#ParsedReport #CompletenessHigh
06-11-2025

GootLoader New Evasion Methods Target Search Driven Workflows

https://cybersecsentinel.com/gootloader-new-evasion-methods-target-search-driven-workflows/

Report completeness: High

Actors/Campaigns:
Unc2565
Storm-0494
Vice_society

Threats:
Gootkit
Seo_poisoning_technique
Cobalt_strike_tool
Kronos
Snowcone
Rhysida
Blackcat
Zeppelin
Fonelaunch
Kerberoasting_technique

TTPs:
Tactics: 5
Technics: 0

IOCs:
File: 4
Command: 3
Path: 3
Hash: 10
Url: 66
Domain: 54
IP: 7

Soft:
WordPress, Windows Explorer, Active Directory

Algorithms:
sha256, zip

Languages:
jscript, php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GootLoader, связанный с хакерской группировкой UNC2565, вновь появился, используя передовые методы Отравления поисковой оптимизации (SEO) для таргетирования пользователей, которые ищут шаблоны бизнес-документов. Вредоносное ПО использует обманчивый ZIP-архив для доставки вредоносного файла JScript через Windows Script Host, используя PowerShell для получения дополнительной полезной нагрузки. Индикаторами компрометации являются файл закрепления в папке автозагрузки пользователя, использующий краткое соглашение об именовании, и сетевая активность, направленная на скомпрометированные сайты WordPress с действительными SSL-сертификатами.
-----

GootLoader, управляемый хакерской группировкой UNC2565 (также известной как Storm-0494), вновь появился с передовыми технологиями для использования рабочих процессов, управляемых поиском. Этот загрузчик вредоносного ПО занимает центральное место в сложной платформе Access-as-a-Service, которая облегчает первоначальный доступ для филиалов программ-вымогателей, включая Vanilla Tempest, и использует поисковую систему SEO poisoning (agesoages) для привлечения пользователей, ищущих шаблоны бизнес-документов.

Примечательный метод атаки включает в себя использование ZIP-архива с раздвоением личности. Этот архив разработан таким образом, чтобы обмануть "песочницы" безопасности, выглядя безвредным при извлечении вредоносного js-файла для обычных пользователей. После выполнения, обычно запускаемого двойным щелчком пользователя по файлу JScript, полезная нагрузка запускается через Windows Script Host, а именно WScript.exe или CScript.exe , который, в свою очередь, вызывает PowerShell для извлечения последующих вредоносных полезных нагрузок.

Кампания GootLoader не использует никаких конкретных уязвимостей CVE, вместо этого полагаясь на различные тактики, такие как несоответствия формату архива, скомпрометированные законные сайты WordPress и устаревшее поведение с именами файлов. Эволюция инфраструктуры GootLoader включает усовершенствования в ее механизмах закрепления, теперь предпочтение отдается пользовательской папке автозагрузки по сравнению со старыми методами, включающими запланированные задачи, что сводит к минимуму риски обнаружения.

Индикаторы компрометации, связанные с GootLoader, включают файл закрепления, расположенный по адресу %APPDATA%\Microsoft\Windows\Меню Пуск\Программы\Автозагрузка\, который использует соглашение о сокращенных именах 8.3, чтобы избежать стандартного обнаружения, и сетевую активность, направленную на скомпрометированные сайты WordPress, использующие законные SSL-сертификаты. Вредоносное ПО использует схему оповещения, которая обычно возникает каждые 300-900 секунд, обмениваясь небольшими зашифрованными полезными данными со своей инфраструктурой управления.

Стратегии смягчения последствий сосредоточены на отключении узла сценариев Windows, применении строгих мер по уменьшению поверхности атаки (ASR) и использовании методов защиты от PowerShell. Организациям настоятельно рекомендуется избегать загрузки документов из результатов поиска и обеспечить наличие внутренних политик для безопасного поиска шаблонов. Общая оценка угрозы для GootLoader остается повышенной, что подчеркивает эффективность его методик уклонения и непрерывность работы UNC2565.

#ParsedReport #CompletenessMedium
08-11-2025

MUT-4831: Trojanized npm packages deliver Vidar infostealer malware

https://securitylabs.datadoghq.com/articles/mut-4831-trojanized-npm-packages-vidar/

Report completeness: Medium

Actors/Campaigns:
Mut-4831

Threats:
Vidar_stealer
Arkei_stealer
Supply_chain_technique

Victims:
Software development, Open source developers

Geo:
Emea

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1041, T1059.007, T1071.001, T1102, T1105, T1195, T1204.002

IOCs:
File: 7
Url: 11
Domain: 14
Command: 1
Email: 2
Hash: 1

Soft:
telegram, Node.js, TikTok, Steam, Microsoft Office, twitter

Algorithms:
zip, sha256

Functions:
Write-Host, Get-Item, executeExe

Languages:
powershell

Links:
https://github.com/Datadog/malicious-software-packages-dataset

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была идентифицирована кампания злоумышленника cluster MUT-4831, включающая 17 вредоносных пакетов npm, которые развертывают вредоносное ПО Vidar -стиллер информации. Эти пакеты маскируются под законные SDK и выполняют сценарий постустановки для установки вредоносного ПО, которое нацелено на конфиденциальную информацию из систем Windows. Этот инцидент примечателен тем, что он представляет собой первое известное распространение Vidar через пакеты npm, подчеркивающее риски безопасности, связанные с реестрами с открытым исходным кодом.
-----

Недавнее исследование Datadog Security выявило кампанию, приписываемую кластеру злоумышленников с именем MUT-4831, включающую 17 пакетов npm (всего 23 выпуска), которые содержат вредоносное ПО-загрузчик. Эти пакеты маскируются под законные SDK, которые обеспечивают реальную функциональность при одновременном выполнении постинсталляционного сценария, который развертывает вредоносное ПО Vidar стиллер информации в системах Windows. Это первый известный инцидент с вредоносным ПО Vidar, распространяемым через пакеты npm.

Реестр npm все чаще становится мишенью для крупных захватов пакетов, что позволяет злоумышленникам использовать его в качестве эффективного средства распространения вредоносного ПО. Несмотря на то, что принимаются меры по противодействию этим злоупотреблениям, ожидается, что такое использование экосистемы нпм будет продолжаться. Печально известный метод, встречающийся в этих вредоносных пакетах, включает в себя выполнение скрипта во время установки. В этом случае Node.js сценарий найден по адресу src/dependencies.js подтверждается, что он вредоносный, следуя типичной цепочке атак, когда изначально установленный облегченный загрузчик загружает более вредоносную полезную нагрузку второго этапа.

Полезная нагрузка второго этапа, выявленная в ходе этой кампании, является вариантом стиллера Vidar, который впервые появился в 2018 году как эволюция более старого Arkei Trojan. Этот исполняемый файл предназначен для кражи конфиденциальной информации из скомпрометированных систем, которая затем может быть продана на подпольных форумах или использована для дальнейших действий по эксплуатации.

Выводы Datadog также включают ссылки на различные контролируемые домены, связанные с кампанией, которые используются для загрузки полезных данных второго этапа или функционируют как инфраструктура командования и контроля (C2). Исследование показывает, что информация, собранная в результате этих атак, является ценным ресурсом, особенно предназначенным для разработчиков, которые имеют доступ к значительным активам.

Таким образом, распространение Vidar с помощью троянских пакетов npm иллюстрирует эволюционирующую тактику, применяемую злоумышленниками, такими как MUT-4831, и подчеркивает присущие уязвимости, присутствующие в реестрах пакетов с открытым исходным кодом, таких как npm. Такая ситуация вызывает серьезные опасения в отношении безопасности Цепочки поставок и постоянной угрозы, которую злонамеренные акторы представляют для ничего не подозревающих пользователей и организаций.

#ParsedReport #CompletenessLow
08-11-2025

PDFChampions YAPA Browser Hijacker/Loader Analysis

https://malasada.tech/pdfchampions-yapa-browser-hijacker-loader-analysis/

Report completeness: Low

Threats:
Pdfchampions
Convert_master
Convertyfile

Victims:
Consumers

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059, T1105, T1112, T1489, T1608, T1620

IOCs:
Url: 8
File: 4
Hash: 1
Domain: 5

Soft:
Firefox

Algorithms:
sha256

Functions:
SetFF, GetFF

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PDFChampions - это угонщик браузера YAPA, который функционирует как загрузчик кода, в основном распространяясь через рекламу и изменяя настройки поиска в браузере по умолчанию. Он обладает расширенными возможностями, такими как загрузка и выполнение динамического кода непосредственно из памяти, аналогично таким угрозам, как ConvertMaster и ConvertyFile. Примечательно, что он манипулирует процессами Firefox, используя команды fetch для извлечения и компиляции сегментов в ассемблерный код, что повышает его скрытность и эффективность при доставке дополнительной вредоносной полезной нагрузки.
-----

PDFChampions идентифицируется как угонщик браузера YAPA, который представляет значительные риски из-за его возможностей в качестве загрузчика кода. Обычно он распространяется через рекламу, изменяя поисковую систему браузеров по умолчанию. Основной проблемой для этого конкретного угонщика является его способность загружать, компилировать и выполнять динамический код непосредственно из памяти, что повышает уровень его угрозы по сравнению с аналогичными угонщиками, такими как ConvertMaster и ConvertyFile.

Технология выполнения, используемая PDFChampions, имеет сходство с теми, которые используются ConvertMaster и ConvertyFile, манипулирующими процессом установки, чтобы скрыть действия браузера. Такая тактика помогает предотвратить обнаружение пользователями, еще больше закрепляя присутствие угонщика в системе. Функциональность загрузчика вызывает особое беспокойство — доказательства ее работы видны в потоке выполнения кода, где определенные сегменты предназначены для управления процессами Firefox. В этом случае загрузчик использует команду fetch для извлечения сегмента “seof”, впоследствии компилируя его в ассемблерный код перед закрытием всех активных экземпляров Firefox и выполнением дальнейших команд.

Сложность PDFChampions подчеркивает эволюционирующую природу угроз перехвата браузера и использования возможностей загрузчика, которые могут способствовать развертыванию дополнительных вредоносных программ. В нем подчеркивается необходимость проявлять бдительность при распознавании таких угроз, которые умело маскируют свои действия за безобидными фасадами, в то же время осуществляя вредную деятельность в фоновом режиме.

#ParsedReport #CompletenessMedium
08-11-2025

Analysis of Remcos RAT spread in Italy with GLS-themed ClickFix campaign

https://cert-agid.gov.it/news/analisi-di-remcos-rat-diffuso-in-italia-con-campagna-clickfix-a-tema-gls/

Report completeness: Medium

Threats:
Remcos_rat
Clickfix_technique
Formbook
Lumma_stealer

Geo:
Italian, Italy

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1204.002, T1566.001, T1566.002

IOCs:
Domain: 1
Url: 6
IP: 1
Hash: 3

Algorithms:
xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания malspam, нацеленная на частных лиц в Италии, использует бренд GLS для распространения троянца удаленного доступа Remcos (RAT) через поддельную форму повторной доставки с использованием технологии ClickFix, которая основана на социальной инженерии для поощрения взаимодействия пользователей с вредоносным контентом. После запуска Remcos обеспечивает несанкционированный удаленный доступ, позволяя злоумышленникам отслеживать зараженные системы и управлять ими. Кампания подчеркивает тенденцию в тактике киберпреступников, которая увеличивает вероятность успешного заражения в обход традиционных мер безопасности.
-----

В Италии развернулась масштабная кампания malspam, использующая бренд GLS для привлечения частных лиц к заполнению поддельной формы повторной доставки. В этой операции используется метод ClickFix, который за последний год становится все более распространенным для распространения вредоносного ПО. Кампания заманивает пользователей, предлагая им заполнить форму, тем самым обманом заставляя их выполнять вредоносные команды.

Троян удаленного доступа Remcos (RAT) является основным вредоносным ПО, связанным с этой кампанией. Он работает, используя тактику социальной инженерии, чтобы гарантировать, что пользователи с большей вероятностью будут вручную взаимодействовать с вредоносным контентом. После активации Remcos облегчает несанкционированный удаленный доступ к системе жертвы, потенциально позволяя злоумышленникам отслеживать зараженное устройство и управлять им.

Подход ClickFix вызывает особую озабоченность, поскольку он основан на вмешательстве пользователя, которое может обойти некоторые меры безопасности, автоматически отфильтровывающие традиционные угрозы. Этот метод увеличивает вероятность успешного заражения, поскольку пользователи могут не распознать обман вовремя, чтобы принять превентивные меры. Рост числа таких кампаний указывает на изменение тактики киберпреступников, подчеркивая необходимость постоянной бдительности и расширенного информирования пользователей об угрозах фишинга и вредоносного ПО. В целом, этот сценарий подчеркивает продолжающуюся эволюцию киберугроз и изощренность современных методов атаки.

#ParsedReport #CompletenessHigh
09-11-2025

State-Sponsored Remote Wipe Tactics Targeting Android Devices

https://www.genians.co.kr/en/blog/threat_intelligence/android

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Lilith_rat
Endrat
Remcos_rat
Quasar_rat
Rftrat
Xrat_rat

Victims:
Psychological counseling, Human rights advocacy, Government impersonation victims, Individual users via kakaotalk

Geo:
Korean, North korean, Netherlands, Russia, North korea, China, Japan, Korea, Germany

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.003, T1059.007, T1204.002, T1218.007, T1566.001

IOCs:
File: 15
Command: 1
Path: 8
IP: 12
Domain: 8
Hash: 14

Soft:
Android, KakaoTalk, Gmail, Task Scheduler, WordPress

Algorithms:
aes, hmac, md5

Win API:
IoKlTr, CreateProcess

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 5, table: 2, dump: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания KONNI APT, связанная с северокорейскими акторами Kimsuky или APT37, использует новую тактику, нацеленную на устройства Android с помощью удаленной атаки wipe с помощью функции Google Find Hub. Первоначальный доступ получают с помощью Целевого фишинга, выдавая себя за доверенные организации, для распространения вредоносного ПО, замаскированного под программы для снятия стресса, через KakaoTalk. В кампании используется установочный пакет Microsoft под названием "Stress Clear.msi" и сценарий автоматической загрузки для закрепления, а также RemcosRAT и другие трояны, усиливающие ее сложную стратегию атаки.
-----

Кампания KONNI APT, связанная с северокорейскими злоумышленниками Kimsuky или APT37, появилась с новой тактикой, нацеленной на устройства Android с помощью удаленной атаки Android wipe, использующей функцию отслеживания активов Google Find Hub. Эта атака последовала за продолжавшейся год тайной операцией, в ходе которой злоумышленники выдавали себя за консультантов-психологов и северокорейских правозащитников для распространения вредоносного ПО, замаскированного под программы для снятия стресса, через платформу обмена сообщениями KakaoTalk.

Первоначальный доступ к целевым устройствам был получен с помощью Целевого фишинга, который подделывал доверенные организации, такие как Национальная налоговая служба. Среди жертв были профессиональные консультанты-психологи, работающие с северокорейскими перебежчиками, что свидетельствует о сосредоточенности нападавших на конкретных лицах, которые, вероятно, имели доступ к конфиденциальной информации. После взлома злоумышленники использовали эти устройства в качестве ретрансляторов для распространения дальнейших Вредоносных файлов, эффективно превращая жертв первого этапа в компоненты своей инфраструктуры.

Вредоносное ПО, используемое в этой кампании, структурировано вокруг пакета установщика Microsoft (MSI) под названием "Stress Clear.msi", доставляемого с помощью вредоносных сообщений KakaoTalk. Критическую роль в этой кампании играет сценарий автоматического запуска "IoKlTr.au3", периодически выполняемый планировщиком задач для поддержания постоянной вредоносной активности. Этот скрипт используется в сочетании с RemcosRAT и различными другими троянскими модулями удаленного доступа (RAT), обнаруженными на устройствах жертв, намекая на сложную стратегию создания оружия с использованием сценариев AutoIt.

Цифровой криминалистический анализ скомпрометированных систем выявил комплексную методологию атаки. Этот анализ подтвердил, что после выполнения вредоносного MSI-файла определенные пакетные файлы могут вызывать последующие команды для дальнейшей компрометации системы. Кроме того, недавние проверки логов учетных записей Gmail жертв позволили злоумышленникам получить информацию о последних сеансах входа в систему.

Кампания подчеркивает необходимость усиления мер по кибербезопасности, в частности методов обнаружения, основанных на поведении, и эффективного мониторинга, связанного с индикаторами компрометации (IOCs). Учитывая сложность атак и выявление дублирующих друг друга вредоносных ПО и тактик на устройствах жертв, существует значительная корреляция, свидетельствующая о едином подходе KONNI campaign к реализации этих сложных целенаправленных угроз.

#ParsedReport #CompletenessLow
06-11-2025

9 Malicious NuGet Packages Deliver Time-Delayed Destructive Payloads

https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads

Report completeness: Low

Threats:
Typosquatting_technique
Sharp7extend
Supply_chain_technique

Victims:
Software developers, Industrial control systems, Ecommerce, Healthcare, Financial services, Manufacturing

Industry:
E-commerce, Healthcare

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 14

Soft:
NuGet, PostgreSQL, Unix, OpenSSL

Functions:
QueryPage, GetMyDateTime, WriteDBSingleByte, WriteDBSingleInt, WriteDBSingleDInt, BeginTran

Win API:
GetCurrentProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило девять вредоносных пакетов NuGet, использующих typosquatting для доставки деструктивной полезной нагрузки, включая триггеры с задержкой по времени для сбоя приложений и повреждения промышленных систем управления. Эти пакеты используют методы расширения C#, интегрируя вредоносную логику в операции с базами данных и ПЛК, с поэтапными датами активации, чтобы максимально увеличить количество жертв, прежде чем вызвать сбои. Использование злоумышленником различных псевдонимов авторов подчеркивает стратегические усилия по уклонению от обнаружения в Цепочке поставок программного обеспечения, согласующиеся с методикой MITRE ATT&CK T1195.002.
-----

Недавнее исследование Socket выявило девять вредоносных пакетов NuGet, предназначенных для доставки деструктивных полезных нагрузок с задержками по времени, направленных на сбой приложений и повреждение промышленных систем управления. Эти пакеты были частью более широкой схемы, включавшей в общей сложности двенадцать пакетов, из которых девять были вредоносными, а три - законными, чтобы повысить доверие к злоумышленнику. Такая тактика typosquatting и сопряжения вредоносных пакетов с законными снижает подозрительность среди разработчиков, которые могут найти автора.

Вредоносные пакеты используют методы расширения C#, которые позволяют добавлять новые методы к существующим типам без изменения исходного кода. Этот метод используется злоумышленником для внедрения вредоносной логики в базу данных и операции программируемого логического контроллера (ПЛК). Добавленные конкретные методы включают метод расширения .Exec() для типов команд базы данных и метод .BeginTran() для объектов S7Client, облегчающий перехват операций с базой данных.

Примечательно, что пакеты используют механизм временной задержки активации; например, запуск одной реализации SQL Server запланирован на 8 августа 2027 года, в то время как другие активируются 29 ноября 2028 года. Напротив, пакет Sharp7Extend разработан таким образом, чтобы активироваться сразу после установки и действовать до 6 июня 2028 года, что приводит к немедленному сбою в работе промышленных систем управления. Эта стратегия поэтапной активации позволяет актору собирать жертв в течение длительного периода времени, прежде чем будут задействованы более разрушительные элементы вредоносного ПО.

Sharp7Extend выделяется как особенно опасный из-за реализации двойных вредоносных механизмов, которые могут нарушить работу различных отраслей промышленности. Например, это может привести к значительным простоям сайтов электронной коммерции, критически важных систем здравоохранения, финансовых платформ и производственных операций, что приведет к серьезным сбоям в работе и нарушениям системы безопасности.

Метаданные этих пакетов отражают стратегическое несоответствие в именах авторов вредоносных предложений, опубликованных под псевдонимом shanhai666. Эта тактика помогает злоумышленнику избежать обнаружения, создавая ложное впечатление, что пакеты исходят от разных разработчиков, что усложняет идентификацию нескольких подозрительных пакетов от одного автора.

Кампании соответствуют методике MITRE ATT&CK T1195.002, которая фокусируется на компромиссах в Цепочке поставок программного обеспечения, иллюстрируя сложный подход к проникновению и нарушению работы целевой среды.

#ParsedReport #CompletenessHigh
07-11-2025

Lazarus Group targets Aerospace and Defense with new Comebacker variant

https://www.enki.co.kr/en/media-center/blog/lazarus-group-targets-aerospace-and-defense-with-new-comebacker-variant

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
Comebacker
Typosquatting_technique
Spear-phishing_technique

Victims:
Aerospace sector, Defense sector

Industry:
Aerospace

Geo:
Indian, North korea, Dprk

TTPs:
Tactics: 7
Technics: 18

IOCs:
Domain: 3
File: 7
Hash: 9
Path: 4
Command: 2
Url: 2

Soft:
Microsoft Word, Visual Studio, Internet Explorer

Algorithms:
aes, sha256, base64, xor, hc-256, rc4, md5, chacha20, aes-128-cbc

Functions:
GetWindowSizedW, GetSysStartTime

Languages:
powershell, python, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4