#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Manlinghua, или APT-Q-37, - это APT-группировка, связанная с Южной Азией, которая нацелена на правительственный, электроэнергетический и военный секторы в Китае, Пакистане и прилегающих районах с целью утечки конфиденциальной информации. Недавние события показывают, что группировка диверсифицирует свои методы атак, в частности, внедряя новые компоненты бэкдора с помощью социальной инженерии, что расширяет ее возможности по долгосрочному наблюдению и краже данных. Такая эволюция указывает на стратегический сдвиг в направлении поддержания закрепления в целевых сетях и свидетельствует о постоянной и эволюционирующей угрозе критически важной инфраструктуре и национальной безопасности.
-----

Manlinghua, идентифицированная как APT-Q-37 и также известная как Bitter, является APT-группировка, которая, как полагают, имеет связи с Южной Азией. Эта группа имеет опыт проведения целенаправленных кибератак, главным образом против организаций в Китае, Пакистане и других смежных регионах. К наиболее пострадавшим секторам относятся правительственные учреждения, электроэнергетические компании и военно-промышленный комплекс с целью извлечения чувствительной и конфиденциальной информации.

Недавние действия указывают на то, что Manlinghua диверсифицирует свои методы работы, особенно в области поставок новых компонентов бэкдора. Такая адаптивность может свидетельствовать о стратегическом повороте для повышения ее возможностей и эффективности в текущих операциях. Внедрение этих новых компонентов свидетельствует о намерении группы поддерживать постоянное присутствие в сетях своих целей.

Методы, используемые Manlinghua для этих атак, как правило, включают сложную тактику социальной инженерии, направленную на проникновение в систему защиты организации. Оказавшись внутри, группа использует недавно разработанное вредоносное ПО для создания бэкдора, облегчающего долгосрочное наблюдение и кражу данных. Эта эволюция их оперативной тактики подчеркивает сохраняющуюся угрозу, исходящую от APT-Q-37, поскольку они стремятся усовершенствовать свой подход, чтобы опережать защитные меры, применяемые целевыми организациями. Акцент на секторах, имеющих решающее значение для национальной безопасности и инфраструктуры, еще раз подчеркивает потенциальное воздействие этих киберопераций.

#ParsedReport #CompletenessMedium
19-10-2025

CABINETRAT Malware Windows Targeted Campaign Explained

https://www.picussecurity.com/resource/blog/cabinetrat-malware-windows-targeted-campaign-explained

Report completeness: Medium

Actors/Campaigns:
Uac-0245

Threats:
Cabinetrat
Process_injection_technique
Snipbot
Slipscreen
Rustyclaw

Industry:
Telco, Government

Geo:
Ukrainian

TTPs:
Tactics: 5
Technics: 9

IOCs:
Command: 8
File: 9
Registry: 8
Path: 1

Soft:
ChatGPT, Microsoft Excel, Task Scheduler, VirtualBox, Windows Registry

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CABINETRAT - это ориентированное на Windows вредоносное ПО, используемое для шпионажа и финансовых атак, в основном использующее Надстройки XLL Excel для выполнения. Он обеспечивает закрепление с помощью таких методов, как размещение исполняемых файлов в папке автозагрузки, изменение реестра Windows и создание запланированных задач. Вредоносное ПО выполняет разведку для сбора системной информации, реализует тактику уклонения от обнаружения и включает функциональность для захвата скриншотов, повышая свою скрытность и оперативную эффективность.
-----

CABINETRAT, вредоносное ПО, нацеленное на системы Windows, появилось как инструмент, используемый для шпионажа и атак, мотивированных финансовыми соображениями. Его основной вектор атаки включает выполнение шелл—кода через XLL-файлы - Надстройки Excel с собственным кодом, которые по сути являются библиотеками DLL, расширяющими функциональность Excel. Этот метод использует преимущества того, как Excel автоматически загружает эти Надстройки при запуске или по требованию.

Для закрепления CABINETRAT использует множество методов. Один из методов заключается в размещении вредоносного исполняемого файла в папке автозагрузки, гарантируя, что вредоносное ПО запускается всякий раз, когда пользователь входит в систему. Кроме того, он манипулирует реестром Windows, создавая новую запись под ключом Run для автоматического выполнения cmd.exe во время входа пользователя в систему. Другим используемым методом является создание запланированной задачи с помощью утилиты Schtasks, что усиливает ее закрепление в зараженной системе.

Вредоносное ПО выполняет различные действия по разведке, включая запрос в реестре пути к EXCEL.EXE файл и доступ к разделам реестра системного уровня для сбора информации о конфигурации. Он собирает сведения о физической памяти системы и ядрах центрального процессора с помощью Инструментария управления Windows(WMI). Также проводится проверка привилегий пользователя, позволяющая вредоносному ПО подтвердить, обладает ли текущий пользователь правами администратора. Информация о диске собирается с помощью команд PowerShell, в то время как вредоносное ПО использует изменения реестра для удаления следов отключенных Надстроек Excel, что позволяет ему работать более скрытно.

CABINETRAT включает в себя несколько тактик уклонения, чтобы избежать обнаружения. Он проверяет наличие винной среды путем проверки Kernel32.dll экспортирует и выполняет обнаружение виртуальной машины путем перечисления подключенных устройств отображения. Чтобы убедиться, что он не отлаживается, вредоносное ПО проверяет блок среды процесса (PEB) на наличие любых активных сеансов отладки. Кроме того, CABINETRAT имеет возможность делать скриншоты с помощью своего двоичного файла .NET.

#ParsedReport #CompletenessMedium
14-10-2025

"Countering Russian DRGs": UAC-0239 carries out cyberattacks using the OrcaC2 framework and the FILEMESS stealer (CERT-UA#17691)

https://cert.gov.ua/article/6285731

Report completeness: Medium

Actors/Campaigns:
Uac-0239 (motivation: sabotage)

Threats:
Orcac2
Filemess
Process_injection_technique

Victims:
Government security services

Industry:
Government

Geo:
Russian, Ukrainians, Ukraine

ChatGPT TTPs:
do not use without manual check
T1027, T1036.005, T1059.005, T1102, T1202, T1204.001, T1204.002, T1553.005, T1566.001

IOCs:
Hash: 44
File: 5
Email: 3
Url: 16
Domain: 6
IP: 6
Path: 6
Registry: 1
Command: 1

Soft:
telegram

Algorithms:
zip, xor, md5, base64

Functions:
Remove-Item

Win Services:
gupdate

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UAC-0239, российский злоумышленник, использует фреймворк OrcaC2 и стиллер информации FILEMESS для проведения сложных киберопераций. Платформа OrcaC2 позволяет удаленно управлять скомпрометированными системами, в то время как FILEMESS предназначен для эксфильтрации конфиденциальных данных, маскируя их выполнение в рамках безопасных типов файлов, чтобы избежать обнаружения. Эта группа также использует тактику социальной инженерии, чтобы выдавать себя за доверенные лица, создавая значительную угрозу национальной безопасности посредством дезинформации и попыток вербовки.
-----

UAC-0239, злоумышленник, связанный с российскими кибероперациями, был идентифицирован с использованием платформы OrcaC2 наряду с Stealer. Эта группа демонстрирует эволюционирующую стратегию атаки, которая сочетает в себе сложные возможности командования и контроля (C2) с эффективными методами эксфильтрации данных.

Платформа OrcaC2 функционирует как модульная платформа, позволяющая UAC-0239 удаленно управлять скомпрометированными устройствами. Платформа облегчает тайные операции, позволяя злоумышленнику отдавать команды, управлять зараженными машинами и развертывать дополнительные полезные нагрузки. В частности, GoogleUpdate.exe , который действует как марионетка Orca, как было замечено, использовался в рамках этих операций, маскируя свои вредоносные действия, чтобы казаться безобидным как законный процесс обновления Google.

FILEMESS, тем временем, представляет собой новый вариант вредоносного ПО- стиллера, используемого UAC-0239. Это вредоносное ПО предназначено для сбора конфиденциальной информации с зараженных конечных точек, включая учетные данные, документы и другие потенциально используемые данные. Примечательно, что выполнение FILEMESS часто замаскировано под кажущиеся безобидными форматы файлов, такие как .exe или .vhd, чтобы избежать обнаружения программным обеспечением безопасности. С этим вредоносным ПО были связаны различные имена файлов, в том числе те, которые предположительно относятся к Службе безопасности Украины (СБУ), что подчеркивает целенаправленную тактику фишинга, используемую для заманивания жертв.

Эксперты по безопасности предупредили о действиях UAC-0239, особенно об их стратегии использования тактики социальной инженерии для выдачи себя за доверенные организации. Например, коммуникация может включать в себя выдачу себя за представителей СБУ для вербовки людей или распространения дезинформации, тем самым угрожая национальной безопасности. Это сообщение не просто служит злонамеренным целям; оно также направлено на создание путаницы и манипулирование восприятием общественности.

Служба безопасности Украины и другие структуры, занимающиеся кибербезопасностью, продолжают подчеркивать необходимость бдительности среди граждан, усиливая необходимость информирования о потенциальных попытках вербовки и кампаниях дезинформации со стороны этого злоумышленника. Поскольку UAC-0239 продолжает свою деятельность, организациям настоятельно рекомендуется усилить свою систему кибербезопасности для обнаружения и нейтрализации угроз, исходящих от этой развивающейся кампании кибершпионажа.

#ParsedReport #CompletenessMedium
14-10-2025

SOE-phisticated Persistence: Inside Flax Typhoon's ArcGIS Compromise

https://reliaquest.com/blog/threat-spotlight-inside-flax-typhoons-arcgis-compromise/

Report completeness: Medium

Actors/Campaigns:
Flax_typhoon (motivation: cyber_criminal)

Threats:
Credential_harvesting_technique
Lolbin_technique
Credential_dumping_technique

Victims:
Arcgis self hosted deployments, Public facing applications, It personnel workstations

Industry:
Critical_infrastructure

Geo:
Chinese

TTPs:
Tactics: 6
Technics: 12

IOCs:
Path: 1
File: 2
IP: 1
Hash: 4

Soft:
SoftEther, Active Directory

Algorithms:
base64

Languages:
java, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Flax Typhoon, китайская APT-группировка, использовала расширение Java server object в системе ArcGIS для создания постоянного бэкдора через скрытый Веб-шелл. Злоумышленники получили первоначальный доступ через скомпрометированную учетную запись администратора, затем развернули вредоносный SOE для выполнения команд в кодировке base64. Они установили исходящие подключения к серверу C2, используя переименованный исполняемый файл SoftEther VPN, ориентируясь на рабочие станции ИТ-персонала для получения учетных данных, одновременно сканируя внутреннюю сеть в поисках важных целей.
-----

Flax Typhoon, поддерживаемая Китаем APT-группировка, скомпрометировала систему ArcGIS, используя законный программный компонент, в частности расширение Java server object extension (SOE), для создания постоянного Backdoor. Эта атака включала внедрение скрытой Веб-шелл в SOE и встраивание ее в системные резервные копии, чтобы избежать обнаружения. Платформа ArcGIS была нацелена на доступ к взаимосвязанным системам, и любое общедоступное приложение с внутренним доступом аналогично уязвимо.

Первоначальный доступ был получен через скомпрометированную учетную запись администратора портала, что позволило злоумышленникам развернуть вредоносное программное обеспечение SOE в автономной среде ArcGIS. В атаке использовалась стандартная конфигурация, в которой общедоступный сервер ArcGIS выступал в качестве прокси-сервера для внутреннего сервера, позволяя злоумышленникам отправлять команды в кодировке base64 для выполнения на сервере портала. Важным аспектом атаки был вредоносный запрос GET, который создавал скрытый системный каталог с именем "Bridge", который служил рабочим пространством для дальнейшей эксплуатации, защищенный жестко закодированным ключом, необходимым для запуска Веб-шелла.

После первоначального выполнения злоумышленники расширили свои операции, просканировав внутреннюю сеть с использованием таких протоколов, как SSH, HTTPS и SMB, чтобы отобразить Топологию сети и идентифицировать важные цели, в частности рабочие станции ИТ-персонала. Для обеспечения устойчивого доступа злоумышленники установили переименованный исполняемый файл SoftEther VPN под названием "bridge.exe " в каталоге Windows System32 устанавливается исходящее HTTPS-соединение с сервером управления (C2), работающим с системными привилегиями, что указывает на настройку VPN-моста для подключения к внутренней сети жертвы.

Примечательным моментом в этой операции было получение учетных данных. Собрав разведданные во время сканирования, злоумышленники нацелились на рабочие станции, принадлежащие ИТ-персоналу, что указывает на точный подход к эксплуатации с высокой стоимостью.

Чтобы смягчить такие долгосрочные угрозы, организациям необходимо принять более упреждающие меры безопасности. Это предполагает выход за рамки обнаружения на основе индикаторов, которое оказалось неэффективным в борьбе с этими сложными методами. Особое внимание следует уделять поведенческой аналитике для выявления аномалий в поведении законных процессов и внедрению строгой гигиены учетных данных для предотвращения несанкционированного доступа с использованием ненадежных паролей.

Рекомендации по исправлению включают проведение аудита общедоступных приложений, обеспечение безопасности портала ArcGIS admin, настройку Многофакторной аутентификации и соблюдение лучших практик в области безопасности. Такие меры помогли бы значительно снизить риск первоначального доступа злоумышленников и повысить общую безопасность конфиденциальных систем.

#ParsedReport #CompletenessMedium
19-10-2025

Lumma Infostealer Analysis

https://www.genians.co.kr/blog/threat_intelligence/lumma-infostealer

Report completeness: Medium

Threats:
Lumma_stealer
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1204, T1539, T1566

IOCs:
File: 7
Domain: 3
IP: 4
Hash: 7

Soft:
Telegram, Chrome, OutLook

Algorithms:
zip, md5

Win Services:
Ekrn

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 9, windows: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер Lumma - это серьезная киберугроза, нацеленная на ценные учетные данные, включая файлы cookie веб-браузера и криптовалютные кошельки, с основным воздействием на кражу личных данных и взломы корпоративных сетей. Он действует скрытно, собирая конфиденциальную информацию без ведома жертвы, и является частью экосистемы "Вредоносное ПО как услуга", облегчая атаки менее технически квалифицированных преступников. Вредоносное ПО использует методы обфускации, такие как скомпилированные сценарии автоматической загрузки, чтобы избежать обнаружения, и в основном распространяется через сайты фишинга, замаскированные под легальное программное обеспечение.
-----

Стиллер Lumma представляет собой серьезную угрозу кибербезопасности, в основном нацеленную на ценные учетные данные, такие как файлы cookie веб-браузера, криптовалютные кошельки и учетные записи VPN-RDP. Воздействие такой кражи выходит за рамки непосредственного финансового мошенничества и охватывает кражу личных данных и потенциальные взломы корпоративных сетей, подчеркивая необходимость усовершенствованных систем обнаружения конечных точек и реагирования (EDR), которые включают возможности обнаружения на основе поведения и анализа угроз.

Вредоносное ПО-стиллер, такое как Lumma, идентифицируется как источник угроз высокого риска, скрытно собирающий конфиденциальную информацию из системы жертвы без ее ведома. Это несанкционированное действие может привести к серьезным последствиям, включая утечку данных, финансовые потери и ущерб репутации затронутых организаций. Вредоносное ПО действует в рамках растущей экосистемы "Вредоносное ПО как услуга" (MaaS), где киберпреступники предлагают ресурсы и инфраструктуру, необходимые для проведения атак. Эта модель, сродни "Программное обеспечение как услуга", значительно снижает барьеры входа для вредоносных акторов, позволяя даже тем, кто обладает минимальными техническими навыками, запускать сложные кампании атак.

Стиллер Lumma, классифицируемый как один из самых известных стиллеров информации, нацеленный на системы Windows, впервые появился в августе 2022 года. К сентябрю 2025 года он приобрел дурную славу как самое распространенное вредоносное ПО на аналитической платформе ANY.RUN, что свидетельствует о его широком распространении. Вредоносное ПО в основном распространяется через сайты фишинга, часто маскируясь под, казалось бы, законное пиратское ПО и программное обеспечение для взлома. Эта тактика позволяет злоумышленникам не только доставить исходную полезную нагрузку, но и потенциально удалить дополнительное вредоносное ПО в процессе установки с помощью методов, использующих характеристики его установщика.

Техническая реализация Lumma включает стратегии запутывания, позволяющие избежать обнаружения, используя скомпилированные файлы сценариев AutoIt, встроенные с фиктивным и ASCII-кодом. Такие методы усложняют анализ и снижают эффективность мер безопасности. Для борьбы с этой сложной угрозой сотрудники службы безопасности используют передовые решения EDR, такие как Genian, которые визуализируют потоки выполнения вредоносного ПО, чтобы упростить идентификацию угроз и реагирование на них. Эта возможность имеет решающее значение в условиях, когда киберпреступность все больше превращается в товар и растет распространенность специализированных методик атак.

#ParsedReport #CompletenessHigh
17-10-2025

PhishinGit GitHub.io pages abused for malware distribution

https://www.cyjax.com/resources/blog/phishingit-github-io-pages-abused-for-malware-distribution

Report completeness: High

Actors/Campaigns:
Phishingit (motivation: financially_motivated, cyber_criminal)

Threats:
Bitm_technique
Screenconnect_tool
Spear-phishing_technique

Geo:
Canada

TTPs:
Tactics: 4
Technics: 13

IOCs:
File: 6
Domain: 6
Url: 5
IP: 1
Hash: 1

Soft:
Salesforce, Dropbox, Telegram, Windows Service, Component Object Model

Algorithms:
sha256, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhishinGit - это кампания по фишингу, использующая GitHub.io распространять вредоносное ПО, замаскированное под загрузки Adobe, используя методы Browser-in-the-Browser и размещая полезные файлы в Dropbox. Злоумышленники используют JavaScript для защиты от анализа и цепочки перенаправлений, а специальный репозиторий GitHub обслуживает поддельную Adobe CAPTCHA. Индикаторы указывают на то, что злоумышленники могут стремиться к постоянному доступу для эксфильтрации данных или дальнейших атак, используя методы из платформы MITRE ATT&CK, что подчеркивает возникающие риски использования законных платформ для вредоносных действий.
-----

PhishinGit - это кампания по фишингу, раскрытая CYJAX, которая использует GitHub.io страницы для распространения вредоносного ПО, Маскировка под загрузки Adobe. Злоумышленники используют методы Browser-in-the-Browser (BitB), используют Dropbox для размещения вредоносных полезных данных и внедряют JavaScript для защиты от анализа, чтобы избежать обнаружения. В кампании используется ряд цепочек перенаправлений, которые, как сообщается, начинаются, когда жертвы переходят по ссылке Pardot, входящей в набор маркетинговых инструментов Salesforce.

Расследование выявило конкретный репозиторий на GitHub под названием "xlsxpreview", который содержал один HTML-файл, генерирующий поддельную страницу Adobe CAPTCHA. Этот метод указывает либо на компрометацию законных сайтов с помощью межсайтового скриптинга (XSS), либо на попытку избежать обнаружения путем объединения вредоносных действий в один сценарий. Кроме того, в репозитории хранятся шесть файлов JavaScript, предназначенных для проведения антианализа и обнаружения ботов, что еще больше снижает вероятность выявления вредоносных действий. Эти скрипты облегчают взаимодействие с CAPTCHA, управление перенаправлениями и снятие отпечатков пальцев.

Основная мотивация злоумышленников остается неясной; однако использование ScreenConnect указывает на потенциальный постоянный доступ к скомпрометированным компьютерам. Намерение может включать сбор конфиденциальной информации, возможно, с целью получения финансовой выгоды, такой как эксфильтрация данных для вымогательства или торговля ими на платформах киберпреступников. Более того, разведка и дальнейшая подготовка к нападению остаются правдоподобными мотивами, при этом злоумышленники, вероятно, следят за жертвами после компрометации.

Примечательно, что настройка для этих атак упрощена, и злоумышленник демонстрирует эффективность в создании вредоносных страниц, указывая на использование шаблона, что приводит к быстрому развертыванию в течение нескольких секунд. Единообразие обнаруженных страниц позволяет предположить, что злоумышленники могут быстро воспроизвести свои схемы, обеспечивая непрерывность своей работы и минимизируя затраты.

Атака согласуется с несколькими методами, описанными в MITRE ATT&CK framework, включая Выполнение с участием пользователя (T1204), Диспетчер управления службами(SCM), закрепление (T1569.002) и методы уклонения от обнаружения путем Маскировки (T1566.015). Этот сценарий подчеркивает сдвиг в сторону использования устоявшихся платформ, таких как GitHub, в неблаговидных целях, сигнализируя о необходимости усиления бдительности и стратегий смягчения последствий среди организаций для эффективного противодействия таким угрозам фишинга.

Весь стек сервисов CTT CTI теперь начал работать в решениях Innostage.
Особенно классно получилось реализовать нашу интеграцию в AI-ассистенте Innostage Carmina AI.

https://safe.cnews.ru/news/line/2025-10-21_innostage_i_tehnologii_kiberugroz

#ParsedReport #CompletenessHigh
21-10-2025

Tykit Analysis: New Phishing KitStealing Hundreds of Microsoft Accounts in Finance & Construction

https://any.run/cybersecurity-blog/tykit-technical-analysis/

Report completeness: High

Threats:
Tykit
Spear-phishing_technique
Aitm_technique

Victims:
Construction, Professional services, Information technology, Finance, Government, Telecom, Real estate, Education

Industry:
Financial, Education, Retail, Military, Telco, Foodtech, Government

Geo:
Emea, America, Asia, Middle east, Latam, South-east asia, Canada

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1102, T1204.001, T1566.002

IOCs:
Hash: 1
Domain: 5
Url: 1
File: 1

Soft:
Cloudflare Turnstile

Algorithms:
base64, xor, sha256

Functions:
eval, atob, parseInt, charCodeAt, fromCodePoint

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1, windows: 2