#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
PDFChampions - это угонщик браузера YAPA, который функционирует как загрузчик кода, в основном распространяясь через рекламу и изменяя настройки поиска в браузере по умолчанию. Он обладает расширенными возможностями, такими как загрузка и выполнение динамического кода непосредственно из памяти, аналогично таким угрозам, как ConvertMaster и ConvertyFile. Примечательно, что он манипулирует процессами Firefox, используя команды fetch для извлечения и компиляции сегментов в ассемблерный код, что повышает его скрытность и эффективность при доставке дополнительной вредоносной полезной нагрузки.
-----

PDFChampions идентифицируется как угонщик браузера YAPA, который представляет значительные риски из-за его возможностей в качестве загрузчика кода. Обычно он распространяется через рекламу, изменяя поисковую систему браузеров по умолчанию. Основной проблемой для этого конкретного угонщика является его способность загружать, компилировать и выполнять динамический код непосредственно из памяти, что повышает уровень его угрозы по сравнению с аналогичными угонщиками, такими как ConvertMaster и ConvertyFile.

Технология выполнения, используемая PDFChampions, имеет сходство с теми, которые используются ConvertMaster и ConvertyFile, манипулирующими процессом установки, чтобы скрыть действия браузера. Такая тактика помогает предотвратить обнаружение пользователями, еще больше закрепляя присутствие угонщика в системе. Функциональность загрузчика вызывает особое беспокойство — доказательства ее работы видны в потоке выполнения кода, где определенные сегменты предназначены для управления процессами Firefox. В этом случае загрузчик использует команду fetch для извлечения сегмента “seof”, впоследствии компилируя его в ассемблерный код перед закрытием всех активных экземпляров Firefox и выполнением дальнейших команд.

Сложность PDFChampions подчеркивает эволюционирующую природу угроз перехвата браузера и использования возможностей загрузчика, которые могут способствовать развертыванию дополнительных вредоносных программ. В нем подчеркивается необходимость проявлять бдительность при распознавании таких угроз, которые умело маскируют свои действия за безобидными фасадами, в то же время осуществляя вредную деятельность в фоновом режиме.

#ParsedReport #CompletenessMedium
08-11-2025

Analysis of Remcos RAT spread in Italy with GLS-themed ClickFix campaign

https://cert-agid.gov.it/news/analisi-di-remcos-rat-diffuso-in-italia-con-campagna-clickfix-a-tema-gls/

Report completeness: Medium

Threats:
Remcos_rat
Clickfix_technique
Formbook
Lumma_stealer

Geo:
Italian, Italy

ChatGPT TTPs:
do not use without manual check
T1059, T1204, T1204.002, T1566.001, T1566.002

IOCs:
Domain: 1
Url: 6
IP: 1
Hash: 3

Algorithms:
xor

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания malspam, нацеленная на частных лиц в Италии, использует бренд GLS для распространения троянца удаленного доступа Remcos (RAT) через поддельную форму повторной доставки с использованием технологии ClickFix, которая основана на социальной инженерии для поощрения взаимодействия пользователей с вредоносным контентом. После запуска Remcos обеспечивает несанкционированный удаленный доступ, позволяя злоумышленникам отслеживать зараженные системы и управлять ими. Кампания подчеркивает тенденцию в тактике киберпреступников, которая увеличивает вероятность успешного заражения в обход традиционных мер безопасности.
-----

В Италии развернулась масштабная кампания malspam, использующая бренд GLS для привлечения частных лиц к заполнению поддельной формы повторной доставки. В этой операции используется метод ClickFix, который за последний год становится все более распространенным для распространения вредоносного ПО. Кампания заманивает пользователей, предлагая им заполнить форму, тем самым обманом заставляя их выполнять вредоносные команды.

Троян удаленного доступа Remcos (RAT) является основным вредоносным ПО, связанным с этой кампанией. Он работает, используя тактику социальной инженерии, чтобы гарантировать, что пользователи с большей вероятностью будут вручную взаимодействовать с вредоносным контентом. После активации Remcos облегчает несанкционированный удаленный доступ к системе жертвы, потенциально позволяя злоумышленникам отслеживать зараженное устройство и управлять им.

Подход ClickFix вызывает особую озабоченность, поскольку он основан на вмешательстве пользователя, которое может обойти некоторые меры безопасности, автоматически отфильтровывающие традиционные угрозы. Этот метод увеличивает вероятность успешного заражения, поскольку пользователи могут не распознать обман вовремя, чтобы принять превентивные меры. Рост числа таких кампаний указывает на изменение тактики киберпреступников, подчеркивая необходимость постоянной бдительности и расширенного информирования пользователей об угрозах фишинга и вредоносного ПО. В целом, этот сценарий подчеркивает продолжающуюся эволюцию киберугроз и изощренность современных методов атаки.

#ParsedReport #CompletenessHigh
09-11-2025

State-Sponsored Remote Wipe Tactics Targeting Android Devices

https://www.genians.co.kr/en/blog/threat_intelligence/android

Report completeness: High

Actors/Campaigns:
Scarcruft
Kimsuky

Threats:
Spear-phishing_technique
Lilith_rat
Endrat
Remcos_rat
Quasar_rat
Rftrat
Xrat_rat

Victims:
Psychological counseling, Human rights advocacy, Government impersonation victims, Individual users via kakaotalk

Geo:
Korean, North korean, Netherlands, Russia, North korea, China, Japan, Korea, Germany

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.005, T1059.003, T1059.007, T1204.002, T1218.007, T1566.001

IOCs:
File: 15
Command: 1
Path: 8
IP: 12
Domain: 8
Hash: 14

Soft:
Android, KakaoTalk, Gmail, Task Scheduler, WordPress

Algorithms:
aes, hmac, md5

Win API:
IoKlTr, CreateProcess

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 5, windows: 5, table: 2, dump: 4, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания KONNI APT, связанная с северокорейскими акторами Kimsuky или APT37, использует новую тактику, нацеленную на устройства Android с помощью удаленной атаки wipe с помощью функции Google Find Hub. Первоначальный доступ получают с помощью Целевого фишинга, выдавая себя за доверенные организации, для распространения вредоносного ПО, замаскированного под программы для снятия стресса, через KakaoTalk. В кампании используется установочный пакет Microsoft под названием "Stress Clear.msi" и сценарий автоматической загрузки для закрепления, а также RemcosRAT и другие трояны, усиливающие ее сложную стратегию атаки.
-----

Кампания KONNI APT, связанная с северокорейскими злоумышленниками Kimsuky или APT37, появилась с новой тактикой, нацеленной на устройства Android с помощью удаленной атаки Android wipe, использующей функцию отслеживания активов Google Find Hub. Эта атака последовала за продолжавшейся год тайной операцией, в ходе которой злоумышленники выдавали себя за консультантов-психологов и северокорейских правозащитников для распространения вредоносного ПО, замаскированного под программы для снятия стресса, через платформу обмена сообщениями KakaoTalk.

Первоначальный доступ к целевым устройствам был получен с помощью Целевого фишинга, который подделывал доверенные организации, такие как Национальная налоговая служба. Среди жертв были профессиональные консультанты-психологи, работающие с северокорейскими перебежчиками, что свидетельствует о сосредоточенности нападавших на конкретных лицах, которые, вероятно, имели доступ к конфиденциальной информации. После взлома злоумышленники использовали эти устройства в качестве ретрансляторов для распространения дальнейших Вредоносных файлов, эффективно превращая жертв первого этапа в компоненты своей инфраструктуры.

Вредоносное ПО, используемое в этой кампании, структурировано вокруг пакета установщика Microsoft (MSI) под названием "Stress Clear.msi", доставляемого с помощью вредоносных сообщений KakaoTalk. Критическую роль в этой кампании играет сценарий автоматического запуска "IoKlTr.au3", периодически выполняемый планировщиком задач для поддержания постоянной вредоносной активности. Этот скрипт используется в сочетании с RemcosRAT и различными другими троянскими модулями удаленного доступа (RAT), обнаруженными на устройствах жертв, намекая на сложную стратегию создания оружия с использованием сценариев AutoIt.

Цифровой криминалистический анализ скомпрометированных систем выявил комплексную методологию атаки. Этот анализ подтвердил, что после выполнения вредоносного MSI-файла определенные пакетные файлы могут вызывать последующие команды для дальнейшей компрометации системы. Кроме того, недавние проверки логов учетных записей Gmail жертв позволили злоумышленникам получить информацию о последних сеансах входа в систему.

Кампания подчеркивает необходимость усиления мер по кибербезопасности, в частности методов обнаружения, основанных на поведении, и эффективного мониторинга, связанного с индикаторами компрометации (IOCs). Учитывая сложность атак и выявление дублирующих друг друга вредоносных ПО и тактик на устройствах жертв, существует значительная корреляция, свидетельствующая о едином подходе KONNI campaign к реализации этих сложных целенаправленных угроз.

#ParsedReport #CompletenessLow
06-11-2025

9 Malicious NuGet Packages Deliver Time-Delayed Destructive Payloads

https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads

Report completeness: Low

Threats:
Typosquatting_technique
Sharp7extend
Supply_chain_technique

Victims:
Software developers, Industrial control systems, Ecommerce, Healthcare, Financial services, Manufacturing

Industry:
E-commerce, Healthcare

Geo:
Chinese

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 14

Soft:
NuGet, PostgreSQL, Unix, OpenSSL

Functions:
QueryPage, GetMyDateTime, WriteDBSingleByte, WriteDBSingleInt, WriteDBSingleDInt, BeginTran

Win API:
GetCurrentProcess

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее исследование выявило девять вредоносных пакетов NuGet, использующих typosquatting для доставки деструктивной полезной нагрузки, включая триггеры с задержкой по времени для сбоя приложений и повреждения промышленных систем управления. Эти пакеты используют методы расширения C#, интегрируя вредоносную логику в операции с базами данных и ПЛК, с поэтапными датами активации, чтобы максимально увеличить количество жертв, прежде чем вызвать сбои. Использование злоумышленником различных псевдонимов авторов подчеркивает стратегические усилия по уклонению от обнаружения в Цепочке поставок программного обеспечения, согласующиеся с методикой MITRE ATT&CK T1195.002.
-----

Недавнее исследование Socket выявило девять вредоносных пакетов NuGet, предназначенных для доставки деструктивных полезных нагрузок с задержками по времени, направленных на сбой приложений и повреждение промышленных систем управления. Эти пакеты были частью более широкой схемы, включавшей в общей сложности двенадцать пакетов, из которых девять были вредоносными, а три - законными, чтобы повысить доверие к злоумышленнику. Такая тактика typosquatting и сопряжения вредоносных пакетов с законными снижает подозрительность среди разработчиков, которые могут найти автора.

Вредоносные пакеты используют методы расширения C#, которые позволяют добавлять новые методы к существующим типам без изменения исходного кода. Этот метод используется злоумышленником для внедрения вредоносной логики в базу данных и операции программируемого логического контроллера (ПЛК). Добавленные конкретные методы включают метод расширения .Exec() для типов команд базы данных и метод .BeginTran() для объектов S7Client, облегчающий перехват операций с базой данных.

Примечательно, что пакеты используют механизм временной задержки активации; например, запуск одной реализации SQL Server запланирован на 8 августа 2027 года, в то время как другие активируются 29 ноября 2028 года. Напротив, пакет Sharp7Extend разработан таким образом, чтобы активироваться сразу после установки и действовать до 6 июня 2028 года, что приводит к немедленному сбою в работе промышленных систем управления. Эта стратегия поэтапной активации позволяет актору собирать жертв в течение длительного периода времени, прежде чем будут задействованы более разрушительные элементы вредоносного ПО.

Sharp7Extend выделяется как особенно опасный из-за реализации двойных вредоносных механизмов, которые могут нарушить работу различных отраслей промышленности. Например, это может привести к значительным простоям сайтов электронной коммерции, критически важных систем здравоохранения, финансовых платформ и производственных операций, что приведет к серьезным сбоям в работе и нарушениям системы безопасности.

Метаданные этих пакетов отражают стратегическое несоответствие в именах авторов вредоносных предложений, опубликованных под псевдонимом shanhai666. Эта тактика помогает злоумышленнику избежать обнаружения, создавая ложное впечатление, что пакеты исходят от разных разработчиков, что усложняет идентификацию нескольких подозрительных пакетов от одного автора.

Кампании соответствуют методике MITRE ATT&CK T1195.002, которая фокусируется на компромиссах в Цепочке поставок программного обеспечения, иллюстрируя сложный подход к проникновению и нарушению работы целевой среды.

#ParsedReport #CompletenessHigh
07-11-2025

Lazarus Group targets Aerospace and Defense with new Comebacker variant

https://www.enki.co.kr/en/media-center/blog/lazarus-group-targets-aerospace-and-defense-with-new-comebacker-variant

Report completeness: High

Actors/Campaigns:
Lazarus (motivation: cyber_espionage)

Threats:
Comebacker
Typosquatting_technique
Spear-phishing_technique

Victims:
Aerospace sector, Defense sector

Industry:
Aerospace

Geo:
Indian, North korea, Dprk

TTPs:
Tactics: 7
Technics: 18

IOCs:
Domain: 3
File: 7
Hash: 9
Path: 4
Command: 2
Url: 2

Soft:
Microsoft Word, Visual Studio, Internet Explorer

Algorithms:
aes, sha256, base64, xor, hc-256, rc4, md5, chacha20, aes-128-cbc

Functions:
GetWindowSizedW, GetSysStartTime

Languages:
powershell, python, visual_basic

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Lazarus нацелена на аэрокосмический и оборонный секторы с помощью нового варианта вредоносного ПО под названием Comebacker, распространяемого через вредоносные документы Word, предназначенные для манипулирования жертвами. Это вредоносное ПО работает как загрузчик и бэкдор, используя многоэтапное выполнение, которое начинается при включении макросов. Связь с серверами командования и контроля шифруется с помощью AES-128-CBC, что демонстрирует эволюцию их тактики безопасного обмена данными и подтверждает изощренность их шпионских усилий.
-----

Группа Lazarus в настоящее время проводит целенаправленную шпионскую кампанию против аэрокосмического и оборонного секторов, используя новый вариант вредоносного ПО, известный как Comebacker. Первоначальные признаки этой кампании появились после публичных сообщений о вредоносном домене, связанном с группой. Анализ показывает, что вредоносное ПО обычно доставляется с помощью документов Word, оригинально оформленных в тематике авторитетных аэрокосмических и оборонных организаций, с целью психологического манипулирования целями.

Вредоносное ПО Comebacker функционирует как загрузчик и бэкдор, предназначенный для извлечения и выполнения полезной нагрузки DLL с серверов командования и контроля (C&C). В последнем варианте цепочка заражения инициируется, когда жертвы открывают вредоносный файл .docx и включают макросы. Встроенный код VBA в этих файлах запускает многоэтапный процесс выполнения, что в конечном итоге приводит к доставке полезной нагрузки Comebacker. Этот процесс включает загрузчик первого этапа и загрузчик второго этапа, который выполняется из памяти, что указывает на сложный механизм поддержания скрытности и эффективности.

Связь между вредоносным ПО и его C&C-серверами шифруется с использованием AES-128-CBC, при этом к исходящим данным применяется дополнительная кодировка Base64. Первоначальный маяк вредоносного ПО включает закодированные данные, встроенные в строку запроса URL. Кроме того, чтобы обеспечить целостность своих операций, вредоносное ПО сравнивает хэш MD5 загруженных полезных файлов с заранее определенными хэшами, чтобы проверить их подлинность. Этот критический шаг предотвращает выполнение поврежденных или подделанных файлов.

Анализ показателей выявил расширение инфраструктуры C&C, выявив дополнительный домен, связанный с злоумышленниками. Примечательно, что предыдущие варианты Comebacker обменивались данными с серверами C&C открытым текстом, в отличие от зашифрованных сообщений этого нового варианта, которые демонстрируют усовершенствованный подход злоумышленника к безопасному обмену данными.

Подводя итог, можно сказать, что активное использование бэкдора Comebacker группой Lazarus против аэрокосмического и оборонного секторов подчеркивает меняющийся ландшафт угроз с усовершенствованной тактикой, отражающей давний акцент группы на кибершпионаже. Это событие подчеркивает необходимость постоянной бдительности и передовых мер безопасности в целевых секторах, поскольку используемое вредоносное ПО и методы демонстрируют высокую степень изощренности и адаптивности.

#ParsedReport #CompletenessMedium
10-11-2025

No Place Like Localhost: Unauthenticated Remote Access via Triofox Vulnerability CVE-2025-12480

https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/

Report completeness: Medium

Actors/Campaigns:
Unc6485

Threats:
Plink_tool
Zoho_assist_tool
Anydesk_tool
Putty_tool

Victims:
Triofox customers, Software platform users

CVEs:
CVE-2025-12480 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1036, T1059.001, T1059.003, T1078.003, T1087.001, T1087.002, T1090.001, T1105, T1135, have more...

IOCs:
Path: 9
IP: 4
File: 15
Command: 2
Url: 1
Hash: 4

Soft:
Triofox, MySQL, ASP.NET, telnet client

Algorithms:
zip, sha256

Functions:
CanRunCrticalPage, CanRunCriticalPage

Languages:
powershell

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 6, chats: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Mandiant Threat Defense обнаружила использование CVE-2025-12480 на платформе Triofox от Gladinet, позволяющее осуществлять несанкционированный удаленный доступ и выполнять произвольные полезные нагрузки из-за ошибки на странице AdminAccount.aspx. Злоумышленники использовали PLINK для туннелирования RDP и использовали различные скрипты для выполнения вредоносных команд PowerShell, используя переименованные исполняемые файлы для уклонения от обнаружения. Атака включала в себя создание обратных туннелей SSH и сбор системной разведки, что выявило сложную природу методов злоумышленника.
-----

Компания Mandiant Threat Defense выявила использование уязвимости, обозначенной как CVE-2025-12480, в платформе обмена файлами и удаленного доступа Triofox от Gladinet, позволяющей осуществлять несанкционированный удаленный доступ. Эта уязвимость представляла собой уязвимость доступа без проверки подлинности, которая позволяла злоумышленникам обходить механизмы аутентификации и получать доступ к страницам конфигурации приложения. Следовательно, это позволяло загружать и выполнять произвольную полезную нагрузку на сервер.

Первоначальное обнаружение атаки произошло с помощью предупреждений, указывающих на подозрительную активность на сервере Triofox, выявляющую использование ПО для удаленного доступа, в частности PLINK для туннелирования RDP, и связанную с этим файловую активность в промежуточных каталогах, включая загрузку файлов на C:\WINDOWS\Temp . Сама уязвимость связана со страницей AdminAccount.aspx, которая автоматически отображается при первоначальной установке и настройке программного обеспечения Triofox. На этой странице представлены различные функции настройки, такие как настройка базы данных и создание учетных записей администратора.

Во время эксплуатации злоумышленник использовал возможности антивирусной функции, встроенной в Triofox, для запуска Вредоносных файлов. Это было достигнуто после создания учетной записи администратора, что позволило злоумышленнику указать произвольный путь к антивирусному компоненту. Важно отметить, что код, выполненный таким образом, выполнялся в контексте системной учетной записи, таким образом наследуя ее высокие привилегии.

Далее злоумышленник развернул скрипты, включая centre_report.bat, для загрузки и выполнения дополнительных полезных нагрузок с помощью команд PowerShell. Кроме того, были замечены усилия по разведке, в ходе которых злоумышленник использовал Zoho Assist для сбора информации об активных сеансах SMB и учетных записях пользователей как локальных, так и доменных в скомпрометированной системе.

Методы обхода защиты включали использование переименованных исполняемых файлов, таких как sihosts.exe (экземпляр PLINK) и silcon.exe (переименованный в PuTTY), которые сыграли важную роль в создании обратных SSH-туннелей. Сетевая активность, связанная с атакой, была прослежена до нескольких IP-адресов, связанных с различными хостинг-провайдерами, что указывает на инфраструктуру, используемую злоумышленником для запуска и поддержания доступа к скомпрометированному экземпляру Triofox.

Чтобы снизить риски, пользователям рекомендуется обновиться до исправленной версии Triofox 16.7.10368.56560, провести аудит существующих учетных записей администраторов и убедиться, что антивирусная функция не настроена на выполнение несанкционированных сценариев. Кроме того, команды безопасности должны активно отслеживать исходящий трафик SSH и выполнять поисковые запросы для обнаружения артефактов, связанных с этой методологией атаки.

#ParsedReport #CompletenessLow
10-11-2025

Threat Actors Using Paste-Jacking to Achieve Remote Code Execution

https://www.truesec.com/hub/blog/threat-actors-paste-jacking-remote-code-execution

Report completeness: Low

Actors/Campaigns:
Evil_corp

Threats:
Paste-jacking_technique
Clickfix_technique
Lumma_stealer
Raspberry_robin
Socgholish_loader

IOCs:
File: 1
Url: 2

Soft:
macOS

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4