруженный в записях Passive DNS, стал важнейшим элементом операционной сети кампании. Более глубокое исследование этого и другого IP-адреса (195.82.147.38) выявило устойчивую связь с доменами, которые выдают себя за законное программное обеспечение и торговые платформы, демонстрируя зависимость от социальной инженерии для облегчения распространения.

Методология атаки включает JavaScript, запрограммированный на копирование команды установки в кодировке base64 в буфер обмена, когда пользователи нажимают кнопку "Копировать". Эта тактика скрывает истинную природу команды, заставляя жертв неосознанно вставлять вредоносный скрипт в терминал. Впоследствии страница фишинга извлекает скрипт с именем `install.sh "с удаленного сервера, выполняя серию команд, которые загружают и исполняют вредоносную полезную нагрузку, хранящуюся в "/tmp/update".

Вредоносное ПО обладает расширенными возможностями, такими как снятие отпечатков пальцев в среде, попытки повышения привилегий и системный список. Он активно стремится повысить привилегии, выполняя команды с помощью "sudo", что указывает на намерение получить более глубокий доступ к системе. Кроме того, он включает в себя меры антианализа путем поиска индикаторов виртуализации, чтобы определить, запущен ли он в изолированной среде или в контролируемой среде, и завершает работу при обнаружении таковых.

Для устранения этих угроз необходимо внедрить средства управления сетью и доменом для блокировки известных вредоносных сайтов и IP-адресов, повысить безопасность конечных точек с помощью политик, ограничивающих несанкционированное выполнение сценариев, и принять принципы минимизации привилегий для учетных записей администраторов. Кроме того, крайне важно информировать пользователей о рисках, связанных с выполнением команд из ненадежных источников.