#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MuddyWater, APT-группировка, запустила целенаправленную кампанию фишинга против более чем 100 правительственных организаций на Ближнем Востоке и в Северной Африке, используя скомпрометированные Учетные записи эл. почты для распространения бэкдора Phoenix (версия 4). Атака включает вредоносные документы, которые развертывают загрузчик FakeUpdate, который затем внедряет бэкдор для поддержания закрепления с помощью COM-библиотеки DLL. Инфраструктура включает в себя пользовательский инструмент RMM и утилиты для удаленного доступа и сбора учетных записей, демонстрирующие эволюционирующие методы шпионажа группы.
-----

Group-IB Threat Intelligence выявила сложную кампанию фишинга, приписываемую APT-группировке "MuddyWater", направленную против более чем 100 правительственных организаций, в основном по всему Ближнему Востоку и Северной Африке. Кампании используют скомпрометированные Учетные записи эл. почты для распространения вредоносного ПО с бэкдором Phoenix, в частности версии 4, в которой используется новая технология закрепления. Примечательно, что MuddyWater использовал скомпрометированную учетную запись для отправки фишингов электронных писем, причем первоначальный доступ был привязан к выходному узлу NordVPN во Франции.

На фишинг-кампании заслуживают внимания из-за их стратегий, которые включают в себя не только официальные государственные адреса эл. почты, но и частным лицам, от поставщиков, как Yahoo и Gmail. Такая широта указывает на глубокое понимание целевых организаций, особенно тех, которые участвуют в международном сотрудничестве и гуманитарных миссиях, что отражает геополитические мотивы, стоящие за шпионской деятельностью.

Поведение вредоносного ПО, связанное с этой операцией, включает в себя развертывание вредоносных документов, которые после включения макросов удаляют файл по пути C:\Users\Public\Documents\ManagerProc.log а затем выполните его. Этот файл служит загрузчиком, называемым FakeUpdate, который расшифровывает и вводит полезную нагрузку второго этапа — бэкдор версии 4 Phoenix — в свой собственный процесс. Эта версия бэкдора характеризуется библиотекой динамических ссылок (DLL) COM-модели объектов (Component Object Model, COM), которая разработана для поддержания закрепления путем выполнения встроенного переносимого исполняемого файла, расположенного по адресу C:\Users\Public\Downloads\Mononoke.exe .

Что касается инфраструктуры, в кампании используется пользовательский инструмент удаленного мониторинга и управления (RMM), а также несколько утилит, найденных на серверах управления (C2), которые, вероятно, использовались для удаленного доступа и сбора учетных записей из скомпрометированных систем. Обнаружение этих новых инструментов указывает на то, что MuddyWater продолжает развивать свои возможности для облегчения шпионажа и тактики проникновения, что предполагает текущие и связанные с ними мероприятия кампании.

#ParsedReport #CompletenessMedium
23-10-2025

Warlock Ransomware: Old Actor, New Tricks?

https://www.security.com/threat-intelligence/warlock-ransomware-origins

Report completeness: Medium

Actors/Campaigns:
Emissary_panda
Apt31
Storm-2603

Threats:
X2anylock
Toolshell_vuln
Lockbit
Dll_sideloading_technique
Ak47c2_tool
Project_ak47_tool
Blackbasta
Byovd_technique
Cobalt_strike_tool

Industry:
Healthcare

Geo:
Brazil, Taiwan, India, Japan, China, Russia, Chinese, Middle east

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1190, T1486, T1553.002, T1562

IOCs:
File: 3
Hash: 12

Soft:
Microsoft SharePoint, Curl

Algorithms:
sha256, 7zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Warlock ransomware, связанная с китайскими злоумышленниками, включая Budworm, Sheathminer и Storm-2603, появилась в июне 2025 года, используя уязвимость CVE-2025-53770 в Microsoft SharePoint. Эта программа-вымогатель может быть ребрендингом Anylock, с непрерывной вредоносной активностью, прослеживаемой вплоть до 2019 года. Атаки Warlock используют сложные методы обхода защиты, включая украденные Цифровые сертификаты, что указывает на сочетание стратегий шпионажа и программ-вымогателей, которые усложняют идентификацию и принятие ответных мер.
-----

Warlock ransomware, связанный с базирующимся в Китае злоумышленником, появился в июне 2025 года, вскоре после того, как был связан с эксплойтами в Microsoft SharePoint, в частности с уязвимостью CVE-2025-53770. Этот инцидент был частью серии атак ToolShell, в ходе которых несколько китайских акторов, идентифицированных как Budworm (APT27), Sheathminer (APT31) и Storm-2603, воспользовались уязвимостью zero-day до ее исправления. Среди них Storm-2603 развернул как Warlock ransomware, так и полезную нагрузку LockBit.

Хотя Warlock можно считать ребрендингом более старой программы-вымогателя Anylock, данные указывают на продолжение вредоносной активности со стороны хакерской группировки еще с 2019 года. Расследования, проведенные Symantec и Carbon Black, выявили использование сложного инструмента обхода защиты при атаках Warlock, примечательного своей аутентификацией с помощью украденного цифрового сертификата, связанного с организацией coolschool. Это подразумевает, что акторы, стоящие за Warlock, были искусны в смешивании шпионажа с операциями с использованием программ-вымогателей - стратегия, которая потенциально служит для сокрытия их основных намерений по сбору разведывательной информации.

Эволюция инструментария группы свидетельствует о возросшем уровне профессионализма и адаптивности, указывая на то, что они могут действовать как подрядчики, предоставляющие услуги для шпионажа, а также для коммерческих схем вымогательства. Двойственный характер их деятельности подчеркивает сложность выявления и реагирования на сегодняшние киберугрозы, отражая более широкую тенденцию, когда киберпреступность используется не только для получения финансовой выгоды, но и в качестве прикрытия для деятельности, связанной со шпионажем.

#ParsedReport #CompletenessLow
22-10-2025

131 Malicious Chrome Extensions Abused WhatsApp Web in a Massive Spam Campaign

https://socradar.io/131-chrome-extensions-abused-whatsapp-web/

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Whatsapp web users, Browser extension ecosystem, Marketing and crm users

Geo:
Brazil

TTPs:
Tactics: 2
Technics: 5

Soft:
Chrome, WhatsApp, Firefox

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В начале 2025 года исследователи обнаружили 131 вредоносное расширение Chrome, использующее WhatsApp Web для рассылки спама и использующее общий сервер для обхода модерации Google. Эта операция, проведенная под руководством DBX Tecnologia и Grupo OPT, включала внедрение вредоносного JavaScript для массового обмена сообщениями и удаления контактов, а также ложную рекламу законных функций. Эта угроза является примером скоординированной кампании, в ходе которой используются законные платформы для распространения вредоносных расширений, что усложняет обнаружение и увеличивает риски для пользователей.
-----

В начале 2025 года исследователи выявили существенную киберугрозу, связанную с 131 вредоносным расширением Chrome, которое использовало WhatsApp Web для широкомасштабной кампании по рассылке спама. Эти расширения, продаваемые как инструменты для улучшения делового общения, имели общую серверную инфраструктуру и кодовую базу, что позволяло им обходить политику модерации в интернет-магазине Google Chrome. Постоянно проводя ребрендинг и публикуя клонированные расширения, злоумышленники смогли получить доступ к широкой базе пользователей, не вызывая тревоги.

Кампания иллюстрирует тревожную тенденцию злоупотребления браузерными расширениями, функционирующими подобно Цепочке поставок. Одна вредоносная кодовая база была перепрофилирована на несколько расширений, что скрывало источник угрозы и усложняло усилия по обнаружению и устранению неполадок. Основными организациями, стоящими за этой операцией, были определены DBX Tecnologia и Grupo OPT, которые действовали по модели white-label. Эти организации разработали средство автоматизации борьбы со спамом, которое позволило третьим лицам проводить ребрендинг и составлять списки этих вредоносных расширений так, как если бы они были их собственными, что указывает на скоординированные усилия, а не на отдельные инциденты.

Эти расширения были специально нацелены на пользователей, которые после установки внедряли вредоносный JavaScript на веб-страницу WhatsApp. Этот внедренный код способствовал автоматическому отправлению массовых сообщений, удалению контактов и планированию рассылки спама. Эти расширения часто ложно рекламируют такие функции, как соблюдение конфиденциальности и интеграция CRM, в то время как на самом деле нарушают условия предоставления услуг как WhatsApp, так и интернет-магазина Chrome. Ничего не подозревающие пользователи, привлеченные заявлениями об улучшении маркетинговой работы, невольно превратили свои браузеры в спам-ботов.

Для снижения рисков, связанных с такими угрозами, рекомендуется использовать несколько стратегий. Организациям следует регулярно проверять установленные расширения на легитимность и вводить списки разрешений/запретов для расширений браузера. Также важно ограничить установку программного обеспечения проверенными источниками, поддерживать актуальность браузеров и операционных систем и информировать пользователей об опасностях, связанных с неизвестными расширениями. Кроме того, использование различных методов обнаружения, согласованных с платформой MITRE ATT&CK framework, может повысить безопасность, включая мониторинг установки новых расширений, ненормального выполнения JavaScript и подозрительного доступа к данным браузера.

Этот инцидент иллюстрирует, что злонамеренные акторы все больше стирают границы между законными маркетинговыми инструментами и вредоносным программным обеспечением, используя надежные платформы, такие как интернет-магазин Chrome, для широкого распространения спам-инструментов. Необходимо совершенствовать меры безопасности, чтобы обеспечить постоянный мониторинг и управление безопасностью расширений браузера, признавая потенциальные угрозы, присущие этим широко используемым инструментам.

#ParsedReport #CompletenessLow
22-10-2025

Unpacking the Phishing Script Behind a Server-Orchestrated Deception

https://cofense.com/blog/unpacking-the-phishing-script-behind-a-server-orchestrated-deception

Report completeness: Low

Threats:
Spear-phishing_technique

TTPs:

ChatGPT TTPs:
do not use without manual check
T1056.003, T1071.001, T1204.001, T1566.002, T1583.001, T1589.002

IOCs:
File: 4

Soft:
Microsoft OneDrive

Algorithms:
base64

Functions:
uuidv4

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Сложная атака фишинга использует передовые методы обхода защищенных почтовых шлюзов, используя фрагмент JavaScript, который включает случайный выбор домена и динамическую замену страницы. Этот скрипт повышает свою эффективность за счет использования UUID для отслеживания жертв, позволяя осуществлять персонализированный сбор учетных записей, маскируя вредоносный контент под законные веб-адреса. Такая тактика сигнализирует о тревожной тенденции в области киберугроз, подчеркивая необходимость адаптивных мер безопасности против развивающихся методов фишинга.
-----

Новая атака фишинга является примером сложного метода, который успешно обходит защищенные шлюзы электронной почты (SEGS) и другие средства защиты периметра. В этой атаке используется продвинутый сценарий фишинга, характеризующийся случайным выбором домена и динамической заменой страницы, управляемой сервером, что делает его особенно эффективным при краже учетных данных пользователя и уклонении от обнаружения.

Основной вектор этой кампании по фишингу связан с фрагментом JavaScript, который отличается от традиционных методов. В отличие от распространенных скриптов фишинга, которые в значительной степени полагаются на избыточные повторные попытки домена и статические перенаправления, этот скрипт использует такие тактики, как случайный выбор домена без отработки отказа, генерация UUID и динамическая замена страницы. Отсутствие механизмов обработки ошибок и повторных попыток, на что указывает простая консоль.регистрация запросов AJAX означает более оптимизированный подход, повышающий эффективность кампании.

Одним из существенных компонентов этой атаки является случайный выбор доменов. В качестве примера можно привести использование случайно выбранного домена .org для размещения фишинг-контента, что еще больше усложняет усилия по обнаружению. Кроме того, скрипт включает в себя двойную генерацию UUID — один жестко запрограммированный (предположительно, для идентификации конкретных кампаний или целевых групп) и один динамически генерируемый с использованием uuidv4, что позволяет злоумышленникам отслеживать отдельных жертв и эффективно сопоставлять украденные данные.

Ключевым элементом, который усиливает обман этого скрипта фишинга, является реализация динамической замены страницы. Сервер злоумышленника может заменить всю веб-страницу настроенным вредоносным контентом без изменения видимого веб-адреса. Этот метод вводит пользователей в заблуждение, заставляя их полагать, что они взаимодействуют с законным сайтом, в то время как фактический контент служит для сбора учетных данных.

Понимание этих методов имеет решающее значение для улучшения защиты от таких продвинутых угроз фишинга, которые представляют значительные риски для организаций и их пользователей. Инновационная тактика, использованная в этой конкретной кампании по фишингу, иллюстрирует тревожную тенденцию в эволюции киберугроз, подчеркивая необходимость постоянной бдительности и адаптации мер безопасности.

#ParsedReport #CompletenessHigh
23-10-2025

TA585 In-depth technical analysis of an organization's deployment of MonsterV2 RAT using ClickFix phishing technology

https://www.ctfiot.com/275404.html

Report completeness: High

Actors/Campaigns:
Ta585 (motivation: information_theft, cyber_criminal)

Threats:
Monster_ransomware
Clickfix_technique
Coresecthree
Hvnc_tool
Rhadamanthys
Steganography_technique
Soniccrypt

Victims:
Small and medium sized businesses, Financial industry, Accounting industry

Industry:
Government, Financial, Education

Geo:
Ukraine, Russia, Belarus

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1204.001, T1556.002, T1566.002

IOCs:
Domain: 1
File: 1
Hash: 2

Soft:
Windows runtime, Chrome, Firefox, Outlook, WeChat

Algorithms:
chacha20, base64

Languages:
javascript, typescript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка TA585 использует передовые методы фишинга для распространения троянца удаленного доступа MonsterV2 (RAT) через электронные письма Налоговой службы, содержащие ссылки на вредоносные PDF-файлы. Эта тактика умело использует срочность, связанную с налоговыми сообщениями, ориентируясь на малые и средние предприятия финансового сектора. RAT MonsterV2 обеспечивает несанкционированный доступ к системам, облегчает кражу данных и допускает дальнейшие вредоносные действия, в то время как технология ClickFix улучшает обман при попытках фишинга.
-----

В феврале 2025 года Proofpoint идентифицировала киберпреступную группу TA585 как использующую сложные методы фишинга для развертывания троянца удаленного доступа MonsterV2 (RAT). Их подход заключается в рассылке фишинг-писем на тему Налогового управления США, содержащих ссылки на вредоносные PDF-файлы. Эти PDF-файлы направляют жертв на мошеннические страницы аутентификации, которые работают с помощью ClickFix, технологии, разработанной для повышения эффективности такой тактики фишинга.

Кампании TA585's в основном ориентированы на малые и средние предприятия финансового и бухгалтерского секторов, используя доверие и срочность, часто связанные с сообщениями налоговых органов. Использование электронных писем на тему Налогового управления США служит эффективной приманкой, учитывая легитимность такого контента, связанного с правительством, тем самым повышая вероятность успешных попыток фишинга.

RAT MonsterV2 примечателен своими возможностями, позволяющими злоумышленникам получать несанкционированный доступ к скомпрометированным системам. После запуска это вредоносное ПО, вероятно, облегчит дальнейшую эксплуатацию, включая кражу конфиденциальных данных, развертывание дополнительных полезных нагрузок или закрепление на зараженных компьютерах. Технология ClickFix, используемая в этих атаках фишинга, упрощает переход жертвы к поддельным порталам входа в систему, повышая шансы атаки обмануть цель.

#ParsedReport #CompletenessLow
22-10-2025

Deep analysis of the flaw in BetterBank reward logic

https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/

Report completeness: Low

Victims:
Betterbank, Defi protocol users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1565.002, T1608, T1656

IOCs:
File: 2
Coin: 4

Soft:
BetterBank, PulseX

Wallets:
mainnet

Crypto:
ethereum

Functions:
logBuy, _transfer, getTokenTWAP, swapExactTokensForFavorAndTrackBonus, calculateFavorBonuses, createPair, setAllowedDirectPair

#ParsedReport #ExtractedSchema

Classified images:
schema: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года BetterBank, протокол DeFi на PulseChain, подвергся серьезной атаке из-за уязвимости в функции swapExactTokensForFavorAndTrackBonus, что привело к краже цифровых активов на сумму около 5 миллионов долларов. Этот эксплойт, основанный на предыдущем аудите безопасности, который преуменьшил серьезность критической уязвимости, позволил злоумышленнику истощить резервы ликвидности с помощью серии запланированных транзакций с использованием мгновенных займов. Атака была связана с недостатками в функции logBuy() контракта favorPLS.sol, что выявило трудности в сетевой экспертизе на фоне недостаточного количества инструментов отслеживания.
-----

В августе 2025 года BetterBank, децентрализованный финансовый протокол (DeFi) на платформе PulseChain, столкнулся со значительным взломом, который привел к краже цифровых активов на сумму около 5 миллионов долларов. Основная уязвимость была обнаружена в функции swapExactTokensForFavorAndTrackBonus системы бонусного вознаграждения протокола. Эта функция была предназначена для чеканки вознаграждающих токенов ESTEEM на основе сделок с использованием токенов FAVOR, но в ней отсутствовала необходимая проверка для подтверждения того, что обмены происходили в рамках законных пулов ликвидности, внесенных в белый список.

Эксплойт стал конечным результатом событий, произошедших в июле 2025 года, когда аудит безопасности, проведенный компанией Zokyo, выявил критическую уязвимость в системе бонусного вознаграждения. Несмотря на выявление проблемы, которая касалась способности злоумышленников получать бонусы с помощью поддельных токенов, степень ее серьезности была снижена до "Информационной" и помечена как "Устраненная", что привело к недостаточному устранению проблемы со стороны команды BetterBank.

Сама атака была нацелена на пулы ликвидности BetterBank, в результате чего были выведены активы, такие как 891 миллион токенов DAI и более 16 миллиардов токенов PLSX и WPLS. Злоумышленник выполнил серию тщательно спланированных транзакций, используя срочный кредит для получения больших сумм капитала, необходимых для эффективного манипулирования ликвидностью в рамках протокола.

В основе эксплойта лежала логика контракта favorPLS.sol, в частности функция logBuy(). Используя конструктивный недостаток системы начисления вознаграждений, злоумышленник смог создать прибыль, используя поддельные пулы ликвидности. Этот инцидент также выявил проблемы в сетевой криминалистике, поскольку отслеживание потока украденных средств было затруднено из-за недостаточного доступа к общедоступным аналитикам блокчейнов в PulseChain. Аналитические системы с открытым исходным кодом, такие как Blockscout, оказались незаменимыми для отслеживания незаконных транзакций.

#ParsedReport #CompletenessMedium
23-10-2025

Jingle Thief: Inside a Cloud-Based Gift Card Fraud Campaign

https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/

Report completeness: Medium

Actors/Campaigns:
Jingle_thief (motivation: financially_motivated)
Cl-cri-1032
Atlas_lion

Threats:
Smishing_technique

Industry:
Telco, Ngo, Critical_infrastructure, Retail

Geo:
India, Australia, Asia, Japan, Middle east, Morocco

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 1
IP: 22

Soft:
WordPress, ServiceNow, Microsoft Entra

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Jingle Thief - это финансово мотивированная киберугроза, нацеленная в первую очередь на сектор розничной торговли и потребительских услуг с целью мошенничества с подарочными картами, с использованием тактики, включающей фишинг и smishing. Злоумышленники получают первоначальный доступ через поддельные страницы входа в систему Microsoft 365, проводят разведку возможностей финансового мошенничества и используют внутренний фишинг для распространения в скомпрометированных организациях. Акторы используют Microsoft Entra ID для постоянного доступа, используя слабый контроль в системах подарочных карт для создания карт высокой стоимости, способствуя отмыванию денег с минимальным обнаружением.
-----

Кампания Jingle Thief, организованная финансово мотивированными злоумышленниками из Марокко, нацелена на глобальный сектор розничной торговли и потребительских услуг, уделяя особое внимание мошенничеству с подарочными картами в праздничные дни. Эти злоумышленники используют тактику фишинга и smishing для получения несанкционированного доступа к организациям, которые выпускают подарочные карты, а затем добиваются необходимого доступа для выпуска этих карт обманным путем. Кампания, которая, по оценкам со средней степенью уверенности, проводится с 2021 года, демонстрирует передовую тактику и четкую оперативную направленность, хотя и не спонсируется государством.

Первоначальный доступ в основном осуществляется с помощью тщательно подобранных электронных писем и SMS-сообщений фишинга, которые направляют жертв на поддельные порталы входа в систему Microsoft 365, часто предназначенные для того, чтобы казаться заслуживающими доверия, выдавая себя за законные организации, такие как НПО. После успешной кражи учетных данных злоумышленники проводят тщательную разведку окружения объекта, используя полученную информацию для выявления возможностей финансового мошенничества. Это включает в себя интеллектуальный анализ данных с таких платформ, как SharePoint и OneDrive, где они ищут рабочие процессы выдачи подарочных карт и внутренние руководства по доступу.

Вместо того чтобы использовать вредоносное ПО, Jingle Thief использует внутреннюю тактику фишинга, чтобы расширить свой охват внутри организаций. После компрометации учетной записи пользователя они отправляют другим сотрудникам электронные письма с фишингом с законных учетных записей, маскируя свои действия под уведомления ИТ-служб. Примечательно, что акторы внедряют методы скрытой рассылки электронной почты, такие как скрытное перемещение отправленных фишинг-писем в удаленные элементы, чтобы избежать обнаружения.

Злоумышленники также доминируют на несанкционированных устройствах, используя функции самообслуживания законных пользователей Microsoft Entra ID для постоянного доступа, тем самым обходя типичные меры безопасности, такие как сброс пароля. Их деятельность характеризуется особым поведенческим профилем и в значительной степени прослеживается по IP-адресам, геолокированным в Марокко, с тенденцией отказываться от инструментов анонимности, которые используют многие другие киберпреступники. Этот дерзкий метод работы облегчает мониторинг внутренних коммуникаций без срабатывания аварийных сигналов.

Кампания подчеркивает уязвимости, присутствующие в системах подарочных карт, которые часто имеют слабый внутренний контроль и мониторинг. Тщательно отслеживая эти системы, Jingle Thief может создавать подарочные карты высокой стоимости для перепродажи или для отмывания денег, при этом их вредоносная деятельность остается практически незаметной. В целом, эта кампания иллюстрирует растущий уровень угроз, когда атаки на основе личных данных используют слабо защищенные корпоративные системы для совершения крупномасштабных финансовых преступлений.