#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
COLDRIVER, злоумышленник, спонсируемый российским государством, представил новое вредоносное ПО NOROBOT, чтобы заменить ранее раскрытые LOSTKEYS. NOROBOT поставляется через вредоносную библиотеку DLL и функционирует как загрузчик, используя жестко закодированный адрес C2, используя современные криптографические методы для дополнительной сложности. Эта кампания продемонстрировала изменение тактики: NOROBOT эволюционирует с помощью итераций, что указывает на нацеленность группы на улучшение оперативных возможностей и адаптацию к вызовам безопасности.
-----

COLDRIVER, злоумышленник, спонсируемый российским государством, разработал и быстро внедрил новое вредоносное ПО после публичного раскрытия своего предыдущего вредоносного ПО LOSTKEYS. Вместо того, чтобы продолжать использовать LOSTKEYS, COLDRIVER продемонстрировала значительный сдвиг в своей тактике, введя в действие новые семейства вредоносных ПО вскоре после обнаружения. Недавняя кампания по распространению вредоносного ПО вращается вокруг вредоносной библиотеки DLL под названием NOROBOT, которая поставляется с помощью варианта приманки COLDCOPY "ClickFix", имитирующей функциональность CAPTCHAs, чтобы обманом заставить пользователей запускать вредоносное ПО с помощью команды Windows rundll32.

NOROBOT действует как загрузчик для последующих полезных загрузок, используя жестко закодированный адрес command and control (C2) для получения дополнительных инструкций. Ранние версии NOROBOT использовали криптографические методы, которые разделяли ключи между компонентами, усложняя анализ и требуя специальной рекомбинации для расшифровки. Однако простота более поздних версий, по-видимому, непреднамеренно упростила обнаружение исследователями безопасности.

Один из бэкдоров, связанных с NOROBOT, идентифицированный как YESROBOT, представляет собой инструмент на базе Python, который взаимодействует по протоколу HTTPS для получения команд, зашифрованных AES. Взаимодействие ограничено допустимыми командами Python, что затрудняет операторам реализацию функций, обычно включаемых в бэкдоры, таких как поиск и выполнение файлов. Это говорит о том, что YESROBOT был поспешным решением, принятым после того, как было обнаружено предыдущее вредоносное ПО. В конечном итоге в июне 2025 года он был заменен MAYBEROBOT, упрощенной версией, которая настраивает закрепление с помощью сценария входа в систему, выполняющего команды PowerShell.

На протяжении всего отслеживания деятельности COLDRIVER's с июня по сентябрь 2025 года наблюдалось множество итераций NOROBOT, демонстрирующих тенденцию к увеличению усилий по разработке, направленных на поддержание доступа и сбор разведывательной информации о важных целях. Переход группы от тактики фишинга к прямому внедрению вредоносного ПО может быть обусловлен стратегией использования ранее скомпрометированных учетных записей для более глубокого сбора разведывательной информации от целей. Этот переход означает адаптацию COLDRIVER's в ответ на вызовы, связанные с механизмами обнаружения безопасности.

Продолжающаяся эволюция NOROBOT указывает на динамичный подход COLDRIVER к разработке вредоносного ПО, уделяющий особое внимание как обходу мер безопасности, так и расширению операционных возможностей. Усилия по защите потенциальных жертв включают интеграцию полученных данных в системы безопасности, такие как Google Safe Browsing, и упреждающие оповещения пострадавших пользователей.

#ParsedReport #CompletenessLow
20-10-2025

Malware Using Variable Functions and Cookies For Obfuscation

https://www.wordfence.com/blog/2025/10/malware-using-variable-functions-and-cookies-for-obfuscation/

Report completeness: Low

Victims:
Websites

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1102, T1505.003

Soft:
WordPress, ChatGPT

Algorithms:
base64

Functions:
eval, base64_decode, create_function

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее поведение вредоносного ПО демонстрирует более широкое использование киберпреступниками методов обфускации, в частности, с помощью переменных функций PHP, позволяющих динамически оценивать вызовы функций для удаленного выполнения вредоносного кода. Примечательно, что `create_function()` использовалась для использования возможностей бэкдора в версиях PHP до 8.0, поскольку с тех пор она устарела. Более 30 000 обнаружений таких угроз за один месяц указывают на постоянную проблему, поскольку злоумышленники используют сложные стратегии, которые скрывают операции вредоносного ПО, усиливая уклонение от мер безопасности.
-----

Недавние наблюдения за поведением вредоносного ПО указывают на значительную зависимость киберпреступников от методов запутывания, используемых для уклонения от обнаружения. Одним из примечательных методов является использование переменных функций в языке программирования PHP, где злоумышленники используют возможность PHP динамически вычислять имена переменных при вызове функций. Эта тактика может позволить вредоносному коду выполняться удаленно, скрывая при этом свои истинные намерения.

Рассмотренный конкретный образец вредоносного ПО демонстрирует использование переменных функций для реализации возможностей бэкдора. Примечательно, что функция `create_function()`, которая облегчает создание динамических функций из строк, была идентифицирована как вектор для уклонения и эксплуатации, особенно в версиях PHP до 8.0, поскольку эта функция была признана устаревшей. Вредоносное ПО избегает обычного обнаружения, используя сложные методы, которые скрывают его работу, тем самым успешно вводя в заблуждение средства сканирования.

Стратегии обнаружения были сформулированы на основе общих характеристик, обнаруженных в различных образцах вредоносного ПО, что привело к разработке сигнатур, позволяющих более эффективно идентифицировать эти угрозы. Анализ показал, что значительное число — более 30 000 обнаружений — было зафиксировано за один месяц, что указывает на распространенность и постоянный характер этих запутанных угроз. В образцах использовались не только переменные функции, но и файлы cookie как часть стратегии выполнения кода, что повышало способность вредоносного ПО обходить меры безопасности.

Хотя обсуждаемые методы не новы, их постоянное использование подчеркивает сохраняющуюся проблему, создаваемую запутанным вредоносным ПО. По мере того как злоумышленники совершенствуют свои методы, важность надежных стратегий обнаружения и обновленных мер безопасности остается критической для эффективной борьбы с этими эволюционирующими угрозами.

#ParsedReport #CompletenessLow
22-10-2025

Malicious NuGet Packages Typosquat Nethereum to Exfiltrate Wallet Keys

https://socket.dev/blog/malicious-nuget-packages-typosquat-nethereum-to-exfiltrate-wallet-keys

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique
Homoglyph_technique

Victims:
Software developers, Crypto users

TTPs:
Tactics: 3
Technics: 3

IOCs:
Url: 2
File: 6

Soft:
NuGet, Nethereum

Crypto:
ethereum

Algorithms:
xor

Languages:
dotnet

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило вредоносные пакеты NuGet, которые используют typosquatting для выдачи себя за проект Nethereum, в частности пакет "Netherum.All", который обманом заставляет пользователей загружать его. Вредоносное ПО включает в себя метод под названием EIP70221TransactionService.Shuffle, включающий конечную точку command and control (C2), встроенную в начальное значение из 43 символов и использующую маскировку XOR для отображения URL. Это вредоносное ПО отправляет пользовательские данные на сервер C2, стремясь отфильтровать конфиденциальные ключи кошелька, в соответствии с тактикой MITRE ATT&CK framework для Компрометации цепочки поставок и Маскировки.
-----

Недавнее исследование, проведенное исследовательской группой Socket Threat, выявило серию вредоносных пакетов NuGet, которые используют методы typosquatting для выдачи себя за хорошо известный проект Nethereum с целью извлечения ключей кошелька у ничего не подозревающих пользователей. Вредоносный пакет под названием "Netherum.All" использует кириллический символ "e" (U+0435), который может легко ввести пользователей в заблуждение, заставив их поверить, что они загружают законную библиотеку Nethereum.

После анализа выяснилось, что основная функциональность вредоносного ПО заключается в методе, называемом EIP70221TransactionService.Перемешайте. Этот метод имеет решающее значение, поскольку он содержит конечную точку command and control (C2), закодированную в виде начального значения из 43 символов. Чтобы получить фактический URL-адрес сервера C2, метод использует основанную на местоположении маску XOR размером 44 байта. После этого вредоносное ПО передает данные, отправляя сообщение в поле формы, содержащее введенные пользователем строки, на декодированную конечную точку, что облегчает потенциально несанкционированный поиск конфиденциальных ключей кошелька.

Методы атаки, связанные с этим сценарием угрозы, соответствуют нескольким тактикам, описанным в рамках MITRE ATT&CK. Основные тактические приемы включают T1195.001 для Компрометации цепочки поставок, связанной с зависимостями программного обеспечения и средствами разработки, T1036 для Маскировки, T1027 для использования Обфусцированных файлов или данных, T1041, который указывает на эксфильтрацию, происходящую по каналу командования и управления, и T1204, указывающий, что для компрометации необходимо Выполнение с участием пользователя. место. В целом, этот инцидент подчеркивает риски, связанные с загрузкой пакетов из сторонних репозиториев, и важность проверки подлинности программного обеспечения перед установкой.

#ParsedReport #CompletenessMedium
22-10-2025

WARMCOOKIE: A Technical Deep Dive into a Persistent Backdoor's Evolution

https://www.picussecurity.com/resource/blog/warmcookie-a-technical-deep-dive-into-a-persistent-backdoors-evolution

Report completeness: Medium

Threats:
Warmcookie
Snipbot
Slipscreen
Rustyclaw

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.001, T1218.011

IOCs:
Hash: 6
File: 4
Path: 2

Soft:
ChatGPT, Task Scheduler

Algorithms:
rc4, des, sha256

Functions:
rand

Win API:
GetTickCount

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
WARMCOOKIE, или BadSpace, превратился в сложный бэкдор с такими функциями, как гибкие методы выполнения (EXE, DLL, PowerShell), рандомизированное закрепление имен из законного банка строк и мьютексы в стиле двойного GUID для синхронизации. Его система управления теперь включает новые обработчики для поддержки различных типов файлов и использует динамический банк строк для запутывания, что затрудняет обнаружение. Усовершенствованные идентификатором кампании для отслеживания заражений и общим SSL-сертификатом для серверов C2, обновления WARMCOOKIE's подчеркивают важность поведенческого анализа по сравнению со статическими методами обнаружения.
-----

WARMCOOKIE, также известный как BadSpace, остается активным бэкдором, который продемонстрировал значительную эволюцию с момента своего первоначального обнаружения более года назад. Текущие варианты этого вредоносного ПО обладают несколькими расширенными функциями, включая гибкие обработчики выполнения (EXE, DLL, PowerShell), рандомизированное закрепление имен, взятых из "банка строк" законных названий компаний, мьютексы в стиле двойного GUID для лучшей синхронизации и встраивание маркеров кампаний в ключи RC4. В результате обнаружение WARMCOOKIE теперь больше полагается на поведенческий анализ, а не на статические сигнатуры; аналитикам следует отслеживать необычные выполнения, включающие rundll32 или PowerShell, временное извлечение полезной нагрузки и повторное использование мьютексов, обычно связанных с запланированными задачами.

Заметный сдвиг в возможностях WARMCOOKIE command and control (C2) включает в себя введение четырех новых обработчиков команд, расширяющих возможности операторов по выполнению различных типов файлов. Что касается методов обхода, то вредоносное ПО внедрило "банк строк" — динамический механизм, который выдает пути к папкам и имена запланированных задач, что усложняет обнаружение за счет приоритизации менее подозрительных местоположений, а не ранее жестко заданных путей, таких как C:\ProgramData\RtlUpd \.

Появилось несколько незначительных, но впечатляющих изменений. Например, параметр командной строки для создания запланированных задач был изменен с /p на /u, намеренно нарушая существующие механизмы обнаружения безопасности. Кроме того, вредоносное ПО использует двойной мьютексный подход, чтобы улучшить свой контроль над процессами инициализации. Последние сборки WARMCOOKIE также демонстрируют значительную оптимизацию кода, повышающую как читаемость, так и производительность.

С июля 2024 года включение идентификатора кампании в образцы вредоносного ПО помогает идентифицировать способ распространения инфекций, предоставляя операторам стратегический маркер. Группируя образцы WARMCOOKIE на основе их ключей RC4, исследователи могут проводить параллели между конкретными сборками и темами кампаний, тем самым проливая свет на структуру сети операторов WARMCOOKIE's.

Что касается инфраструктуры, идентифицируемый SSL-сертификат, связанный с серверной частью WARMCOOKIE's, предполагает использование сертификата по умолчанию на различных серверах C2. Такое последовательное использование представляет собой еще один способ отслеживания работы вредоносного ПО.

#ParsedReport #CompletenessMedium
22-10-2025

Inside the attack chain: Threat activity targeting Azure Blob Storage

https://www.microsoft.com/en-us/security/blog/2025/10/20/inside-the-attack-chain-threat-activity-targeting-azure-blob-storage/

Report completeness: Medium

Actors/Campaigns:
Fin11

Threats:
Goblob_tool
Quickaz_tool
Blob_url_obfuscation_technique
Aadinternals_tool
Azurehound_tool
Azcopy_tool
Clop
Spear-phishing_technique
Credential_dumping_technique

Victims:
Organizations using azure blob storage

Industry:
Iot

TTPs:
Tactics: 12
Technics: 11

Soft:
Azure Blob, Microsoft Defender, Microsoft Entra, Azure Functions, MOVEit, Twitter

Algorithms:
aes, exhibit

Functions:
DeleteBlob, DeleteContainer

Languages:
powershell

Links:
https://github.com/appsecco/breaking-and-pwning-apps-and-servers-aws-azure-training/blob/master/documentation/bapazure/cloud-storage/attacking-azure-storage-blobs.md

#ParsedReport #ExtractedSchema

Classified images:
schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Хакерские группировки, участвующие в распространении киберугроз, все чаще нацеливаются на хранилище больших двоичных объектов Azure из-за его важнейшей роли в управлении неструктурированными данными. Они используют неправильные настройки в элементах управления идентификацией и используют сканирование домена для выявления уязвимостей, что позволяет им создавать вредоносные ресурсы или размещать страницы фишинга. Злоумышленники могут получить первоначальный доступ через незащищенные конечные точки и использовать инструменты Azure для эксфильтрации данных, в то время как нарушенное хранилище больших двоичных объектов может служить скрытым каналом управления, что вызывает серьезные проблемы с безопасностью.
-----

Хранилище Azure Blob-это высоко-поставленной цели из-за его роли в управлении неструктурированными данными. Опасный актеры рычаги ошибок и уязвимостей в элементах управления идентичность использовать хранилище BLOB-объектов. Методы сканирования домен используются для идентификации открытые данные в хранилище BLOB-объектов. Сложный язык модели помогают создавать правдоподобные имя учетной записи хранения, чтобы повысить брутфорс тактика. Первоначальный доступ может быть получен через уязвимых точек как Blob-объект-срабатывает функций Azure и приложения логики. Злоумышленники манипулируют личность и настройки доступа для создания стойких плацдармы. Повышенные полномочия могут быть возложены на скомпрометированной личности, или политик доступа модифицированная для несанкционированного доступа. Актеры опасный перечислять облачных сред, чтобы найти общедоступными контейнеры BLOB-объектов, содействию эвакуации эксфильтрация. Перемещение внутри компании может происходить с помощью исходных контейнеров, генерирующих события, что позволяет созданным файлам запускать рабочие процессы с повышенными разрешениями. Эксфильтрация данных выполняется с помощью инструментов Azure, используя надежные пропускной способности для скрытого передвижения. Хранилище BLOB-объектов можно использовать как скрытое управление канал, где вредоносное ПО обеспечением новых метаданных BLOB-объектов для оперативных командований. Удаленном хранилище больших двоичных объектов находится под угрозой нападения вымогателей, подчеркнув необходимость активного управления идентификационными данными и мерах безопасности. Мониторинг и обновление оборону имеет важное значение для защиты от меняющейся тактики эксплуатации.

#ParsedReport #CompletenessHigh
22-10-2025

Brazilian Caminho Loader Employs LSB Steganography and Fileless Execution to Deliver Multiple Malware Families Across South America, Africa, and Eastern Europe

https://arcticwolf.com/resources/blog/brazilian-caminho-loader-employs-lsb-steganography-to-deliver-multiple-malware-families/

Report completeness: High

Threats:
Caminho
Steganography_technique
Remcos_rat
Katz_stealer
Xworm_rat
Spear-phishing_technique
Process_injection_technique
Process_hacker_tool
Process_hollowing_technique
Credential_harvesting_technique
Dead_drop_technique

Victims:
Multiple industries

Industry:
Critical_infrastructure

Geo:
Brazilian, Ukraine, Africa, America, American, Portuguese, Brazil, Poland, South africa, Russian

TTPs:
Tactics: 10
Technics: 29

IOCs:
File: 10
Url: 13
Domain: 2
IP: 2
Path: 4
Hash: 23

Soft:
NET Framework, VirtualBox, Hyper-V, Process Explorer, Windows Task Scheduler

Algorithms:
sha256, md5, base64, zip

Languages:
powershell, javascript, visual_basic

Platforms:
x64, x86

YARA: Found

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Загрузчик Caminho, отслеживаемый в Бразилии, представляет собой загрузчик как сервис, использующий Стеганографию по младшему разряду (LSB) для скрытия .NET вредоносного ПО в изображениях с законных платформ. Первоначальное заражение инициируется с помощью электронных писем с Целевым фишингом с запутанными файлами JavaScript или VBScript, которые запускают полезную нагрузку PowerShell для извлечения и запуска скрытого вредоносного ПО в памяти. Загрузчик связан с различным вредоносным ПО, таким как REMCOS RAT, и демонстрирует эволюционирующую тактику с акцентом на меры по борьбе с анализом, особенно в Бразилии, и расширяется на международном уровне.
-----

Загрузчик Caminho, идентифицированный Arctic Wolf, представляет собой сложную операцию "Загрузчик как услуга" бразильского происхождения, которая использует Стеганографию по младшему разряду (LSB) для сокрытия вредоносных программ.ЧИСТАЯ полезная нагрузка в файлах изображений, размещенных на законных платформах. Первоначальное заражение начинается с Целевого фишинга электронных писем, содержащих архивированные файлы JavaScript или VBScript, часто с использованием тактики социальной инженерии на бизнес-тематику. При выполнении эти скрипты извлекают запутанную полезную нагрузку PowerShell, которая загружает стеганографические изображения из таких служб, как archive.org , цифровой архив, известный своей репутацией и высокой доступностью.

Атака использует многоступенчатую цепочку заражения, сначала опуская JavaScript, который сильно затемненный, чтобы избежать статического анализа. После выполнения этот JavaScript отправляет HTTP-запросы для получения следующего этапа, который использует PowerShell для извлечения скрытой полезной нагрузки из стеганографического изображения. В caminho пути, предназначенные для выполнения полученных данных в памяти без записи файлов на диск, включает в себя большой анти-анализ мер, в том числе проверяет виртуальные машины и средства отладки, повышению ее скрытности против традиционных механизмов обнаружения.

Caminho был связан с распространением нескольких типов вредоносного ПО, таких как REMCOS RAT, XWorm и Katz Stealer, демонстрируя свою универсальность в качестве сервисной модели. Архитектура загрузчика включает в себя механизмы закрепления путем создания запланированных задач, которые выполняют JavaScript-реплику исходного сценария заражения. Инфраструктура, используемая Caminho, объединяет как легальные сервисы для размещения Вредоносных файлов, так и выделенные серверы для операций командования и контроля, что указывает на высокоорганизованную хакерскую группировку.

Примечательно, что оперативный график показывает концентрацию атак главным образом в Бразилии, со временем распространяясь на более широкие регионы Африки и Восточной Европы. Этот рост совпадает с появлением передовых стеганографических методов доставки, что свидетельствует об эволюции предложения "Погрузчик как услуга", ориентированного на различные клиентские базы. В результате загрузчик Caminho является примером модернизированного механизма распространения вредоносного ПО, адаптирующегося для уклонения от обнаружения при одновременной доставке целого ряда полезных вредоносных программ для различных отраслевых целей.

#ParsedReport #CompletenessLow
22-10-2025

Rhadamanthys malware disguised as a game built with RenPy

https://asec.ahnlab.com/ko/90628/

Report completeness: Low

Threats:
Rhadamanthys
Lumma_stealer
Trojan/win.generic.r729425
Trojan/win.injector.r729869
Trojan/win.injector.r729189
Trojan/win.injector.r731064
Trojan/win.injector.r730188
Trojan/win.injector.r730185

Victims:
Gaming

Industry:
Entertainment

ChatGPT TTPs:
do not use without manual check
T1036.005, T1204.002, T1566.002

IOCs:
File: 8
Hash: 5
Url: 5

Soft:
RenPy, Steam

Algorithms:
base64, md5, zip

Languages:
python

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4