#ParsedReport #CompletenessHigh
25-10-2025

GHOSTGRAB ANDROID MALWARE

https://www.cyfirma.com/research/ghostgrab-android-malware/

Report completeness: High

Threats:
Ghostgrab
Credential_harvesting_technique

Victims:
Mobile users, Banking sector

Industry:
Financial

TTPs:
Tactics: 8
Technics: 15

IOCs:
Domain: 6
File: 8
Url: 1
Hash: 2
Coin: 1

Soft:
ANDROID, Google Play, Telegram

Crypto:
monero

Algorithms:
sha256

Functions:
sendTextMessage, startForegroundService

Languages:
javascript

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GhostGrab - это сложное вредоносное ПО для Android, которое сочетает эксплуатацию ресурсов с финансовым мошенничеством, нацеливаясь на конфиденциальную банковскую и личную информацию. Он распространяется через вредоносный домен "kychelp.live", используя перенаправление JavaScript для доставки dropper APK, имитирующего Google Play Store, чтобы получить разрешения пользователя на установку скрытых полезных приложений. Вредоносное ПО сохраняется через звуковой цикл в службе переднего плана и использует обманчивый банковский интерфейс для кражи данных, используя обширные разрешения, которые обеспечивают длительную работу и уклонение от обнаружения.
-----

GhostGrab - это усовершенствованное семейство вредоносных ПО для Android, которое объединяет эксплуатацию ресурсов со схемами финансового мошенничества. Он крадет конфиденциальную банковскую информацию, личные данные и способствует мошенничеству с транзакциями. Вредоносное ПО собирает банковские учетные данные, номера Aadhaar и историю SMS-сообщений, включая одноразовые пароли (OTP).

Заражение начинается через вредоносный домен "kychelp.live", использующий перенаправление JavaScript для загрузки вредоносного APK-файла с именем "BOM FIXED DEPOSIT.apk", который действует как Dropper. Дроппер имитирует запрос на обновление в Google Play Store, чтобы обманом заставить пользователей предоставлять разрешения.

GhostGrab использует метод MediaPlayer для закрепления, создавая бесшумный звуковой цикл, чтобы поддерживать рабочее присутствие и предотвращать отключение в режиме ожидания. Вредоносное ПО открывает интерфейс банковской тематики, чтобы обманом заставить жертв предоставить конфиденциальную информацию в целях "Знай своего клиента" (KYC).

Домен "kychelp.live" зарегистрирован недавно, что является обычной чертой вредоносных кампаний. GhostGrab использует двойную стратегию монетизации, ориентированную на финансы и ресурсы устройств, используя модульную конструкцию и широкое злоупотребление разрешениями, чтобы избежать обнаружения.

Меры уменьшения риска включают только загрузка приложений из официальных источников и блокирует известные вредоносные домены на сетевом уровне. Обнаружению могут способствовать правила YARA, основанные на показателях компрометации, связанных с инфраструктурой GhostGrab's.

#ParsedReport #CompletenessMedium
24-10-2025

Analyzing the latest attacks from Trigona attackers

https://asec.ahnlab.com/ko/90717/

Report completeness: Medium

Threats:
Trigona
Mimic_ransomware
Bitsadmin_tool
Anydesk_tool
Defendercontrol_tool

Victims:
Ms sql servers

ChatGPT TTPs:
do not use without manual check
T1018, T1021.001, T1036, T1041, T1070.004, T1105, T1110, T1190, T1219

IOCs:
Command: 2
File: 3
Path: 2
Url: 7
Hash: 5
IP: 2

Soft:
MS-SQL, Curl, Bat2Exe

Algorithms:
md5

Languages:
rust, powershell

Links:
https://github.com/decoder-it/NetworkServiceExploit

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники из Trigona сосредоточили свое внимание на серверах MS-SQL, используя методы, которые включают программу массового копирования (BCP) для Манипуляций с данными и AnyDesk для удаленного управления. Их арсенал расширился за счет пользовательского сканера на базе Rust, который собирает системные данные и выполняет поиск уязвимостей RDP и MS-SQL. Кроме того, были использованы различные средства повышения привилегий, способные удалять важные файлы и изменять исполняемые файлы, чтобы затруднить восстановление.
-----

Злоумышленники из Trigona недавно активизировали свои кампании, нацеленные на серверы MS-SQL, используя комбинацию методов атаки и инструментов вредоносного ПО. Ранее сообщалось, что в атаках использовались как Trigona, так и Mimic ransomware с подтвержденной ссылкой на Trigona через согласованные Адреса эл. почты, используемые в уведомлениях о выкупе с начала 2023 года.

Примечательным аспектом методологии атаки Trigona является использование программы массового копирования (BCP), утилиты командной строки, используемой для манипулирования большими наборами данных, хранящихся на SQL-серверах. Этот инструмент используется для создания или экспорта файлов данных, облегчая злоумышленникам операции с скомпрометированной инфраструктурой MS-SQL.

В своей последней тактике злоумышленники использовали AnyDesk для удаленного управления системой. Установка AnyDesk обычно включает в себя размещение его по пути %ALLUSERSPROFILE%, что позволяет злоумышленникам сохранять доступ к зараженным системам. Кроме того, злоумышленники расширили свой инструментарий, включив в него пользовательский сканер вредоносного ПО, разработанный в Rust. После запуска этот сканер не только извлекает системную информацию, такую как IP-адрес и местоположение, из "ip-api.com " но также инициирует сканирование на наличие Протокола удаленного рабочего стола (RDP) и служб MS-SQL в поисках других уязвимостей.

В атаки также были интегрированы различные инструменты повышения привилегий, многие из которых можно найти на таких платформах, как GitHub, или через Defender Control. Эти инструменты варьируются от вредоносных ПО, предназначенных для удаления определенных файлов и каталогов, до тех, которые заменяют исполняемые файлы вредоносными версиями. Сообщалось, что вредоносное ПО для Удаления файлов удаляет важные каталоги и исполняемые файлы, что затрудняет процессы восстановления.

#ParsedReport #CompletenessHigh
25-10-2025

Android.Backdoor.Baohuo.1.origin

https://vms.drweb.ru/virus/?i=30931099

Report completeness: High

Threats:
Baohuo
Lspatch_tool
Cloaking_technique
Mobidash

Victims:
Mobile users

TTPs:
Tactics: 5
Technics: 27

IOCs:
File: 1
Hash: 1
Domain: 2
IP: 2
Url: 1

Soft:
Android, Telegram, Redis, Unix, Google Play

Algorithms:
sha1

Functions:
getName, setBlackList

Links:
have more...
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Backdoor.Baohuo.1.origin/README.adoc
https://github.com/ehang-io/nps

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Baohuo - это сложное вредоносное ПО, нацеленное на устройства Android через модифицированное приложение Telegram X, позволяющее злоумышленникам выполнять команды и получать доступ к конфиденциальным пользовательским данным. Он распространяется через вредоносные веб-сайты и каталоги сторонних приложений, используя различные методы внедрения, чтобы незаметно скомпрометировать законное приложение. После установки он облегчает кражу личной информации и перехватывает действия учетной записи Telegram, отражая тенденцию перепрофилирования законных приложений для вредоносных целей.
-----

Baohuo - это сложное вредоносное ПО, нацеленное на устройства Android, специально встроенное в модифицированную версию приложения Telegram X messenger. Этот бэкдор позволяет кибератакам выполнять произвольные команды, тем самым получая несанкционированный доступ к конфиденциальным пользовательским данным и полный контроль над аккаунтами жертв в Telegram. Вредоносное ПО в основном распространяется через вредоносные веб-сайты, а также находится в различных каталогах сторонних приложений для Android, что делает его доступным для ничего не подозревающих пользователей.

Работа Android.Backdoor.Baohuo.1.origin использует множество вариантов, которые используют различные методы для внедрения в законное приложение Telegram X. Эти модификации повышают способность вредоносного ПО компрометировать целевое устройство. Специфика того, как происходят эти инъекции, может варьироваться, что подчеркивает разнообразие методов, которые используют злоумышленники, чтобы обойти меры безопасности и установить бэкдор незамеченным.

После установки бэкдор функционирует, способствуя краже личной информации и перехвату действий в аккаунтах Telegram жертв. Это включает в себя доступ к сообщениям, контактам и потенциальное использование учетной записи в дальнейших вредоносных целях. Дизайн вредоносного ПО отражает растущую тенденцию в области угроз кибербезопасности, когда законные приложения перепрофилируются для доставки вредоносной полезной нагрузки, что значительно увеличивает риск для пользователей, которые могут не знать об уязвимостях, которым они подвергаются, загружая непроверенные приложения.

#ParsedReport #CompletenessMedium
25-10-2025

Cloud Discovery With AzureHound

https://unit42.paloaltonetworks.com/threat-actor-misuse-of-azurehound/

Report completeness: Medium

Actors/Campaigns:
Apt33
Void_blizzard
Storm-0501

Threats:
Azurehound_tool
Bloodhound_tool
Mfa_bombing_technique
Raccoon_stealer
Redline_stealer

Victims:
Cloud environments, Azure tenants

Industry:
Government

Geo:
China

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 1
Coin: 1

Soft:
Linux, macOS, Active Directory, Graph API, Microsoft Entra

Functions:
Graph, AzureHound, count

Languages:
powershell

Platforms:
arm

Links:
https://github.com/SpecterOps/BloodHound
have more...
https://github.com/SpecterOps/AzureHound

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
AzureHound, входящий в пакет BloodHound, все чаще используется злоумышленниками для проверки ресурсов Azure на наличие уязвимостей после первоначального компрометации. Злоумышленники используют методы из платформы MITRE ATT&CK, такие как Изучение учетных записей и Изучение групп разрешений, для выявления целей кражи учетных данных и оценки уровней доступа, необходимых для эксфильтрации данных. Они также используют Изучение объектов облачного хранилища для поиска конфиденциальных данных; в то же время Изучение облачной инфраструктуры помогает сопоставлять облачные архитектуры и находить учетные записи для повышения привилегий.
-----

AzureHound - это инструмент сбора данных с открытым исходным кодом, предназначенный в первую очередь для тестирования на проникновение и являющийся частью пакета BloodHound. Хотя он предназначен для использования специалистами по безопасности для повышения безопасности в облаке, злоумышленники все чаще используют его для подсчета ресурсов Azure и выявления потенциальных уязвимостей после первоначального взлома целевой среды Azure.

Злоумышленники используют AzureHound для выполнения различных методов обнаружения, описанных в MITRE ATT&CK framework, специально адаптированных для облачных сред. Одним из ключевых методов является Изучение учетных записей (T1087.004), которое позволяет злоумышленникам идентифицировать все идентификационные данные, такие как пользователи и участники служб, в среде Azure. Этот процесс помогает им составить список потенциальных целей для кражи учетных данных или Имперсонации.

Другим важным методом является Изучение групп разрешений (T1069.003). Эффективность сбора данных AzureHound's зависит от разрешений учетной записи, под которой он работает. Чтобы получить доступ к определениям и назначениям политик, учетная запись должна иметь роли типа Reader или выше на уровне группы ресурсов. Это подчеркивает необходимость надлежащего контроля доступа в средах Azure.

Эксфильтрация данных является основной целью многих злоумышленников. Они используют метод Изучения объектов облачного хранилища (T1619) для идентификации учетных записей Azure Storage и контейнеров больших двоичных объектов, тем самым показывая, где хранятся конфиденциальные данные. Кроме того, технология Изучения облачных служб (T1526) позволяет идентифицировать мощные идентификаторы в забытых ресурсах, таких как конвейеры автоматизации. Это может позволить злоумышленникам вставлять вредоносный код в эти конвейеры, используя повышенные разрешения после запуска автоматизации.

Чтобы понять общую архитектуру скомпрометированной облачной среды, злоумышленники применяют методы Изучения облачной инфраструктуры (T1580) для перечисления базовых ресурсов и связанных с ними структур управления. Используя такие инструменты, как AzureHound, злоумышленники, такие как Curious Serpens и Void Blizzard, могут систематически отображать облачные архитектуры, находить учетные записи для повышения привилегий и идентифицировать критически важные данные.

С точки зрения защиты, AzureHound в своей работе полагается на Microsoft Graph и Azure REST API. Таким образом, реализация надежной стратегии защиты предполагает многоуровневый подход, который включает в себя контроль доступа, безопасность конечных точек и мониторинг действий API. Учитывая, что журналы активности Microsoft Graph по умолчанию не включены, защитникам крайне важно настроить Microsoft Entra ID для экспорта этих журналов для интеграции с решениями SIEM. Такая видимость позволяет обнаруживать использование AzureHound и другие подозрительные действия.

Кроме того, службы безопасности могут использовать расширенные запросы для расследования конкретных событий, связанных с работой AzureHound's, тем самым расширяя возможности поиска угроз. Растущее злоупотребление AzureHound злоумышленниками подчеркивает важность понимания его функциональных возможностей и необходимость строгого контроля доступа и ведения журнала для защиты сред Azure от компрометации.

#ParsedReport #CompletenessHigh
23-10-2025

Agenda Ransomware Deploys Linux Variant on Windows Systems Through Remote Management Tools and BYOVD Techniques

https://www.trendmicro.com/en_us/research/25/j/agenda-ransomware-deploys-linux-variant-on-windows-systems.html

Report completeness: High

Actors/Campaigns:
Qilin

Threats:
Qilin_ransomware
Byovd_technique
Meshagent_tool
Meshcentral_tool
Splashtop_tool
Anydesk_tool
Atera_tool
Screenconnect_tool
Nltest_tool
Netscan_tool
Akira_ransomware
Dll_sideloading_technique
Putty_tool
Coroxy

Victims:
Manufacturing, Technology, Financial services, Healthcare

Industry:
Healthcare, Critical_infrastructure

Geo:
France, United kingdom, Japan, Canada

TTPs:
Tactics: 9
Technics: 0

IOCs:
Url: 6
File: 24
Path: 24
Command: 1
IP: 1
Hash: 14

Soft:
Linux, WinSCP, Cloudflare R2, ThrottleStop, ESXi

Algorithms:
sha1, base64, sha256

Languages:
powershell, javascript

Platforms:
x86, cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Agenda ransomware использует уникальный вариант Linux в системах Windows, используя инструменты удаленного управления и собственные уязвимые драйверы (BYOVD), чтобы избежать обнаружения. Программа Agenda, действующая по меньшей мере с 2025 года, последовательно нацелена на критически важные секторы в экономически развитых странах, особенно в США, Западной Европе и Японии, демонстрируя сложную модель "программа-вымогатель как услуга", которая использует поддельные страницы Google CAPTCHA, размещенные на Cloudflare, для фишинг-атак. Расширенные функции вредоносного ПО позволяют проводить обширную настройку и целенаправленные атаки, что усложняет усилия по устранению неполадок.
-----

Недавно было обнаружено Agenda ransomware, которое внедряет уникальный вариант Linux в системах Windows, используя инструменты удаленного управления и методы создания собственного уязвимого драйвера (BYOVD). Эта кроссплатформенная возможность усложняет усилия организаций по обнаружению, демонстрируя, насколько изощренными стали современные атаки программ-вымогателей.

Действующая по меньшей мере с 2025 года программа Agenda быстро завоевала известность среди групп вымогателей, отличаясь быстрыми темпами работы и широким географическим воздействием. Их модель "программа-вымогатель как услуга" (RaaS) систематически нацелена на организации в экономически развитых странах, с повышенным вниманием к Соединенным Штатам, Западной Европе и Японии. Примечательно, что их виктимологическая модель выявляет оппортунистические атаки в секторах, которые особенно чувствительны к сбоям в работе, таких как производство, технологии, финансовые услуги и здравоохранение, все из которых представляют заманчивые перспективы для выплаты выкупа из-за критического характера их данных.

Цепочка атак включала в себя несколько скомпрометированных конечных точек, которые подключались к вредоносным веб-сайтам, имитирующим законные запросы на проверку Google CAPTCHA. Эти поддельные страницы с капчей были размещены в хранилище Cloudflare R2, что иллюстрирует хитроумную тактику обфускации, используемую злоумышленниками для привлечения жертв к дальнейшему взаимодействию с вредоносным контентом.

Что касается самого вредоносного ПО, то анализ варианта Linux продемонстрировал значительную сложность его полезной нагрузки. Программа-вымогатель включает в себя расширенные функции, которые предоставляют широкие возможности настройки и возможность нацеливаться на конкретные платформы, что еще больше усложняет усилия организаций по исправлению положения и реагированию.

Этот инцидент подчеркивает тревожную тенденцию, когда операторы программ-вымогателей все чаще используют законные ИТ-инструменты и гибридные среды для обхода традиционных мер безопасности. Организации должны сосредоточиться на усилении своей защиты, чтобы устранить эти операционные "слепые зоны", улучшить видимость критически важных активов и внедрить надежные средства контроля для снижения рисков, связанных с такими продвинутыми угрозами со стороны программ-вымогателей.

#ParsedReport #CompletenessLow
24-10-2025

WSUS Deserialization Exploit in the Wild (CVE202559287)

https://research.eye.security/wsus-deserialization-exploit-in-the-wild-cve-2025-59287/

Report completeness: Low

Victims:
Wsus administrators, Windows server update services environments

CVEs:
CVE-2025-59287 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.003, T1190

IOCs:
File: 5
Path: 1
IP: 1
Hash: 1

Algorithms:
base64, sha256

Functions:
CreateException, ReadToEnd

Links:
https://github.com/pwntester/ysoserial.net?

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была обнаружена подозрительная активность в WSUS клиента, в частности, выполнение whoami.exe родительским процессом w3wp.exe, что указывает на веб-оболочку. В ходе расследования была обнаружена уязвимость CVE-2025-59287, ошибка десериализации в WSUS, позволяющая выполнять удаленный неаутентифицированный код через ClientWebService/client.asmx на определенных портах. Это подчеркивает настоятельную необходимость того, чтобы организации устраняли эту уязвимость, чтобы предотвратить потенциальные атаки.
-----

От служб обновления Windows Server (WSUS) клиента было получено критическое предупреждение, указывающее на подозрительную активность, связанную с выполнением whoami.exe , указывающий на потенциальную вредоносную активность с родительским процессом w3wp.exe , что характерно для веб-оболочки. Наблюдаемое время выполнения команд наводило на мысль, что злоумышленник проводил ручную разведку, а не выполнял атаку по сценарию.

Расследование привело к выявлению недавно обнаруженной уязвимости в WSUS, а именно CVE-2025-59287, которая связана с ошибкой десериализации, позволяющей выполнять удаленный код без проверки подлинности. Уязвимость затрагивает системы, работающие под управлением WSUS, и может быть использована через ClientWebService/client.asmx, ориентируясь на службу через порты 8530 (HTTP) или 8531 (HTTPS). Было представлено доказательство концепции этого эксплойта, подчеркивающее необходимость срочного исправления систем, подверженных этому эксплойту, для предотвращения потенциальных сбоев.

Выводы подчеркивают критическую необходимость для организаций, использующих WSUS, сохранять бдительность в отношении таких уязвимостей и обеспечивать своевременное обновление системы безопасности для снижения риска, создаваемого злоумышленниками, использующими этот недостаток.

#ParsedReport #CompletenessLow
25-10-2025

Convert Master Browser Hijacker Analysis

https://malasada.tech/convert-master-browser-hijacker-analysis/

Report completeness: Low

Threats:
Convert_master

Victims:
Web browser users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.003, T1112, T1204, T1475, T1608

IOCs:
Domain: 7
Url: 3
File: 2
Hash: 1

Soft:
FireFox

Algorithms:
sha256

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Convert Master - это браузер-угонщик, который в первую очередь нацелен на Firefox, но может влиять на другие браузеры, изменяя их Поисковые системы по умолчанию для направления трафика через Retro Revive, что в конечном итоге приводит к поиску Yahoo. После установки он создает ярлык на рабочем столе, связанный с приложением convertmasterapp.com и манипулирует ключами реестра, чтобы установить себя в качестве опции поиска по умолчанию, маскируя при этом свои намерения. Анализ показывает, что Convert Master использует обманные методы для использования пользовательских запросов с целью получения прибыли, что подчеркивает его вредоносную природу.
-----

Convert Master идентифицируется как угонщик браузера, распространяемый в основном с помощью рекламы. Его основная функция заключается в изменении поисковой системы браузеров по умолчанию, специально ориентированной на Firefox, хотя она может динамически ориентироваться на другие браузеры, как указано параметром ConMasD "TargBr". После установки Convert Master создает ярлык на рабочем столе, который ссылается на application.convertmasterapp.com , сайт, который якобы предлагает услуги по конвертации файлов. Однако приложение служит прикрытием для направления пользователей к модернизированной поисковой системе "Retro Revive".

После запуска Convert Master изменяет настройки браузера, добавляя новую поисковую систему, которая динамически настраивается для работы в качестве опции поиска пользователей по умолчанию. Перенаправления с Retro Revive не приводят к поиску в легальной поисковой системе, а перенаправляют запросы в Yahoo Search, раскрывая его функциональность как простого посредника, а не настоящей поисковой системы.

Технический анализ Convert Master с использованием таких инструментов, как Any Run и dnSpy, показывает, что он манипулирует ключами реестра при установке. Ответ ConMasD облегчает создание записей реестра для Convert Master и настраивает строку удаления, которая может автоматически удалять значения реестра и ярлыки на рабочем столе. Действия, предпринятые во время выполнения, иллюстрируют согласованные усилия, направленные не только на изменение функциональности браузера, но и на маскировку его истинных намерений с помощью вводящих в заблуждение интерфейсов, подталкивающих пользователей к онлайн-инструменту конвертации и подрывающих типичные настройки браузера. Такое поведение подчеркивает вредоносную природу Convert Master как угонщика браузера, предназначенного для получения прибыли от перенаправлений и манипуляций с пользователями.