#ParsedReport #CompletenessLow
23-10-2025

Threat Actors Allegedly Selling Monolock Ransomware on Dark Web Forums

https://cybersecuritynews.com/threat-actors-allegedly-selling-monolock-ransomware/

Report completeness: Low

Threats:
Monolock

Industry:
Healthcare

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1060, T1078, T1587.001, T1588.002

IOCs:
File: 2

Soft:
Windows registry

Algorithms:
rsa-2048, aes-256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель Monolock появилась на подпольных форумах, где она продается вместе с украденными корпоративными учетными данными, что указывает на целенаправленный подход к ее внедрению. Он использует сложный механизм закрепления, встраиваясь в реестр Windows с помощью клавиши Запуска, обеспечивая автоматическое выполнение при загрузке системы, что усложняет усилия по восстановлению. Эта тактика подчеркивает тенденцию среди злоумышленников связывать программы-вымогатели со скомпрометированными данными, подчеркивая растущую сложность и взаимосвязанный характер киберугроз.
-----

Monolock вымогателей недавно появились в подпольных форумах, где киберпреступники активно рекламировать версия 1.0 для продажи. Этот вирус отличается продается вместе похищены корпоративные учетные данные, что свидетельствует о потенциально целевой подход в ее развертывания. Продажи Monolock может означать эскалацию в киберпреступлениях, в частности в отношении того, как вымогатели монетизируется за счет приобретения конфиденциальных корпоративных данных.

Механизм заражения программы-вымогателя указывает на сложный уровень закрепления и уклонения. Monolock встраивается в реестр Windows с помощью клавиши Run, которая гарантирует, что он будет выполняться автоматически при загрузке системы. Этот метод закрепления может усложнить усилия по смягчению последствий, поскольку он позволяет программе-вымогателю сохранять контроль над зараженной системой даже после перезагрузки. Такая тактика подчеркивает намерение злоумышленника обеспечить долгосрочный доступ и контроль над скомпрометированными системами, подчеркивая растущую изощренность атак программ-вымогателей в целом.

Сочетание продажи Monolock's с украденными учетными данными свидетельствует о тенденции киберпреступников объединять программы-вымогатели с другими взломанными данными, обеспечивая более привлекательный продукт для потенциальных покупателей на рынке Dark Web. Такое поведение еще раз подчеркивает взаимосвязанность различных киберугроз и необходимость принятия организациями надежных мер безопасности для защиты своих учетных данных и общей целостности сети от таких многогранных атак.

#ParsedReport #CompletenessMedium
23-10-2025

Dissecting YouTubes Malware Distribution Network

https://research.checkpoint.com/2025/youtube-ghost-network/

Report completeness: Medium

Threats:
Rhadamanthys
Hijackloader
Lumma_stealer
Stargazers_ghost_network
Stealc
Redline_stealer
Phemedrone

Victims:
Youtube users, Gamers seeking game hacks and cheats, Software pirates seeking cracks

Industry:
Entertainment, Education

Geo:
Germany

ChatGPT TTPs:
do not use without manual check
T1036, T1056, T1204.002, T1555, T1562.001, T1566.002, T1585.001, T1586, T1656

IOCs:
File: 4
Url: 6
Domain: 1
IP: 1
Hash: 8

Soft:
Windows Defender, Photoshop, Dropbox, Lightroom, Roblox

Wallets:
harmony_wallet

Algorithms:
zip

Functions:
Set-Up

Win API:
decompress

Links:
https://github.com/activescott/lessmsi

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chats: 2, windows: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
YouTube Ghost Network - это операция по распространению вредоносного ПО, в которой задействовано более 3000 скомпрометированных аккаунтов, продвигающих стиллеров, в частности Lumma и Rhadamanthys, с помощью популярного контента, связанного с программным обеспечением. Сеть, действующая с 2021 года, с увеличением активности, наблюдаемым в 2025 году, полагается на использование функций YouTube для установления предполагаемого доверия, а ее наиболее успешные видеоролики ориентированы на Adobe Photoshop. Злоумышленники адаптировали свою тактику, включив в нее вредоносные рекламные кампании Google и методы, использующие присущую платформе легитимность для более широкого охвата и эффективности.
-----

Check Point Research исследовала скоординированную сеть распространения вредоносного ПО, действующую на YouTube, получившую название YouTube Ghost Network. Эта сеть насчитывает более 3000 вредоносных аккаунтов, которые используют функции YouTube для продвижения и распространения вредоносного ПО, часто повышая воспринимаемую достоверность вредоносного контента. Действующая с 2021 года сеть продемонстрировала значительный рост активности, особенно в 2025 году, когда, по сообщениям, количество вредоносных видеороликов увеличилось втрое. Основное внимание в этой кампании уделяется таким категориям программного обеспечения, как "Взломы игр /читы" и "Взломы программного обеспечения /пиратство", обе из которых имеют высокую вероятность привлечь ничего не подозревающих жертв, ищущих незаконные загрузки, тем самым невольно подвергая себя риску заражения.

Среди распространяемого вредоносного ПО вредоносное ПО для кражи информации, известное как стиллеры, представляет значительную угрозу, особенно с учетом того, что предыдущие сбои привели к изменению тактики. Примечательно, что стиллер Lumma был наиболее часто распространяемым типом вредоносного ПО в этой сети, пока его работа не была прервана в период с марта по май 2025 года, после чего Rhadamanthys стал новым предпочтительным стиллером. Анализ сети показал, что самой популярной целью вредоносных видеороликов был Adobe Photoshop, который собрал около 293 000 просмотров, что подчеркивает эффективность этих кампаний в охвате широкой аудитории.

Структура сети YouTube Ghost облегчает скрытность за счет использования скомпрометированных учетных записей, которым назначены определенные операционные роли. Такой подход позволяет быстро заменять заблокированные учетные записи, обеспечивая непрерывное распространение вредоносного ПО. Используемая тактика включает в себя использование функций YouTube, таких как видеоконтент, описания и комментарии, для создания ложного чувства безопасности у пользователей. Кроме того, исследование показывает, что злоумышленники все чаще используют вредоносные рекламные кампании Google для перенаправления пользователей на сайты фишинга, предназначенные для доставки вредоносного ПО в рамках своих развивающихся стратегий распространения.

Полученные результаты подчеркивают адаптивность киберпреступников, особенно в том, что касается перехода от традиционных источников заражения, таких как фишинг по электронной почте, к более сложным стратегиям, основанным на платформах. Использование скомпрометированных аккаунтов YouTube подрывает доверие, присущее легитимным платформам и их механизмам взаимодействия, позволяя проводить масштабные и эффективные кампании по борьбе с вредоносным ПО, подчеркивая необходимость повышения бдительности и мер безопасности среди пользователей.

#ParsedReport #CompletenessLow
22-10-2025

New Python RAT Targets Gamers via Minecraft

https://www.netskope.com/blog/new-python-rat-targets-gamers-via-minecraft

Report completeness: Low

Actors/Campaigns:
Fifetka

Threats:
Evil_ant
Zeon

Victims:
Gamers

Industry:
Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1036.005, T1060, T1071.001, T1082, T1102.002, T1113, T1125, T1204.002, T1552.001

IOCs:
Hash: 1
Registry: 1
File: 2

Soft:
Telegram, Discord, Linux, PyInstaller, Chrome, Firefox, Opera

Algorithms:
sha256

Languages:
python

Platforms:
cross-platform

Links:
https://github.com/pyinstxtractor/pyinstxtractor-ng
have more...
https://github.com/zrax/pycdc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно идентифицированный троян удаленного доступа на Python (RAT) под названием "Nursultan Client" в первую очередь нацелен на геймеров, особенно на тех, кто играет в Minecraft. Он использует Telegram Bot API для командования и контроля, обеспечивая эксфильтрацию данных и удаленное выполнение команд при работе в нескольких операционных системах. Примечательно, что он крадет токены аутентификации Discord и реализует закрепление с помощью изменений реестра, с такими возможностями, как создание скриншотов и захват изображений с веб-камеры, управляемых с помощью команд Telegram.
-----

Недавно идентифицированный троян удаленного доступа на Python (RAT) нацелен на геймеров, особенно на тех, кто использует Minecraft, путем Маскировки под законное программное обеспечение под названием "Клиент Nursultan". Это вредоносное ПО использует Telegram Bot API для создания канала командования и контроля (C2), что позволяет злоумышленникам извлекать украденные данные и отдавать команды удаленно. Конструкция вредоносного ПО позволяет ему функционировать в нескольких операционных системах, включая Windows, Linux и macOS, благодаря использованию кроссплатформенных библиотек. Его основные возможности, специфичные для Windows, включают в себя кражу токенов аутентификации Discord и закрепление с помощью изменений реестра.

После установки RAT создает запись реестра в разделе "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run", чтобы убедиться, что она выполняется при запуске системы. Исполняемый файл, отличающийся своим хэшем SHA256 (847ef096af4226f657cdd5c8b9c9e2c924d0dbab24bb9804d4b3afaf2ddf5a61), отличается необычно большим размером - 68,5 МБ. Такой размер можно объяснить использованием PyInstaller, распространенного инструмента для упаковки скриптов на Python, что может привести к завышенным размерам файлов, которые некоторые меры безопасности могут не досконально проанализировать.

RAT обладает специфическими возможностями для кражи информации, в первую очередь ориентированными на Discord. Он может перехватывать токены аутентификации Discord и выполнять профилирование системы с помощью команд, передаваемых через Telegram-канал. Кроме того, такие вредоносные функции, как создание скриншотов и захват изображений с веб-камеры, реализуются с помощью команд "/screenshot" и "/camera", которые также отправляют собранные данные обратно злоумышленнику с помощью Telegram API.

Зависимость на платформе Телеграм для связи С2 создает определенные трудности для распознавания, так как законных зашифрованные каналы могут маскировать вредоносной активности. Применение известного Minecraft клиент личности в повседневной вредоносное ПО вредоносных программ является социальная инженерия стратегии, направленной на то, чтобы обмануть жертв, специально ориентированных на игровом сообществе. Полученные результаты подчеркивают необходимость того, чтобы организации сохраняли полную видимость сетевого трафика, особенно взаимодействия с зашифрованными платформами, для эффективного выявления скрытых коммуникаций C2 и потенциальных угроз.

#ParsedReport #CompletenessLow
23-10-2025

Baohuo's Eminence Grs: An Android backdoor hijacks Telegram accounts, gaining complete control over them.

https://news.drweb.ru/show/?i=15076&lng=ru&c=5

Report completeness: Low

Threats:
Baohuo
Lspatch_tool

Victims:
Telegram users

ChatGPT TTPs:
do not use without manual check
T1041, T1056.001, T1098, T1562.006

IOCs:
File: 1

Soft:
Android, Telegram, Redis, Redis Android

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.Baohuo.1.origin/README.adoc

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Андроид.Backdoor.Baohuo.1.origin нацелен на Telegram X, похищая конфиденциальную информацию, такую как имена пользователей, пароли и истории чатов, позволяя злоумышленникам полностью контролировать учетную запись. Это вредоносное ПО уклоняется от обнаружения, скрывая несанкционированные подключения, и манипулирует учетными записями Telegram для автоматизации таких действий, как добавление пользователей в каналы. Он использует базу данных Redis для управления, позволяя управлять более чем 58 000 активными установками и выявляя риски, связанные со скомпрометированными платформами обмена сообщениями.
-----

Вредоносное ПО для Android, известное как Android.Backdoor.Baohuo.1.origin, идентифицированный компанией "Доктор Веб", представляет значительную угрозу, поскольку нацелен на популярное приложение для обмена сообщениями Telegram X. Это бэкдор-вредоносное ПО присутствует в модифицированных версиях приложения и в первую очередь предназначено для кражи конфиденциальной пользовательской информации, включая имена пользователей, пароли и историю чатов. Его возможности выходят за рамки простой кражи данных, позволяя злоумышленникам полностью контролировать скомпрометированные учетные записи Telegram.

Одной из выдающихся особенностей этого вредоносного ПО является его способность уклоняться от обнаружения. Он может скрывать соединения со сторонних устройств в списке сеансов Telegram, создавая ложное чувство безопасности у жертвы и одновременно скрывая несанкционированный доступ. Кроме того, вредоносное ПО может манипулировать учетной записью различными способами — добавлять или удалять пользователей из Telegram-каналов, присоединяться к чатам или покидать их, а также выполнять другие действия без ведома жертвы. Эта функциональность позволяет злоумышленникам не только получать доступ к личным сообщениям, но и завышать количество подписчиков в Telegram-каналах, автоматизируя действия от имени жертвы.

Механизм управления для Android.Backdoor.Baohuo.1.origin использует базу данных Redis, которая представляет собой нетипичный метод управления угрозами для Android. Этот инновационный аспект контроля позволяет киберпреступникам поддерживать работу значительного числа зараженных устройств, и, по оценкам, в настоящее время активно установлено более 58 000 вредоносных ПО с бэкдором. Эволюционирующая природа Android.Backdoor.Baohuo.1.origin подчеркивает сохраняющиеся риски, создаваемые злонамеренными акторами, использующими популярные коммуникационные платформы в неблаговидных целях.

#ParsedReport #CompletenessLow
23-10-2025

Librarian Likho updated its toolset

https://www.kaspersky.ru/blog/librarian-likho-new-tools/40695/

Report completeness: Low

Actors/Campaigns:
Librarian_ghouls

Industry:
Aerospace

IOCs:
File: 3
Hash: 7
Domain: 1
Url: 2

Soft:
UnRAR

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя интеграция Librarian Likho's с файлообменником, управляемым искусственным интеллектом, предполагает переход к более сложным кибероперациям, расширяющим возможности эксфильтрации данных и разведки. Хотя конкретные технические детали его работы остаются нераскрытыми, этот шаг отражает более широкие тенденции в хакерской группировке, использующей искусственный интеллект и машинное обучение для разработки продвинутого вредоносного ПО, сигнализируя о потенциальном повышении эффективности кибератак. Понимание этих изменений жизненно важно для прогнозирования будущих угроз в области кибербезопасности.
-----

Librarian Likho недавно расширила свой набор инструментов, включив в него новые функциональные возможности, в частности, файлообменник, который, как полагают, разработан с использованием возможностей Искусственного интеллекта. Это обновление предполагает стратегический шаг в направлении повышения сложности и эффективности своих киберопераций. Внедрение инструментов, управляемых искусственным интеллектом, может указывать на изменение тактики, которая использует автоматизацию для оптимизации процессов сбора данных или повышения эффективности поиска информации из целевых систем.

Такие усовершенствования могут совпадать с более широкими тенденциями, наблюдаемыми в хакерских группировках, которые все чаще используют искусственный интеллект и технологии машинного обучения для разработки более совершенного вредоносного ПО. Технические характеристики файлообменника, такие как способ его работы или характеристики цели, не разглашаются, но его включение в арсенал Likho подчеркивает растущую зависимость злоумышленников от сложных инструментов для эксфильтрации данных и разведки. Использование искусственного интеллекта во вредоносных инструментах сигнализирует о потенциальном повышении эффективности кибератак, что требует повышенной бдительности со стороны защитников и заинтересованных сторон в области безопасности.

По мере развития ландшафта угроз понимание последствий этих изменений имеет решающее значение для прогнозирования будущей тактики и контрмер в стратегиях киберзащиты.

#ParsedReport #CompletenessMedium
23-10-2025

Shadow Alliance: who are the Cloaked Shadow

https://habr.com/ru/companies/ru_mts/articles/958950/

Report completeness: Medium

Actors/Campaigns:
Cloaked_shadow
Paper_werewolf
Cyberpartisans-by

Threats:
Reversesocks5_tool
Dropbear_tool
Tinyshell
Dquic
Chisel_tool
Garble_tool
Socat_tool
Dns_tunneling_technique
Vasilek

Victims:
Russian companies, Linux hosts

Industry:
Telco, Ics

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1021.004, T1027, T1030, T1036, T1059.004, T1071.004, T1090, T1106, T1543.002, T1572, have more...

IOCs:
File: 3
IP: 11

Soft:
linux, redis, ollvm, Telegram, Zabbix

Algorithms:
aes, xor, base64

Languages:
python, rust

Links:
https://github.com/Acebond/ReverseSocks5
have more...
https://github.com/Fahrj/reverse-ssh
https://github.com/mkj/dropbear/tree/master

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Cloaked Shadow, входящая в Shadow Alliance, нацелена на российские фирмы, используя передовые инструменты вредоносного ПО, такие как ReverseSocks5 и обратные ssh-бэкдоры, позволяющие получить необнаруживаемый доступ к сетям жертв. Они также развертывают пользовательские дропперы, в том числе один, связанный с GOFFEE_LLoader. Кроме того, в 2025 году появился новый актор с самописным бэкдором, использующим DNS tunneling для управления, что указывает на растущую сложность киберугроз и методов, используемых злоумышленниками.
-----

Cloaked Shadow, идентифицированная как часть Shadow Alliance, действует по меньшей мере с 2023 года, ориентируясь в первую очередь на российские компании. Инструментарий группы включает в себя ряд вредоносных ПО и пользовательских инструментов, предназначенных для проксирования и туннелирования трафика, в частности ReverseSocks5 и обратные ssh-бэкдоры, которые позволяют злоумышленникам получать доступ к инфраструктуре жертвы с минимальными следами, оставляемыми в журналах операционной системы. Эти инструменты отлично подходят для построения необнаруживаемых внутренних сетевых туннелей.

Примечательно, что бэкдор ReverseSocks5 функционирует аналогично проекту GitHub с открытым исходным кодом, что указывает на потенциальное повторное использование кода. Инструмент обратного ssh позволяет злоумышленникам подключаться к прокси-серверу socks5 и устанавливать каналы связи внутри скомпрометированной сети. Злоумышленники также использовали пользовательские дропперы для запуска вредоносных полезных нагрузок непосредственно в памяти. Ярким примером такого подхода является загрузчик, связанный с ранее известной группой, называемой GOFFEE_LLoader.

Анализ показывает появление нового актора, которого можно идентифицировать по артефактам 2025 года. Этот актор использовал сложный, самописный бэкдор, который использует DNS tunneling для связи командования и контроля (C2), сильно запутанный, чтобы затруднить обнаружение. Этот бэкдор имеет сходство с бэкдором Vasilek и работает через DNS tunneling, что еще больше соответствует характеристикам группы Cyberpartisans-BY, которая была причастна к громким кибератакам против крупных российских фирм.

Инфраструктура вредоносного ПО обеспечивает различные возможности, такие как выполнение команд оболочки через "/bin/sh", создание подключений к прокси-серверам socks5 и управление несколькими сеансами как с серверами C2, так и с серверами socks5. Протокол для установления этих подключений включает отправку определенных кодов операций для передачи команд и статусов, связанных с сеансами оболочки и прокси-соединениями. Например, коды операций для выполнения асинхронных команд, закрытия сеансов и управления обменом данными между подпрограммами тщательно разработаны, чтобы обеспечить бесперебойную работу даже в сложной среде.

Полученные данные свидетельствуют о том, что Cloaked Shadow сохраняла постоянное присутствие в инфраструктурах жертв, несмотря на деятельность других групп, таких как GOFFEE, которые, по-видимому, прекратили свою деятельность. Это подчеркивает эволюцию методов атак и растущую изощренность злоумышленников в их долгосрочных стратегиях проведения кампаний.

#ParsedReport #CompletenessMedium
23-10-2025

RedTiger: New Red Teaming Tool in the Wild Targeting Gamers and Discord Accounts

https://www.netskope.com/blog/redtiger-new-red-teaming-tool-in-the-wild-targeting-gamers-and-discord-accounts

Report completeness: Medium

Threats:
Red_tiger
Cobalt_strike_tool
Procdump_tool
Process_hacker_tool
Nodestealer

Victims:
Gamers, Discord users, French speaking users

Industry:
Financial, Entertainment

Geo:
French

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1037.005, T1059.006, T1071.001, T1113, T1119, T1125, T1555.003, T1562.001, T1567.002, have more...

IOCs:
File: 4

Soft:
Discord, PyInstaller, Roblox, Linux, macOS, Visual studio, sysinternals, Process explorer, Stripe API, Google Chrome, have more...

Algorithms:
zip

Functions:
ImageGrab

Languages:
javascript, python

Links:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/Malware/RedTiger/IOCs
have more...
https://github.com/loxy0dev/RedTiger-Tools

#ParsedReport #GeneratedSchema
Generated with GPT-4