#ParsedReport #CompletenessMedium
18-10-2025

131 Spamware Extensions Targeting WhatsApp Flood Chrome Web Store

https://socket.dev/blog/131-spamware-extensions-targeting-whatsapp-flood-chrome-web-store

Report completeness: Medium

Victims:
Brazilian users, Small businesses

Industry:
Entertainment

Geo:
Brasil, Latam, Portuguese, Brazilian

TTPs:
Tactics: 2
Technics: 3

IOCs:
Coin: 20
Domain: 20
Url: 3

Soft:
WhatsApp, Chrome, Instagram, TikTok

Languages:
javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В интернет-магазине Chrome обнаружена скоординированная кампания по рассылке 131 клона веб-расширения WhatsApp для автоматизации рассылки спама бразильским пользователям. Эти расширения для рассылки спама злоупотребляют процессом проверки, вводя пользователей в заблуждение, заставляя их думать, что они в безопасности, и в то же время нарушая политики Google и WhatsApp, позволяя отправлять нежелательные сообщения. В кампании используются методы платформы MITRE ATT&CK, такие как расширения для браузера и выполнение JavaScript, что позволяет выявить уязвимости как в интернет-магазине Chrome, так и в осведомленности пользователей.
-----

Исследовательская группа Socket Threat обнаружила скоординированную кампанию по распространению в интернет-магазине Chrome 131 обновленного клона расширения для веб-автоматизации WhatsApp, предназначенного в первую очередь для рассылки спама бразильским пользователям. Кампания действует уже как минимум девять месяцев, и новые версии постоянно загружаются, в том числе совсем недавно, в середине октября 2025 года.

Эти расширения для рассылки спама работают аналогично франчайзинговой модели, когда основной оператор и аффилированные продавцы создают несколько копий одного и того же расширения под разными названиями и брендингом. Они продвигают эти клонированные расширения через похожие веб-сайты, которые утверждают, что предлагают преимущества и безопасные методы, связанные с их функциональностью. Эти рекламные акции предназначены специально для малых предприятий Бразилии, вводя их в заблуждение, заставляя думать, что включение в интернет-магазин Chrome означает тщательный аудит кода и гарантии безопасности. Однако процесс проверки включает в себя только проверку соответствия, а не тщательную сертификацию безопасности, что создает ложное ощущение безопасности у потенциальных пользователей.

Стратегия распространения использует множество практически идентичных рекламных сайтов, включая **lobovendedor.com.br**, часто сопровождаемый соответствующими Учетными записями соцсетей на нескольких платформах, таких как YouTube, LinkedIn и TikTok. Эти каналы облегчают продажу тарифных планов подписки, еще больше углубляя лживый маркетинговый подход.

Кампания нарушает несколько политик Google в отношении рассылки спама и злоупотреблений в интернет-магазине Chrome, которые прямо запрещают использование нескольких расширений, предоставляющих схожие функциональные возможности, и манипулирование показателями производительности. Автоматизированные функции этих расширений позволяют отправлять нежелательные сообщения через WhatsApp без согласия пользователя, что является явным нарушением правил работы как Google, так и WhatsApp. Например, политика обмена бизнес-сообщениями WhatsApp требует от пользователей явного согласия на переписку, которое эти расширения по своей сути обходят, продвигая тактику массового распространения информации.

С технической точки зрения кампания проиллюстрирована во фреймворке MITRE ATT&CK, указывающем на использование расширений браузера (T1176.001), требующем Выполнения с участием пользователя (T1204), использующем JavaScript для выполнения команд и сценариев (T1059.007), осуществляющем обнаружение информации из браузеров (T1217) и извлекающем данные из локальной системы (T1005). Таким образом, эта операция фишинга выявляет значительные уязвимости как в интернет-магазине Chrome, так и в осведомленности пользователей о функциях автоматического обмена сообщениями.

#ParsedReport #CompletenessHigh
19-10-2025

Lazarus Group (APT38) Explained: Timeline, TTPs, and Major Attacks

https://www.picussecurity.com/resource/blog/lazarus-group-apt38-explained-timeline-ttps-and-major-attacks

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: cyber_espionage, financially_motivated, sabotage)
Bluenoroff (motivation: cyber_espionage, financially_motivated, sabotage)
Tradertraitor
Dream_job
Moonstone_sleet
Ta404
Dev-0139
Unc577
Unc2970
Unc4034
Andariel
Copernicium

Threats:
Supply_chain_technique
Wannacry
Mata
Fastcash
Spear-phishing_technique
Watering_hole_technique
Dtrack_rat
Typosquatting_technique
Volgmer
Dll_sideloading_technique
Kiloalfa
Themida_tool
Dratzarus
Sierracharlie
Sierrabravo-two
Tflower
Eternalblue_vuln
Shadow_brokers_tool
Shadow_copies_delete_technique
Whiskeyalfa
Whiskeybravo
Whiskeydelta
Kandykorn
Hoplight
Power_ratankba

Victims:
Sony pictures entertainment, Banking, Healthcare, Critical infrastructure, Cryptocurrency platforms, Enterprises, Government

Industry:
Financial, Entertainment, Healthcare, Aerospace, Government, Critical_infrastructure

Geo:
Korea, Americas, Asia, North korea, Bangladesh, Middle east

CVEs:
CVE-2024-21338 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38193 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 10
Technics: 15

IOCs:
Url: 1
File: 8
Domain: 2

Soft:
ChatGPT, macOS, Windows kernel, Windows Terminal, Dropbox, Outlook, Microsoft Office

Crypto:
bitcoin

Algorithms:
caracachs, aes, rc4, xor, base64

Win API:
WTSEnumerateSessionsA, CreateProcessAsUserA

Languages:
swift

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus, также известная как APT38, является изощренной хакерской группировкой, занимающейся шпионажем и Кражей денежных средств с 2009 года, использующей такие методы, как spearphishing, Теневые (drive-by) компрометации и продвинутое вредоносное ПО. Они поддерживают закрепление, используя обманчивые сочетания клавиш Windows и используя WMI для удаленного выполнения. Их операции включают в себя использование уязвимостей zero-day для повышения привилегий, использование таких инструментов, как KiloAlfa, для перемещения внутри компании и использование Зашифрованных каналов для управления коммуникациями, что показывает их адаптивность и изощренность в киберугрозах.
-----

Группа Lazarus, также идентифицируемая как APT38, является многогранной хакерской группировкой, известной сочетанием шпионажа, саботажа и Кражи денежных средств еще с 2009 года. Эта группа была причастна к многочисленным громким кибератакам, таким как атака на Sony Pictures в 2014 году, ограбление банка в Бангладеш в 2016 году и широкомасштабные сбои, вызванные программой-вымогателем WannaCry в 2017 году. Их операции демонстрируют весьма сложные методы, тактику и процедуры (TTP), которые со временем эволюционируют для поддержания эффективности в отношении различных целей.

Основные методы атак группы включают в себя spearphishing, Теневые (drive-by) компрометации и использование Вредоносных файлов для выполнения кода. В частности, Lazarus часто использует кампании spearphishing, в которых используются электронные письма и документы с использованием оружия, которые используют бэкдоры, включая Dtrack и компоненты кампании AppleJeus. Они также использовали атаки watering hole и typosquatting, чтобы проталкивать ничего не подозревающим пользователям вредоносные программы установки, замаскированные под законное программное обеспечение.

Оказавшись внутри целевой системы, группа Lazarus поддерживает закрепление с помощью различных механизмов. К ним относятся использование обманчивых ярлыков в папке автозагрузки Windows и стратегические манипуляции с настройками Инструментария управления Windows(WMI), позволяющие им удаленно выполнять сценарии. Они также используют передовые методы обфускации, такие как Динамическое разрешение API и встраивание полезных данных в безопасные форматы файлов, чтобы обойти средства обнаружения и усложнить анализ.

Что касается повышения привилегий, они воспользовались уязвимостями zero-day, такими как CVE-2024-38193, что позволило им получить доступ на системном уровне, еще больше укрепив свои позиции в скомпрометированных сетях. Их вредоносное ПО, включая кейлоггер KiloAlfa и два инструмента SierraCharlie и SierraBravo, демонстрирует перемещение внутри компании с помощью таких технологий, как Протокол удаленного рабочего стола (RDP) и электронная почта для эксфильтрации данных.

Группа компаний Lazarus продемонстрировала способность к шифрованию данных, продемонстрированную в их кампаниях по борьбе с программами-вымогателями, которые шифруют жизненно важные пользовательские данные, затрагивая различные секторы - от здравоохранения до правительственных операций. Их возможности по очистке дисков также указывают на готовность уничтожать значительные объемы данных в рамках своих операций.

Связь с серверами управления (C2) часто осуществляется по нестандартным каналам, таким как использование облачных сервисов хранения данных, таких как Dropbox, для эксфильтрации данных, что помогает избежать обнаружения в рамках законного трафика. Широкое использование ими Зашифрованных каналов и методов маскировки вредоносных действий еще больше повышает их оперативную безопасность.

Тактика группы Lazarus постоянно развивается, что свидетельствует о неизменном стремлении адаптироваться к новым технологиям и методам обнаружения, что делает их значимым фактором в современной среде кибербезопасности.

#ParsedReport #CompletenessLow
19-10-2025

Technical Analysis Report on the Cyber Attack on the National Time Service Center by the U.S. National Security Agency

https://mp.weixin.qq.com/s/XPjT0BVOJPJxSmASW0tXTA

Report completeness: Medium

Actors/Campaigns:
Triangulation
Equation

Threats:
Ehome_0cx
Back_eleven
Dsz_implant
Danderspritz
Nopen

Victims:
National time service center

Geo:
China

IOCs:
File: 25
Registry: 1

Algorithms:
aes

#ParsedReport #ExtractedSchema

Classified images:
table: 7, dump: 5, schema: 1, code: 26, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кибератака на Национальный центр обслуживания времени (NTSC) была осуществлена АНБ с использованием тактики сложных целенаправленных угроз (APT). Метод включал социальную инженерию и уязвимости zero-day для первоначального доступа, в то время как пользовательское вредоносное ПО использовалось для компрометации сети, включая запутывание, чтобы избежать обнаружения. Атака способствовала перемещению внутри компании, потенциально манипулируя функциональными возможностями протокола сетевого времени, что вызывает опасения по поводу будущей шпионской деятельности, нацеленной на критически важную инфраструктуру.
-----

В ходе недавней кибератаки на Национальный центр обслуживания времени (NTSC), которая была классифицирована органами национальной безопасности как серьезная, в качестве исполнителя было указано Агентство национальной безопасности США (АНБ). Анализ, проведенный Китайским центром реагирования на чрезвычайные ситуации в киберпространстве (CNCERT), показал, что операция была сложной и нацеленной на целостность и доступность критически важных служб хронометража NTSC.

В оценке CNCERT были изложены различные технические компоненты методологии атаки. Примечательно, что АНБ использовало тактику сложных целенаправленных угроз (APT), используя как социальную инженерию, так и уязвимости zero-day для получения первоначального доступа. Конкретные подробности, касающиеся использованных уязвимостей, не разглашаются; однако траектория атаки включала использование пользовательского вредоносного ПО, предназначенного для компрометации сетевой архитектуры NTSC. Считается, что это вредоносное ПО использовало методы обфускации, чтобы избежать обнаружения стандартными системами безопасности.

Оказавшись внутри сети, оперативники АНБ, вероятно, занялись перемещением внутри компании, чтобы получить контроль над несколькими системами, расширив свой доступ к конфиденциальным службам синхронизации времени. Это вторжение, возможно, было связано с манипуляцией функциональными возможностями протокола сетевого времени (NTP), которые имеют решающее значение для различных операций, зависящих от точного хронометража.

CNCERT отмечает, что последствия этого нарушения выходят за рамки немедленного нарушения работы сервиса. Атака демонстрирует тенденцию к росту кибервозможностей, которые нацелены на инфраструктуру, критически важную для национальной безопасности, и может послужить предлогом для продолжения кибершпионажа. Аналитики особенно обеспокоены потенциалом будущих атак, учитывая изощренность и стратегические намерения, стоящие за методами АНБ.

Этот инцидент демонстрирует необходимость повышенной бдительности среди организаций, использующих службы time services, что требует принятия надежных мер безопасности для обнаружения подобных сложных угроз и реагирования на них.

#ParsedReport #CompletenessLow
15-10-2025

Operation Zero Disco: Attackers Exploit Cisco SNMP Vulnerability to Deploy Rootkits

https://www.trendmicro.com/en_us/research/25/j/operation-zero-disco-cisco-snmp-vulnerability-exploit.html

Report completeness: Low

Actors/Campaigns:
Zero_disco

Threats:
Netcat_tool

Victims:
Network equipment

CVEs:
CVE-2025-20352 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2017-3881 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
Hash: 9
File: 8

Soft:
Linux, guest shell

Functions:
Get-Request

#ParsedReport #ExtractedSchema

Classified images:
windows: 10, code: 1, schema: 3, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция Zero Disco нацелена на критическую уязвимость (CVE-2025-20352) в SNMP Cisco, позволяющую удаленно выполнять код на устройствах, таких как серии 9400, 9300 и 3750G. Злоумышленники используют эксплойты на базе Linux для выполнения подмены arp в среде гостевой оболочки Cisco с последующей установкой руткитов, которые облегчают перемещение внутри компании по VLAN, повышая контроль и потенциальное воздействие атаки. Руткит поддерживает постоянный доступ, уклоняется от обнаружения и манипулирует сетевым трафиком.
-----

Кампания атаки, известная как Operation Zero Disco, использует критическую уязвимость в протоколе простого сетевого управления Cisco (SNMP), в частности CVE-2025-20352. Эта уязвимость допускает удаленное выполнение кода, позволяя злоумышленникам устанавливать руткиты на уязвимые устройства Cisco, к которым относятся 9400, 9300 и устаревшие серии 3750G. Использование этой уязвимости вызывает особую озабоченность, поскольку она предоставляет злоумышленникам расширенный контроль над сетевыми средами.

Расследование этого эксплойта показало, что злоумышленники использовали несколько эксплойтов на базе Linux, нацеленных как на 32-разрядную, так и на 64-разрядную архитектуру. В этом контексте подмена arp была облегчена с помощью двоичного файла Linux ELF, который мог выполняться в среде гостевой оболочки Cisco, обеспечивая платформу для вредоносных действий.

Как только руткит успешно развертывается после использования CVE-2025-20352, злоумышленники получают удаленный контроль над скомпрометированным устройством. Этот доступ позволяет им подключать несколько виртуальных сетей, что является методом, облегчающим перемещение внутри компании. Возможность бокового перемещения значительно увеличивает потенциальное воздействие вторжения, поскольку злоумышленники могут использовать дополнительные уязвимости на других подключенных устройствах. Основные функции развернутого руткита включают поддержание постоянного доступа, уклонение от обнаружения и расширение возможностей злоумышленника манипулировать сетевым трафиком, что подчеркивает критическую необходимость эффективного управления исправлениями и мониторинга подозрительных действий в затронутых системах.

#ParsedReport #CompletenessMedium
20-10-2025

Manlinghua (APT-Q-37) Diversifies to Deliver New Backdoor Components

https://www.ctfiot.com/274997.html

Report completeness: Medium

Actors/Campaigns:
Bitter

Victims:
Government, Electric power, Military industrial

Industry:
Energy, Government

Geo:
Asian, China, Pakistan

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


IOCs:
File: 5
Url: 9
Domain: 3
Hash: 6

Soft:
NET framework, Android, WeChat

Algorithms:
aes, md5, base64, zip

Win API:
decompress

Win Services:
bits

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Manlinghua, или APT-Q-37, - это APT-группировка, связанная с Южной Азией, которая нацелена на правительственный, электроэнергетический и военный секторы в Китае, Пакистане и прилегающих районах с целью утечки конфиденциальной информации. Недавние события показывают, что группировка диверсифицирует свои методы атак, в частности, внедряя новые компоненты бэкдора с помощью социальной инженерии, что расширяет ее возможности по долгосрочному наблюдению и краже данных. Такая эволюция указывает на стратегический сдвиг в направлении поддержания закрепления в целевых сетях и свидетельствует о постоянной и эволюционирующей угрозе критически важной инфраструктуре и национальной безопасности.
-----

Manlinghua, идентифицированная как APT-Q-37 и также известная как Bitter, является APT-группировка, которая, как полагают, имеет связи с Южной Азией. Эта группа имеет опыт проведения целенаправленных кибератак, главным образом против организаций в Китае, Пакистане и других смежных регионах. К наиболее пострадавшим секторам относятся правительственные учреждения, электроэнергетические компании и военно-промышленный комплекс с целью извлечения чувствительной и конфиденциальной информации.

Недавние действия указывают на то, что Manlinghua диверсифицирует свои методы работы, особенно в области поставок новых компонентов бэкдора. Такая адаптивность может свидетельствовать о стратегическом повороте для повышения ее возможностей и эффективности в текущих операциях. Внедрение этих новых компонентов свидетельствует о намерении группы поддерживать постоянное присутствие в сетях своих целей.

Методы, используемые Manlinghua для этих атак, как правило, включают сложную тактику социальной инженерии, направленную на проникновение в систему защиты организации. Оказавшись внутри, группа использует недавно разработанное вредоносное ПО для создания бэкдора, облегчающего долгосрочное наблюдение и кражу данных. Эта эволюция их оперативной тактики подчеркивает сохраняющуюся угрозу, исходящую от APT-Q-37, поскольку они стремятся усовершенствовать свой подход, чтобы опережать защитные меры, применяемые целевыми организациями. Акцент на секторах, имеющих решающее значение для национальной безопасности и инфраструктуры, еще раз подчеркивает потенциальное воздействие этих киберопераций.

#ParsedReport #CompletenessMedium
19-10-2025

CABINETRAT Malware Windows Targeted Campaign Explained

https://www.picussecurity.com/resource/blog/cabinetrat-malware-windows-targeted-campaign-explained

Report completeness: Medium

Actors/Campaigns:
Uac-0245

Threats:
Cabinetrat
Process_injection_technique
Snipbot
Slipscreen
Rustyclaw

Industry:
Telco, Government

Geo:
Ukrainian

TTPs:
Tactics: 5
Technics: 9

IOCs:
Command: 8
File: 9
Registry: 8
Path: 1

Soft:
ChatGPT, Microsoft Excel, Task Scheduler, VirtualBox, Windows Registry

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CABINETRAT - это ориентированное на Windows вредоносное ПО, используемое для шпионажа и финансовых атак, в основном использующее Надстройки XLL Excel для выполнения. Он обеспечивает закрепление с помощью таких методов, как размещение исполняемых файлов в папке автозагрузки, изменение реестра Windows и создание запланированных задач. Вредоносное ПО выполняет разведку для сбора системной информации, реализует тактику уклонения от обнаружения и включает функциональность для захвата скриншотов, повышая свою скрытность и оперативную эффективность.
-----

CABINETRAT, вредоносное ПО, нацеленное на системы Windows, появилось как инструмент, используемый для шпионажа и атак, мотивированных финансовыми соображениями. Его основной вектор атаки включает выполнение шелл—кода через XLL-файлы - Надстройки Excel с собственным кодом, которые по сути являются библиотеками DLL, расширяющими функциональность Excel. Этот метод использует преимущества того, как Excel автоматически загружает эти Надстройки при запуске или по требованию.

Для закрепления CABINETRAT использует множество методов. Один из методов заключается в размещении вредоносного исполняемого файла в папке автозагрузки, гарантируя, что вредоносное ПО запускается всякий раз, когда пользователь входит в систему. Кроме того, он манипулирует реестром Windows, создавая новую запись под ключом Run для автоматического выполнения cmd.exe во время входа пользователя в систему. Другим используемым методом является создание запланированной задачи с помощью утилиты Schtasks, что усиливает ее закрепление в зараженной системе.

Вредоносное ПО выполняет различные действия по разведке, включая запрос в реестре пути к EXCEL.EXE файл и доступ к разделам реестра системного уровня для сбора информации о конфигурации. Он собирает сведения о физической памяти системы и ядрах центрального процессора с помощью Инструментария управления Windows(WMI). Также проводится проверка привилегий пользователя, позволяющая вредоносному ПО подтвердить, обладает ли текущий пользователь правами администратора. Информация о диске собирается с помощью команд PowerShell, в то время как вредоносное ПО использует изменения реестра для удаления следов отключенных Надстроек Excel, что позволяет ему работать более скрытно.

CABINETRAT включает в себя несколько тактик уклонения, чтобы избежать обнаружения. Он проверяет наличие винной среды путем проверки Kernel32.dll экспортирует и выполняет обнаружение виртуальной машины путем перечисления подключенных устройств отображения. Чтобы убедиться, что он не отлаживается, вредоносное ПО проверяет блок среды процесса (PEB) на наличие любых активных сеансов отладки. Кроме того, CABINETRAT имеет возможность делать скриншоты с помощью своего двоичного файла .NET.

#ParsedReport #CompletenessMedium
14-10-2025

"Countering Russian DRGs": UAC-0239 carries out cyberattacks using the OrcaC2 framework and the FILEMESS stealer (CERT-UA#17691)

https://cert.gov.ua/article/6285731

Report completeness: Medium

Actors/Campaigns:
Uac-0239 (motivation: sabotage)

Threats:
Orcac2
Filemess
Process_injection_technique

Victims:
Government security services

Industry:
Government

Geo:
Russian, Ukrainians, Ukraine

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.005, T1102, T1202, T1204.001, T1204.002, T1553.005, T1566.001

IOCs:
Hash: 44
File: 5
Email: 3
Url: 16
Domain: 6
IP: 6
Path: 6
Registry: 1
Command: 1

Soft:
telegram

Algorithms:
zip, xor, md5, base64

Functions:
Remove-Item

Win Services:
gupdate