#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, table: 1, code: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WaterPlum, также известная как Famous Chollima или PurpleBravo, является северокорейской хакерской группой, участвующей в киберкампаниях, в частности в серии ClickFake Interview, с акцентом на подмножество под названием Cluster B. В их операциях используется троян удаленного доступа (RAT) под названием OtterCandy, основанный на предыдущих вредоносных ПО, таких как RATatouille и OtterCookie, который был неверно идентифицирован в прошлых отчетах. Вредоносное ПО получило минимальные обновления, в августе 2025 года была выпущена версия 2, в которой были внесены изменения, не детализированные публично, что подчеркивает необходимость постоянного мониторинга их вредоносной активности.
-----

WaterPlum, северокорейская хакерская группа, также известная как Famous Chollima или PurpleBravo, связана с различными кампаниями по кибератакам, в частности с сериями ClickFake Interview и Contagious Interview. Недавняя активность была сосредоточена на конкретной подгруппе группы, известной как кластер В, которая играет заметную роль в кампании ClickFake Interview.

Ключевым компонентом их деятельности является вредоносное ПО под названием OtterCandy, троян удаленного доступа (RAT) и стиллер информации, разработанный с использованием Node.js . OtterCandy объединяет функции ранее идентифицированного вредоносного ПО, известного как RATatouille и OtterCookie. Анализ его образцов, в частности одного, представленного в VirusTotal в феврале 2025 года, подтвердил, что в предыдущих отчетах он был неправильно идентифицирован как OtterCookie.

Вредоносное ПО претерпело минимальные изменения с момента своего первоначального выпуска, сохранив в основном тот же основной код с изменениями только адресов серверов управления (C2). Однако в конце августа 2025 года было внедрено значительное обновление, получившее название версии 2 (v2). Это обновление версии 2 внесло три заметных изменения, хотя конкретные детали этих модификаций не были раскрыты.

Мониторинг OtterCandy и более широких операций кластера B в рамках кампании ClickFake Interview жизненно важен для понимания и смягчения текущих киберугроз, исходящих от WaterPlum. Постоянная бдительность необходима, учитывая активный статус группы и использование ими расширяющихся возможностей вредоносного ПО.

#ParsedReport #CompletenessHigh
17-10-2025

Operation MotorBeacon : Threat Actor targets Russian Automotive Sector using .NET Implant

https://www.seqrite.com/blog/seqrite-capi-backdoor-dotnet-stealer-russian-auto-commerce-oct-2025/

Report completeness: High

Actors/Campaigns:
Motorbeacon

Threats:
Spear-phishing_technique
Lolbin_technique
Minidump_tool

Victims:
Russian automobile commerce industry, Russian automobile sector

Industry:
Transport, E-commerce

Geo:
Russian, Russian federation

TTPs:
Tactics: 8
Technics: 10

IOCs:
File: 10
Domain: 2
Url: 1
IP: 1
Path: 1
Hash: 3

Soft:
Chrome, Firefox

Algorithms:
md5, zip

Functions:
ReceiveCommands, GetExecutingAssembly

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 19, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция MotorBeacon нацелена на российский автомобильный сектор с помощью .NET- вредоносного ПО под названием CAPI Backdoor, обнаруженного 3 октября 2025 года. Атака начинается с вредоносного файла LNK, встроенного в ZIP-архив, выполняющего внедрение библиотеки DLL с использованием rundll32.exe , который устанавливает бэкдор для эксфильтрации данных. Кампания использует сложную тактику фишинга, используя поддельные документы, связанные с налоговым законодательством, и используя алгоритм генерации доменов для создания случайных доменов, в том числе похожих на законный сайт.
-----

Было выявлено, что недавняя кибероперация, получившая название **Операция MotorBeacon**, нацелена на российский автомобильный сектор, который охватывает как автомобилестроение, так и коммерцию. Злоумышленник использует .NET- вредоносное ПО под названием **CAPI Backdoor**, обнаруженное 3 октября 2025 года. Это вредоносное ПО распространялось через вредоносный ZIP-архив, обнаруженный на VirusTotal, содержащий документы-приманки с расширениями файлов PDF и LNK, предназначенные для Целевых фишинг-атак.

Начальный этап атаки основан на **вредоносном LNK-скрипте**, встроенном в ZIP-файл с определенным именем **01.10.2025.lnk**. Основная функция этого скрипта заключается в выполнении вредоносного DLL-импланта **CAPI** с использованием утилиты Windows **rundll32.exe**. Единственная цель файла LNK - действовать как триггер для развертывания вредоносного ПО.

На втором этапе проводится анализ фактического вредоносного ПО, называемого **adobe.dll** или **client6.dll**, показывает, что он создан в .NET и предназначен для постоянного создания бэкдора в целевой среде. Имплантат предоставляет широкие возможности, включая возможность извлечения конфиденциальных данных и сохранения доступа для будущих вредоносных операций.

Злоумышленник, стоящий за этой кампанией, использует стратегические методы фишинга, используя приманки, которые изначально кажутся относящимися к налоговому законодательству, повышая вероятность взаимодействия с пользователем. Один такой документ-приманка идентифицирован как **P4353.pdf**, который полностью пуст, что еще раз указывает на обман, задействованный в атаке. Еще одна приманка, **adobe.xml**, аналогично связан с темами, связанными с налогами, вероятно, с целью побудить получателей открыть связанные файлы.

Кроме того, расследование операции выявило использование алгоритма генерации домена **(DGA)** для создания случайного домена, что свидетельствует об уровне сложности инфраструктуры злоумышленника. В кампании также задействован поддельный домен, **carprlce.ru**, предназначенный для имитации законного **carprice.ru**, в котором подчеркивается целенаправленный подход к российской автомобильной промышленности.

#ParsedReport #CompletenessLow
17-10-2025

The post-exploitation framework is now delivered in npm as well

https://securelist.ru/adaptixc2-agent-found-in-an-npm-package/113825/

Report completeness: Low

Threats:
Cobalt_strike_tool
Adaptixc2_tool
Dll_sideloading_technique
Shai-hulud
Supply_chain_technique

Victims:
Windows users, Linux users, Macos users

ChatGPT TTPs:
do not use without manual check
T1059, T1195.001, T1204.002, T1587

IOCs:
Path: 1
File: 2
Hash: 5
Url: 6

Soft:
Linux, macOS

Platforms:
arm, x64, apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Платформа постэксплуатации AdaptixC2, доступная через npm в начале 2025 года, предоставляет злоумышленникам гибкие методы развертывания полезной нагрузки, адаптированные к различным операционным системам, включая Windows, Linux и macOS. Универсальность этого фреймворка повышает его потенциал для использования во вредоносных действиях, вызывая обеспокоенность у специалистов по кибербезопасности по поводу его широкой доступности и последствий для развивающихся стратегий и методологий атак.
-----

В начале 2025 года в качестве альтернативы Cobalt Strike появилась платформа постэксплуатации AdaptixC2, доступная теперь через npm. Этот фреймворк предлагает злоумышленникам различные методы развертывания своей полезной нагрузки, настраивая подход на основе операционной системы жертвы. В частности, он поддерживает параметры загрузки для Windows, Linux и macOS, гарантируя, что имплантат эффективно загружается и выполняется в соответствии со структурами каталогов конкретной операционной системы, независимо от того, используются ли системные или пользовательские каталоги.

Адаптация метода доставки полезной нагрузки подчеркивает гибкость фреймворка при работе с различными средами, что делает его универсальным инструментом для злоумышленников. Решение обнародовать такой фреймворк в npm повышает его потенциальную доступность и использование среди вредоносных акторов, вызывая обеспокоенность специалистов по безопасности по поводу рисков, связанных с широким внедрением этого инструмента для последующей эксплуатации. Последствия этого развития подчеркивают продолжающуюся эволюцию методологий атак и необходимость постоянной бдительности в защите от кибербезопасности.

#ParsedReport #CompletenessMedium
17-10-2025

Odyssey Stealer and AMOS Campaign Targets macOS Developers Through Fake Tools

https://hunt.io/blog/macos-odyssey-amos-malware-campaign

Report completeness: Medium

Threats:
Odyssey_stealer
Amos_stealer
Logmein_tool
Credential_harvesting_technique
Clickfix_technique
Clickflix_technique
Typosquatting_technique

Victims:
Macos users, Developers

Geo:
Finland, Polish

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.004, T1071.001, T1082, T1105, T1140, T1204.001, T1222.002, T1497.001, T1548.003, have more...

IOCs:
IP: 2
Domain: 9
File: 2

Soft:
macOS, TradingView, curl, Gatekeeper, sudo, QEMU, Microsoft OneDrive

Algorithms:
base64

Languages:
javascript, applescript

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Odyssey Stealer и AMOS в первую очередь нацелена на разработчиков macOS с помощью поддельных сайтов загрузки программного обеспечения, имитирующих авторитетные платформы. Злоумышленники используют социальную инженерию, чтобы обманом заставить жертв выполнять команды в кодировке base64 в терминале, что приводит к появлению вредоносного ПО, которое крадет системные данные, информацию о браузере и учетные данные криптовалюты. Вредоносное ПО обладает способностью к повышению привилегий и использует механизмы антианализа, позволяющие избежать обнаружения в контролируемых средах, с более чем 85 доменами фишинга, связанными с кампанией.
-----

Кампания Odyssey Stealer и AMOS специально нацелена на разработчиков macOS с помощью обманчивых веб-сайтов для загрузки программного обеспечения, которые выдают себя за надежные платформы, такие как Homebrew, TradingView и LogMeIn. Злоумышленники используют методы социальной инженерии, чтобы обманом заставить пользователей выполнять команды в кодировке base64 в терминале, что приводит к загрузке вредоносных полезных файлов. Идентифицируемые как Odyssey Stealer или AMOS (атомарный стиллер macOS), эти варианты вредоносного ПО способны красть системные данные, информацию о браузере и учетные данные криптовалюты. К этой кампании было подключено более 85 доменов для фишинга, которые совместно использовали SSL-сертификаты и базовую инфраструктуру, что указывает на согласованную и продолжающуюся стратегию атаки.

Исследование началось, когда эксперт по кибербезопасности Рааз раскрыл подозрительные веб-сайты, распространяющие Odyssey Stealer. Примечательно, что IP-адрес 93.152.230.79, обнаруженный в записях Passive DNS, стал важнейшим элементом операционной сети кампании. Более глубокое исследование этого и другого IP-адреса (195.82.147.38) выявило устойчивую связь с доменами, которые выдают себя за законное программное обеспечение и торговые платформы, демонстрируя зависимость от социальной инженерии для облегчения распространения.

Методология атаки включает JavaScript, запрограммированный на копирование команды установки в кодировке base64 в буфер обмена, когда пользователи нажимают кнопку "Копировать". Эта тактика скрывает истинную природу команды, заставляя жертв неосознанно вставлять вредоносный скрипт в терминал. Впоследствии страница фишинга извлекает скрипт с именем `install.sh "с удаленного сервера, выполняя серию команд, которые загружают и исполняют вредоносную полезную нагрузку, хранящуюся в "/tmp/update".

Вредоносное ПО обладает расширенными возможностями, такими как снятие отпечатков пальцев в среде, попытки повышения привилегий и системный список. Он активно стремится повысить привилегии, выполняя команды с помощью "sudo", что указывает на намерение получить более глубокий доступ к системе. Кроме того, он включает в себя меры антианализа путем поиска индикаторов виртуализации, чтобы определить, запущен ли он в изолированной среде или в контролируемой среде, и завершает работу при обнаружении таковых.

Для устранения этих угроз необходимо внедрить средства управления сетью и доменом для блокировки известных вредоносных сайтов и IP-адресов, повысить безопасность конечных точек с помощью политик, ограничивающих несанкционированное выполнение сценариев, и принять принципы минимизации привилегий для учетных записей администраторов. Кроме того, крайне важно информировать пользователей о рисках, связанных с выполнением команд из ненадежных источников.

#ParsedReport #CompletenessMedium
17-10-2025

Scattered LAPSUS$ Hunters: 2025's Most Dangerous Cybercrime Supergroup

https://www.picussecurity.com/resource/blog/scattered-lapsus-hunters-2025s-most-dangerous-cybercrime-supergroup

Report completeness: Medium

Actors/Campaigns:
Scattered_lapsus_hunters (motivation: financially_motivated, cyber_criminal)
0ktapus
Shinyhunters (motivation: financially_motivated)
Shiny_spider
Unc6040
Unc6395
Lapsus

Threats:
Spear-phishing_technique
Credential_dumping_technique
Ntdsutil_tool
Redline_stealer
Rustscan_tool
Ad_explorer_tool
Adrecon_tool
Screenconnect_tool
Teamviewer_tool
Splashtop_tool

Victims:
Salesforce customers, Google, Cisco, Salesloft, Drift, Organizations using aws, Organizations using forgerock openam, Office 365 tenants

Industry:
Telco, Aerospace, Financial, Bp_outsourcing, Retail

CVEs:
CVE-2021-35464 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 7
Technics: 9

IOCs:
Path: 2
File: 1
IP: 1

Soft:
ChatGPT, Salesforce, Telegram, Salesloft Drift, ForgeRock OpenAM, Active Directory, curl, ESXi, Office 365, Pulseway, have more...

Functions:
Get-ADUser

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
The Scattered Lapsus$ Hunters, коалиция ранее активных киберпреступных группировок, появилась в 2025 году, осуществляя сложные скоординированные кибератаки с помощью социальной инженерии и эксфильтрации данных. Они нацелились на такие системы, как Salesforce, используя вишинг-атаки для установки вредоносных интеграций и получения доступа на уровне API, что оказало воздействие на такие компании, как Google и Cisco. Их методы включали использование CVE-2021-35464, credential dumping, удаленный доступ с помощью законного программного обеспечения и создание порталов вымогательства для монетизации своих атак.
-----

В 2025 году появится новая киберпреступная группировка, известная как Scattered Lapsus$ Hunters, представляющие коалицию, состоящую из элементов из Scattered Spider, LAPSUS$ и ShinyHunters. Этот альянс указывает на переход к более скоординированным и изощренным атакам, которые используют социальную инженерию и эксфильтрацию данных наряду с тактикой публичного вымогательства.

В конце 2024 года группа получила известность за проведение вишинговых атак, в частности, на системы Salesforce. Они успешно обманули сотрудников, установив вредоносные интеграции, которые предоставили злоумышленникам доступ на уровне API к критически важным средам, что привело к существенным утечкам данных в крупных компаниях, включая Google и Cisco. В ходе своей деятельности в период с марта по июнь 2025 года они воспользовались доступом к репозиториям Salesloft на GitHub и проникли в среду AWS Drift, где злоупотребляли токенами OAuth для извлечения конфиденциальных данных.

К июню 2025 года Google задокументировала использование группой тактики Имперсонации для получения доступа к данным Salesforce, подчеркнув, что они полагаются на социальную инженерию, а не на использование технических уязвимостей. Недавно созданный Telegram-канал в августе 2025 года стал центром их скоординированных усилий, поддержки кампаний, сфабрикованных утечек и объявления о готовящейся платформе "Программа-вымогатель как услуга". Несмотря на заявления о прекращении операций в сентябре 2025 года, текущие мероприятия по-прежнему были нацелены на Salesforce и связанные с ней среды.

С технической точки зрения, Scattered Lapsus$ Hunters использовали различные приемы. Они активно добивались доступа к инсайдерской информации с помощью сообщений о вербовке, размещенных в кругах киберпреступников, что указывает на тенденцию к использованию инсайдерских угроз. Они использовали CVE-2021-35464 для компрометации серверов ForgeRock OpenAM, демонстрируя свою способность нацеливаться на общедоступные приложения. Их вектор атаки включал голосовой фишинг, когда злоумышленники выдавали себя за ИТ-персонал, чтобы манипулировать жертвами и заставить их предоставить доступ.

Группа продемонстрировала передовые оперативные тактики, такие как использование методов credential dumping с помощью ntdsutil и получение несанкционированного доступа к облачным ресурсам путем кражи учетных данных роли AWS IAM. Другие методы включали использование RedLine- стиллера паролей для сбора учетных данных, принудительную генерацию подсказок для Многофакторной аутентификации и обширную разведку организационных сетей и учетных записей.

Кроме того, Scattered Lapsus$ Hunters использовали ПО для удаленного доступа, устанавливая каналы управления с помощью законного программного обеспечения, что еще больше скрывало их от обнаружения. Наконец, они монетизировали свои операции с помощью вымогательства, создав портал программ-вымогателей, чтобы требовать оплаты от жертв, чьи данные были скомпрометированы.

Подводя итог, можно сказать, что Scattered Lapsus$ Hunters представляют собой высокоорганизованную коалицию киберпреступников, использующую разнообразные методы атак, которые используют как технологические эксплойты, так и тактику социальной инженерии, создавая значительную угрозу организациям по всему миру.

#ParsedReport #CompletenessMedium
19-10-2025

PureLogs Stealer: Complete Malware Analysis & CTF Walkthrough

https://medium.com/@0xzyadelzyat/purelogs-stealer-complete-malware-analysis-ctf-walkthrough-83e41e7c6efd?source=rss-b460882b1cf8------2

Report completeness: Medium

Threats:
Purelogs
Uac_bypass_technique
Credential_harvesting_technique
Dotnet_reactor_tool
Process_injection_technique
Process_hacker_tool

Victims:
Consumers, Enterprise users

Industry:
Entertainment

Geo:
Azerbaijan, Armenia, Uzbekistan, Kazakhstan, Kyrgyzstan, Moldova, Russia, Tajikistan, Belarus, Turkmenistan

TTPs:
Tactics: 5
Technics: 0

IOCs:
Hash: 1
File: 2
Registry: 1
Path: 1

Soft:
Discord, Telegram, Steam, NET Reactor, Windows Registry, VirtualBox, Hyper-V, QEMU, ESXi, Burp Suite, have more...

Algorithms:
zip, cbc, base64, sha256, aes, sha512, aes-256, pbkdf2

Functions:
smethod_1, smethod_0

Win API:
CoGetObject

Win Services:
TPVCGateway, TPAutoConnSvc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PureLogs - это продвинутый стиллер информации для Windows, который фокусируется на сборе учетных данных и конфиденциальных данных из таких приложений, как Discord, Telegram и Steam. Он использует методы запутывания и анти-отладки, чтобы избежать обнаружения, включая коммерческий .NET-упаковщик и многопоточные операции для одновременного сбора данных. Используя шифрование AES-256 и пользовательские протоколы для эксфильтрации данных, PureLogs также обладает возможностями самоудаления для устранения следов после выполнения, что представляет серьезную проблему для мер безопасности.
-----

PureLogs - это сложный стиллер информации Windows, обладающий расширенными возможностями в области эксфильтрации данных и методов уклонения, направленных на то, чтобы избежать обнаружения. Его основные функции включают сбор учетных данных, токенов сеанса и конфиденциальной информации из различных приложений, особенно ориентируясь на популярные платформы, такие как Discord, Telegram и Steam. Вредоносное ПО использует ряд технических мер, таких как надежные методы запутывания, встроенные механизмы антианализа и анти-отладки, а также шифрование военного уровня для защиты украденных данных.

Вредоносное ПО использует коммерческий .NET-упаковщик для усложнения обратного проектирования, гарантируя, что двоичный файл будет запутан и устойчив к статическому анализу. PureLogs создает мьютекс для предотвращения одновременных экземпляров в зараженных системах, снижая его шансы на обнаружение. Он включает в себя множество проверок на предмет защиты от анализа, распознавание конкретных процессов, связанных со средами изолированной среды, и активное завершение перед выполнением вредоносного кода. Вредоносное ПО также включает в себя передовые методы обхода обнаружения отладчиком и предотвращения анализа с использованием различных функций Windows API.

Одним из примечательных аспектов PureLogs является его способность выполнять сбор учетных записей в нескольких приложениях одновременно, повышая эффективность за счет многопоточных операций. Например, он нацелен на Discord, получая доступ к локальной базе данных, где хранятся токены. Вредоносное ПО умело проводит разведку системы, собирая подробную информацию об Аппаратном обеспечении и программном обеспечении, а также данные о геолокации для оценки местоположения жертвы и сетевых атрибутов.

PureLogs использует шифрование AES-256 с использованием режима цепочки блоков шифрования (CBC) для защиты отфильтрованных данных. Процесс шифрования усилен с помощью получения ключа PBKDF2, который использует фиксированное значение соли и хэши SHA-512 для большей безопасности. Эксфильтрация данных происходит по пользовательским протоколам, подключающимся к серверам управления (C2), с определенными портами, жестко запрограммированными для этой цели. К украденным данным добавляется уникальный идентификатор, чтобы различать различные сборки вредоносного ПО перед передачей.

Вредоносное ПО также разработано с возможностью самоудаления, гарантируя, что его следы будут уничтожены после выполнения, чтобы избежать обнаружения. В целом, PureLogs представляет собой серьезную киберугрозу, характеризующуюся модульной архитектурой, обширными тактиками уклонения и сложными стратегиями шифрования, что делает его сложной задачей для исследователей безопасности и автоматизированных инструментов анализа.

#ParsedReport #CompletenessLow
19-10-2025

Lessons from the BlackBasta Ransomware Attack on Capita

https://blog.bushidotoken.net/2025/10/lessons-from-blackbasta-ransomware.html

Report completeness: Low

Threats:
Blackbasta
Credential_harvesting_technique
Cobalt_strike_tool
Powerpick_tool
Qakbot
Rclone_tool
Systembc

Victims:
Capita, Business process outsourcing, Managed service provider, Public sector operations

Industry:
Media, Government, Bp_outsourcing, Financial, Education

Geo:
London, Great britain

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.002, T1041, T1078, T1078.003, T1105, T1204.002, T1486

IOCs:
File: 3

Soft:
Active Directory

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chats: 1