#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mirai - это вредоносное ПО для интернета вещей, которое стало печально известно тем, что проводило значительные DDoS-атаки, используя уязвимости в различных подключенных устройствах. Анализ показывает, что он функционирует как 32-разрядный исполняемый файл ELF, осуществляющий исходящие TCP-соединения с известным вредоносным IP-адресом, связанным с DDoS-атаками и операциями C2. Более новые варианты используют такие методы, как сжатие UPX и более широкий набор команд для внешней связи, сохраняя при этом команды для управления системой, что повышает их способность выводить из строя зараженные устройства.
-----

Mirai - хорошо известное вредоносное ПО для интернета вещей, появившееся в 2016 году и печально известное выполнением одной из крупнейших зарегистрированных распределенных атак типа "Отказ в обслуживании" (DDoS). Его значимость в сфере кибербезопасности обусловлена его способностью использовать уязвимости в различных устройствах Интернета вещей (IoT), что приводит к широкомасштабным сбоям.

Технический анализ Mirai выявляет характеристики, общие для вредоносного ПО Интернета вещей, включая его обозначение как 32-разрядного исполняемого файла ELF. Динамический анализ выявил попытки исходящего TCP-соединения с зараженных устройств на вредоносный IP-адрес 65.222.202.53, известный своей причастностью к подозрительным действиям, в частности, указывающим на DDoS-атаку или попытки эксплойта, нацеленные на порт 80 (HTTP). Этот IP-адрес был связан с содействием вредоносному поведению и потенциальным операциям Command & Control (C2).

Более того, специфические показатели компромисса (IOCs) характеризуют как старый, так и новый варианты Mirai. Старый вариант был привязан к IP-адресам типа 160.30.44.120, на которых размещался двоичный файл вредоносного ПО. Напротив, в более новом варианте используются обновленные методы, включая использование сжатия UPX для своих двоичных файлов и более широкий спектр команд для внешней связи, таких как wget, curl и ftpget, которые могут быть использованы для получения дополнительной полезной нагрузки.

Поведение вредоносного ПО также включает команды для управления системой, такие как остановка, перезагрузка и завершение работы. Эти команды указывают на потенциальную возможность Mirai выводить из строя зараженные устройства или захватывать их, повышая уровень своей угрозы. Для удаления, устранения заражения требуется перезагрузка в безопасном режиме с подключением к сети и запуском обновленного антивирусного программного обеспечения, которое обнаруживает вредоносное ПО под названием Backdoor.W32.300821.Linux.Mirai.b.YR.

Таким образом, Mirai's воздействие как ботнет Интернета вещей подчеркивает важность защиты подключенных устройств, выявляя надежные структуры управления и универсальные методы коммуникации, используемые современными версиями вредоносного ПО для расширения их охвата и эффективного контроля скомпрометированных систем.

#ParsedReport #CompletenessHigh
22-10-2025

Unmasking MuddyWaters New Malware Toolkit Driving International Espionage

https://www.group-ib.com/blog/muddywater-espionage/

Report completeness: High

Actors/Campaigns:
Muddywater (motivation: cyber_espionage)

Threats:
Phoenix_keylogger
Chromiumstealer
Socgholish_loader
Cannonrat
Credential_harvesting_technique
Action1_tool
Credential_stealing_technique

Victims:
Government entities, International organizations

Industry:
Energy, Government

Geo:
America, Africa, Middle east, Iran, France

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1059.005, T1078, T1090, T1204, T1219, T1566.001, T1566.001, T1586, have more...

IOCs:
Hash: 9
Domain: 1
Path: 5
File: 2
Registry: 1
IP: 1
Url: 1

Soft:
Microsoft Word, Gmail, Component Object Model, Winlogon, Google Chrome, Opera, Microsoft Edge, Chromium

Algorithms:
aes

Languages:
visual_basic, python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, APT-группировка, запустила целенаправленную кампанию фишинга против более чем 100 правительственных организаций на Ближнем Востоке и в Северной Африке, используя скомпрометированные Учетные записи эл. почты для распространения бэкдора Phoenix (версия 4). Атака включает вредоносные документы, которые развертывают загрузчик FakeUpdate, который затем внедряет бэкдор для поддержания закрепления с помощью COM-библиотеки DLL. Инфраструктура включает в себя пользовательский инструмент RMM и утилиты для удаленного доступа и сбора учетных записей, демонстрирующие эволюционирующие методы шпионажа группы.
-----

Group-IB Threat Intelligence выявила сложную кампанию фишинга, приписываемую APT-группировке "MuddyWater", направленную против более чем 100 правительственных организаций, в основном по всему Ближнему Востоку и Северной Африке. Кампании используют скомпрометированные Учетные записи эл. почты для распространения вредоносного ПО с бэкдором Phoenix, в частности версии 4, в которой используется новая технология закрепления. Примечательно, что MuddyWater использовал скомпрометированную учетную запись для отправки фишингов электронных писем, причем первоначальный доступ был привязан к выходному узлу NordVPN во Франции.

На фишинг-кампании заслуживают внимания из-за их стратегий, которые включают в себя не только официальные государственные адреса эл. почты, но и частным лицам, от поставщиков, как Yahoo и Gmail. Такая широта указывает на глубокое понимание целевых организаций, особенно тех, которые участвуют в международном сотрудничестве и гуманитарных миссиях, что отражает геополитические мотивы, стоящие за шпионской деятельностью.

Поведение вредоносного ПО, связанное с этой операцией, включает в себя развертывание вредоносных документов, которые после включения макросов удаляют файл по пути C:\Users\Public\Documents\ManagerProc.log а затем выполните его. Этот файл служит загрузчиком, называемым FakeUpdate, который расшифровывает и вводит полезную нагрузку второго этапа — бэкдор версии 4 Phoenix — в свой собственный процесс. Эта версия бэкдора характеризуется библиотекой динамических ссылок (DLL) COM-модели объектов (Component Object Model, COM), которая разработана для поддержания закрепления путем выполнения встроенного переносимого исполняемого файла, расположенного по адресу C:\Users\Public\Downloads\Mononoke.exe .

Что касается инфраструктуры, в кампании используется пользовательский инструмент удаленного мониторинга и управления (RMM), а также несколько утилит, найденных на серверах управления (C2), которые, вероятно, использовались для удаленного доступа и сбора учетных записей из скомпрометированных систем. Обнаружение этих новых инструментов указывает на то, что MuddyWater продолжает развивать свои возможности для облегчения шпионажа и тактики проникновения, что предполагает текущие и связанные с ними мероприятия кампании.

#ParsedReport #CompletenessMedium
23-10-2025

Warlock Ransomware: Old Actor, New Tricks?

https://www.security.com/threat-intelligence/warlock-ransomware-origins

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
X2anylock
Toolshell_vuln
Lockbit
Dll_sideloading_technique
Ak47c2_tool
Project_ak47_tool
Blackbasta
Byovd_technique
Cobalt_strike_tool

Industry:
Healthcare

Geo:
Brazil, Taiwan, India, Japan, China, Russia, Chinese, Middle east

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1553.002, T1562

IOCs:
File: 3
Hash: 12

Soft:
Microsoft SharePoint, Curl

Algorithms:
sha256, 7zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Warlock ransomware, связанная с китайскими злоумышленниками, включая Budworm, Sheathminer и Storm-2603, появилась в июне 2025 года, используя уязвимость CVE-2025-53770 в Microsoft SharePoint. Эта программа-вымогатель может быть ребрендингом Anylock, с непрерывной вредоносной активностью, прослеживаемой вплоть до 2019 года. Атаки Warlock используют сложные методы обхода защиты, включая украденные Цифровые сертификаты, что указывает на сочетание стратегий шпионажа и программ-вымогателей, которые усложняют идентификацию и принятие ответных мер.
-----

Warlock ransomware, связанный с базирующимся в Китае злоумышленником, появился в июне 2025 года, вскоре после того, как был связан с эксплойтами в Microsoft SharePoint, в частности с уязвимостью CVE-2025-53770. Этот инцидент был частью серии атак ToolShell, в ходе которых несколько китайских акторов, идентифицированных как Budworm (APT27), Sheathminer (APT31) и Storm-2603, воспользовались уязвимостью zero-day до ее исправления. Среди них Storm-2603 развернул как Warlock ransomware, так и полезную нагрузку LockBit.

Хотя Warlock можно считать ребрендингом более старой программы-вымогателя Anylock, данные указывают на продолжение вредоносной активности со стороны хакерской группировки еще с 2019 года. Расследования, проведенные Symantec и Carbon Black, выявили использование сложного инструмента обхода защиты при атаках Warlock, примечательного своей аутентификацией с помощью украденного цифрового сертификата, связанного с организацией coolschool. Это подразумевает, что акторы, стоящие за Warlock, были искусны в смешивании шпионажа с операциями с использованием программ-вымогателей - стратегия, которая потенциально служит для сокрытия их основных намерений по сбору разведывательной информации.

Эволюция инструментария группы свидетельствует о возросшем уровне профессионализма и адаптивности, указывая на то, что они могут действовать как подрядчики, предоставляющие услуги для шпионажа, а также для коммерческих схем вымогательства. Двойственный характер их деятельности подчеркивает сложность выявления и реагирования на сегодняшние киберугрозы, отражая более широкую тенденцию, когда киберпреступность используется не только для получения финансовой выгоды, но и в качестве прикрытия для деятельности, связанной со шпионажем.

#ParsedReport #CompletenessLow
22-10-2025

131 Malicious Chrome Extensions Abused WhatsApp Web in a Massive Spam Campaign

https://socradar.io/131-chrome-extensions-abused-whatsapp-web/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Whatsapp web users, Browser extension ecosystem, Marketing and crm users

Geo:
Brazil

TTPs:
Tactics: 2
Technics: 5

Soft:
Chrome, WhatsApp, Firefox

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года исследователи обнаружили 131 вредоносное расширение Chrome, использующее WhatsApp Web для рассылки спама и использующее общий сервер для обхода модерации Google. Эта операция, проведенная под руководством DBX Tecnologia и Grupo OPT, включала внедрение вредоносного JavaScript для массового обмена сообщениями и удаления контактов, а также ложную рекламу законных функций. Эта угроза является примером скоординированной кампании, в ходе которой используются законные платформы для распространения вредоносных расширений, что усложняет обнаружение и увеличивает риски для пользователей.
-----

В начале 2025 года исследователи выявили существенную киберугрозу, связанную с 131 вредоносным расширением Chrome, которое использовало WhatsApp Web для широкомасштабной кампании по рассылке спама. Эти расширения, продаваемые как инструменты для улучшения делового общения, имели общую серверную инфраструктуру и кодовую базу, что позволяло им обходить политику модерации в интернет-магазине Google Chrome. Постоянно проводя ребрендинг и публикуя клонированные расширения, злоумышленники смогли получить доступ к широкой базе пользователей, не вызывая тревоги.

Кампания иллюстрирует тревожную тенденцию злоупотребления браузерными расширениями, функционирующими подобно Цепочке поставок. Одна вредоносная кодовая база была перепрофилирована на несколько расширений, что скрывало источник угрозы и усложняло усилия по обнаружению и устранению неполадок. Основными организациями, стоящими за этой операцией, были определены DBX Tecnologia и Grupo OPT, которые действовали по модели white-label. Эти организации разработали средство автоматизации борьбы со спамом, которое позволило третьим лицам проводить ребрендинг и составлять списки этих вредоносных расширений так, как если бы они были их собственными, что указывает на скоординированные усилия, а не на отдельные инциденты.

Эти расширения были специально нацелены на пользователей, которые после установки внедряли вредоносный JavaScript на веб-страницу WhatsApp. Этот внедренный код способствовал автоматическому отправлению массовых сообщений, удалению контактов и планированию рассылки спама. Эти расширения часто ложно рекламируют такие функции, как соблюдение конфиденциальности и интеграция CRM, в то время как на самом деле нарушают условия предоставления услуг как WhatsApp, так и интернет-магазина Chrome. Ничего не подозревающие пользователи, привлеченные заявлениями об улучшении маркетинговой работы, невольно превратили свои браузеры в спам-ботов.

Для снижения рисков, связанных с такими угрозами, рекомендуется использовать несколько стратегий. Организациям следует регулярно проверять установленные расширения на легитимность и вводить списки разрешений/запретов для расширений браузера. Также важно ограничить установку программного обеспечения проверенными источниками, поддерживать актуальность браузеров и операционных систем и информировать пользователей об опасностях, связанных с неизвестными расширениями. Кроме того, использование различных методов обнаружения, согласованных с платформой MITRE ATT&CK framework, может повысить безопасность, включая мониторинг установки новых расширений, ненормального выполнения JavaScript и подозрительного доступа к данным браузера.

Этот инцидент иллюстрирует, что злонамеренные акторы все больше стирают границы между законными маркетинговыми инструментами и вредоносным программным обеспечением, используя надежные платформы, такие как интернет-магазин Chrome, для широкого распространения спам-инструментов. Необходимо совершенствовать меры безопасности, чтобы обеспечить постоянный мониторинг и управление безопасностью расширений браузера, признавая потенциальные угрозы, присущие этим широко используемым инструментам.

#ParsedReport #CompletenessLow
22-10-2025

Unpacking the Phishing Script Behind a Server-Orchestrated Deception

https://cofense.com/blog/unpacking-the-phishing-script-behind-a-server-orchestrated-deception

Report completeness: Low

Threats:
Spear-phishing_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.003, T1071.001, T1204.001, T1566.002, T1583.001, T1589.002

IOCs:
File: 4

Soft:
Microsoft OneDrive

Algorithms:
base64

Functions:
uuidv4

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака фишинга использует передовые методы обхода защищенных почтовых шлюзов, используя фрагмент JavaScript, который включает случайный выбор домена и динамическую замену страницы. Этот скрипт повышает свою эффективность за счет использования UUID для отслеживания жертв, позволяя осуществлять персонализированный сбор учетных записей, маскируя вредоносный контент под законные веб-адреса. Такая тактика сигнализирует о тревожной тенденции в области киберугроз, подчеркивая необходимость адаптивных мер безопасности против развивающихся методов фишинга.
-----

Новая атака фишинга является примером сложного метода, который успешно обходит защищенные шлюзы электронной почты (SEGS) и другие средства защиты периметра. В этой атаке используется продвинутый сценарий фишинга, характеризующийся случайным выбором домена и динамической заменой страницы, управляемой сервером, что делает его особенно эффективным при краже учетных данных пользователя и уклонении от обнаружения.

Основной вектор этой кампании по фишингу связан с фрагментом JavaScript, который отличается от традиционных методов. В отличие от распространенных скриптов фишинга, которые в значительной степени полагаются на избыточные повторные попытки домена и статические перенаправления, этот скрипт использует такие тактики, как случайный выбор домена без отработки отказа, генерация UUID и динамическая замена страницы. Отсутствие механизмов обработки ошибок и повторных попыток, на что указывает простая консоль.регистрация запросов AJAX означает более оптимизированный подход, повышающий эффективность кампании.

Одним из существенных компонентов этой атаки является случайный выбор доменов. В качестве примера можно привести использование случайно выбранного домена .org для размещения фишинг-контента, что еще больше усложняет усилия по обнаружению. Кроме того, скрипт включает в себя двойную генерацию UUID — один жестко запрограммированный (предположительно, для идентификации конкретных кампаний или целевых групп) и один динамически генерируемый с использованием uuidv4, что позволяет злоумышленникам отслеживать отдельных жертв и эффективно сопоставлять украденные данные.

Ключевым элементом, который усиливает обман этого скрипта фишинга, является реализация динамической замены страницы. Сервер злоумышленника может заменить всю веб-страницу настроенным вредоносным контентом без изменения видимого веб-адреса. Этот метод вводит пользователей в заблуждение, заставляя их полагать, что они взаимодействуют с законным сайтом, в то время как фактический контент служит для сбора учетных данных.

Понимание этих методов имеет решающее значение для улучшения защиты от таких продвинутых угроз фишинга, которые представляют значительные риски для организаций и их пользователей. Инновационная тактика, использованная в этой конкретной кампании по фишингу, иллюстрирует тревожную тенденцию в эволюции киберугроз, подчеркивая необходимость постоянной бдительности и адаптации мер безопасности.

#ParsedReport #CompletenessHigh
23-10-2025

TA585 In-depth technical analysis of an organization's deployment of MonsterV2 RAT using ClickFix phishing technology

https://www.ctfiot.com/275404.html

Report completeness: High

Actors/Campaigns:
Ta585 (motivation: information_theft, cyber_criminal)

Threats:
Monster_ransomware
Clickfix_technique
Coresecthree
Hvnc_tool
Rhadamanthys
Steganography_technique
Soniccrypt

Victims:
Small and medium sized businesses, Financial industry, Accounting industry

Industry:
Government, Financial, Education

Geo:
Ukraine, Russia, Belarus

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1204.001, T1556.002, T1566.002

IOCs:
Domain: 1
File: 1
Hash: 2

Soft:
Windows runtime, Chrome, Firefox, Outlook, WeChat

Algorithms:
chacha20, base64

Languages:
javascript, typescript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка TA585 использует передовые методы фишинга для распространения троянца удаленного доступа MonsterV2 (RAT) через электронные письма Налоговой службы, содержащие ссылки на вредоносные PDF-файлы. Эта тактика умело использует срочность, связанную с налоговыми сообщениями, ориентируясь на малые и средние предприятия финансового сектора. RAT MonsterV2 обеспечивает несанкционированный доступ к системам, облегчает кражу данных и допускает дальнейшие вредоносные действия, в то время как технология ClickFix улучшает обман при попытках фишинга.
-----

В феврале 2025 года Proofpoint идентифицировала киберпреступную группу TA585 как использующую сложные методы фишинга для развертывания троянца удаленного доступа MonsterV2 (RAT). Их подход заключается в рассылке фишинг-писем на тему Налогового управления США, содержащих ссылки на вредоносные PDF-файлы. Эти PDF-файлы направляют жертв на мошеннические страницы аутентификации, которые работают с помощью ClickFix, технологии, разработанной для повышения эффективности такой тактики фишинга.

Кампании TA585's в основном ориентированы на малые и средние предприятия финансового и бухгалтерского секторов, используя доверие и срочность, часто связанные с сообщениями налоговых органов. Использование электронных писем на тему Налогового управления США служит эффективной приманкой, учитывая легитимность такого контента, связанного с правительством, тем самым повышая вероятность успешных попыток фишинга.

RAT MonsterV2 примечателен своими возможностями, позволяющими злоумышленникам получать несанкционированный доступ к скомпрометированным системам. После запуска это вредоносное ПО, вероятно, облегчит дальнейшую эксплуатацию, включая кражу конфиденциальных данных, развертывание дополнительных полезных нагрузок или закрепление на зараженных компьютерах. Технология ClickFix, используемая в этих атаках фишинга, упрощает переход жертвы к поддельным порталам входа в систему, повышая шансы атаки обмануть цель.

#ParsedReport #CompletenessLow
22-10-2025

Deep analysis of the flaw in BetterBank reward logic

https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/

Report completeness: Low

Victims:
Betterbank, Defi protocol users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1565.002, T1608, T1656

IOCs:
File: 2
Coin: 4

Soft:
BetterBank, PulseX

Wallets:
mainnet

Crypto:
ethereum

Functions:
logBuy, _transfer, getTokenTWAP, swapExactTokensForFavorAndTrackBonus, calculateFavorBonuses, createPair, setAllowedDirectPair

#ParsedReport #ExtractedSchema

Classified images:
schema: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года BetterBank, протокол DeFi на PulseChain, подвергся серьезной атаке из-за уязвимости в функции swapExactTokensForFavorAndTrackBonus, что привело к краже цифровых активов на сумму около 5 миллионов долларов. Этот эксплойт, основанный на предыдущем аудите безопасности, который преуменьшил серьезность критической уязвимости, позволил злоумышленнику истощить резервы ликвидности с помощью серии запланированных транзакций с использованием мгновенных займов. Атака была связана с недостатками в функции logBuy() контракта favorPLS.sol, что выявило трудности в сетевой экспертизе на фоне недостаточного количества инструментов отслеживания.
-----

В августе 2025 года BetterBank, децентрализованный финансовый протокол (DeFi) на платформе PulseChain, столкнулся со значительным взломом, который привел к краже цифровых активов на сумму около 5 миллионов долларов. Основная уязвимость была обнаружена в функции swapExactTokensForFavorAndTrackBonus системы бонусного вознаграждения протокола. Эта функция была предназначена для чеканки вознаграждающих токенов ESTEEM на основе сделок с использованием токенов FAVOR, но в ней отсутствовала необходимая проверка для подтверждения того, что обмены происходили в рамках законных пулов ликвидности, внесенных в белый список.

Эксплойт стал конечным результатом событий, произошедших в июле 2025 года, когда аудит безопасности, проведенный компанией Zokyo, выявил критическую уязвимость в системе бонусного вознаграждения. Несмотря на выявление проблемы, которая касалась способности злоумышленников получать бонусы с помощью поддельных токенов, степень ее серьезности была снижена до "Информационной" и помечена как "Устраненная", что привело к недостаточному устранению проблемы со стороны команды BetterBank.

Сама атака была нацелена на пулы ликвидности BetterBank, в результате чего были выведены активы, такие как 891 миллион токенов DAI и более 16 миллиардов токенов PLSX и WPLS. Злоумышленник выполнил серию тщательно спланированных транзакций, используя срочный кредит для получения больших сумм капитала, необходимых для эффективного манипулирования ликвидностью в рамках протокола.

В основе эксплойта лежала логика контракта favorPLS.sol, в частности функция logBuy(). Используя конструктивный недостаток системы начисления вознаграждений, злоумышленник смог создать прибыль, используя поддельные пулы ликвидности. Этот инцидент также выявил проблемы в сетевой криминалистике, поскольку отслеживание потока украденных средств было затруднено из-за недостаточного доступа к общедоступным аналитикам блокчейнов в PulseChain. Аналитические системы с открытым исходным кодом, такие как Blockscout, оказались незаменимыми для отслеживания незаконных транзакций.