#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступная группировка TA585 использует передовые методы фишинга для распространения троянца удаленного доступа MonsterV2 (RAT) через электронные письма Налоговой службы, содержащие ссылки на вредоносные PDF-файлы. Эта тактика умело использует срочность, связанную с налоговыми сообщениями, ориентируясь на малые и средние предприятия финансового сектора. RAT MonsterV2 обеспечивает несанкционированный доступ к системам, облегчает кражу данных и допускает дальнейшие вредоносные действия, в то время как технология ClickFix улучшает обман при попытках фишинга.
-----

В феврале 2025 года Proofpoint идентифицировала киберпреступную группу TA585 как использующую сложные методы фишинга для развертывания троянца удаленного доступа MonsterV2 (RAT). Их подход заключается в рассылке фишинг-писем на тему Налогового управления США, содержащих ссылки на вредоносные PDF-файлы. Эти PDF-файлы направляют жертв на мошеннические страницы аутентификации, которые работают с помощью ClickFix, технологии, разработанной для повышения эффективности такой тактики фишинга.

Кампании TA585's в основном ориентированы на малые и средние предприятия финансового и бухгалтерского секторов, используя доверие и срочность, часто связанные с сообщениями налоговых органов. Использование электронных писем на тему Налогового управления США служит эффективной приманкой, учитывая легитимность такого контента, связанного с правительством, тем самым повышая вероятность успешных попыток фишинга.

RAT MonsterV2 примечателен своими возможностями, позволяющими злоумышленникам получать несанкционированный доступ к скомпрометированным системам. После запуска это вредоносное ПО, вероятно, облегчит дальнейшую эксплуатацию, включая кражу конфиденциальных данных, развертывание дополнительных полезных нагрузок или закрепление на зараженных компьютерах. Технология ClickFix, используемая в этих атаках фишинга, упрощает переход жертвы к поддельным порталам входа в систему, повышая шансы атаки обмануть цель.

#ParsedReport #CompletenessLow
22-10-2025

Deep analysis of the flaw in BetterBank reward logic

https://securelist.com/betterbank-defi-protocol-esteem-token-bonus-minting/117822/

Report completeness: Low

Victims:
Betterbank, Defi protocol users

Industry:
Financial

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1565.002, T1608, T1656

IOCs:
File: 2
Coin: 4

Soft:
BetterBank, PulseX

Wallets:
mainnet

Crypto:
ethereum

Functions:
logBuy, _transfer, getTokenTWAP, swapExactTokensForFavorAndTrackBonus, calculateFavorBonuses, createPair, setAllowedDirectPair

#ParsedReport #ExtractedSchema

Classified images:
schema: 5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В августе 2025 года BetterBank, протокол DeFi на PulseChain, подвергся серьезной атаке из-за уязвимости в функции swapExactTokensForFavorAndTrackBonus, что привело к краже цифровых активов на сумму около 5 миллионов долларов. Этот эксплойт, основанный на предыдущем аудите безопасности, который преуменьшил серьезность критической уязвимости, позволил злоумышленнику истощить резервы ликвидности с помощью серии запланированных транзакций с использованием мгновенных займов. Атака была связана с недостатками в функции logBuy() контракта favorPLS.sol, что выявило трудности в сетевой экспертизе на фоне недостаточного количества инструментов отслеживания.
-----

В августе 2025 года BetterBank, децентрализованный финансовый протокол (DeFi) на платформе PulseChain, столкнулся со значительным взломом, который привел к краже цифровых активов на сумму около 5 миллионов долларов. Основная уязвимость была обнаружена в функции swapExactTokensForFavorAndTrackBonus системы бонусного вознаграждения протокола. Эта функция была предназначена для чеканки вознаграждающих токенов ESTEEM на основе сделок с использованием токенов FAVOR, но в ней отсутствовала необходимая проверка для подтверждения того, что обмены происходили в рамках законных пулов ликвидности, внесенных в белый список.

Эксплойт стал конечным результатом событий, произошедших в июле 2025 года, когда аудит безопасности, проведенный компанией Zokyo, выявил критическую уязвимость в системе бонусного вознаграждения. Несмотря на выявление проблемы, которая касалась способности злоумышленников получать бонусы с помощью поддельных токенов, степень ее серьезности была снижена до "Информационной" и помечена как "Устраненная", что привело к недостаточному устранению проблемы со стороны команды BetterBank.

Сама атака была нацелена на пулы ликвидности BetterBank, в результате чего были выведены активы, такие как 891 миллион токенов DAI и более 16 миллиардов токенов PLSX и WPLS. Злоумышленник выполнил серию тщательно спланированных транзакций, используя срочный кредит для получения больших сумм капитала, необходимых для эффективного манипулирования ликвидностью в рамках протокола.

В основе эксплойта лежала логика контракта favorPLS.sol, в частности функция logBuy(). Используя конструктивный недостаток системы начисления вознаграждений, злоумышленник смог создать прибыль, используя поддельные пулы ликвидности. Этот инцидент также выявил проблемы в сетевой криминалистике, поскольку отслеживание потока украденных средств было затруднено из-за недостаточного доступа к общедоступным аналитикам блокчейнов в PulseChain. Аналитические системы с открытым исходным кодом, такие как Blockscout, оказались незаменимыми для отслеживания незаконных транзакций.

#ParsedReport #CompletenessMedium
23-10-2025

Jingle Thief: Inside a Cloud-Based Gift Card Fraud Campaign

https://unit42.paloaltonetworks.com/cloud-based-gift-card-fraud-campaign/

Report completeness: Medium

Actors/Campaigns:
Jingle_thief (motivation: financially_motivated)
Cl-cri-1032
Atlas_lion

Threats:
Smishing_technique

Industry:
Telco, Ngo, Critical_infrastructure, Retail

Geo:
India, Australia, Asia, Japan, Middle east, Morocco

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 1
IP: 22

Soft:
WordPress, ServiceNow, Microsoft Entra

Languages:
php

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Jingle Thief - это финансово мотивированная киберугроза, нацеленная в первую очередь на сектор розничной торговли и потребительских услуг с целью мошенничества с подарочными картами, с использованием тактики, включающей фишинг и smishing. Злоумышленники получают первоначальный доступ через поддельные страницы входа в систему Microsoft 365, проводят разведку возможностей финансового мошенничества и используют внутренний фишинг для распространения в скомпрометированных организациях. Акторы используют Microsoft Entra ID для постоянного доступа, используя слабый контроль в системах подарочных карт для создания карт высокой стоимости, способствуя отмыванию денег с минимальным обнаружением.
-----

Кампания Jingle Thief, организованная финансово мотивированными злоумышленниками из Марокко, нацелена на глобальный сектор розничной торговли и потребительских услуг, уделяя особое внимание мошенничеству с подарочными картами в праздничные дни. Эти злоумышленники используют тактику фишинга и smishing для получения несанкционированного доступа к организациям, которые выпускают подарочные карты, а затем добиваются необходимого доступа для выпуска этих карт обманным путем. Кампания, которая, по оценкам со средней степенью уверенности, проводится с 2021 года, демонстрирует передовую тактику и четкую оперативную направленность, хотя и не спонсируется государством.

Первоначальный доступ в основном осуществляется с помощью тщательно подобранных электронных писем и SMS-сообщений фишинга, которые направляют жертв на поддельные порталы входа в систему Microsoft 365, часто предназначенные для того, чтобы казаться заслуживающими доверия, выдавая себя за законные организации, такие как НПО. После успешной кражи учетных данных злоумышленники проводят тщательную разведку окружения объекта, используя полученную информацию для выявления возможностей финансового мошенничества. Это включает в себя интеллектуальный анализ данных с таких платформ, как SharePoint и OneDrive, где они ищут рабочие процессы выдачи подарочных карт и внутренние руководства по доступу.

Вместо того чтобы использовать вредоносное ПО, Jingle Thief использует внутреннюю тактику фишинга, чтобы расширить свой охват внутри организаций. После компрометации учетной записи пользователя они отправляют другим сотрудникам электронные письма с фишингом с законных учетных записей, маскируя свои действия под уведомления ИТ-служб. Примечательно, что акторы внедряют методы скрытой рассылки электронной почты, такие как скрытное перемещение отправленных фишинг-писем в удаленные элементы, чтобы избежать обнаружения.

Злоумышленники также доминируют на несанкционированных устройствах, используя функции самообслуживания законных пользователей Microsoft Entra ID для постоянного доступа, тем самым обходя типичные меры безопасности, такие как сброс пароля. Их деятельность характеризуется особым поведенческим профилем и в значительной степени прослеживается по IP-адресам, геолокированным в Марокко, с тенденцией отказываться от инструментов анонимности, которые используют многие другие киберпреступники. Этот дерзкий метод работы облегчает мониторинг внутренних коммуникаций без срабатывания аварийных сигналов.

Кампания подчеркивает уязвимости, присутствующие в системах подарочных карт, которые часто имеют слабый внутренний контроль и мониторинг. Тщательно отслеживая эти системы, Jingle Thief может создавать подарочные карты высокой стоимости для перепродажи или для отмывания денег, при этом их вредоносная деятельность остается практически незаметной. В целом, эта кампания иллюстрирует растущий уровень угроз, когда атаки на основе личных данных используют слабо защищенные корпоративные системы для совершения крупномасштабных финансовых преступлений.

#ParsedReport #CompletenessHigh
23-10-2025

TransparentTribe targets Indian military organisations with DeskRAT

https://blog.sekoia.io/transparenttribe-targets-indian-military-organisations-with-deskrat/

Report completeness: High

Actors/Campaigns:
Transparenttribe (motivation: cyber_espionage)

Threats:
Deskrat
Spear-phishing_technique

Victims:
Indian military organisations, Indian government entities, Local entities in ladakh

Industry:
Government, Military

Geo:
Indian, India, China, Kashmir, Pakistan, Pakistani

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1566.002

IOCs:
File: 10
Hash: 2
Url: 4

Soft:
Firefox, curl, Linux, Chrome

Algorithms:
md5, zip, base64

Functions:
RunInStealthMode, InstallPersistenceFeatures, CreateSystemdServiceUnit, CreateAutostartDesktopFile, CreateBashStartupScript, NewClientInstance, EstablishConnection, math_rand_Float64

Languages:
golang, javascript, python

Links:
https://github.com/gorilla/websocket

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В июле 2025 года кибершпионажная группа TransparentTribe, связанная с пакистанскими интересами, провела кампанию фишинга, нацеленную на системы Linux индийских правительственных организаций. Процесс заражения включал фишинг-рассылку по электронной почте, ведущую к ZIP-архиву, содержащему вредоносный файл DESKTOP со скрытыми командами Bash, с использованием вредоносного ПО DeskRAT, разработанного в Golang. DeskRAT после выполнения подключается к скрытым серверам управления по порту 8080, используя поддельные документы для повышения вероятности взаимодействия с пользователем.
-----

В июле 2025 года CYFIRMA сообщила о кампании фишинга, связанной с группой кибершпионажа TransparentTribe, также известной как APT36. Эта кампания была специально нацелена на операционные системы на базе Linux в индийских правительственных организациях, активность в которых началась в июне 2025 года. TransparentTribe связана с интересами Пакистана и действует по меньшей мере с 2013 года, уделяя особое внимание кибершпионажу для достижения дальнейших военных целей.

Процесс заражения начался с сообщения электронной почты, отправленного с помощью фишинга, хотя исходное электронное письмо было недоступно для анализа. Вероятно, он содержал URL-адрес, перенаправляющий на ZIP-архив, который мог быть либо прикреплен напрямую, либо размещен на законных сторонних Облачных сервисах, таких как Google Drive. В конце концов, кампания перешла к использованию выделенных промежуточных серверов для размещения этих ZIP-файлов. ZIP-архив содержал вредоносный файл рабочего стола, который скрывал вредоносные команды Bash в закомментированных PNG-данных, занимающих тысячи строк. Такой подход помог избежать немедленного обнаружения пользователями, что привело к запуску многоэтапного механизма доставки полезной нагрузки, направленного на развертывание дополнительного вредоносного ПО.

Основным вредоносным ПО, выявленным в ходе этой кампании, является DeskRAT, разработанное в Golang. DeskRAT работает путем установления соединения WebSocket с определенной конечной точкой на порту 8080 после выполнения. Серверы управления (C2), используемые DeskRAT, описываются как "скрытые серверы", что означает, что они не отображаются в общедоступных записях сервера имен для связанных с ними доменов. Кроме того, идентифицированные серверы C2 также предоставляют страницу аутентификации в конечной точке /login, указывающую на структурированный доступ к функциям управления вредоносным ПО.

Чтобы заманить цели к выполнению вредоносной полезной нагрузки, ZIP-архив содержал документы-приманки, предназначенные для того, чтобы побудить пользователей открыть файлы и запустить DeskRAT. Нацеливание на индийские правительственные структуры, особенно в отношении геополитики региона Ладакх — области интересов между Индией, Китаем и Пакистаном — подчеркивает стратегический характер операций TransparentTribe's.

#ParsedReport #CompletenessHigh
22-10-2025

PhantomCaptcha \| Multi-Stage WebSocket RAT Targets Ukraine in Single-Day Spearphishing Operation

https://www.sentinelone.com/labs/phantomcaptcha-multi-stage-websocket-rat-targets-ukraine-in-single-day-spearphishing-operation/

Report completeness: High

Actors/Campaigns:
Phantomcaptcha
Seaborgium

Threats:
Spear-phishing_technique
Clickfix_technique

Victims:
International red cross, Norwegian refugee council, Unicef, Nongovernmental organizations, Ukrainian regional government administration, Aid and relief organizations

Industry:
Ngo, Entertainment, Government

Geo:
Norwegian, Russia, India, Belarus, Russian, Finland, Slovakia, Donetsk, Ukraine, Italy, Ukrainian

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.001, T1105, T1204.002, T1566.001

IOCs:
Hash: 12
Domain: 7
IP: 6
Url: 5
Command: 1
File: 1

Soft:
Android, Zoom

Algorithms:
sha256, xor, base64

Functions:
generateRandomId, JavaScript, copyToken, Set-PSReadlineOption, collectAndSendAllData

Languages:
powershell, javascript, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания PhantomCaptcha, выявленная SentinelLabs, нацелена на гуманитарные организации в Украине с помощью spearphishing, начиная с 8 октября 2025 года, используя защищенные PDF-файлы, чтобы привести жертв к поддельной странице Cloudflare captcha для запуска вредоносного ПО. Основной полезной нагрузкой является WebSocket RAT, размещенный на российских серверах, обеспечивающий удаленное выполнение команд и эксфильтрацию данных. Атака использует запутанные скрипты PowerShell для доставки полезной нагрузки, демонстрируя оперативную безопасность и планирование, с акцентом на мобильные угрозы, нацеленные на Android для сбора данных.
-----

Кампания PhantomCaptcha, раскрытая SentinelLabs и Лабораторией цифровой безопасности Украины, представляет собой скоординированную акцию spearphishing, направленную против гуманитарных организаций, оказывающих помощь в Украине. Эта кампания была запущена 8 октября 2025 года, когда злоумышленники выдавали себя за офис президента Украины. Метод включал отправку защищенных PDF-файлов, которые перенаправляли жертв на мошенническую страницу Cloudflare captcha, предназначенную для облегчения выполнения вредоносного ПО. Ключевой вредоносной полезной нагрузкой является троян удаленного доступа WebSocket (RAT), размещенный в российской инфраструктуре, позволяющий удаленно выполнять команды, эксфильтрацию данных и развертывание дополнительного вредоносного ПО.

На первом этапе атаки использовался запутанный скрипт PowerShell, идентифицированный по его хэшу SHA-256, который в первую очередь служил для загрузки вторичной полезной нагрузки с указанного URL. Эта начальная фаза демонстрирует, что злоумышленники полагаются на методы обфускации, чтобы избежать обнаружения. Второй этап состоял из облегченного бэкдора PowerShell, который устанавливал соединение с удаленным сервером WebSocket, облегчая обмен данными с помощью сообщений JSON в кодировке Base64. Инфраструктура просуществовала недолго и функционировала всего около 24 часов, что свидетельствует о высокой степени оперативной безопасности и тщательном планировании злоумышленниками.

Анализ инфраструктуры показал, что домен управления был подключен к VPS-серверу в России, с немедленными признаками отключения после атаки. Злоумышленники, начавшие свои операции еще в марте 2025 года, продемонстрировали тщательную проработку своего планирования: вредоносные скрипты были протестированы на VirusTotal до фактической отправки электронных писем с фишингом. Также был выявлен поворот к мобильным атакам с использованием поддельных приложений, нацеленных на устройства Android для сбора данных, что указывает на более широкую стратегию кампании.

#ParsedReport #CompletenessMedium
23-10-2025

The Rise of Collaborative Tactics Among China-aligned Cyber Espionage Campaigns

https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html

Report completeness: Medium

Actors/Campaigns:
Ghostemperor (motivation: cyber_espionage)
Earth_naga (motivation: cyber_espionage)
Flax_typhoon
Gamaredon
Turla
Red_delta

Threats:
Trillclient
Crowdoor
Shadowpad
Cobalt_strike_tool
Sparrowdoor
Draculoader
Hemigate
Dll_sideloading_technique
Logserver
Supply_chain_technique
Pteroodd
Pteropaste
Kazuar

Industry:
Government, Retail, Telco, Military

Geo:
Latin america, Taiwan, South africa, China, Apac, Asia-pacific, Asian, Asia, America, Russia, Middle east

CVEs:
CVE-2025-5777 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

IOCs:
Domain: 2
IP: 2
Path: 2
File: 6

Soft:
Windows registry, Ivanti, ORB networks, VSCode

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ показывает стратегии сотрудничества между APT-группировками, ориентированными на Китай, в частности, Earth Estries и Earth Naga, использующими модель под названием "Premier Pass-as-a-Service", где одна группа выступает в качестве посредника доступа для другой. Earth Estries нацелена на критически важные секторы, такие как телекоммуникации и правительственные учреждения, особенно в регионах APAC и НАТО, используя распространяемое вредоносное ПО, такое как TrillClient. Сотрудничество усложняет обнаружение, поскольку множество акторов скрывают свои личности, предоставляя общий доступ к скомпрометированным организациям, что указывает на значительную эволюцию тактики кибершпионажа.
-----

Недавний анализ высвечивает появление стратегий сотрудничества среди связанных с Китаем групп APT (Сложная целенаправленная угроза), в частности, при изучении взаимодействия между Earth Estries и Earth Naga. Это сотрудничество воплощено в развивающейся модели, называемой "Premier Pass-as-a-Service", где одна группа выступает в качестве посредника доступа, облегчая дальнейшую эксплуатацию для другой. Такая тактика усложняет обнаружение и атрибуцию, поскольку множество злоумышленников имеют общий доступ к целевым организациям, тем самым скрывая свою индивидуальность и деятельность.

Earth estries была сосредоточена на важнейших секторах, особенно в сфере телекоммуникаций и государственных учреждений, в различных регионах, включая США, Азиатско-Тихоокеанском регионе, на Ближнем Востоке, и, в более недавнее время, Южная Америка и Южная Африка. В частности, их операции выводится шаблон ориентации в розницу и государственных организаций в Азиатско-Тихоокеанском регионе. Факты свидетельствуют, что Earth estries функционирует в качестве посредника доступа, с общим поведением доступ наблюдается в атаки связаны с обеспечением вредоносное ПО определены как TrillClient.

В ходе совместной операции с участием как Earth Estries, так и Earth Naga, недавние действия выявили попытки скомпрометировать по крайней мере двух крупных телекоммуникационных провайдеров в период с конца апреля по июль этого года, сосредоточив внимание на организациях в странах Азиатско-Тихоокеанского региона и странах - членах НАТО. Набор инструментов для борьбы с вредоносным ПО, использованный в этих инцидентах, еще раз иллюстрирует взаимосвязь этих групп и их операционных структур.

В исследовании подчеркивается необходимость пересмотра аналитического подхода для лучшего понимания современного сотрудничества APT. Традиционная модель Diamond, которая рассматривает противника, инфраструктуру, возможности и жертву в качестве ключевых аспектов киберугрозы, может не учитывать нюансы, привносимые дублирующимися тактиками, техниками и процедурами (TTP) сотрудничающих злоумышленников. Предлагаемая модель предусматривает детальное изучение конкретных ролей каждого актора в рамках операционной динамики, способствуя более глубокому пониманию взаимоотношений и взаимодействий между этими изощренными киберпреступниками.

В результате исторического анализа, хотя Earth Estries и Earth Naga продемонстрировали разные методы работы, обнаружение совпадений инструментов предполагает наличие общего цифрового ресурса, а не прямое сотрудничество. Эта новая тенденция в общих ресурсов и тактика помещенный в "Премьер-пасс-а-а-сервис" модель представляет собой значительные изменения в ландшафте кибершпионаж, ставят новые задачи для кибербезопасность кибербезопасность занимается обнаружения угроз и усилий, атрибуция.

#ParsedReport #CompletenessLow
23-10-2025

The Smishing Deluge: China-Based Campaign Flooding Global Text Messages

https://unit42.paloaltonetworks.com/global-smishing-campaign/

Report completeness: Low

Actors/Campaigns:
Smishing_triad

Threats:
Smishing_technique
Supply_chain_technique
Typosquatting_technique

Victims:
Banking, Mail and delivery services, Toll services, Law enforcement agencies, Government agencies, Police forces, Investment banks, Savings banks, Ecommerce platforms, Online payment platforms, have more...

Industry:
Transport, E-commerce, Financial, Software_development, Healthcare, Entertainment, Government

Geo:
Germany, United arab emirates, Philippines, Poland, France, China, Russia, Middle east, Israel, Canada, Chinese, Malaysia, Arab emirates, Mexico, Hong kong, Ireland, Singapore, Lithuania, Australia, Argentina

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204.001, T1566.002, T1583.001, T1583.002, T1583.004, T1583.006, T1589.001, T1589.002, T1654, have more...

IOCs:
Domain: 36

Soft:
Telegram, iMessage

Functions:
ReadME

#ParsedReport #GeneratedSchema
Generated with GPT-4