#ParsedReport #CompletenessMedium
20-10-2025
Airborne Drop vs. Covert Surprise - - A Comparative Analysis of Two Attack Cases Against iOS Phones by the A2PT Group
https://www.ctfiot.com/275058.html
Report completeness: Medium
Actors/Campaigns:
A2pt (motivation: information_theft)
Triangulation
Equation
Camberdada
Threats:
Airborne_drop_technique
Covert_surprise_technique
Flame
Gauss
Stuxnet
Duqu
Fanny
Foxacid_tool
Shadow_brokers_tool
Seconddate
Olympus
Unitedrake_backdoor
Equationdrug
Triangledb
Mitm_technique
Danderspritz
Chrysaor
Supply_chain_technique
Fuzzbunch
Badiis
Fog_ransomware
Vulture
Industry:
Telco
Geo:
China, Russia, Italy, American, Italian, Israel, Middle east, Chinese
CVEs:
CVE-2023-32434 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-38606 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-41990 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-32435 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Hash: 1
Soft:
iMessage, iMessages, macOS, Linux, Android, Chrome, Firefox, WeChat
Algorithms:
md5, exhibit
Win API:
NetBIOS
Languages:
javascript
Platforms:
x86, apple, arm, x64
20-10-2025
Airborne Drop vs. Covert Surprise - - A Comparative Analysis of Two Attack Cases Against iOS Phones by the A2PT Group
https://www.ctfiot.com/275058.html
Report completeness: Medium
Actors/Campaigns:
A2pt (motivation: information_theft)
Triangulation
Equation
Camberdada
Threats:
Airborne_drop_technique
Covert_surprise_technique
Flame
Gauss
Stuxnet
Duqu
Fanny
Foxacid_tool
Shadow_brokers_tool
Seconddate
Olympus
Unitedrake_backdoor
Equationdrug
Triangledb
Mitm_technique
Danderspritz
Chrysaor
Supply_chain_technique
Fuzzbunch
Badiis
Fog_ransomware
Vulture
Industry:
Telco
Geo:
China, Russia, Italy, American, Italian, Israel, Middle east, Chinese
CVEs:
CVE-2023-32434 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-38606 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-41990 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
CVE-2023-32435 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
IOCs:
File: 1
Hash: 1
Soft:
iMessage, iMessages, macOS, Linux, Android, Chrome, Firefox, WeChat
Algorithms:
md5, exhibit
Win API:
NetBIOS
Languages:
javascript
Platforms:
x86, apple, arm, x64
CTF导航
空中投放与隐蔽突防——A2PT组织对iOS手机的两起攻击案例的对比解析 | CTF导航
点击上方'蓝字'关注我们吧!2025年9月12日-14日,由中国计算机学会(CCF)主办的第三届中国网络大会在沈阳召开,在“新一代移动网络安全分析技术论坛”上,安天首席技术架构师肖新光作了题为《空中投放与隐蔽突防——...
CTT Report Hub
#ParsedReport #CompletenessMedium 20-10-2025 Airborne Drop vs. Covert Surprise - - A Comparative Analysis of Two Attack Cases Against iOS Phones by the A2PT Group https://www.ctfiot.com/275058.html Report completeness: Medium Actors/Campaigns: A2pt (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В отчете подробно описываются два сложных метода атаки, нацеленных на устройства iOS: Airborne Drop и Covert Surprise. Метод Airborne Drop использует беспроводную связь малого радиуса действия для развертывания вредоносной полезной нагрузки без физического доступа, обходя функции безопасности iOS, в то время как Covert Surprise использует уязвимости zero-day, используя тактику скрытности для проникновения на устройства незамеченными. Оба метода подчеркивают эволюционирующую природу мобильных угроз, что требует улучшения обнаружения и управления уязвимостями в области мобильной кибербезопасности.
-----
В отчете, представленном Xiao Xinguang на конференции China Networking Conference, подробно описываются два конкретных случая атаки на устройства iOS: Airborne Drop и Covert Surprise. Эти методы иллюстрируют эволюционирующие векторы киберугроз, направленные на нарушение безопасности мобильных устройств.
Метод Airborne Drop, вероятно, относится к одной из форм атаки с воздушным зазором, которая использует преимущества беспроводной связи малой дальности для использования уязвимостей в устройствах iOS. Этот тип атаки потенциально может включать манипулирование возможностями Bluetooth или Wi-Fi для развертывания вредоносной полезной нагрузки на расстоянии без необходимости физического доступа. Цель состояла бы в том, чтобы обойти существующие меры безопасности, такие как изолирование приложений и защищенные анклавы, присущие iOS, и тем самым получить несанкционированный доступ к конфиденциальным данным или функциональным возможностям.
Напротив, Covert Surprise technique фокусируется на стратегиях скрытой эксплуатации, которые могут использовать уязвимости zero-day, позволяющие злоумышленникам проникать на устройства незамеченными. Это может включать в себя использование тактики социальной инженерии или использование сложного вредоносного ПО, которое может скрывать свое присутствие от механизмов обнаружения, таких как антивирусное программное обеспечение. Акцент здесь был бы сделан на элементе внезапности, позволяющем злоумышленникам выполнить свою полезную нагрузку до того, как цель сможет применить какие-либо меры по смягчению последствий.
Оба направления атак подчеркивают важность постоянного совершенствования мобильной безопасности для противодействия этим инновационным угрозам. Они демонстрируют потенциал киберпреступников в использовании передовых оперативных тактик и целей, что требует усовершенствованных методик обнаружения и методов управления уязвимостями для защиты от таких меняющихся вызовов в области мобильной кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В отчете подробно описываются два сложных метода атаки, нацеленных на устройства iOS: Airborne Drop и Covert Surprise. Метод Airborne Drop использует беспроводную связь малого радиуса действия для развертывания вредоносной полезной нагрузки без физического доступа, обходя функции безопасности iOS, в то время как Covert Surprise использует уязвимости zero-day, используя тактику скрытности для проникновения на устройства незамеченными. Оба метода подчеркивают эволюционирующую природу мобильных угроз, что требует улучшения обнаружения и управления уязвимостями в области мобильной кибербезопасности.
-----
В отчете, представленном Xiao Xinguang на конференции China Networking Conference, подробно описываются два конкретных случая атаки на устройства iOS: Airborne Drop и Covert Surprise. Эти методы иллюстрируют эволюционирующие векторы киберугроз, направленные на нарушение безопасности мобильных устройств.
Метод Airborne Drop, вероятно, относится к одной из форм атаки с воздушным зазором, которая использует преимущества беспроводной связи малой дальности для использования уязвимостей в устройствах iOS. Этот тип атаки потенциально может включать манипулирование возможностями Bluetooth или Wi-Fi для развертывания вредоносной полезной нагрузки на расстоянии без необходимости физического доступа. Цель состояла бы в том, чтобы обойти существующие меры безопасности, такие как изолирование приложений и защищенные анклавы, присущие iOS, и тем самым получить несанкционированный доступ к конфиденциальным данным или функциональным возможностям.
Напротив, Covert Surprise technique фокусируется на стратегиях скрытой эксплуатации, которые могут использовать уязвимости zero-day, позволяющие злоумышленникам проникать на устройства незамеченными. Это может включать в себя использование тактики социальной инженерии или использование сложного вредоносного ПО, которое может скрывать свое присутствие от механизмов обнаружения, таких как антивирусное программное обеспечение. Акцент здесь был бы сделан на элементе внезапности, позволяющем злоумышленникам выполнить свою полезную нагрузку до того, как цель сможет применить какие-либо меры по смягчению последствий.
Оба направления атак подчеркивают важность постоянного совершенствования мобильной безопасности для противодействия этим инновационным угрозам. Они демонстрируют потенциал киберпреступников в использовании передовых оперативных тактик и целей, что требует усовершенствованных методик обнаружения и методов управления уязвимостями для защиты от таких меняющихся вызовов в области мобильной кибербезопасности.
#ParsedReport #CompletenessLow
21-10-2025
Home Depot Halloween phish gives users a fright, not a freebie
https://www.malwarebytes.com/blog/news/2025/10/home-depot-halloween-phish-gives-users-a-fright-not-a-freebie
Report completeness: Low
Industry:
Transport
Geo:
Los angeles
IOCs:
Domain: 10
Soft:
WordPress
Languages:
php
Platforms:
intel
21-10-2025
Home Depot Halloween phish gives users a fright, not a freebie
https://www.malwarebytes.com/blog/news/2025/10/home-depot-halloween-phish-gives-users-a-fright-not-a-freebie
Report completeness: Low
Industry:
Transport
Geo:
Los angeles
IOCs:
Domain: 10
Soft:
WordPress
Languages:
php
Platforms:
intel
Malwarebytes
Home Depot Halloween phish gives users a fright, not a freebie
A Home Depot Halloween “giveaway” turns out to be a phishing trick. Fake links, tracking pixels, and compromised sites are the real prizes.
#ParsedReport #CompletenessLow
21-10-2025
BlackStink: How a Fake Chrome Extension Is Changing Banking Malware
https://socradar.io/blackstink-fake-chrome-extension-banking-malware/
Report completeness: Low
Threats:
Blackstink
Typosquatting_technique
Victims:
Banking, Retail, Fintech, Online banking
Industry:
Retail, Financial
Geo:
Argentina, Mexico, Spanish, Brazil, Colombia, Latin america
TTPs:
Tactics: 1
Technics: 4
IOCs:
File: 2
Soft:
Chrome
Languages:
javascript
21-10-2025
BlackStink: How a Fake Chrome Extension Is Changing Banking Malware
https://socradar.io/blackstink-fake-chrome-extension-banking-malware/
Report completeness: Low
Threats:
Blackstink
Typosquatting_technique
Victims:
Banking, Retail, Fintech, Online banking
Industry:
Retail, Financial
Geo:
Argentina, Mexico, Spanish, Brazil, Colombia, Latin america
TTPs:
Tactics: 1
Technics: 4
IOCs:
File: 2
Soft:
Chrome
Languages:
javascript
SOCRadar® Cyber Intelligence Inc.
BlackStink: How a Fake Chrome Extension Is Changing Banking Malware - SOCRadar® Cyber Intelligence Inc.
The cybersecurity landscape is changing fast. While traditional banking malware relied on trojans and executable payloads, the BlackStink campaign represents
CTT Report Hub
#ParsedReport #CompletenessLow 21-10-2025 BlackStink: How a Fake Chrome Extension Is Changing Banking Malware https://socradar.io/blackstink-fake-chrome-extension-banking-malware/ Report completeness: Low Threats: Blackstink Typosquatting_technique Victims:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания BlackStink использует вредоносное расширение Chrome для нацеливания на банковские порталы в Латинской Америке и выполнения несанкционированных транзакций без использования традиционных исполняемых файлов. Расширение, Маскировка под облачный сервис хранения, отслеживает активность пользователей и внедряет клонированные формы для манипулирования транзакциями. Его запутанный JavaScript позволяет ему скрытно работать в браузере, затрудняя обнаружение, в то же время используя такие методы, как клонирование форм, перехват событий и typosquatting для инфраструктуры управления.
-----
Кампания BlackStink представляет собой значительное развитие банковского вредоносного ПО благодаря использованию вредоносного расширения Chrome, которое работает непосредственно в браузере, обходя традиционные меры безопасности, такие как антивирус и решения для обнаружения конечных точек и реагирования (EDR). Как сообщила IBM X-Force, эта кампания нацелена на банковские порталы в Латинской Америке, в частности в Мексике, Бразилии, Колумбии и Аргентине, и способна проводить несанкционированные транзакции без использования традиционных исполняемых файлов.
Мошенническое расширение, замаскированное под "G Docs - сервис для просмотра документов в Интернете", получает обширные разрешения, такие как веб-навигация, доступ к вкладкам и возможности создания сценариев. После установки он незаметно отслеживает активность пользователей, выявляя посещения банковских веб-сайтов. Впоследствии он внедряет клонированные формы, имитирующие законные интерфейсы, заменяя аутентичные кнопки транзакций вредоносными альтернативами. Используя сеансовые файлы cookie жертвы, злоумышленник может выполнять транзакции, используя реальные учетные записи пользователей.
Одна из существенных проблем при обнаружении BlackStink заключается в его работе в доверенной среде браузера. Используя запутанный JavaScript, вредоносное ПО поддерживает связь через работника фоновой службы и использует методы typosquatting для своих доменов управления, что затрудняет его отслеживание. Эта сложность усугубляется отсутствием надежного аудита расширений браузера и недостаточной осведомленностью пользователей.
Методология атаки BlackStink состоит из пяти этапов: разведка для выявления целевых банков, клонирование форм для замены законных форм на поддельные, перехват событий для манипулирования действиями пользователей, извлечение банковских лимитов для оценки потенциальной кражи и, наконец, наложение API для незаметного завершения несанкционированных переводов. Такой подход подчеркивает переход к атакам на основе браузера, которые используют существующие уязвимости в поведении пользователей и методах обеспечения безопасности.
Кампания нацелена на различные секторы, включая банковское дело, розничную торговлю и финтех-технологии, и имеет последствия для любого региона, где есть испаноязычные или португалоязычные пользователи. Организациям рекомендуется создавать списки разрешенных расширений, проводить аудит установленных расширений, отслеживать сетевую активность и повышать уровень подготовки пользователей по вопросам фишинга и безопасности браузера. Ключевые задействованные методы MITRE ATT&CK включают использование расширений браузера, методы Перехвата вводимых данных, незащищенный получение учетных данных и тактику фишинга.
Подводя итог, кампания BlackStink демонстрирует опасный сдвиг в тактике киберпреступников, демонстрируя необходимость усиленных мер по кибербезопасности, которые уделяют приоритетное внимание безопасности браузера и осведомленности пользователей для эффективной борьбы с развивающимися угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания BlackStink использует вредоносное расширение Chrome для нацеливания на банковские порталы в Латинской Америке и выполнения несанкционированных транзакций без использования традиционных исполняемых файлов. Расширение, Маскировка под облачный сервис хранения, отслеживает активность пользователей и внедряет клонированные формы для манипулирования транзакциями. Его запутанный JavaScript позволяет ему скрытно работать в браузере, затрудняя обнаружение, в то же время используя такие методы, как клонирование форм, перехват событий и typosquatting для инфраструктуры управления.
-----
Кампания BlackStink представляет собой значительное развитие банковского вредоносного ПО благодаря использованию вредоносного расширения Chrome, которое работает непосредственно в браузере, обходя традиционные меры безопасности, такие как антивирус и решения для обнаружения конечных точек и реагирования (EDR). Как сообщила IBM X-Force, эта кампания нацелена на банковские порталы в Латинской Америке, в частности в Мексике, Бразилии, Колумбии и Аргентине, и способна проводить несанкционированные транзакции без использования традиционных исполняемых файлов.
Мошенническое расширение, замаскированное под "G Docs - сервис для просмотра документов в Интернете", получает обширные разрешения, такие как веб-навигация, доступ к вкладкам и возможности создания сценариев. После установки он незаметно отслеживает активность пользователей, выявляя посещения банковских веб-сайтов. Впоследствии он внедряет клонированные формы, имитирующие законные интерфейсы, заменяя аутентичные кнопки транзакций вредоносными альтернативами. Используя сеансовые файлы cookie жертвы, злоумышленник может выполнять транзакции, используя реальные учетные записи пользователей.
Одна из существенных проблем при обнаружении BlackStink заключается в его работе в доверенной среде браузера. Используя запутанный JavaScript, вредоносное ПО поддерживает связь через работника фоновой службы и использует методы typosquatting для своих доменов управления, что затрудняет его отслеживание. Эта сложность усугубляется отсутствием надежного аудита расширений браузера и недостаточной осведомленностью пользователей.
Методология атаки BlackStink состоит из пяти этапов: разведка для выявления целевых банков, клонирование форм для замены законных форм на поддельные, перехват событий для манипулирования действиями пользователей, извлечение банковских лимитов для оценки потенциальной кражи и, наконец, наложение API для незаметного завершения несанкционированных переводов. Такой подход подчеркивает переход к атакам на основе браузера, которые используют существующие уязвимости в поведении пользователей и методах обеспечения безопасности.
Кампания нацелена на различные секторы, включая банковское дело, розничную торговлю и финтех-технологии, и имеет последствия для любого региона, где есть испаноязычные или португалоязычные пользователи. Организациям рекомендуется создавать списки разрешенных расширений, проводить аудит установленных расширений, отслеживать сетевую активность и повышать уровень подготовки пользователей по вопросам фишинга и безопасности браузера. Ключевые задействованные методы MITRE ATT&CK включают использование расширений браузера, методы Перехвата вводимых данных, незащищенный получение учетных данных и тактику фишинга.
Подводя итог, кампания BlackStink демонстрирует опасный сдвиг в тактике киберпреступников, демонстрируя необходимость усиленных мер по кибербезопасности, которые уделяют приоритетное внимание безопасности браузера и осведомленности пользователей для эффективной борьбы с развивающимися угрозами.
#ParsedReport #CompletenessMedium
21-10-2025
PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations
https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/
Report completeness: Medium
Actors/Campaigns:
Passiveneuron (motivation: cyber_espionage)
Apt31
Emissary_panda
Winnti
Threats:
Neursite
Neuralexecutor
Cobalt_strike_tool
Dll_hijacking_technique
Vmprotect_tool
Confuserex_tool
Victims:
Government organizations, Server infrastructure
Industry:
Government
Geo:
Russian, Asia, Latin america, Africa
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1105, T1190, T1505.003
IOCs:
Path: 5
File: 7
Hash: 7
Soft:
Microsoft SQL
Algorithms:
aes, base64, exhibit
Languages:
powershell
21-10-2025
PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations
https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/
Report completeness: Medium
Actors/Campaigns:
Passiveneuron (motivation: cyber_espionage)
Apt31
Emissary_panda
Winnti
Threats:
Neursite
Neuralexecutor
Cobalt_strike_tool
Dll_hijacking_technique
Vmprotect_tool
Confuserex_tool
Victims:
Government organizations, Server infrastructure
Industry:
Government
Geo:
Russian, Asia, Latin america, Africa
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1105, T1190, T1505.003
IOCs:
Path: 5
File: 7
Hash: 7
Soft:
Microsoft SQL
Algorithms:
aes, base64, exhibit
Languages:
powershell
Securelist
Cyberespionage campaign PassiveNeuron targets machines running Windows Server
Kaspersky GReAT experts break down a recent PassiveNeuron campaign that targets servers worldwide with custom Neursite and NeuralExecutor APT implants and Cobalt Strike.
CTT Report Hub
#ParsedReport #CompletenessMedium 21-10-2025 PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/ Report completeness: Medium …
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания PassiveNeuron нацелена на известные организации, использующие методы борьбы с сложными целенаправленными угрозами (APT), в первую очередь использующие уязвимости в программном обеспечении Microsoft SQL для первоначального доступа к системам Windows Server. В нем используется бэкдор Neursite для сложных операций и загрузчик на базе .NET под названием NeuralExecutor, который облегчает взаимодействие с инфраструктурой командования и контроля при развертывании дополнительных полезных нагрузок. Оба имплантата уникальны и ранее не были связаны с другими угрозами, что усложняет попытки установления их принадлежности.
-----
Кампания PassiveNeuron, комплексная программа кибершпионажа, была нацелена на серверы высокопоставленных организаций с использованием методов сложных целенаправленных угроз (APT). Эта продолжающаяся кампания была связана с уникальными имплантатами, называемыми "Neursite" и "NeuralExecutor". Примечательно, что значительное число уязвимых систем работало на Windows Server, причем первоначальный доступ к скомпрометированным серверам был получен с помощью уязвимостей программного обеспечения Microsoft SQL. Хотя точные методы эксплуатации остаются неясными, SQL-серверы обычно становятся точками входа из-за таких слабых мест, как атаки с использованием SQL-инъекций.
Бэкдор Neursite был признан самым мощным имплантатом в рамках кампании PassiveNeuron. Анализ исходного кода выявил конкретный путь к файлу, указывающий на сложность имплантата и целенаправленную разработку. Напротив, NeuralExecutor служит загрузчиком на базе .NET, который использует обфускатор ConfuserEx с открытым исходным кодом, что усложняет процесс обратного проектирования. Этот имплантат поддерживает множество методов связи, таких как TCP, HTTP/HTTPS, именованные каналы и веб-сокеты, что позволяет ему взаимодействовать со своей инфраструктурой командования и контроля (C2). Как только соединение установлено, NeuralExecutor может получать и выполнять дополнительные полезные нагрузки .NET, значительно расширяя возможности злоумышленников.
Примечательно, что как Neursite, так и NeuralExecutor ранее не были связаны с другими кибератаками, что затрудняет попытки приписать кампанию конкретному злоумышленнику. Сосредоточенность PassiveNeuron на серверных средах, особенно подключенных к Интернету, подчеркивает привлекательность этих систем в качестве мишеней для APT, подчеркивая необходимость надежных мер безопасности. Основные стратегии включают сведение к минимуму поверхности атаки, связанной с такими серверами, и внедрение строгих протоколов мониторинга. Особое внимание следует уделить защите приложений от уязвимостей SQL-инъекций, а также защите от Веб-шеллов, которые часто используются для поддержания закрепления в скомпрометированных сетях. В целом, ландшафт угроз, выделенный PassiveNeuron, отражает растущую изощренность деятельности по кибершпионажу, что требует повышенной бдительности в отношении безопасности серверов.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания PassiveNeuron нацелена на известные организации, использующие методы борьбы с сложными целенаправленными угрозами (APT), в первую очередь использующие уязвимости в программном обеспечении Microsoft SQL для первоначального доступа к системам Windows Server. В нем используется бэкдор Neursite для сложных операций и загрузчик на базе .NET под названием NeuralExecutor, который облегчает взаимодействие с инфраструктурой командования и контроля при развертывании дополнительных полезных нагрузок. Оба имплантата уникальны и ранее не были связаны с другими угрозами, что усложняет попытки установления их принадлежности.
-----
Кампания PassiveNeuron, комплексная программа кибершпионажа, была нацелена на серверы высокопоставленных организаций с использованием методов сложных целенаправленных угроз (APT). Эта продолжающаяся кампания была связана с уникальными имплантатами, называемыми "Neursite" и "NeuralExecutor". Примечательно, что значительное число уязвимых систем работало на Windows Server, причем первоначальный доступ к скомпрометированным серверам был получен с помощью уязвимостей программного обеспечения Microsoft SQL. Хотя точные методы эксплуатации остаются неясными, SQL-серверы обычно становятся точками входа из-за таких слабых мест, как атаки с использованием SQL-инъекций.
Бэкдор Neursite был признан самым мощным имплантатом в рамках кампании PassiveNeuron. Анализ исходного кода выявил конкретный путь к файлу, указывающий на сложность имплантата и целенаправленную разработку. Напротив, NeuralExecutor служит загрузчиком на базе .NET, который использует обфускатор ConfuserEx с открытым исходным кодом, что усложняет процесс обратного проектирования. Этот имплантат поддерживает множество методов связи, таких как TCP, HTTP/HTTPS, именованные каналы и веб-сокеты, что позволяет ему взаимодействовать со своей инфраструктурой командования и контроля (C2). Как только соединение установлено, NeuralExecutor может получать и выполнять дополнительные полезные нагрузки .NET, значительно расширяя возможности злоумышленников.
Примечательно, что как Neursite, так и NeuralExecutor ранее не были связаны с другими кибератаками, что затрудняет попытки приписать кампанию конкретному злоумышленнику. Сосредоточенность PassiveNeuron на серверных средах, особенно подключенных к Интернету, подчеркивает привлекательность этих систем в качестве мишеней для APT, подчеркивая необходимость надежных мер безопасности. Основные стратегии включают сведение к минимуму поверхности атаки, связанной с такими серверами, и внедрение строгих протоколов мониторинга. Особое внимание следует уделить защите приложений от уязвимостей SQL-инъекций, а также защите от Веб-шеллов, которые часто используются для поддержания закрепления в скомпрометированных сетях. В целом, ландшафт угроз, выделенный PassiveNeuron, отражает растущую изощренность деятельности по кибершпионажу, что требует повышенной бдительности в отношении безопасности серверов.
#ParsedReport #CompletenessHigh
20-10-2025
To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER
https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver/
Report completeness: High
Actors/Campaigns:
Seaborgium (motivation: government_sponsored)
Threats:
Lostkeys
Norobot
Coldcopy
Clickfix_technique
Yesrobot
Mayberobot
Baitswitch
Bitsadmin_tool
Simplefix
Victims:
Ngos, Policy advisors, Dissidents, High profile individuals
Industry:
Healthcare, Ngo
Geo:
Russia, Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1037.001, T1041, T1059.001, T1059.006, T1105, T1140, T1204.002, T1218.011, T1566.002, have more...
IOCs:
Hash: 10
Domain: 12
Registry: 1
Command: 1
File: 3
IP: 1
Soft:
Gmail, Chrome
Algorithms:
aes, base64
Functions:
obtainUA
Languages:
powershell, python
YARA: Found
20-10-2025
To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER
https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver/
Report completeness: High
Actors/Campaigns:
Seaborgium (motivation: government_sponsored)
Threats:
Lostkeys
Norobot
Coldcopy
Clickfix_technique
Yesrobot
Mayberobot
Baitswitch
Bitsadmin_tool
Simplefix
Victims:
Ngos, Policy advisors, Dissidents, High profile individuals
Industry:
Healthcare, Ngo
Geo:
Russia, Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1037.001, T1041, T1059.001, T1059.006, T1105, T1140, T1204.002, T1218.011, T1566.002, have more...
IOCs:
Hash: 10
Domain: 12
Registry: 1
Command: 1
File: 3
IP: 1
Soft:
Gmail, Chrome
Algorithms:
aes, base64
Functions:
obtainUA
Languages:
powershell, python
YARA: Found
Google Cloud Blog
To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER | Google Cloud Blog
Russia state-sponsored COLDRIVER started using new malware immediately following a May public disclosure of their activity.
CTT Report Hub
#ParsedReport #CompletenessHigh 20-10-2025 To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
COLDRIVER, злоумышленник, спонсируемый российским государством, представил новое вредоносное ПО NOROBOT, чтобы заменить ранее раскрытые LOSTKEYS. NOROBOT поставляется через вредоносную библиотеку DLL и функционирует как загрузчик, используя жестко закодированный адрес C2, используя современные криптографические методы для дополнительной сложности. Эта кампания продемонстрировала изменение тактики: NOROBOT эволюционирует с помощью итераций, что указывает на нацеленность группы на улучшение оперативных возможностей и адаптацию к вызовам безопасности.
-----
COLDRIVER, злоумышленник, спонсируемый российским государством, разработал и быстро внедрил новое вредоносное ПО после публичного раскрытия своего предыдущего вредоносного ПО LOSTKEYS. Вместо того, чтобы продолжать использовать LOSTKEYS, COLDRIVER продемонстрировала значительный сдвиг в своей тактике, введя в действие новые семейства вредоносных ПО вскоре после обнаружения. Недавняя кампания по распространению вредоносного ПО вращается вокруг вредоносной библиотеки DLL под названием NOROBOT, которая поставляется с помощью варианта приманки COLDCOPY "ClickFix", имитирующей функциональность CAPTCHAs, чтобы обманом заставить пользователей запускать вредоносное ПО с помощью команды Windows rundll32.
NOROBOT действует как загрузчик для последующих полезных загрузок, используя жестко закодированный адрес command and control (C2) для получения дополнительных инструкций. Ранние версии NOROBOT использовали криптографические методы, которые разделяли ключи между компонентами, усложняя анализ и требуя специальной рекомбинации для расшифровки. Однако простота более поздних версий, по-видимому, непреднамеренно упростила обнаружение исследователями безопасности.
Один из бэкдоров, связанных с NOROBOT, идентифицированный как YESROBOT, представляет собой инструмент на базе Python, который взаимодействует по протоколу HTTPS для получения команд, зашифрованных AES. Взаимодействие ограничено допустимыми командами Python, что затрудняет операторам реализацию функций, обычно включаемых в бэкдоры, таких как поиск и выполнение файлов. Это говорит о том, что YESROBOT был поспешным решением, принятым после того, как было обнаружено предыдущее вредоносное ПО. В конечном итоге в июне 2025 года он был заменен MAYBEROBOT, упрощенной версией, которая настраивает закрепление с помощью сценария входа в систему, выполняющего команды PowerShell.
На протяжении всего отслеживания деятельности COLDRIVER's с июня по сентябрь 2025 года наблюдалось множество итераций NOROBOT, демонстрирующих тенденцию к увеличению усилий по разработке, направленных на поддержание доступа и сбор разведывательной информации о важных целях. Переход группы от тактики фишинга к прямому внедрению вредоносного ПО может быть обусловлен стратегией использования ранее скомпрометированных учетных записей для более глубокого сбора разведывательной информации от целей. Этот переход означает адаптацию COLDRIVER's в ответ на вызовы, связанные с механизмами обнаружения безопасности.
Продолжающаяся эволюция NOROBOT указывает на динамичный подход COLDRIVER к разработке вредоносного ПО, уделяющий особое внимание как обходу мер безопасности, так и расширению операционных возможностей. Усилия по защите потенциальных жертв включают интеграцию полученных данных в системы безопасности, такие как Google Safe Browsing, и упреждающие оповещения пострадавших пользователей.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
COLDRIVER, злоумышленник, спонсируемый российским государством, представил новое вредоносное ПО NOROBOT, чтобы заменить ранее раскрытые LOSTKEYS. NOROBOT поставляется через вредоносную библиотеку DLL и функционирует как загрузчик, используя жестко закодированный адрес C2, используя современные криптографические методы для дополнительной сложности. Эта кампания продемонстрировала изменение тактики: NOROBOT эволюционирует с помощью итераций, что указывает на нацеленность группы на улучшение оперативных возможностей и адаптацию к вызовам безопасности.
-----
COLDRIVER, злоумышленник, спонсируемый российским государством, разработал и быстро внедрил новое вредоносное ПО после публичного раскрытия своего предыдущего вредоносного ПО LOSTKEYS. Вместо того, чтобы продолжать использовать LOSTKEYS, COLDRIVER продемонстрировала значительный сдвиг в своей тактике, введя в действие новые семейства вредоносных ПО вскоре после обнаружения. Недавняя кампания по распространению вредоносного ПО вращается вокруг вредоносной библиотеки DLL под названием NOROBOT, которая поставляется с помощью варианта приманки COLDCOPY "ClickFix", имитирующей функциональность CAPTCHAs, чтобы обманом заставить пользователей запускать вредоносное ПО с помощью команды Windows rundll32.
NOROBOT действует как загрузчик для последующих полезных загрузок, используя жестко закодированный адрес command and control (C2) для получения дополнительных инструкций. Ранние версии NOROBOT использовали криптографические методы, которые разделяли ключи между компонентами, усложняя анализ и требуя специальной рекомбинации для расшифровки. Однако простота более поздних версий, по-видимому, непреднамеренно упростила обнаружение исследователями безопасности.
Один из бэкдоров, связанных с NOROBOT, идентифицированный как YESROBOT, представляет собой инструмент на базе Python, который взаимодействует по протоколу HTTPS для получения команд, зашифрованных AES. Взаимодействие ограничено допустимыми командами Python, что затрудняет операторам реализацию функций, обычно включаемых в бэкдоры, таких как поиск и выполнение файлов. Это говорит о том, что YESROBOT был поспешным решением, принятым после того, как было обнаружено предыдущее вредоносное ПО. В конечном итоге в июне 2025 года он был заменен MAYBEROBOT, упрощенной версией, которая настраивает закрепление с помощью сценария входа в систему, выполняющего команды PowerShell.
На протяжении всего отслеживания деятельности COLDRIVER's с июня по сентябрь 2025 года наблюдалось множество итераций NOROBOT, демонстрирующих тенденцию к увеличению усилий по разработке, направленных на поддержание доступа и сбор разведывательной информации о важных целях. Переход группы от тактики фишинга к прямому внедрению вредоносного ПО может быть обусловлен стратегией использования ранее скомпрометированных учетных записей для более глубокого сбора разведывательной информации от целей. Этот переход означает адаптацию COLDRIVER's в ответ на вызовы, связанные с механизмами обнаружения безопасности.
Продолжающаяся эволюция NOROBOT указывает на динамичный подход COLDRIVER к разработке вредоносного ПО, уделяющий особое внимание как обходу мер безопасности, так и расширению операционных возможностей. Усилия по защите потенциальных жертв включают интеграцию полученных данных в системы безопасности, такие как Google Safe Browsing, и упреждающие оповещения пострадавших пользователей.
#ParsedReport #CompletenessLow
20-10-2025
Malware Using Variable Functions and Cookies For Obfuscation
https://www.wordfence.com/blog/2025/10/malware-using-variable-functions-and-cookies-for-obfuscation/
Report completeness: Low
Victims:
Websites
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1102, T1505.003
Soft:
WordPress, ChatGPT
Algorithms:
base64
Functions:
eval, base64_decode, create_function
Languages:
php
20-10-2025
Malware Using Variable Functions and Cookies For Obfuscation
https://www.wordfence.com/blog/2025/10/malware-using-variable-functions-and-cookies-for-obfuscation/
Report completeness: Low
Victims:
Websites
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1102, T1505.003
Soft:
WordPress, ChatGPT
Algorithms:
base64
Functions:
eval, base64_decode, create_function
Languages:
php
Wordfence
Malware Using Variable Functions and Cookies For Obfuscation
While some malware stands out by making an effort to blend in, obfuscation is generally the go-to way in which attackers attempt to evade detection and hide their scripts. In this case, we are referring to malware using variable functions and cookies for…
CTT Report Hub
#ParsedReport #CompletenessLow 20-10-2025 Malware Using Variable Functions and Cookies For Obfuscation https://www.wordfence.com/blog/2025/10/malware-using-variable-functions-and-cookies-for-obfuscation/ Report completeness: Low Victims: Websites TTPs:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавнее поведение вредоносного ПО демонстрирует более широкое использование киберпреступниками методов обфускации, в частности, с помощью переменных функций PHP, позволяющих динамически оценивать вызовы функций для удаленного выполнения вредоносного кода. Примечательно, что `create_function()` использовалась для использования возможностей бэкдора в версиях PHP до 8.0, поскольку с тех пор она устарела. Более 30 000 обнаружений таких угроз за один месяц указывают на постоянную проблему, поскольку злоумышленники используют сложные стратегии, которые скрывают операции вредоносного ПО, усиливая уклонение от мер безопасности.
-----
Недавние наблюдения за поведением вредоносного ПО указывают на значительную зависимость киберпреступников от методов запутывания, используемых для уклонения от обнаружения. Одним из примечательных методов является использование переменных функций в языке программирования PHP, где злоумышленники используют возможность PHP динамически вычислять имена переменных при вызове функций. Эта тактика может позволить вредоносному коду выполняться удаленно, скрывая при этом свои истинные намерения.
Рассмотренный конкретный образец вредоносного ПО демонстрирует использование переменных функций для реализации возможностей бэкдора. Примечательно, что функция `create_function()`, которая облегчает создание динамических функций из строк, была идентифицирована как вектор для уклонения и эксплуатации, особенно в версиях PHP до 8.0, поскольку эта функция была признана устаревшей. Вредоносное ПО избегает обычного обнаружения, используя сложные методы, которые скрывают его работу, тем самым успешно вводя в заблуждение средства сканирования.
Стратегии обнаружения были сформулированы на основе общих характеристик, обнаруженных в различных образцах вредоносного ПО, что привело к разработке сигнатур, позволяющих более эффективно идентифицировать эти угрозы. Анализ показал, что значительное число — более 30 000 обнаружений — было зафиксировано за один месяц, что указывает на распространенность и постоянный характер этих запутанных угроз. В образцах использовались не только переменные функции, но и файлы cookie как часть стратегии выполнения кода, что повышало способность вредоносного ПО обходить меры безопасности.
Хотя обсуждаемые методы не новы, их постоянное использование подчеркивает сохраняющуюся проблему, создаваемую запутанным вредоносным ПО. По мере того как злоумышленники совершенствуют свои методы, важность надежных стратегий обнаружения и обновленных мер безопасности остается критической для эффективной борьбы с этими эволюционирующими угрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавнее поведение вредоносного ПО демонстрирует более широкое использование киберпреступниками методов обфускации, в частности, с помощью переменных функций PHP, позволяющих динамически оценивать вызовы функций для удаленного выполнения вредоносного кода. Примечательно, что `create_function()` использовалась для использования возможностей бэкдора в версиях PHP до 8.0, поскольку с тех пор она устарела. Более 30 000 обнаружений таких угроз за один месяц указывают на постоянную проблему, поскольку злоумышленники используют сложные стратегии, которые скрывают операции вредоносного ПО, усиливая уклонение от мер безопасности.
-----
Недавние наблюдения за поведением вредоносного ПО указывают на значительную зависимость киберпреступников от методов запутывания, используемых для уклонения от обнаружения. Одним из примечательных методов является использование переменных функций в языке программирования PHP, где злоумышленники используют возможность PHP динамически вычислять имена переменных при вызове функций. Эта тактика может позволить вредоносному коду выполняться удаленно, скрывая при этом свои истинные намерения.
Рассмотренный конкретный образец вредоносного ПО демонстрирует использование переменных функций для реализации возможностей бэкдора. Примечательно, что функция `create_function()`, которая облегчает создание динамических функций из строк, была идентифицирована как вектор для уклонения и эксплуатации, особенно в версиях PHP до 8.0, поскольку эта функция была признана устаревшей. Вредоносное ПО избегает обычного обнаружения, используя сложные методы, которые скрывают его работу, тем самым успешно вводя в заблуждение средства сканирования.
Стратегии обнаружения были сформулированы на основе общих характеристик, обнаруженных в различных образцах вредоносного ПО, что привело к разработке сигнатур, позволяющих более эффективно идентифицировать эти угрозы. Анализ показал, что значительное число — более 30 000 обнаружений — было зафиксировано за один месяц, что указывает на распространенность и постоянный характер этих запутанных угроз. В образцах использовались не только переменные функции, но и файлы cookie как часть стратегии выполнения кода, что повышало способность вредоносного ПО обходить меры безопасности.
Хотя обсуждаемые методы не новы, их постоянное использование подчеркивает сохраняющуюся проблему, создаваемую запутанным вредоносным ПО. По мере того как злоумышленники совершенствуют свои методы, важность надежных стратегий обнаружения и обновленных мер безопасности остается критической для эффективной борьбы с этими эволюционирующими угрозами.
#ParsedReport #CompletenessLow
22-10-2025
Malicious NuGet Packages Typosquat Nethereum to Exfiltrate Wallet Keys
https://socket.dev/blog/malicious-nuget-packages-typosquat-nethereum-to-exfiltrate-wallet-keys
Report completeness: Low
Threats:
Typosquatting_technique
Supply_chain_technique
Homoglyph_technique
Victims:
Software developers, Crypto users
TTPs:
Tactics: 3
Technics: 3
IOCs:
Url: 2
File: 6
Soft:
NuGet, Nethereum
Crypto:
ethereum
Algorithms:
xor
Languages:
dotnet
22-10-2025
Malicious NuGet Packages Typosquat Nethereum to Exfiltrate Wallet Keys
https://socket.dev/blog/malicious-nuget-packages-typosquat-nethereum-to-exfiltrate-wallet-keys
Report completeness: Low
Threats:
Typosquatting_technique
Supply_chain_technique
Homoglyph_technique
Victims:
Software developers, Crypto users
TTPs:
Tactics: 3
Technics: 3
IOCs:
Url: 2
File: 6
Soft:
NuGet, Nethereum
Crypto:
ethereum
Algorithms:
xor
Languages:
dotnet
Socket
Malicious NuGet Packages Typosquat Nethereum to Exfiltrate W...
The Socket Threat Research Team uncovered malicious NuGet packages typosquatting the popular Nethereum project to steal wallet keys.