#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 3, code: 13

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Биттер, также известный как APT-Q-37, является южноазиатским злоумышленником, нацеленным в первую очередь на правительственный, военный и электроэнергетический секторы Китая и Пакистана с целью получения конфиденциальных данных. Недавние результаты показывают, что они использовали бэкдор на C#, предоставляемый различными методами, включая макросы Excel и уязвимость WinRAR для обхода пути в версии 7.11. Бэкдор "cayote.log" использует шифрование AES и взаимодействует с недавно зарегистрированным сервером командования и контроля, что указывает на постоянные инновации и планирование в их методах атаки.
-----

Bitter, также известная как APT-Q-37, является хакерской группировкой, предположительно имеющей южноазиатское происхождение, в первую очередь нацеленной на правительственный, военный секторы и электроэнергетику в Китае, Пакистане и других странах. Их цель заключается в сборе конфиденциальных данных. Недавно Центр анализа угроз Qi'anxin обнаружил образцы атак, связанных с Bitter, которые используют различные методы для развертывания бэкдора на C#, способного получать произвольные исполняемые файлы с удаленного сервера.

Анализ этих образцов выявляет несколько способов доставки, включая макрос Excel, встроенный во вредоносный файл .xlam. Этот макрос декодирует исходный код бэкдора на C# и компилирует его в DLL-файл с использованием .NET Framework `csc.exe `, впоследствии устанавливая его через `InstallUtil.exe `. Кроме того, злоумышленники воспользовались уязвимостью в WinRAR, первоначально считавшейся связанной с CVE-2025-8088, но дальнейшее тестирование показало, что они использовали еще более старую уязвимость, которая позволяет обходить путь при использовании WinRAR версии 7.11, в то время как вредоносный архив RAR завершается сбоем в версии 7.12.

Бэкдор, идентифицированный как "cayote.log", содержит комментарии к функциям и использует шифрование AES для расшифровки строк. Исследование показывает, что командно-контрольная связь (C&C) бэкдора связана с поддоменом esanojinjasvc.com , который был зарегистрирован с апреля 2023 года, что указывает на согласованность методов развертывания и инфраструктуры, используемых этой хакерской группировкой.

Анализ подчеркивает инновационность Биттера в стратегиях атак, использующего новые приемы наряду с традиционными методами. Используя ресурсы устройства жертвы для компиляции бэкдора, злоумышленники стремятся избежать обнаружения с помощью статического анализа хэша. В целом, эта тактика предполагает тщательное планирование и сбор разведданных злоумышленниками для понимания оперативной обстановки своих целей, что указывает на то, что образцы могут служить как в качестве ознакомительных тестов для новых методологий, так и в качестве реальных инструментов для дальнейшего использования. Развертывание бэкдора C# создает плацдарм для выполнения дополнительных атак, подчеркивая постоянный и эволюционирующий характер угроз, исходящих от этой группы.

#ParsedReport #CompletenessLow
23-10-2025

SessionReaper (CVE-2025-54236): Critical Adobe Commerce Vulnerability Actively Exploited

https://socradar.io/sessionreaper-cve-2025-54236-adobe-commerce-exploit/

Report completeness: Low

Threats:
Cosmicsting_vuln
Trojanorder_vuln

Victims:
Online stores, Ecommerce sites using adobe commerce, Magento open source users

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1071.001, T1082, T1190, T1505.003

IOCs:
IP: 5

Functions:
phpinfo

Languages:
php

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Критическая уязвимость SessionReaper (CVE-2025-54236) в Adobe Commerce и Magento с открытым исходным кодом с рейтингом CVSS 9.1 позволяет активно использовать ее путем неправильной проверки ввода в модуле сериализуемых пользовательских атрибутов. Злоумышленники внедряют PHP Веб-шеллы и проводят проверки phpinfo, чтобы воспользоваться этим недостатком, причем охранная фирма Sansec зафиксировала более 250 попыток за один день. Несмотря на наличие исправления, примерно 62% магазинов Magento остаются непатченными, что указывает на значительный риск эксплуатации.
-----

Критическая уязвимость, известная как SessionReaper (CVE-2025-54236), появилась в Adobe Commerce и Magento с открытым исходным кодом, и сообщалось об активном использовании в дикой природе. Эта уязвимость, получившая оценку CVSS 9.1, связана с неправильной проверкой входных данных в модуле сериализуемых пользовательских атрибутов, что оказывает воздействие на версии с 0.1.0 по 0.3.0, которые нуждаются в обновлении до версии 0.4.0 или выше.

Недавние отчеты указывают на то, что злоумышленники использовали этот недостаток для развертывания PHP Веб-шеллов и выполнения тестов phpinfo, которые помогают оценить системные конфигурации и определить потенциальные пути использования. В течение одного дня охранная фирма Sansec зафиксировала более 250 попыток эксплуатации, что подчеркивает срочность и масштаб угрозы. Аналитики предполагают, что SessionReaper представляет значительные риски, аналогичные другим печально известным уязвимостям Magento, таким как CosmicSting и Shoplift.

Несмотря на наличие исправления, темпы внедрения были низкими. Примерно 62% магазинов Magento остаются непатченными почти шесть недель после выпуска исправления, что делает уязвимым значительное число интернет-магазинов. Первоначальные ответы показали, что только около трети магазинов внедрили исправление вскоре после его выпуска.

Для обнаружения угроз администраторы должны отслеживать необычную активность, включая неожиданные файлы PHP, странные ответы от phpinfo(), всплески запросов POST к конечным точкам REST API и новые пользовательские сеансы, созданные без каких-либо действий. Кроме того, IP-адреса, связанные с атакуемым трафиком, могут быть временно заблокированы в качестве дополнительной меры предосторожности.

#ParsedReport #CompletenessHigh
23-10-2025

Vault Viper: High Stakes, Hidden Threats

https://blogs.infoblox.com/threat-intelligence/vault-viper-high-stakes-hidden-threats/

Report completeness: High

Actors/Campaigns:
Vault_viper (motivation: information_theft, financially_motivated, cyber_criminal)
Pig_butchering

Threats:
Vigorish_viper
Supply_chain_technique
Domain_fronting_technique
Ramnit
Alman
Bankreptile_tool
Cloaking_technique

Victims:
Online gambling users, Financial sector, Casinos, Technology sector, Telecommunications infrastructure users

Industry:
Entertainment, Foodtech, Financial, Aerospace, Government, Game_industry

Geo:
Philippines, America, Taiwan, China, Malaysia, Macau, Hong kong, Myanmar, Malta, Asia, Latin america, Asia-pacific, United kingdom, Korea, Dprk, Cambodia, Asian, Chinese, Philippine, Samoa, Australia, Pacific, Vietnam, Belize

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036.005, T1041, T1055, T1056.001, T1059.007, T1071.001, T1090, T1105, have more...

IOCs:
Domain: 40
File: 9
IP: 10
Email: 2
Hash: 1
Url: 2

Soft:
Telegram, Android, Chromium, Chrome, Google Chrome, Instagram, Windows installer

Algorithms:
sha256, 7zip, zip

Functions:
QT

Languages:
javascript, visual_basic

Platforms:
apple, intel

Links:
https://github.com/infobloxopen/threat-intelligence

#ParsedReport #ExtractedSchema

Classified images:
schema: 6, windows: 4, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vault Viper, также известная как Baoying Group, занимается изощренной киберпреступной деятельностью, связанной с азартными играми онлайн, используя пользовательский браузер Universe Browser, предназначенный для обхода ограничений на азартные игры. Этот модифицированный вариант Chrome демонстрирует поведение, подобное вредоносному ПО, такое как мониторинг буфера обмена и внедрение кода со скрытым исполняемым файлом "UB-Launcher.exe " это обходит антивирусные меры, изменяя при этом законные установки. Кроме того, группа использует различные сферы командования и контроля для содействия деятельности, что указывает на связи с организованной преступностью и более широкую сеть, включающую незаконные финансовые операции.
-----

Vault Viper, также известная как Baoying Group, является частью сложной экосистемы киберпреступности, возникающей в Юго-Восточной Азии, которая использует платформы онлайн-гемблинга для крупномасштабной незаконной деятельности, такой как мошенничество и торговля людьми. Примечательно, что эта сеть управляет несколькими веб-сайтами онлайн-гемблинга, использующими веб-шаблон, связанный с общим поставщиком программного обеспечения для азартных игр, что подчеркивает ее скоординированные усилия.

Технический анализ подчеркивает разработку Vault Viper браузера Universe, предназначенного для обхода ограничений на доступ к онлайн-азартным играм, особенно ориентированного на рынки, где такая деятельность запрещена, такие как Китай. Браузер представляет собой модифицированную версию Chrome, способную выполнять двоичные файлы и использовать поведение, подобное вредоносному ПО, включая мониторинг буфера обмена и внедрение кода. Вариант Windows, идентифицированный как "UB-Launcher.exe " демонстрирует значительную скрытность, уклоняясь от обнаружения антивирусом и изменяя законные установки Chrome в браузере Universe. Этот вариант устанавливает множество компонентов, включая библиотеки динамических ссылок (DLL) и расширения для браузера, которые облегчают его работу.

Ключевые функции браузера Universe включают мониторинг активности пользователей и контролируемые прокси-соединения со специализированным расширением, предназначенным для обнаружения подключений к доменам азартных игр Vault Viper's. Это расширение может изменять свое поведение в зависимости от активности пользователя, возможно, служа как инструментом наблюдения, так и средством управления сетевым трафиком через точки выхода, знакомые злоумышленнику. Недавний анализ инфраструктуры показывает, что Vault Viper использует множество доменов, размещенных как в частных, так и в общедоступных облаках, для командно-контрольных операций, что еще больше затрудняет его работу.

С точки зрения эксплуатационной безопасности, большая следственная работа связана различные IP-адреса, данные WHOIS, и другие идентификаторы, чтобы разгадать связей между Vault Viper и синдикаты организованной преступности, в том числе отношения к ООО Группа во главе с Элвином Чау. Кроме того, группа была связана в прошлом лица, как vigorish Viper, что указывает на более широкие синдиката используя современные методы злоумышленников.

Кроме того, уникальная инфраструктура Vault Viper включает в себя давно существующие домены управления, такие как ac101.net , который имеет историю распространения различных вредоносных полезных нагрузок. Также были получены данные, связанные с незаконными банковскими проектами по созданию вредоносного ПО, что позволяет предположить диверсификацию преступных возможностей группы в области финансового мошенничества.

#ParsedReport #CompletenessLow
23-10-2025

Threat Actors Allegedly Selling Monolock Ransomware on Dark Web Forums

https://cybersecuritynews.com/threat-actors-allegedly-selling-monolock-ransomware/

Report completeness: Low

Threats:
Monolock

Industry:
Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1060, T1078, T1587.001, T1588.002

IOCs:
File: 2

Soft:
Windows registry

Algorithms:
rsa-2048, aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Monolock появилась на подпольных форумах, где она продается вместе с украденными корпоративными учетными данными, что указывает на целенаправленный подход к ее внедрению. Он использует сложный механизм закрепления, встраиваясь в реестр Windows с помощью клавиши Запуска, обеспечивая автоматическое выполнение при загрузке системы, что усложняет усилия по восстановлению. Эта тактика подчеркивает тенденцию среди злоумышленников связывать программы-вымогатели со скомпрометированными данными, подчеркивая растущую сложность и взаимосвязанный характер киберугроз.
-----

Monolock вымогателей недавно появились в подпольных форумах, где киберпреступники активно рекламировать версия 1.0 для продажи. Этот вирус отличается продается вместе похищены корпоративные учетные данные, что свидетельствует о потенциально целевой подход в ее развертывания. Продажи Monolock может означать эскалацию в киберпреступлениях, в частности в отношении того, как вымогатели монетизируется за счет приобретения конфиденциальных корпоративных данных.

Механизм заражения программы-вымогателя указывает на сложный уровень закрепления и уклонения. Monolock встраивается в реестр Windows с помощью клавиши Run, которая гарантирует, что он будет выполняться автоматически при загрузке системы. Этот метод закрепления может усложнить усилия по смягчению последствий, поскольку он позволяет программе-вымогателю сохранять контроль над зараженной системой даже после перезагрузки. Такая тактика подчеркивает намерение злоумышленника обеспечить долгосрочный доступ и контроль над скомпрометированными системами, подчеркивая растущую изощренность атак программ-вымогателей в целом.

Сочетание продажи Monolock's с украденными учетными данными свидетельствует о тенденции киберпреступников объединять программы-вымогатели с другими взломанными данными, обеспечивая более привлекательный продукт для потенциальных покупателей на рынке Dark Web. Такое поведение еще раз подчеркивает взаимосвязанность различных киберугроз и необходимость принятия организациями надежных мер безопасности для защиты своих учетных данных и общей целостности сети от таких многогранных атак.

#ParsedReport #CompletenessMedium
23-10-2025

Dissecting YouTubes Malware Distribution Network

https://research.checkpoint.com/2025/youtube-ghost-network/

Report completeness: Medium

Threats:
Rhadamanthys
Hijackloader
Lumma_stealer
Stargazers_ghost_network
Stealc
Redline_stealer
Phemedrone

Victims:
Youtube users, Gamers seeking game hacks and cheats, Software pirates seeking cracks

Industry:
Entertainment, Education

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1204.002, T1555, T1562.001, T1566.002, T1585.001, T1586, T1656

IOCs:
File: 4
Url: 6
Domain: 1
IP: 1
Hash: 8

Soft:
Windows Defender, Photoshop, Dropbox, Lightroom, Roblox

Wallets:
harmony_wallet

Algorithms:
zip

Functions:
Set-Up

Win API:
decompress

Links:
https://github.com/activescott/lessmsi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
YouTube Ghost Network - это операция по распространению вредоносного ПО, в которой задействовано более 3000 скомпрометированных аккаунтов, продвигающих стиллеров, в частности Lumma и Rhadamanthys, с помощью популярного контента, связанного с программным обеспечением. Сеть, действующая с 2021 года, с увеличением активности, наблюдаемым в 2025 году, полагается на использование функций YouTube для установления предполагаемого доверия, а ее наиболее успешные видеоролики ориентированы на Adobe Photoshop. Злоумышленники адаптировали свою тактику, включив в нее вредоносные рекламные кампании Google и методы, использующие присущую платформе легитимность для более широкого охвата и эффективности.
-----

Check Point Research исследовала скоординированную сеть распространения вредоносного ПО, действующую на YouTube, получившую название YouTube Ghost Network. Эта сеть насчитывает более 3000 вредоносных аккаунтов, которые используют функции YouTube для продвижения и распространения вредоносного ПО, часто повышая воспринимаемую достоверность вредоносного контента. Действующая с 2021 года сеть продемонстрировала значительный рост активности, особенно в 2025 году, когда, по сообщениям, количество вредоносных видеороликов увеличилось втрое. Основное внимание в этой кампании уделяется таким категориям программного обеспечения, как "Взломы игр /читы" и "Взломы программного обеспечения /пиратство", обе из которых имеют высокую вероятность привлечь ничего не подозревающих жертв, ищущих незаконные загрузки, тем самым невольно подвергая себя риску заражения.

Среди распространяемого вредоносного ПО вредоносное ПО для кражи информации, известное как стиллеры, представляет значительную угрозу, особенно с учетом того, что предыдущие сбои привели к изменению тактики. Примечательно, что стиллер Lumma был наиболее часто распространяемым типом вредоносного ПО в этой сети, пока его работа не была прервана в период с марта по май 2025 года, после чего Rhadamanthys стал новым предпочтительным стиллером. Анализ сети показал, что самой популярной целью вредоносных видеороликов был Adobe Photoshop, который собрал около 293 000 просмотров, что подчеркивает эффективность этих кампаний в охвате широкой аудитории.

Структура сети YouTube Ghost облегчает скрытность за счет использования скомпрометированных учетных записей, которым назначены определенные операционные роли. Такой подход позволяет быстро заменять заблокированные учетные записи, обеспечивая непрерывное распространение вредоносного ПО. Используемая тактика включает в себя использование функций YouTube, таких как видеоконтент, описания и комментарии, для создания ложного чувства безопасности у пользователей. Кроме того, исследование показывает, что злоумышленники все чаще используют вредоносные рекламные кампании Google для перенаправления пользователей на сайты фишинга, предназначенные для доставки вредоносного ПО в рамках своих развивающихся стратегий распространения.

Полученные результаты подчеркивают адаптивность киберпреступников, особенно в том, что касается перехода от традиционных источников заражения, таких как фишинг по электронной почте, к более сложным стратегиям, основанным на платформах. Использование скомпрометированных аккаунтов YouTube подрывает доверие, присущее легитимным платформам и их механизмам взаимодействия, позволяя проводить масштабные и эффективные кампании по борьбе с вредоносным ПО, подчеркивая необходимость повышения бдительности и мер безопасности среди пользователей.

#ParsedReport #CompletenessLow
22-10-2025

New Python RAT Targets Gamers via Minecraft

https://www.netskope.com/blog/new-python-rat-targets-gamers-via-minecraft

Report completeness: Low

Actors/Campaigns:
Fifetka

Threats:
Evil_ant
Zeon

Victims:
Gamers

Industry:
Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1036.005, T1060, T1071.001, T1082, T1102.002, T1113, T1125, T1204.002, T1552.001

IOCs:
Hash: 1
Registry: 1
File: 2

Soft:
Telegram, Discord, Linux, PyInstaller, Chrome, Firefox, Opera

Algorithms:
sha256

Languages:
python

Platforms:
cross-platform

Links:
https://github.com/pyinstxtractor/pyinstxtractor-ng
have more...
https://github.com/zrax/pycdc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно идентифицированный троян удаленного доступа на Python (RAT) под названием "Nursultan Client" в первую очередь нацелен на геймеров, особенно на тех, кто играет в Minecraft. Он использует Telegram Bot API для командования и контроля, обеспечивая эксфильтрацию данных и удаленное выполнение команд при работе в нескольких операционных системах. Примечательно, что он крадет токены аутентификации Discord и реализует закрепление с помощью изменений реестра, с такими возможностями, как создание скриншотов и захват изображений с веб-камеры, управляемых с помощью команд Telegram.
-----

Недавно идентифицированный троян удаленного доступа на Python (RAT) нацелен на геймеров, особенно на тех, кто использует Minecraft, путем Маскировки под законное программное обеспечение под названием "Клиент Nursultan". Это вредоносное ПО использует Telegram Bot API для создания канала командования и контроля (C2), что позволяет злоумышленникам извлекать украденные данные и отдавать команды удаленно. Конструкция вредоносного ПО позволяет ему функционировать в нескольких операционных системах, включая Windows, Linux и macOS, благодаря использованию кроссплатформенных библиотек. Его основные возможности, специфичные для Windows, включают в себя кражу токенов аутентификации Discord и закрепление с помощью изменений реестра.

После установки RAT создает запись реестра в разделе "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", чтобы убедиться, что она выполняется при запуске системы. Исполняемый файл, отличающийся своим хэшем SHA256 (847ef096af4226f657cdd5c8b9c9e2c924d0dbab24bb9804d4b3afaf2ddf5a61), отличается необычно большим размером - 68,5 МБ. Такой размер можно объяснить использованием PyInstaller, распространенного инструмента для упаковки скриптов на Python, что может привести к завышенным размерам файлов, которые некоторые меры безопасности могут не досконально проанализировать.

RAT обладает специфическими возможностями для кражи информации, в первую очередь ориентированными на Discord. Он может перехватывать токены аутентификации Discord и выполнять профилирование системы с помощью команд, передаваемых через Telegram-канал. Кроме того, такие вредоносные функции, как создание скриншотов и захват изображений с веб-камеры, реализуются с помощью команд "/screenshot" и "/camera", которые также отправляют собранные данные обратно злоумышленнику с помощью Telegram API.

Зависимость на платформе Телеграм для связи С2 создает определенные трудности для распознавания, так как законных зашифрованные каналы могут маскировать вредоносной активности. Применение известного Minecraft клиент личности в повседневной вредоносное ПО вредоносных программ является социальная инженерия стратегии, направленной на то, чтобы обмануть жертв, специально ориентированных на игровом сообществе. Полученные результаты подчеркивают необходимость того, чтобы организации сохраняли полную видимость сетевого трафика, особенно взаимодействия с зашифрованными платформами, для эффективного выявления скрытых коммуникаций C2 и потенциальных угроз.

#ParsedReport #CompletenessLow
23-10-2025

Baohuo's Eminence Grs: An Android backdoor hijacks Telegram accounts, gaining complete control over them.

https://news.drweb.ru/show/?i=15076&lng=ru&c=5

Report completeness: Low

Threats:
Baohuo
Lspatch_tool

Victims:
Telegram users

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1098, T1562.006

IOCs:
File: 1

Soft:
Android, Telegram, Redis, Redis Android

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.Baohuo.1.origin/README.adoc