#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Текущая кампания Smishing Triad's иллюстрирует сложную эволюцию угроз фишинга с помощью SMS, включая мошеннические уведомления о нарушениях правил взимания платы и проблемах с пакетами, выдавая себя за ключевые сервисы. При значительной подпольной экосистеме фишинга как услуги 68,06% доменов, связанных с этой кампанией, зарегистрированы через Dominet (HK) Limited, а большинство полных доменных имен управляются AliDNS и Cloudflare. Кампания нацелена на различные секторы по всему миру, с акцентом на Имперсонацию почтовой службы США, способствующую краже конфиденциальной личной информации с помощью агрессивной регистрации доменов и разнообразных тактик Имперсонации.
-----

Продолжающаяся кампания smishing, относящаяся к Smishing Triad, представляет собой значительную эволюцию угроз фишинга с помощью текстовых сообщений. Эта кампания включает в себя мошеннические уведомления о нарушениях правил взимания платы за проезд и неправильной доставке посылок, выдавая себя за широкий спектр критически важных услуг в различных секторах, тем самым расширяя свой охват по всему миру. Кампания демонстрирует сложную инфраструктуру, поддерживаемую значительной подпольной экосистемой фишинга как услуги (PhaaS), которую можно наблюдать через Telegram-канал, который превратился из рынка наборов для фишинга в активный центр для различных злоумышленников.

Регистрация доменов, используемых в рамках этой кампании, является высококонцентрированной: ошеломляющие 68,06% (93 197) доменов принадлежат компании Dominet (HK) Limited, регистратору, базирующемуся в Гонконге. Другими крупными регистраторами являются Namesilo (11,85%) и Gname (7,94%). Это распределение дополняется оптимизированной инфраструктурой DNS, в которой более 80% полных доменных имен (FQDNs) управляются всего двумя поставщиками: AliDNS и Cloudflare.

Определение целей кампании показывает, что Почтовая служба США является наиболее обезличенной организацией, насчитывающей 28 045 полных доменных имен. В общей сложности более широкая категория платных сервисов содержит почти 90 000 выделенных доменов для фишинга. Географический охват кампании показывает домены, размещенные на IP-адресах, расположенных в нескольких странах, что указывает на согласованные усилия по нацеливанию на отдельных лиц в различных регионах, особенно в США. Сообщения часто маскируются под сообщения как коммерческих организаций, так и правительственных учреждений, что подчеркивает обширную тактику кампании по Имперсонации.

Сфера действия Имперсонации включает в себя критически важные сервисы в нескольких странах: банковские и почтовые службы США, немецкие инвестиционные банки и различные правительственные учреждения в Великобритании и ОАЭ, среди прочих. Также на видном месте находятся общие сервисы, в том числе приложения для объединения автомобилей и онлайн-платформы, в то время как тактика typosquatting способствует Имперсонации популярных приложений и платформ электронной коммерции. Тактика кампании распространяется на криптовалютные биржи и включает попытки фишинга, имитирующие страницы входа в систему и проверки личности известных фирм по производству бытовой электроники и финансовых услуг.

Особую тревогу вызывают попытки выдать себя за государственные службы, такие как Налоговое управление США и государственные транспортные департаменты, что свидетельствует о прямой угрозе конфиденциальной личной информации. Полученные данные указывают на то, что эта кампания по smishing не только широко распространена, но и в высшей степени децентрализована: злоумышленники быстро регистрируются и ежедневно просматривают тысячи доменов. Этот агрессивный и динамичный подход подчеркивает сложность и риск, связанные с Smishing Triad, подчеркивая необходимость повышенной осведомленности и упреждающих стратегий защиты от таких угроз фишинга.

#ParsedReport #CompletenessMedium
23-10-2025

ToolShell Used to Compromise Telecoms Company in Middle East

https://www.security.com/threat-intelligence/toolshell-china-zingdoor

Report completeness: Medium

Actors/Campaigns:
Ghostemperor
Unc5221
Emissary_panda (motivation: cyber_espionage)
Apt31 (motivation: cyber_espionage)
Storm-2603
Winnti
Axiom
Volt_typhoon

Threats:
Toolshell_vuln
Zingdoor
Krustyloader
X2anylock
Shadowpad
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Sliver_c2_tool
Lolbin_technique
Revsocks_tool
Procdump_tool
Minidump_tool
Powersploit_tool
Lsass_dumper_tool
Petitpotam_vuln

Victims:
Telecommunications, Government agencies

Industry:
Education, Telco, Government, Financial

Geo:
America, Chinese, American, Middle east, African, China, Africa

CVEs:
CVE-2025-53770 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49706 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-36942 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-49704 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-53771 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1505.003

IOCs:
File: 4
Hash: 16
Url: 2

Soft:
Adobe ColdFusion, Sysinternals, Local Security Authority, Windows LSA

Algorithms:
sha256

Languages:
rust

Platforms:
cross-platform

Links:
https://github.com/chainreactors/gogo
have more...
https://github.com/BishopFox/sliver

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) вскоре после ее раскрытия в июле 2025 года, скомпрометировав телекоммуникационную компанию. Эта критическая уязвимость на локальных серверах SharePoint позволяет выполнять удаленный код без проверки подлинности, который злоумышленники использовали для получения доступа к содержимому сервера и файловым системам. Инцидент свидетельствует о быстром использовании уязвимостей в телекоммуникационном секторе более широким кругом злоумышленников, чем предполагалось ранее.
-----

Базирующиеся в Китае злоумышленники воспользовались уязвимостью ToolShell (CVE-2025-53770) для компрометации телекоммуникационной компании на Ближнем Востоке вскоре после ее публичного раскрытия и последующего исправления в июле 2025 года. ToolShell - это критическая уязвимость, затрагивающая локальные серверы SharePoint, которая допускает несанкционированный доступ, позволяя злоумышленникам удаленно выполнять код и получать доступ к содержимому сервера и файловым системам. Эта уязвимость, которая функционировала как эксплойт zero-day, последовала за связанной уязвимостью (CVE-2025-49704), которая также была исправлена в то же время. Кроме того, другая связанная с этим уязвимость (CVE-2025-53771), ошибка обхода пути, допускающая подмену сети авторизованными злоумышленниками, была устранена вместе с ToolShell, и она также была основана на более старой уязвимости (CVE-2025-49706), которая была устранена ранее.

Последовательность событий указывает на то, что вредоносные действия начались в телекоммуникационной компании 21 июля 2025 года, всего через два дня после установки исправления, поскольку злоумышленники развернули вероятную веб-оболочку. Этот инцидент подчеркивает серьезность уязвимости ToolShell, показывая, что она была нацелена не только на конкретные группы, но и на более широкий круг китайских злоумышленников, чем первоначально предполагалось. Своевременное использование таких уязвимостей подчеркивает риски, с которыми сталкиваются организации, особенно в таких секторах, как телекоммуникации, где системы безопасности могут быть уязвимы перед быстро развивающимися киберугрозами. Кроме того, это сигнализирует о необходимости повышенной бдительности и оперативного внедрения исправлений безопасности для предотвращения использования аналогичных уязвимостей в будущем.

#ParsedReport #CompletenessLow
23-10-2025

Bitter (APT-Q-37) uses diverse means to deliver new backdoor components

https://ti.qianxin.com/blog/articles/bitter-uses-diverse-means-to-deliver-new-backdoor-components-en/

Report completeness: Low

Actors/Campaigns:
Bitter

Victims:
Government, Electric power, Military

Industry:
Government, Energy, Military

Geo:
China, Asia, Asian, Pakistan

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059.005, T1105, T1127, T1140, T1204.002, T1566.001, T1574.002, T1583.001, have more...

IOCs:
File: 7
Url: 6
Hash: 5

Soft:
NET framework

Algorithms:
zip, md5, base64, aes

Win API:
decompress

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Биттер, также известный как APT-Q-37, является южноазиатским злоумышленником, нацеленным в первую очередь на правительственный, военный и электроэнергетический секторы Китая и Пакистана с целью получения конфиденциальных данных. Недавние результаты показывают, что они использовали бэкдор на C#, предоставляемый различными методами, включая макросы Excel и уязвимость WinRAR для обхода пути в версии 7.11. Бэкдор "cayote.log" использует шифрование AES и взаимодействует с недавно зарегистрированным сервером командования и контроля, что указывает на постоянные инновации и планирование в их методах атаки.
-----

Bitter, также известная как APT-Q-37, является хакерской группировкой, предположительно имеющей южноазиатское происхождение, в первую очередь нацеленной на правительственный, военный секторы и электроэнергетику в Китае, Пакистане и других странах. Их цель заключается в сборе конфиденциальных данных. Недавно Центр анализа угроз Qi'anxin обнаружил образцы атак, связанных с Bitter, которые используют различные методы для развертывания бэкдора на C#, способного получать произвольные исполняемые файлы с удаленного сервера.

Анализ этих образцов выявляет несколько способов доставки, включая макрос Excel, встроенный во вредоносный файл .xlam. Этот макрос декодирует исходный код бэкдора на C# и компилирует его в DLL-файл с использованием .NET Framework `csc.exe `, впоследствии устанавливая его через `InstallUtil.exe `. Кроме того, злоумышленники воспользовались уязвимостью в WinRAR, первоначально считавшейся связанной с CVE-2025-8088, но дальнейшее тестирование показало, что они использовали еще более старую уязвимость, которая позволяет обходить путь при использовании WinRAR версии 7.11, в то время как вредоносный архив RAR завершается сбоем в версии 7.12.

Бэкдор, идентифицированный как "cayote.log", содержит комментарии к функциям и использует шифрование AES для расшифровки строк. Исследование показывает, что командно-контрольная связь (C&C) бэкдора связана с поддоменом esanojinjasvc.com , который был зарегистрирован с апреля 2023 года, что указывает на согласованность методов развертывания и инфраструктуры, используемых этой хакерской группировкой.

Анализ подчеркивает инновационность Биттера в стратегиях атак, использующего новые приемы наряду с традиционными методами. Используя ресурсы устройства жертвы для компиляции бэкдора, злоумышленники стремятся избежать обнаружения с помощью статического анализа хэша. В целом, эта тактика предполагает тщательное планирование и сбор разведданных злоумышленниками для понимания оперативной обстановки своих целей, что указывает на то, что образцы могут служить как в качестве ознакомительных тестов для новых методологий, так и в качестве реальных инструментов для дальнейшего использования. Развертывание бэкдора C# создает плацдарм для выполнения дополнительных атак, подчеркивая постоянный и эволюционирующий характер угроз, исходящих от этой группы.

#ParsedReport #CompletenessLow
23-10-2025

SessionReaper (CVE-2025-54236): Critical Adobe Commerce Vulnerability Actively Exploited

https://socradar.io/sessionreaper-cve-2025-54236-adobe-commerce-exploit/

Report completeness: Low

Threats:
Cosmicsting_vuln
Trojanorder_vuln

Victims:
Online stores, Ecommerce sites using adobe commerce, Magento open source users

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1082, T1190, T1505.003

IOCs:
IP: 5

Functions:
phpinfo

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость SessionReaper (CVE-2025-54236) в Adobe Commerce и Magento с открытым исходным кодом с рейтингом CVSS 9.1 позволяет активно использовать ее путем неправильной проверки ввода в модуле сериализуемых пользовательских атрибутов. Злоумышленники внедряют PHP Веб-шеллы и проводят проверки phpinfo, чтобы воспользоваться этим недостатком, причем охранная фирма Sansec зафиксировала более 250 попыток за один день. Несмотря на наличие исправления, примерно 62% магазинов Magento остаются непатченными, что указывает на значительный риск эксплуатации.
-----

Критическая уязвимость, известная как SessionReaper (CVE-2025-54236), появилась в Adobe Commerce и Magento с открытым исходным кодом, и сообщалось об активном использовании в дикой природе. Эта уязвимость, получившая оценку CVSS 9.1, связана с неправильной проверкой входных данных в модуле сериализуемых пользовательских атрибутов, что оказывает воздействие на версии с 0.1.0 по 0.3.0, которые нуждаются в обновлении до версии 0.4.0 или выше.

Недавние отчеты указывают на то, что злоумышленники использовали этот недостаток для развертывания PHP Веб-шеллов и выполнения тестов phpinfo, которые помогают оценить системные конфигурации и определить потенциальные пути использования. В течение одного дня охранная фирма Sansec зафиксировала более 250 попыток эксплуатации, что подчеркивает срочность и масштаб угрозы. Аналитики предполагают, что SessionReaper представляет значительные риски, аналогичные другим печально известным уязвимостям Magento, таким как CosmicSting и Shoplift.

Несмотря на наличие исправления, темпы внедрения были низкими. Примерно 62% магазинов Magento остаются непатченными почти шесть недель после выпуска исправления, что делает уязвимым значительное число интернет-магазинов. Первоначальные ответы показали, что только около трети магазинов внедрили исправление вскоре после его выпуска.

Для обнаружения угроз администраторы должны отслеживать необычную активность, включая неожиданные файлы PHP, странные ответы от phpinfo(), всплески запросов POST к конечным точкам REST API и новые пользовательские сеансы, созданные без каких-либо действий. Кроме того, IP-адреса, связанные с атакуемым трафиком, могут быть временно заблокированы в качестве дополнительной меры предосторожности.

#ParsedReport #CompletenessHigh
23-10-2025

Vault Viper: High Stakes, Hidden Threats

https://blogs.infoblox.com/threat-intelligence/vault-viper-high-stakes-hidden-threats/

Report completeness: High

Actors/Campaigns:
Vault_viper (motivation: information_theft, financially_motivated, cyber_criminal)
Pig_butchering

Threats:
Vigorish_viper
Supply_chain_technique
Domain_fronting_technique
Ramnit
Alman
Bankreptile_tool
Cloaking_technique

Victims:
Online gambling users, Financial sector, Casinos, Technology sector, Telecommunications infrastructure users

Industry:
Entertainment, Foodtech, Financial, Aerospace, Government, Game_industry

Geo:
Philippines, America, Taiwan, China, Malaysia, Macau, Hong kong, Myanmar, Malta, Asia, Latin america, Asia-pacific, United kingdom, Korea, Dprk, Cambodia, Asian, Chinese, Philippine, Samoa, Australia, Pacific, Vietnam, Belize

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1055, T1056.001, T1059.007, T1071.001, T1090, T1105, have more...

IOCs:
Domain: 40
File: 9
IP: 10
Email: 2
Hash: 1
Url: 2

Soft:
Telegram, Android, Chromium, Chrome, Google Chrome, Instagram, Windows installer

Algorithms:
sha256, 7zip, zip

Functions:
QT

Languages:
javascript, visual_basic

Platforms:
apple, intel

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 4, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vault Viper, также известная как Baoying Group, занимается изощренной киберпреступной деятельностью, связанной с азартными играми онлайн, используя пользовательский браузер Universe Browser, предназначенный для обхода ограничений на азартные игры. Этот модифицированный вариант Chrome демонстрирует поведение, подобное вредоносному ПО, такое как мониторинг буфера обмена и внедрение кода со скрытым исполняемым файлом "UB-Launcher.exe " это обходит антивирусные меры, изменяя при этом законные установки. Кроме того, группа использует различные сферы командования и контроля для содействия деятельности, что указывает на связи с организованной преступностью и более широкую сеть, включающую незаконные финансовые операции.
-----

Vault Viper, также известная как Baoying Group, является частью сложной экосистемы киберпреступности, возникающей в Юго-Восточной Азии, которая использует платформы онлайн-гемблинга для крупномасштабной незаконной деятельности, такой как мошенничество и торговля людьми. Примечательно, что эта сеть управляет несколькими веб-сайтами онлайн-гемблинга, использующими веб-шаблон, связанный с общим поставщиком программного обеспечения для азартных игр, что подчеркивает ее скоординированные усилия.

Технический анализ подчеркивает разработку Vault Viper браузера Universe, предназначенного для обхода ограничений на доступ к онлайн-азартным играм, особенно ориентированного на рынки, где такая деятельность запрещена, такие как Китай. Браузер представляет собой модифицированную версию Chrome, способную выполнять двоичные файлы и использовать поведение, подобное вредоносному ПО, включая мониторинг буфера обмена и внедрение кода. Вариант Windows, идентифицированный как "UB-Launcher.exe " демонстрирует значительную скрытность, уклоняясь от обнаружения антивирусом и изменяя законные установки Chrome в браузере Universe. Этот вариант устанавливает множество компонентов, включая библиотеки динамических ссылок (DLL) и расширения для браузера, которые облегчают его работу.

Ключевые функции браузера Universe включают мониторинг активности пользователей и контролируемые прокси-соединения со специализированным расширением, предназначенным для обнаружения подключений к доменам азартных игр Vault Viper's. Это расширение может изменять свое поведение в зависимости от активности пользователя, возможно, служа как инструментом наблюдения, так и средством управления сетевым трафиком через точки выхода, знакомые злоумышленнику. Недавний анализ инфраструктуры показывает, что Vault Viper использует множество доменов, размещенных как в частных, так и в общедоступных облаках, для командно-контрольных операций, что еще больше затрудняет его работу.

С точки зрения эксплуатационной безопасности, большая следственная работа связана различные IP-адреса, данные WHOIS, и другие идентификаторы, чтобы разгадать связей между Vault Viper и синдикаты организованной преступности, в том числе отношения к ООО Группа во главе с Элвином Чау. Кроме того, группа была связана в прошлом лица, как vigorish Viper, что указывает на более широкие синдиката используя современные методы злоумышленников.

Кроме того, уникальная инфраструктура Vault Viper включает в себя давно существующие домены управления, такие как ac101.net , который имеет историю распространения различных вредоносных полезных нагрузок. Также были получены данные, связанные с незаконными банковскими проектами по созданию вредоносного ПО, что позволяет предположить диверсификацию преступных возможностей группы в области финансового мошенничества.

#ParsedReport #CompletenessLow
23-10-2025

Threat Actors Allegedly Selling Monolock Ransomware on Dark Web Forums

https://cybersecuritynews.com/threat-actors-allegedly-selling-monolock-ransomware/

Report completeness: Low

Threats:
Monolock

Industry:
Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1060, T1078, T1587.001, T1588.002

IOCs:
File: 2

Soft:
Windows registry

Algorithms:
rsa-2048, aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Monolock появилась на подпольных форумах, где она продается вместе с украденными корпоративными учетными данными, что указывает на целенаправленный подход к ее внедрению. Он использует сложный механизм закрепления, встраиваясь в реестр Windows с помощью клавиши Запуска, обеспечивая автоматическое выполнение при загрузке системы, что усложняет усилия по восстановлению. Эта тактика подчеркивает тенденцию среди злоумышленников связывать программы-вымогатели со скомпрометированными данными, подчеркивая растущую сложность и взаимосвязанный характер киберугроз.
-----

Monolock вымогателей недавно появились в подпольных форумах, где киберпреступники активно рекламировать версия 1.0 для продажи. Этот вирус отличается продается вместе похищены корпоративные учетные данные, что свидетельствует о потенциально целевой подход в ее развертывания. Продажи Monolock может означать эскалацию в киберпреступлениях, в частности в отношении того, как вымогатели монетизируется за счет приобретения конфиденциальных корпоративных данных.

Механизм заражения программы-вымогателя указывает на сложный уровень закрепления и уклонения. Monolock встраивается в реестр Windows с помощью клавиши Run, которая гарантирует, что он будет выполняться автоматически при загрузке системы. Этот метод закрепления может усложнить усилия по смягчению последствий, поскольку он позволяет программе-вымогателю сохранять контроль над зараженной системой даже после перезагрузки. Такая тактика подчеркивает намерение злоумышленника обеспечить долгосрочный доступ и контроль над скомпрометированными системами, подчеркивая растущую изощренность атак программ-вымогателей в целом.

Сочетание продажи Monolock's с украденными учетными данными свидетельствует о тенденции киберпреступников объединять программы-вымогатели с другими взломанными данными, обеспечивая более привлекательный продукт для потенциальных покупателей на рынке Dark Web. Такое поведение еще раз подчеркивает взаимосвязанность различных киберугроз и необходимость принятия организациями надежных мер безопасности для защиты своих учетных данных и общей целостности сети от таких многогранных атак.

#ParsedReport #CompletenessMedium
23-10-2025

Dissecting YouTubes Malware Distribution Network

https://research.checkpoint.com/2025/youtube-ghost-network/

Report completeness: Medium

Threats:
Rhadamanthys
Hijackloader
Lumma_stealer
Stargazers_ghost_network
Stealc
Redline_stealer
Phemedrone

Victims:
Youtube users, Gamers seeking game hacks and cheats, Software pirates seeking cracks

Industry:
Entertainment, Education

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1204.002, T1555, T1562.001, T1566.002, T1585.001, T1586, T1656

IOCs:
File: 4
Url: 6
Domain: 1
IP: 1
Hash: 8

Soft:
Windows Defender, Photoshop, Dropbox, Lightroom, Roblox

Wallets:
harmony_wallet

Algorithms:
zip

Functions:
Set-Up

Win API:
decompress

Links:
https://github.com/activescott/lessmsi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4