#ParsedReport #CompletenessLow
21-10-2025

Home Depot Halloween phish gives users a fright, not a freebie

https://www.malwarebytes.com/blog/news/2025/10/home-depot-halloween-phish-gives-users-a-fright-not-a-freebie

Report completeness: Low

Industry:
Transport

Geo:
Los angeles

IOCs:
Domain: 10

Soft:
WordPress

Languages:
php

Platforms:
intel

#ParsedReport #CompletenessLow
21-10-2025

BlackStink: How a Fake Chrome Extension Is Changing Banking Malware

https://socradar.io/blackstink-fake-chrome-extension-banking-malware/

Report completeness: Low

Threats:
Blackstink
Typosquatting_technique

Victims:
Banking, Retail, Fintech, Online banking

Industry:
Retail, Financial

Geo:
Argentina, Mexico, Spanish, Brazil, Colombia, Latin america

TTPs:
Tactics: 1
Technics: 4

IOCs:
File: 2

Soft:
Chrome

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания BlackStink использует вредоносное расширение Chrome для нацеливания на банковские порталы в Латинской Америке и выполнения несанкционированных транзакций без использования традиционных исполняемых файлов. Расширение, Маскировка под облачный сервис хранения, отслеживает активность пользователей и внедряет клонированные формы для манипулирования транзакциями. Его запутанный JavaScript позволяет ему скрытно работать в браузере, затрудняя обнаружение, в то же время используя такие методы, как клонирование форм, перехват событий и typosquatting для инфраструктуры управления.
-----

Кампания BlackStink представляет собой значительное развитие банковского вредоносного ПО благодаря использованию вредоносного расширения Chrome, которое работает непосредственно в браузере, обходя традиционные меры безопасности, такие как антивирус и решения для обнаружения конечных точек и реагирования (EDR). Как сообщила IBM X-Force, эта кампания нацелена на банковские порталы в Латинской Америке, в частности в Мексике, Бразилии, Колумбии и Аргентине, и способна проводить несанкционированные транзакции без использования традиционных исполняемых файлов.

Мошенническое расширение, замаскированное под "G Docs - сервис для просмотра документов в Интернете", получает обширные разрешения, такие как веб-навигация, доступ к вкладкам и возможности создания сценариев. После установки он незаметно отслеживает активность пользователей, выявляя посещения банковских веб-сайтов. Впоследствии он внедряет клонированные формы, имитирующие законные интерфейсы, заменяя аутентичные кнопки транзакций вредоносными альтернативами. Используя сеансовые файлы cookie жертвы, злоумышленник может выполнять транзакции, используя реальные учетные записи пользователей.

Одна из существенных проблем при обнаружении BlackStink заключается в его работе в доверенной среде браузера. Используя запутанный JavaScript, вредоносное ПО поддерживает связь через работника фоновой службы и использует методы typosquatting для своих доменов управления, что затрудняет его отслеживание. Эта сложность усугубляется отсутствием надежного аудита расширений браузера и недостаточной осведомленностью пользователей.

Методология атаки BlackStink состоит из пяти этапов: разведка для выявления целевых банков, клонирование форм для замены законных форм на поддельные, перехват событий для манипулирования действиями пользователей, извлечение банковских лимитов для оценки потенциальной кражи и, наконец, наложение API для незаметного завершения несанкционированных переводов. Такой подход подчеркивает переход к атакам на основе браузера, которые используют существующие уязвимости в поведении пользователей и методах обеспечения безопасности.

Кампания нацелена на различные секторы, включая банковское дело, розничную торговлю и финтех-технологии, и имеет последствия для любого региона, где есть испаноязычные или португалоязычные пользователи. Организациям рекомендуется создавать списки разрешенных расширений, проводить аудит установленных расширений, отслеживать сетевую активность и повышать уровень подготовки пользователей по вопросам фишинга и безопасности браузера. Ключевые задействованные методы MITRE ATT&CK включают использование расширений браузера, методы Перехвата вводимых данных, незащищенный получение учетных данных и тактику фишинга.

Подводя итог, кампания BlackStink демонстрирует опасный сдвиг в тактике киберпреступников, демонстрируя необходимость усиленных мер по кибербезопасности, которые уделяют приоритетное внимание безопасности браузера и осведомленности пользователей для эффективной борьбы с развивающимися угрозами.

#ParsedReport #CompletenessMedium
21-10-2025

PassiveNeuron: a sophisticated campaign targeting servers of high-profile organizations

https://securelist.com/passiveneuron-campaign-with-apt-implants-and-cobalt-strike/117745/

Report completeness: Medium

Actors/Campaigns:
Passiveneuron (motivation: cyber_espionage)
Apt31
Emissary_panda
Winnti

Threats:
Neursite
Neuralexecutor
Cobalt_strike_tool
Dll_hijacking_technique
Vmprotect_tool
Confuserex_tool

Victims:
Government organizations, Server infrastructure

Industry:
Government

Geo:
Russian, Asia, Latin america, Africa

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1105, T1190, T1505.003

IOCs:
Path: 5
File: 7
Hash: 7

Soft:
Microsoft SQL

Algorithms:
aes, base64, exhibit

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PassiveNeuron нацелена на известные организации, использующие методы борьбы с сложными целенаправленными угрозами (APT), в первую очередь использующие уязвимости в программном обеспечении Microsoft SQL для первоначального доступа к системам Windows Server. В нем используется бэкдор Neursite для сложных операций и загрузчик на базе .NET под названием NeuralExecutor, который облегчает взаимодействие с инфраструктурой командования и контроля при развертывании дополнительных полезных нагрузок. Оба имплантата уникальны и ранее не были связаны с другими угрозами, что усложняет попытки установления их принадлежности.
-----

Кампания PassiveNeuron, комплексная программа кибершпионажа, была нацелена на серверы высокопоставленных организаций с использованием методов сложных целенаправленных угроз (APT). Эта продолжающаяся кампания была связана с уникальными имплантатами, называемыми "Neursite" и "NeuralExecutor". Примечательно, что значительное число уязвимых систем работало на Windows Server, причем первоначальный доступ к скомпрометированным серверам был получен с помощью уязвимостей программного обеспечения Microsoft SQL. Хотя точные методы эксплуатации остаются неясными, SQL-серверы обычно становятся точками входа из-за таких слабых мест, как атаки с использованием SQL-инъекций.

Бэкдор Neursite был признан самым мощным имплантатом в рамках кампании PassiveNeuron. Анализ исходного кода выявил конкретный путь к файлу, указывающий на сложность имплантата и целенаправленную разработку. Напротив, NeuralExecutor служит загрузчиком на базе .NET, который использует обфускатор ConfuserEx с открытым исходным кодом, что усложняет процесс обратного проектирования. Этот имплантат поддерживает множество методов связи, таких как TCP, HTTP/HTTPS, именованные каналы и веб-сокеты, что позволяет ему взаимодействовать со своей инфраструктурой командования и контроля (C2). Как только соединение установлено, NeuralExecutor может получать и выполнять дополнительные полезные нагрузки .NET, значительно расширяя возможности злоумышленников.

Примечательно, что как Neursite, так и NeuralExecutor ранее не были связаны с другими кибератаками, что затрудняет попытки приписать кампанию конкретному злоумышленнику. Сосредоточенность PassiveNeuron на серверных средах, особенно подключенных к Интернету, подчеркивает привлекательность этих систем в качестве мишеней для APT, подчеркивая необходимость надежных мер безопасности. Основные стратегии включают сведение к минимуму поверхности атаки, связанной с такими серверами, и внедрение строгих протоколов мониторинга. Особое внимание следует уделить защите приложений от уязвимостей SQL-инъекций, а также защите от Веб-шеллов, которые часто используются для поддержания закрепления в скомпрометированных сетях. В целом, ландшафт угроз, выделенный PassiveNeuron, отражает растущую изощренность деятельности по кибершпионажу, что требует повышенной бдительности в отношении безопасности серверов.

#ParsedReport #CompletenessHigh
20-10-2025

To Be (A Robot) or Not to Be: New Malware Attributed to Russia State-Sponsored COLDRIVER

https://cloud.google.com/blog/topics/threat-intelligence/new-malware-russia-coldriver/

Report completeness: High

Actors/Campaigns:
Seaborgium (motivation: government_sponsored)

Threats:
Lostkeys
Norobot
Coldcopy
Clickfix_technique
Yesrobot
Mayberobot
Baitswitch
Bitsadmin_tool
Simplefix

Victims:
Ngos, Policy advisors, Dissidents, High profile individuals

Industry:
Healthcare, Ngo

Geo:
Russia, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1037.001, T1041, T1059.001, T1059.006, T1105, T1140, T1204.002, T1218.011, T1566.002, have more...

IOCs:
Hash: 10
Domain: 12
Registry: 1
Command: 1
File: 3
IP: 1

Soft:
Gmail, Chrome

Algorithms:
aes, base64

Functions:
obtainUA

Languages:
powershell, python

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
COLDRIVER, злоумышленник, спонсируемый российским государством, представил новое вредоносное ПО NOROBOT, чтобы заменить ранее раскрытые LOSTKEYS. NOROBOT поставляется через вредоносную библиотеку DLL и функционирует как загрузчик, используя жестко закодированный адрес C2, используя современные криптографические методы для дополнительной сложности. Эта кампания продемонстрировала изменение тактики: NOROBOT эволюционирует с помощью итераций, что указывает на нацеленность группы на улучшение оперативных возможностей и адаптацию к вызовам безопасности.
-----

COLDRIVER, злоумышленник, спонсируемый российским государством, разработал и быстро внедрил новое вредоносное ПО после публичного раскрытия своего предыдущего вредоносного ПО LOSTKEYS. Вместо того, чтобы продолжать использовать LOSTKEYS, COLDRIVER продемонстрировала значительный сдвиг в своей тактике, введя в действие новые семейства вредоносных ПО вскоре после обнаружения. Недавняя кампания по распространению вредоносного ПО вращается вокруг вредоносной библиотеки DLL под названием NOROBOT, которая поставляется с помощью варианта приманки COLDCOPY "ClickFix", имитирующей функциональность CAPTCHAs, чтобы обманом заставить пользователей запускать вредоносное ПО с помощью команды Windows rundll32.

NOROBOT действует как загрузчик для последующих полезных загрузок, используя жестко закодированный адрес command and control (C2) для получения дополнительных инструкций. Ранние версии NOROBOT использовали криптографические методы, которые разделяли ключи между компонентами, усложняя анализ и требуя специальной рекомбинации для расшифровки. Однако простота более поздних версий, по-видимому, непреднамеренно упростила обнаружение исследователями безопасности.

Один из бэкдоров, связанных с NOROBOT, идентифицированный как YESROBOT, представляет собой инструмент на базе Python, который взаимодействует по протоколу HTTPS для получения команд, зашифрованных AES. Взаимодействие ограничено допустимыми командами Python, что затрудняет операторам реализацию функций, обычно включаемых в бэкдоры, таких как поиск и выполнение файлов. Это говорит о том, что YESROBOT был поспешным решением, принятым после того, как было обнаружено предыдущее вредоносное ПО. В конечном итоге в июне 2025 года он был заменен MAYBEROBOT, упрощенной версией, которая настраивает закрепление с помощью сценария входа в систему, выполняющего команды PowerShell.

На протяжении всего отслеживания деятельности COLDRIVER's с июня по сентябрь 2025 года наблюдалось множество итераций NOROBOT, демонстрирующих тенденцию к увеличению усилий по разработке, направленных на поддержание доступа и сбор разведывательной информации о важных целях. Переход группы от тактики фишинга к прямому внедрению вредоносного ПО может быть обусловлен стратегией использования ранее скомпрометированных учетных записей для более глубокого сбора разведывательной информации от целей. Этот переход означает адаптацию COLDRIVER's в ответ на вызовы, связанные с механизмами обнаружения безопасности.

Продолжающаяся эволюция NOROBOT указывает на динамичный подход COLDRIVER к разработке вредоносного ПО, уделяющий особое внимание как обходу мер безопасности, так и расширению операционных возможностей. Усилия по защите потенциальных жертв включают интеграцию полученных данных в системы безопасности, такие как Google Safe Browsing, и упреждающие оповещения пострадавших пользователей.

#ParsedReport #CompletenessLow
20-10-2025

Malware Using Variable Functions and Cookies For Obfuscation

https://www.wordfence.com/blog/2025/10/malware-using-variable-functions-and-cookies-for-obfuscation/

Report completeness: Low

Victims:
Websites

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1102, T1505.003

Soft:
WordPress, ChatGPT

Algorithms:
base64

Functions:
eval, base64_decode, create_function

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее поведение вредоносного ПО демонстрирует более широкое использование киберпреступниками методов обфускации, в частности, с помощью переменных функций PHP, позволяющих динамически оценивать вызовы функций для удаленного выполнения вредоносного кода. Примечательно, что `create_function()` использовалась для использования возможностей бэкдора в версиях PHP до 8.0, поскольку с тех пор она устарела. Более 30 000 обнаружений таких угроз за один месяц указывают на постоянную проблему, поскольку злоумышленники используют сложные стратегии, которые скрывают операции вредоносного ПО, усиливая уклонение от мер безопасности.
-----

Недавние наблюдения за поведением вредоносного ПО указывают на значительную зависимость киберпреступников от методов запутывания, используемых для уклонения от обнаружения. Одним из примечательных методов является использование переменных функций в языке программирования PHP, где злоумышленники используют возможность PHP динамически вычислять имена переменных при вызове функций. Эта тактика может позволить вредоносному коду выполняться удаленно, скрывая при этом свои истинные намерения.

Рассмотренный конкретный образец вредоносного ПО демонстрирует использование переменных функций для реализации возможностей бэкдора. Примечательно, что функция `create_function()`, которая облегчает создание динамических функций из строк, была идентифицирована как вектор для уклонения и эксплуатации, особенно в версиях PHP до 8.0, поскольку эта функция была признана устаревшей. Вредоносное ПО избегает обычного обнаружения, используя сложные методы, которые скрывают его работу, тем самым успешно вводя в заблуждение средства сканирования.

Стратегии обнаружения были сформулированы на основе общих характеристик, обнаруженных в различных образцах вредоносного ПО, что привело к разработке сигнатур, позволяющих более эффективно идентифицировать эти угрозы. Анализ показал, что значительное число — более 30 000 обнаружений — было зафиксировано за один месяц, что указывает на распространенность и постоянный характер этих запутанных угроз. В образцах использовались не только переменные функции, но и файлы cookie как часть стратегии выполнения кода, что повышало способность вредоносного ПО обходить меры безопасности.

Хотя обсуждаемые методы не новы, их постоянное использование подчеркивает сохраняющуюся проблему, создаваемую запутанным вредоносным ПО. По мере того как злоумышленники совершенствуют свои методы, важность надежных стратегий обнаружения и обновленных мер безопасности остается критической для эффективной борьбы с этими эволюционирующими угрозами.

#ParsedReport #CompletenessLow
22-10-2025

Malicious NuGet Packages Typosquat Nethereum to Exfiltrate Wallet Keys

https://socket.dev/blog/malicious-nuget-packages-typosquat-nethereum-to-exfiltrate-wallet-keys

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique
Homoglyph_technique

Victims:
Software developers, Crypto users

TTPs:
Tactics: 3
Technics: 3

IOCs:
Url: 2
File: 6

Soft:
NuGet, Nethereum

Crypto:
ethereum

Algorithms:
xor

Languages:
dotnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило вредоносные пакеты NuGet, которые используют typosquatting для выдачи себя за проект Nethereum, в частности пакет "Netherum.All", который обманом заставляет пользователей загружать его. Вредоносное ПО включает в себя метод под названием EIP70221TransactionService.Shuffle, включающий конечную точку command and control (C2), встроенную в начальное значение из 43 символов и использующую маскировку XOR для отображения URL. Это вредоносное ПО отправляет пользовательские данные на сервер C2, стремясь отфильтровать конфиденциальные ключи кошелька, в соответствии с тактикой MITRE ATT&CK framework для Компрометации цепочки поставок и Маскировки.
-----

Недавнее исследование, проведенное исследовательской группой Socket Threat, выявило серию вредоносных пакетов NuGet, которые используют методы typosquatting для выдачи себя за хорошо известный проект Nethereum с целью извлечения ключей кошелька у ничего не подозревающих пользователей. Вредоносный пакет под названием "Netherum.All" использует кириллический символ "e" (U+0435), который может легко ввести пользователей в заблуждение, заставив их поверить, что они загружают законную библиотеку Nethereum.

После анализа выяснилось, что основная функциональность вредоносного ПО заключается в методе, называемом EIP70221TransactionService.Перемешайте. Этот метод имеет решающее значение, поскольку он содержит конечную точку command and control (C2), закодированную в виде начального значения из 43 символов. Чтобы получить фактический URL-адрес сервера C2, метод использует основанную на местоположении маску XOR размером 44 байта. После этого вредоносное ПО передает данные, отправляя сообщение в поле формы, содержащее введенные пользователем строки, на декодированную конечную точку, что облегчает потенциально несанкционированный поиск конфиденциальных ключей кошелька.

Методы атаки, связанные с этим сценарием угрозы, соответствуют нескольким тактикам, описанным в рамках MITRE ATT&CK. Основные тактические приемы включают T1195.001 для Компрометации цепочки поставок, связанной с зависимостями программного обеспечения и средствами разработки, T1036 для Маскировки, T1027 для использования Обфусцированных файлов или данных, T1041, который указывает на эксфильтрацию, происходящую по каналу командования и управления, и T1204, указывающий, что для компрометации необходимо Выполнение с участием пользователя. место. В целом, этот инцидент подчеркивает риски, связанные с загрузкой пакетов из сторонних репозиториев, и важность проверки подлинности программного обеспечения перед установкой.

#ParsedReport #CompletenessMedium
22-10-2025

WARMCOOKIE: A Technical Deep Dive into a Persistent Backdoor's Evolution

https://www.picussecurity.com/resource/blog/warmcookie-a-technical-deep-dive-into-a-persistent-backdoors-evolution

Report completeness: Medium

Threats:
Warmcookie
Snipbot
Slipscreen
Rustyclaw

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.011

IOCs:
Hash: 6
File: 4
Path: 2

Soft:
ChatGPT, Task Scheduler

Algorithms:
rc4, des, sha256

Functions:
rand

Win API:
GetTickCount

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4