#ParsedReport #CompletenessMedium
19-10-2025

Lumma Infostealer Analysis

https://www.genians.co.kr/blog/threat_intelligence/lumma-infostealer

Report completeness: Medium

Threats:
Lumma_stealer
Process_hollowing_technique

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1204, T1539, T1566

IOCs:
File: 7
Domain: 3
IP: 4
Hash: 7

Soft:
Telegram, Chrome, OutLook

Algorithms:
zip, md5

Win Services:
Ekrn

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 9, windows: 3, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Стиллер Lumma - это серьезная киберугроза, нацеленная на ценные учетные данные, включая файлы cookie веб-браузера и криптовалютные кошельки, с основным воздействием на кражу личных данных и взломы корпоративных сетей. Он действует скрытно, собирая конфиденциальную информацию без ведома жертвы, и является частью экосистемы "Вредоносное ПО как услуга", облегчая атаки менее технически квалифицированных преступников. Вредоносное ПО использует методы обфускации, такие как скомпилированные сценарии автоматической загрузки, чтобы избежать обнаружения, и в основном распространяется через сайты фишинга, замаскированные под легальное программное обеспечение.
-----

Стиллер Lumma представляет собой серьезную угрозу кибербезопасности, в основном нацеленную на ценные учетные данные, такие как файлы cookie веб-браузера, криптовалютные кошельки и учетные записи VPN-RDP. Воздействие такой кражи выходит за рамки непосредственного финансового мошенничества и охватывает кражу личных данных и потенциальные взломы корпоративных сетей, подчеркивая необходимость усовершенствованных систем обнаружения конечных точек и реагирования (EDR), которые включают возможности обнаружения на основе поведения и анализа угроз.

Вредоносное ПО-стиллер, такое как Lumma, идентифицируется как источник угроз высокого риска, скрытно собирающий конфиденциальную информацию из системы жертвы без ее ведома. Это несанкционированное действие может привести к серьезным последствиям, включая утечку данных, финансовые потери и ущерб репутации затронутых организаций. Вредоносное ПО действует в рамках растущей экосистемы "Вредоносное ПО как услуга" (MaaS), где киберпреступники предлагают ресурсы и инфраструктуру, необходимые для проведения атак. Эта модель, сродни "Программное обеспечение как услуга", значительно снижает барьеры входа для вредоносных акторов, позволяя даже тем, кто обладает минимальными техническими навыками, запускать сложные кампании атак.

Стиллер Lumma, классифицируемый как один из самых известных стиллеров информации, нацеленный на системы Windows, впервые появился в августе 2022 года. К сентябрю 2025 года он приобрел дурную славу как самое распространенное вредоносное ПО на аналитической платформе ANY.RUN, что свидетельствует о его широком распространении. Вредоносное ПО в основном распространяется через сайты фишинга, часто маскируясь под, казалось бы, законное пиратское ПО и программное обеспечение для взлома. Эта тактика позволяет злоумышленникам не только доставить исходную полезную нагрузку, но и потенциально удалить дополнительное вредоносное ПО в процессе установки с помощью методов, использующих характеристики его установщика.

Техническая реализация Lumma включает стратегии запутывания, позволяющие избежать обнаружения, используя скомпилированные файлы сценариев AutoIt, встроенные с фиктивным и ASCII-кодом. Такие методы усложняют анализ и снижают эффективность мер безопасности. Для борьбы с этой сложной угрозой сотрудники службы безопасности используют передовые решения EDR, такие как Genian, которые визуализируют потоки выполнения вредоносного ПО, чтобы упростить идентификацию угроз и реагирование на них. Эта возможность имеет решающее значение в условиях, когда киберпреступность все больше превращается в товар и растет распространенность специализированных методик атак.

#ParsedReport #CompletenessHigh
17-10-2025

PhishinGit GitHub.io pages abused for malware distribution

https://www.cyjax.com/resources/blog/phishingit-github-io-pages-abused-for-malware-distribution

Report completeness: High

Actors/Campaigns:
Phishingit (motivation: financially_motivated, cyber_criminal)

Threats:
Bitm_technique
Screenconnect_tool
Spear-phishing_technique

Geo:
Canada

TTPs:
Tactics: 4
Technics: 13

IOCs:
File: 6
Domain: 6
Url: 5
IP: 1
Hash: 1

Soft:
Salesforce, Dropbox, Telegram, Windows Service, Component Object Model

Algorithms:
sha256, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PhishinGit - это кампания по фишингу, использующая GitHub.io распространять вредоносное ПО, замаскированное под загрузки Adobe, используя методы Browser-in-the-Browser и размещая полезные файлы в Dropbox. Злоумышленники используют JavaScript для защиты от анализа и цепочки перенаправлений, а специальный репозиторий GitHub обслуживает поддельную Adobe CAPTCHA. Индикаторы указывают на то, что злоумышленники могут стремиться к постоянному доступу для эксфильтрации данных или дальнейших атак, используя методы из платформы MITRE ATT&CK, что подчеркивает возникающие риски использования законных платформ для вредоносных действий.
-----

PhishinGit - это кампания по фишингу, раскрытая CYJAX, которая использует GitHub.io страницы для распространения вредоносного ПО, Маскировка под загрузки Adobe. Злоумышленники используют методы Browser-in-the-Browser (BitB), используют Dropbox для размещения вредоносных полезных данных и внедряют JavaScript для защиты от анализа, чтобы избежать обнаружения. В кампании используется ряд цепочек перенаправлений, которые, как сообщается, начинаются, когда жертвы переходят по ссылке Pardot, входящей в набор маркетинговых инструментов Salesforce.

Расследование выявило конкретный репозиторий на GitHub под названием "xlsxpreview", который содержал один HTML-файл, генерирующий поддельную страницу Adobe CAPTCHA. Этот метод указывает либо на компрометацию законных сайтов с помощью межсайтового скриптинга (XSS), либо на попытку избежать обнаружения путем объединения вредоносных действий в один сценарий. Кроме того, в репозитории хранятся шесть файлов JavaScript, предназначенных для проведения антианализа и обнаружения ботов, что еще больше снижает вероятность выявления вредоносных действий. Эти скрипты облегчают взаимодействие с CAPTCHA, управление перенаправлениями и снятие отпечатков пальцев.

Основная мотивация злоумышленников остается неясной; однако использование ScreenConnect указывает на потенциальный постоянный доступ к скомпрометированным компьютерам. Намерение может включать сбор конфиденциальной информации, возможно, с целью получения финансовой выгоды, такой как эксфильтрация данных для вымогательства или торговля ими на платформах киберпреступников. Более того, разведка и дальнейшая подготовка к нападению остаются правдоподобными мотивами, при этом злоумышленники, вероятно, следят за жертвами после компрометации.

Примечательно, что настройка для этих атак упрощена, и злоумышленник демонстрирует эффективность в создании вредоносных страниц, указывая на использование шаблона, что приводит к быстрому развертыванию в течение нескольких секунд. Единообразие обнаруженных страниц позволяет предположить, что злоумышленники могут быстро воспроизвести свои схемы, обеспечивая непрерывность своей работы и минимизируя затраты.

Атака согласуется с несколькими методами, описанными в MITRE ATT&CK framework, включая Выполнение с участием пользователя (T1204), Диспетчер управления службами(SCM), закрепление (T1569.002) и методы уклонения от обнаружения путем Маскировки (T1566.015). Этот сценарий подчеркивает сдвиг в сторону использования устоявшихся платформ, таких как GitHub, в неблаговидных целях, сигнализируя о необходимости усиления бдительности и стратегий смягчения последствий среди организаций для эффективного противодействия таким угрозам фишинга.

Весь стек сервисов CTT CTI теперь начал работать в решениях Innostage.
Особенно классно получилось реализовать нашу интеграцию в AI-ассистенте Innostage Carmina AI.

https://safe.cnews.ru/news/line/2025-10-21_innostage_i_tehnologii_kiberugroz

#ParsedReport #CompletenessHigh
21-10-2025

Tykit Analysis: New Phishing KitStealing Hundreds of Microsoft Accounts in Finance & Construction

https://any.run/cybersecurity-blog/tykit-technical-analysis/

Report completeness: High

Threats:
Tykit
Spear-phishing_technique
Aitm_technique

Victims:
Construction, Professional services, Information technology, Finance, Government, Telecom, Real estate, Education

Industry:
Financial, Education, Retail, Military, Telco, Foodtech, Government

Geo:
Emea, America, Asia, Middle east, Latam, South-east asia, Canada

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1071.001, T1102, T1204.001, T1566.002

IOCs:
Hash: 1
Domain: 5
Url: 1
File: 1

Soft:
Cloudflare Turnstile

Algorithms:
base64, xor, sha256

Functions:
eval, atob, parseInt, charCodeAt, fromCodePoint

Languages:
javascript, php

#ParsedReport #ExtractedSchema

Classified images:
code: 7, schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Набор для фишинга Tykit - это инструмент, нацеленный на учетные записи Microsoft 365, использующий SVG-файлы со встроенным запутанным JavaScript для компрометации учетных данных пользователя. После отправки учетных данных атака инициирует перенаправление на интерфейс фишинга, одновременно отправляя конфиденциальные данные через POST-запросы на сервер управления, что подчеркивает сложный подход к эксфильтрации данных. Набор характеризуется использованием шаблонных доменных имен и демонстрирует методы, позволяющие обойти традиционные меры безопасности, что указывает на необходимость усовершенствованных решений для аутентификации.
-----

Набор для фишинга Tykit - это сложный инструмент, который нацелен на учетные записи Microsoft 365 в различных отраслях, включая строительство и финансы, используя многоуровневый подход к компрометации учетных данных пользователей. Он использует SVG-файлы в качестве вектора доставки, которые содержат встроенный JavaScript, предназначенный для запутывания и выполнения вредоносных полезных нагрузок. Этот метод предполагает использование кодировки XOR для сокрытия скрипта, который затем выполняется с помощью функции eval(), приводя жертв на страницы фишинга.

Процесс атаки начинается с серии перенаправлений после того, как жертва отправляет свои учетные данные. Скрипт trampoline используется для перехода пользователя к основному интерфейсу фишинга. Одновременно запрос POST с конфиденциальными данными отправляется на сервер управления (C2), специально предназначенный для URL /api/validate, что указывает на то, что кампания использует сложные методы эксфильтрации данных. Структура соответствующих запросов предполагает методический подход к краже данных, который отличается в рамках кампаний по фишингу.

Операционные характеристики Tykit включают использование шаблонных доменных имен, которые соответствуют таким шаблонам, как segy?.* для эксфильтрации и сосредоточения внимания на получении учетных данных с помощью специальной комбинации обманчивых веб-страниц и серверной логики. Это демонстрирует, как можно обойти традиционные меры безопасности, такие как Многофакторная аутентификация, подчеркивая необходимость в решениях, устойчивых к фишингу, таких как FIDO2 или MFA на основе сертификатов.

Чтобы противодействовать таким попыткам фишинга, организациям рекомендуется усилить меры безопасности своей электронной почты и файлов. Это включает в себя обеспечение того, чтобы шлюзы безопасности анализировали содержимое SVG-файлов, а не только их форматы, и внедрение таких стратегий, как детонация в песочнице и снятие с охраны и реконструкция содержимого, для обнаружения вредоносных полезных нагрузок. Кроме того, мониторинг конкретных показателей компрометации (IOCs), связанных с Tykit, таких как запросы к определенным доменам или конкретным конечным точкам API, может помочь в оперативном выявлении этих угроз и реагировании на них.

#ParsedReport #CompletenessHigh
21-10-2025

TOLLBOOTH: What's yours, IISmine

https://www.elastic.co/security-labs/tollbooth

Report completeness: High

Actors/Campaigns:
Ref3927

Threats:
Tollbooth
Cloaking_technique
Gotohttp_tool
Credential_dumping_technique
Godzilla_webshell
Z-godzilla_ekp
Amsi_bypass_technique
Hiddendriver
Hiddencli

Victims:
Iis servers, Web hosting

Industry:
Healthcare, Government, Education

Geo:
China, Hong kong, Chinese

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 6
Coin: 1
Url: 5
Domain: 6
Hash: 9

Soft:
ASP.NET, Navicat, WinSCP, Windows registry, Process Explorer

Algorithms:
sha256, aes, gzip, base64

Functions:
InitializeConfigs, InitializeKernelAnalyzer, InitializePsMonitor, InitializeFSMiniFilter, InitializeRegistryFilter, InitializeDevice, InitializeStealthMode, IsProcessExcluded, IsDriverEnabled

Win API:
PsLookupProcessByProcessId, RtlInitializeGenericTableAvl, PsSetCreateProcessNotifyRoutineEx, PsSetLoadImageNotifyRoutine, CmRegisterCallbackEx, PsGetProcessImageFileName

Languages:
javascript, java, swift, php

Platforms:
x64

YARA: Found

Links:
https://github.com/pwntester/ysoserial.net
have more...
https://github.com/ekkoo-z/Z-Godzilla\_ekp

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 14, table: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания REF3927 демонстрирует китайскоязычного злоумышленника, использующего неправильно настроенные серверы Windows IIS с помощью общедоступных ASP.NET машинные ключи для развертывания вредоносного модуля TOLLBOOTH. Этот модуль использует модифицированный вариант Godzilla webshell, Z-Godzilla_ekp, наряду с приложением GotoHTTP RMM для постоянного доступа. Ключевые методы включают в себя использование ASP.NET машинные ключи и руткит ядра HIDDENDRIVER для скрытности, с модулем TOLLBOOTH, способным к динамическому поиску конфигурации и cloaking SEO для дальнейшего управления функциональностью сервера.
-----

Кампания REF3927 выявила значительную угрозу, исходящую от китайскоязычного злоумышленника, который использует неправильно настроенные серверы Windows IIS с использованием общедоступных ASP.NET машинные ключи для развертывания вредоносного модуля IIS, известного как TOLLBOOTH. Эти уязвимости позволяют злоумышленникам проникать на серверы и манипулировать ими по всему миру, при этом использование неправильно настроенных параметров способствует целому ряду действий после эксплуатации. Среди используемых инструментов - модифицированная версия фреймворка Godzilla webshell, известная как Z-Godzilla_ekp, и приложение для удаленного мониторинга и управления (RMM) GotoHTTP, которое позволяет злоумышленникам сохранять доступ, скрывая при этом свою деятельность.

Модуль TOLLBOOTH характеризуется набором возможностей, включая cloaking для SEO и возможность использования в качестве веб-оболочки для дальнейших вторжений. Основной метод нападения связан со злоупотреблением ASP.NET машинные ключи, состоящие из validationKey и decryptionKey, а также развертывание руткита ядра, который скрывает присутствие злоумышленника на скомпрометированных компьютерах. Этот руткит, называемый HIDDENDRIVER, взаимодействует с пользовательским приложением HIDDENCLI, облегчая механизмы управления, необходимые для сокрытия процессов и файлов.

Операционная механика TOLLBOOTH также включает в себя динамический поиск конфигурации из инфраструктуры актора, индивидуально адаптированный для каждой жертвы. Методология развертывания отличается разнообразием реализации как 32-разрядных, так и 64-разрядных версий модуля TOLLBOOTH, что повышает его адаптивность. Модуль предназначен для представления оптимизированного по ключевым словам контента поисковым системам, одновременно перенаправляя посетителей-людей на вредоносные страницы, тем самым используя доверие пользователей к результатам поисковой системы.

Кроме того, кампания демонстрирует склонность к географическому таргетингу, который обходит серверы, расположенные в пределах границ Китая, что указывает на продуманный подход к управлению рисками, типичный для операций киберпреступников. Это подчеркивает важность обеспечения ASP.NET приложения защищены от ошибок в конфигурации, чтобы предотвратить использование такими злоумышленниками.

#ParsedReport #CompletenessMedium
20-10-2025

Airborne Drop vs. Covert Surprise - - A Comparative Analysis of Two Attack Cases Against iOS Phones by the A2PT Group

https://www.ctfiot.com/275058.html

Report completeness: Medium

Actors/Campaigns:
A2pt (motivation: information_theft)
Triangulation
Equation
Camberdada

Threats:
Airborne_drop_technique
Covert_surprise_technique
Flame
Gauss
Stuxnet
Duqu
Fanny
Foxacid_tool
Shadow_brokers_tool
Seconddate
Olympus
Unitedrake_backdoor
Equationdrug
Triangledb
Mitm_technique
Danderspritz
Chrysaor
Supply_chain_technique
Fuzzbunch
Badiis
Fog_ransomware
Vulture

Industry:
Telco

Geo:
China, Russia, Italy, American, Italian, Israel, Middle east, Chinese

CVEs:
CVE-2023-32434 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-38606 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-41990 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-32435 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

IOCs:
File: 1
Hash: 1

Soft:
iMessage, iMessages, macOS, Linux, Android, Chrome, Firefox, WeChat

Algorithms:
md5, exhibit

Win API:
NetBIOS

Languages:
javascript

Platforms:
x86, apple, arm, x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В отчете подробно описываются два сложных метода атаки, нацеленных на устройства iOS: Airborne Drop и Covert Surprise. Метод Airborne Drop использует беспроводную связь малого радиуса действия для развертывания вредоносной полезной нагрузки без физического доступа, обходя функции безопасности iOS, в то время как Covert Surprise использует уязвимости zero-day, используя тактику скрытности для проникновения на устройства незамеченными. Оба метода подчеркивают эволюционирующую природу мобильных угроз, что требует улучшения обнаружения и управления уязвимостями в области мобильной кибербезопасности.
-----

В отчете, представленном Xiao Xinguang на конференции China Networking Conference, подробно описываются два конкретных случая атаки на устройства iOS: Airborne Drop и Covert Surprise. Эти методы иллюстрируют эволюционирующие векторы киберугроз, направленные на нарушение безопасности мобильных устройств.

Метод Airborne Drop, вероятно, относится к одной из форм атаки с воздушным зазором, которая использует преимущества беспроводной связи малой дальности для использования уязвимостей в устройствах iOS. Этот тип атаки потенциально может включать манипулирование возможностями Bluetooth или Wi-Fi для развертывания вредоносной полезной нагрузки на расстоянии без необходимости физического доступа. Цель состояла бы в том, чтобы обойти существующие меры безопасности, такие как изолирование приложений и защищенные анклавы, присущие iOS, и тем самым получить несанкционированный доступ к конфиденциальным данным или функциональным возможностям.

Напротив, Covert Surprise technique фокусируется на стратегиях скрытой эксплуатации, которые могут использовать уязвимости zero-day, позволяющие злоумышленникам проникать на устройства незамеченными. Это может включать в себя использование тактики социальной инженерии или использование сложного вредоносного ПО, которое может скрывать свое присутствие от механизмов обнаружения, таких как антивирусное программное обеспечение. Акцент здесь был бы сделан на элементе внезапности, позволяющем злоумышленникам выполнить свою полезную нагрузку до того, как цель сможет применить какие-либо меры по смягчению последствий.

Оба направления атак подчеркивают важность постоянного совершенствования мобильной безопасности для противодействия этим инновационным угрозам. Они демонстрируют потенциал киберпреступников в использовании передовых оперативных тактик и целей, что требует усовершенствованных методик обнаружения и методов управления уязвимостями для защиты от таких меняющихся вызовов в области мобильной кибербезопасности.

#ParsedReport #CompletenessLow
21-10-2025

Home Depot Halloween phish gives users a fright, not a freebie

https://www.malwarebytes.com/blog/news/2025/10/home-depot-halloween-phish-gives-users-a-fright-not-a-freebie

Report completeness: Low

Industry:
Transport

Geo:
Los angeles

IOCs:
Domain: 10

Soft:
WordPress

Languages:
php

Platforms:
intel

#ParsedReport #CompletenessLow
21-10-2025

BlackStink: How a Fake Chrome Extension Is Changing Banking Malware

https://socradar.io/blackstink-fake-chrome-extension-banking-malware/

Report completeness: Low

Threats:
Blackstink
Typosquatting_technique

Victims:
Banking, Retail, Fintech, Online banking

Industry:
Retail, Financial

Geo:
Argentina, Mexico, Spanish, Brazil, Colombia, Latin america

TTPs:
Tactics: 1
Technics: 4

IOCs:
File: 2

Soft:
Chrome

Languages:
javascript