CTT Report Hub
#ParsedReport #CompletenessMedium 10-11-2025 No Place Like Localhost: Unauthenticated Remote Access via Triofox Vulnerability CVE-2025-12480 https://cloud.google.com/blog/topics/threat-intelligence/triofox-vulnerability-cve-2025-12480/ Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mandiant Threat Defense обнаружила использование CVE-2025-12480 на платформе Triofox от Gladinet, позволяющее осуществлять несанкционированный удаленный доступ и выполнять произвольные полезные нагрузки из-за ошибки на странице AdminAccount.aspx. Злоумышленники использовали PLINK для туннелирования RDP и использовали различные скрипты для выполнения вредоносных команд PowerShell, используя переименованные исполняемые файлы для уклонения от обнаружения. Атака включала в себя создание обратных туннелей SSH и сбор системной разведки, что выявило сложную природу методов злоумышленника.
-----
Компания Mandiant Threat Defense выявила использование уязвимости, обозначенной как CVE-2025-12480, в платформе обмена файлами и удаленного доступа Triofox от Gladinet, позволяющей осуществлять несанкционированный удаленный доступ. Эта уязвимость представляла собой уязвимость доступа без проверки подлинности, которая позволяла злоумышленникам обходить механизмы аутентификации и получать доступ к страницам конфигурации приложения. Следовательно, это позволяло загружать и выполнять произвольную полезную нагрузку на сервер.
Первоначальное обнаружение атаки произошло с помощью предупреждений, указывающих на подозрительную активность на сервере Triofox, выявляющую использование ПО для удаленного доступа, в частности PLINK для туннелирования RDP, и связанную с этим файловую активность в промежуточных каталогах, включая загрузку файлов на C:\WINDOWS\Temp . Сама уязвимость связана со страницей AdminAccount.aspx, которая автоматически отображается при первоначальной установке и настройке программного обеспечения Triofox. На этой странице представлены различные функции настройки, такие как настройка базы данных и создание учетных записей администратора.
Во время эксплуатации злоумышленник использовал возможности антивирусной функции, встроенной в Triofox, для запуска Вредоносных файлов. Это было достигнуто после создания учетной записи администратора, что позволило злоумышленнику указать произвольный путь к антивирусному компоненту. Важно отметить, что код, выполненный таким образом, выполнялся в контексте системной учетной записи, таким образом наследуя ее высокие привилегии.
Далее злоумышленник развернул скрипты, включая centre_report.bat, для загрузки и выполнения дополнительных полезных нагрузок с помощью команд PowerShell. Кроме того, были замечены усилия по разведке, в ходе которых злоумышленник использовал Zoho Assist для сбора информации об активных сеансах SMB и учетных записях пользователей как локальных, так и доменных в скомпрометированной системе.
Методы обхода защиты включали использование переименованных исполняемых файлов, таких как sihosts.exe (экземпляр PLINK) и silcon.exe (переименованный в PuTTY), которые сыграли важную роль в создании обратных SSH-туннелей. Сетевая активность, связанная с атакой, была прослежена до нескольких IP-адресов, связанных с различными хостинг-провайдерами, что указывает на инфраструктуру, используемую злоумышленником для запуска и поддержания доступа к скомпрометированному экземпляру Triofox.
Чтобы снизить риски, пользователям рекомендуется обновиться до исправленной версии Triofox 16.7.10368.56560, провести аудит существующих учетных записей администраторов и убедиться, что антивирусная функция не настроена на выполнение несанкционированных сценариев. Кроме того, команды безопасности должны активно отслеживать исходящий трафик SSH и выполнять поисковые запросы для обнаружения артефактов, связанных с этой методологией атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Mandiant Threat Defense обнаружила использование CVE-2025-12480 на платформе Triofox от Gladinet, позволяющее осуществлять несанкционированный удаленный доступ и выполнять произвольные полезные нагрузки из-за ошибки на странице AdminAccount.aspx. Злоумышленники использовали PLINK для туннелирования RDP и использовали различные скрипты для выполнения вредоносных команд PowerShell, используя переименованные исполняемые файлы для уклонения от обнаружения. Атака включала в себя создание обратных туннелей SSH и сбор системной разведки, что выявило сложную природу методов злоумышленника.
-----
Компания Mandiant Threat Defense выявила использование уязвимости, обозначенной как CVE-2025-12480, в платформе обмена файлами и удаленного доступа Triofox от Gladinet, позволяющей осуществлять несанкционированный удаленный доступ. Эта уязвимость представляла собой уязвимость доступа без проверки подлинности, которая позволяла злоумышленникам обходить механизмы аутентификации и получать доступ к страницам конфигурации приложения. Следовательно, это позволяло загружать и выполнять произвольную полезную нагрузку на сервер.
Первоначальное обнаружение атаки произошло с помощью предупреждений, указывающих на подозрительную активность на сервере Triofox, выявляющую использование ПО для удаленного доступа, в частности PLINK для туннелирования RDP, и связанную с этим файловую активность в промежуточных каталогах, включая загрузку файлов на C:\WINDOWS\Temp . Сама уязвимость связана со страницей AdminAccount.aspx, которая автоматически отображается при первоначальной установке и настройке программного обеспечения Triofox. На этой странице представлены различные функции настройки, такие как настройка базы данных и создание учетных записей администратора.
Во время эксплуатации злоумышленник использовал возможности антивирусной функции, встроенной в Triofox, для запуска Вредоносных файлов. Это было достигнуто после создания учетной записи администратора, что позволило злоумышленнику указать произвольный путь к антивирусному компоненту. Важно отметить, что код, выполненный таким образом, выполнялся в контексте системной учетной записи, таким образом наследуя ее высокие привилегии.
Далее злоумышленник развернул скрипты, включая centre_report.bat, для загрузки и выполнения дополнительных полезных нагрузок с помощью команд PowerShell. Кроме того, были замечены усилия по разведке, в ходе которых злоумышленник использовал Zoho Assist для сбора информации об активных сеансах SMB и учетных записях пользователей как локальных, так и доменных в скомпрометированной системе.
Методы обхода защиты включали использование переименованных исполняемых файлов, таких как sihosts.exe (экземпляр PLINK) и silcon.exe (переименованный в PuTTY), которые сыграли важную роль в создании обратных SSH-туннелей. Сетевая активность, связанная с атакой, была прослежена до нескольких IP-адресов, связанных с различными хостинг-провайдерами, что указывает на инфраструктуру, используемую злоумышленником для запуска и поддержания доступа к скомпрометированному экземпляру Triofox.
Чтобы снизить риски, пользователям рекомендуется обновиться до исправленной версии Triofox 16.7.10368.56560, провести аудит существующих учетных записей администраторов и убедиться, что антивирусная функция не настроена на выполнение несанкционированных сценариев. Кроме того, команды безопасности должны активно отслеживать исходящий трафик SSH и выполнять поисковые запросы для обнаружения артефактов, связанных с этой методологией атаки.
#ParsedReport #CompletenessLow
10-11-2025
Threat Actors Using Paste-Jacking to Achieve Remote Code Execution
https://www.truesec.com/hub/blog/threat-actors-paste-jacking-remote-code-execution
Report completeness: Low
Actors/Campaigns:
Evil_corp
Threats:
Paste-jacking_technique
Clickfix_technique
Lumma_stealer
Raspberry_robin
Socgholish_loader
IOCs:
File: 1
Url: 2
Soft:
macOS
Languages:
javascript
10-11-2025
Threat Actors Using Paste-Jacking to Achieve Remote Code Execution
https://www.truesec.com/hub/blog/threat-actors-paste-jacking-remote-code-execution
Report completeness: Low
Actors/Campaigns:
Evil_corp
Threats:
Paste-jacking_technique
Clickfix_technique
Lumma_stealer
Raspberry_robin
Socgholish_loader
IOCs:
File: 1
Url: 2
Soft:
macOS
Languages:
javascript
Truesec
Threat Actors Using Paste-Jacking to Achieve Remote Code Execution - Truesec
A user is often presented to what seems to be a reCAPTCHA or some type of "Verify that you are human" check. The subject is then tricked into running a
CTT Report Hub
#ParsedReport #CompletenessLow 10-11-2025 Threat Actors Using Paste-Jacking to Achieve Remote Code Execution https://www.truesec.com/hub/blog/threat-actors-paste-jacking-remote-code-execution Report completeness: Low Actors/Campaigns: Evil_corp Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В 2025 году появилась технология фишинга, известная как paste-jacking, позволяющая злоумышленникам добиваться удаленного выполнения кода на компьютерах-жертвах путем обмана пользователей, заставляя их выполнять вредоносный код. Этот сдвиг подчеркивает, как киберпреступники используют взаимодействие с пользователями в качестве уязвимости в средствах защиты от кибербезопасности. Растущая распространенность paste-jacking подчеркивает необходимость повышения осведомленности пользователей и просвещения по поводу развивающихся стратегий фишинга.
-----
В 2025 году появился метод фишинга, известный как paste-jacking, который открывает перед злоумышленниками новые возможности для удаленного выполнения кода на компьютерах-жертвах. Этот метод манипулирует пользователями, заставляя их невольно выполнять вредоносный код, позволяя злоумышленникам выполнять команды в скомпрометированной системе. Рост paste-jacking указывает на изменение стратегий, используемых киберпреступниками, которые используют взаимодействие с пользователем как уязвимость в средствах защиты кибербезопасности.
Для устранения рисков, связанных с paste-jacking, организациям рекомендуется информировать своих пользователей об этом и других развивающихся методах фишинга. Поскольку внедрение paste-jacking становится все более распространенным среди злоумышленников, повышенная бдительность и осведомленность необходимы для смягчения последствий потенциальных атак. Одной из практических мер, рекомендуемых для снижения риска таких атак, является отключение команды "Выполнить" (Windows + R) с помощью групповой политики (GPO). Прежде чем внедрять эту контрмеру, организациям следует провести внутреннюю оценку, чтобы убедиться, что она согласуется с их операционными процессами и не нарушает функциональность.
Появление paste-jacking подчеркивает продолжающуюся эволюцию методов фишинга, что требует постоянного внимания к обучению пользователей и упреждающим мерам безопасности для предотвращения использования киберпреступниками.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В 2025 году появилась технология фишинга, известная как paste-jacking, позволяющая злоумышленникам добиваться удаленного выполнения кода на компьютерах-жертвах путем обмана пользователей, заставляя их выполнять вредоносный код. Этот сдвиг подчеркивает, как киберпреступники используют взаимодействие с пользователями в качестве уязвимости в средствах защиты от кибербезопасности. Растущая распространенность paste-jacking подчеркивает необходимость повышения осведомленности пользователей и просвещения по поводу развивающихся стратегий фишинга.
-----
В 2025 году появился метод фишинга, известный как paste-jacking, который открывает перед злоумышленниками новые возможности для удаленного выполнения кода на компьютерах-жертвах. Этот метод манипулирует пользователями, заставляя их невольно выполнять вредоносный код, позволяя злоумышленникам выполнять команды в скомпрометированной системе. Рост paste-jacking указывает на изменение стратегий, используемых киберпреступниками, которые используют взаимодействие с пользователем как уязвимость в средствах защиты кибербезопасности.
Для устранения рисков, связанных с paste-jacking, организациям рекомендуется информировать своих пользователей об этом и других развивающихся методах фишинга. Поскольку внедрение paste-jacking становится все более распространенным среди злоумышленников, повышенная бдительность и осведомленность необходимы для смягчения последствий потенциальных атак. Одной из практических мер, рекомендуемых для снижения риска таких атак, является отключение команды "Выполнить" (Windows + R) с помощью групповой политики (GPO). Прежде чем внедрять эту контрмеру, организациям следует провести внутреннюю оценку, чтобы убедиться, что она согласуется с их операционными процессами и не нарушает функциональность.
Появление paste-jacking подчеркивает продолжающуюся эволюцию методов фишинга, что требует постоянного внимания к обучению пользователей и упреждающим мерам безопасности для предотвращения использования киберпреступниками.
#ParsedReport #CompletenessLow
06-11-2025
Close Those Ports: Exploring Splashtop RMM and Relays
https://blog.axelarator.net/close-those-ports-exploring-splashtop-rmm-and-relays/
Report completeness: Low
Actors/Campaigns:
Sandworm
Dragonforce
0ktapus
Threats:
Splashtop_tool
Winvnc_tool
Teamviewer_tool
Anydesk_tool
Medusa_ransomware
Simplehelp_tool
Tailscale_tool
Empire_loader
Victims:
Rmm users, Home users
ChatGPT TTPs:
T1219, T1583.003, T1589.003, T1595, T1596
IOCs:
File: 3
Soft:
Android, curl, Wireguard, Nginx, Docker, Linux
Algorithms:
zip
Languages:
python
Platforms:
intel
06-11-2025
Close Those Ports: Exploring Splashtop RMM and Relays
https://blog.axelarator.net/close-those-ports-exploring-splashtop-rmm-and-relays/
Report completeness: Low
Actors/Campaigns:
Sandworm
Dragonforce
0ktapus
Threats:
Splashtop_tool
Winvnc_tool
Teamviewer_tool
Anydesk_tool
Medusa_ransomware
Simplehelp_tool
Tailscale_tool
Empire_loader
Victims:
Rmm users, Home users
ChatGPT TTPs:
do not use without manual checkT1219, T1583.003, T1589.003, T1595, T1596
IOCs:
File: 3
Soft:
Android, curl, Wireguard, Nginx, Docker, Linux
Algorithms:
zip
Languages:
python
Platforms:
intel
Axelarator's Blog
Close Those Ports: Exploring Splashtop RMM and Relays
When looking for suspicious network connectivity, it's important to understand what other services might be running on the destination IP. It could be a harmless Python server with an open directory hosting files but additional analysis revealed it's running…
CTT Report Hub
#ParsedReport #CompletenessLow 06-11-2025 Close Those Ports: Exploring Splashtop RMM and Relays https://blog.axelarator.net/close-those-ports-exploring-splashtop-rmm-and-relays/ Report completeness: Low Actors/Campaigns: Sandworm Dragonforce 0ktapus Threats:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье определяются потенциальные уязвимости, связанные с возможностями Splashtop's Remote Monitoring and Management (RMM), в частности, с акцентом на общий целевой порт 6783 для запросов. Это подчеркивает наличие самозаверяющего SSL-сертификата ", - Splashtop Inc. Self CA" и отмечает, что злоумышленники могут использовать открытые каталоги для размещения вредоносного контента в безопасных в остальном пространствах. Анализ выявил 2610 активных хостов, использующих этот сертификат, и подчеркивает сложность сетевой безопасности, связанной с ПО для удаленного доступа.
-----
В статье обсуждается использование Splashtop, особое внимание уделяется его возможностям удаленного мониторинга и управления (RMM) и потенциальным уязвимостям, связанным с ними. Порт 6783 был определен в качестве общей цели для запросов, связанных с Splashtop, но усилия столкнулись с проблемами из-за высокого числа ложноположительных результатов, учитывая объем результатов. Важным аспектом анализа была проверка SSL-сертификатов, преимущественно "Splashtop Inc. Self CA", который представляет собой самозаверяющий сертификат, используемый Splashtop для своего программного обеспечения Streamer.
В результате анализа были отмечены "Подозрительные каталоги", которые относятся к открытым каталогам, в которых могут содержаться потенциально опасные файлы. Этот аспект запросов Splashtop предполагает, что злоумышленники могут использовать инструменты RMM для размещения вредоносного контента в явно безопасных местах. В статье подчеркивается необходимость обеспечения безопасности персональных устройств и подчеркивается важность мониторинга любых общедоступных сервисов в глобальной сети с использованием таких инструментов, как Censys или Shodan. Пользователям рекомендуется ознакомиться с любыми сервисами, размещенными на их IP-адресе, и рассмотреть варианты безопасного доступа, такие как WireGuard или обратные прокси-серверы.
Более того, результаты, касающиеся стримера Splashtop, указывают на значительное число активных хостов — 2610 на момент написания статьи, — которые используют определенный сертификат. Анализ также касался ретрансляционных служб Splashtop, указывая на то, что сертификаты как от мобильных, так и от обычных ретрансляторов данных имеют решающее значение при исследовании этой технологии в контексте безопасности, поскольку они могут вызывать ложные срабатывания из-за того, что другие несвязанные службы используют аналогичные соглашения об именовании.
Общий анализ показывает, что, хотя такие инструменты, как Splashtop, могут улучшить удаленный доступ и управление, они представляют собой заманчивую цель для злоумышленников. Осведомленность о безопасности и упреждающие меры имеют решающее значение для снижения рисков, связанных с такими услугами. Кроме того, выявление потенциально вредоносных действий, связанных с открытыми каталогами и службами, работающими по одному и тому же IP-адресу, подчеркивает сложную природу сетевой безопасности, где часто требуется дальнейший анализ для установления законности наблюдаемого поведения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В статье определяются потенциальные уязвимости, связанные с возможностями Splashtop's Remote Monitoring and Management (RMM), в частности, с акцентом на общий целевой порт 6783 для запросов. Это подчеркивает наличие самозаверяющего SSL-сертификата ", - Splashtop Inc. Self CA" и отмечает, что злоумышленники могут использовать открытые каталоги для размещения вредоносного контента в безопасных в остальном пространствах. Анализ выявил 2610 активных хостов, использующих этот сертификат, и подчеркивает сложность сетевой безопасности, связанной с ПО для удаленного доступа.
-----
В статье обсуждается использование Splashtop, особое внимание уделяется его возможностям удаленного мониторинга и управления (RMM) и потенциальным уязвимостям, связанным с ними. Порт 6783 был определен в качестве общей цели для запросов, связанных с Splashtop, но усилия столкнулись с проблемами из-за высокого числа ложноположительных результатов, учитывая объем результатов. Важным аспектом анализа была проверка SSL-сертификатов, преимущественно "Splashtop Inc. Self CA", который представляет собой самозаверяющий сертификат, используемый Splashtop для своего программного обеспечения Streamer.
В результате анализа были отмечены "Подозрительные каталоги", которые относятся к открытым каталогам, в которых могут содержаться потенциально опасные файлы. Этот аспект запросов Splashtop предполагает, что злоумышленники могут использовать инструменты RMM для размещения вредоносного контента в явно безопасных местах. В статье подчеркивается необходимость обеспечения безопасности персональных устройств и подчеркивается важность мониторинга любых общедоступных сервисов в глобальной сети с использованием таких инструментов, как Censys или Shodan. Пользователям рекомендуется ознакомиться с любыми сервисами, размещенными на их IP-адресе, и рассмотреть варианты безопасного доступа, такие как WireGuard или обратные прокси-серверы.
Более того, результаты, касающиеся стримера Splashtop, указывают на значительное число активных хостов — 2610 на момент написания статьи, — которые используют определенный сертификат. Анализ также касался ретрансляционных служб Splashtop, указывая на то, что сертификаты как от мобильных, так и от обычных ретрансляторов данных имеют решающее значение при исследовании этой технологии в контексте безопасности, поскольку они могут вызывать ложные срабатывания из-за того, что другие несвязанные службы используют аналогичные соглашения об именовании.
Общий анализ показывает, что, хотя такие инструменты, как Splashtop, могут улучшить удаленный доступ и управление, они представляют собой заманчивую цель для злоумышленников. Осведомленность о безопасности и упреждающие меры имеют решающее значение для снижения рисков, связанных с такими услугами. Кроме того, выявление потенциально вредоносных действий, связанных с открытыми каталогами и службами, работающими по одному и тому же IP-адресу, подчеркивает сложную природу сетевой безопасности, где часто требуется дальнейший анализ для установления законности наблюдаемого поведения.
#ParsedReport #CompletenessHigh
10-11-2025
BlueNoroff Group cryptoaffair: "ghost" investments and bogus job offers
https://securelist.ru/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/113883/
Report completeness: High
Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Snatchcrypto
Ghostcall
Ghosthire
Contagious_interview
Lazarus
Threats:
Rustbucket
Clickfix_technique
Downtroy
Cosmicdoor
Rootroy
Sysphon
Sneakmain
Zoomclutch
Realtimetroy
Sysphone
Teamsclutch
Gillyinjector
Viper
Silentsiphon
Supply_chain_technique
Nimcore
Xscreen
Cryptobot
Nimdoor
Corekitagent
Sugarloader
Kandykorn
Uac_bypass_technique
Pid_spoofing_technique
Goloader
Themida_tool
Objcshellz
Trojan.vbs.agent.gen
Sbadur
Trojan.vbs.cobalt.gen
Trojan.vbs.runner
Kryptik
Nukesped_rat
Netchk_tool
Triplewatch
Industry:
Financial
Geo:
Italy, Indian, India, Sweden, Spain, Australia, Asia-pacific, Japan, France, Turkey, Singapore, Hong kong
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 47
Hash: 59
Url: 26
Domain: 25
Path: 5
Command: 2
IP: 1
Soft:
macOS, Telegram, Zoom, Microsoft Teams, OpenAI, curl, Bitwarden, LastPass, 1Password, Dashlane, have more...
Wallets:
exodus_wallet, coinbase, coin98, sui_wallet, tonkeeper, mytonwallet, metamask
Crypto:
solana, algorand
Algorithms:
aes, aes-256, sha256, xor, md5, base64, pbkdf2, zip, rc4
Functions:
GetUniRoute, getenv, posix_spawn
Win API:
Arc, CreateThread, SeDebugPrivilege, NtCreateThreadEx
Languages:
rust, typescript, python, powershell, applescript, javascript, swift
Platforms:
cross-platform, apple
10-11-2025
BlueNoroff Group cryptoaffair: "ghost" investments and bogus job offers
https://securelist.ru/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/113883/
Report completeness: High
Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Snatchcrypto
Ghostcall
Ghosthire
Contagious_interview
Lazarus
Threats:
Rustbucket
Clickfix_technique
Downtroy
Cosmicdoor
Rootroy
Sysphon
Sneakmain
Zoomclutch
Realtimetroy
Sysphone
Teamsclutch
Gillyinjector
Viper
Silentsiphon
Supply_chain_technique
Nimcore
Xscreen
Cryptobot
Nimdoor
Corekitagent
Sugarloader
Kandykorn
Uac_bypass_technique
Pid_spoofing_technique
Goloader
Themida_tool
Objcshellz
Trojan.vbs.agent.gen
Sbadur
Trojan.vbs.cobalt.gen
Trojan.vbs.runner
Kryptik
Nukesped_rat
Netchk_tool
Triplewatch
Industry:
Financial
Geo:
Italy, Indian, India, Sweden, Spain, Australia, Asia-pacific, Japan, France, Turkey, Singapore, Hong kong
TTPs:
Tactics: 2
Technics: 0
IOCs:
File: 47
Hash: 59
Url: 26
Domain: 25
Path: 5
Command: 2
IP: 1
Soft:
macOS, Telegram, Zoom, Microsoft Teams, OpenAI, curl, Bitwarden, LastPass, 1Password, Dashlane, have more...
Wallets:
exodus_wallet, coinbase, coin98, sui_wallet, tonkeeper, mytonwallet, metamask
Crypto:
solana, algorand
Algorithms:
aes, aes-256, sha256, xor, md5, base64, pbkdf2, zip, rc4
Functions:
GetUniRoute, getenv, posix_spawn
Win API:
Arc, CreateThread, SeDebugPrivilege, NtCreateThreadEx
Languages:
rust, typescript, python, powershell, applescript, javascript, swift
Platforms:
cross-platform, apple
Securelist
Последние известные кампании BlueNoroff: GhostCall и GhostHire
Эксперты команды GReAT проанализировали кампании GhostCall и GhostHire APT-группы BlueNoroff: несколько цепочек вредоносного ПО для macOS, поддельные клиенты Zoom и Microsoft Teams, а также изображения, улучшенные с помощью ChatGPT.
CTT Report Hub
#ParsedReport #CompletenessHigh 10-11-2025 BlueNoroff Group cryptoaffair: "ghost" investments and bogus job offers https://securelist.ru/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/113883/ Report completeness: High Actors/Campaigns: Bluenoroff (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа BlueNoroff, также известная как APT38, нацелена на разработчиков блокчейна и руководителей Web3 с помощью таких кампаний, как GhostCall и GhostHire, используя тактику социальной инженерии. Кампания GhostCall, которая стартовала в середине 2023 года, использует поддельные приложения Zoom и DownTroy вредоносное ПО для извлечения данных, в то время как GhostHire распространяет вредоносные проекты через такие платформы, как Telegram и GitHub, используя различные уязвимости ОС. Злоумышленники используют целый ряд вредоносных ПО, включая CosmicDoor и Bof, с использованием передовых методов, таких как обход UAC для повышения привилегий.
-----
Группа BlueNoroff, также известная как APT38 или TA444, нацелена на разработчиков блокчейна и руководителей Web3 с помощью таких кампаний, как SnatchCrypto. Кампания GhostCall использует тактику социальной инженерии с помощью обманчивых видеоконференций, при этом злоумышленники выдают себя за венчурных капиталистов на таких платформах, как Telegram. Эта кампания началась в середине 2023 года с использованием поддельных ссылок Zoom и замаскированных URL-адресов для фишинга. Все начинается с вредоносного ПО DownTroy, которое загружает клавиатурные шпионы и стиллеры данных, такие как CosmicDoor и RooTroy. Вредоносное приложение под названием ZoomClutch было создано для имитации законного приложения Zoom на macOS. Компоненты CosmicDoor включают в себя GillyInjector, который вводит зашифрованную полезную нагрузку в системы. Параллельная кампания GhostHire нацелена на разработчиков, которые распространяют вредоносные проекты через Telegram и GitHub, используя вредоносные пакеты Go и проекты TypeScript. Реализация атак охватывает Windows, macOS и Linux, с использованием сценариев, адаптированных для каждой ОС. В кампаниях используются передовые методы, такие как обход UAC, использование определенных интерфейсов RPC для получения повышенных привилегий. BlueNoroff использует множество вредоносных ПО, от легких инструментов, таких как SysPhon и SilentSiphon, до сложных загрузчиков, таких как Bof, которые работают как законный процесс при запуске Windows. Двойная функциональность CosmicDoor в Windows отражает ее поведение в macOS, демонстрируя эволюционирующую методологию группы.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа BlueNoroff, также известная как APT38, нацелена на разработчиков блокчейна и руководителей Web3 с помощью таких кампаний, как GhostCall и GhostHire, используя тактику социальной инженерии. Кампания GhostCall, которая стартовала в середине 2023 года, использует поддельные приложения Zoom и DownTroy вредоносное ПО для извлечения данных, в то время как GhostHire распространяет вредоносные проекты через такие платформы, как Telegram и GitHub, используя различные уязвимости ОС. Злоумышленники используют целый ряд вредоносных ПО, включая CosmicDoor и Bof, с использованием передовых методов, таких как обход UAC для повышения привилегий.
-----
Группа BlueNoroff, также известная как APT38 или TA444, нацелена на разработчиков блокчейна и руководителей Web3 с помощью таких кампаний, как SnatchCrypto. Кампания GhostCall использует тактику социальной инженерии с помощью обманчивых видеоконференций, при этом злоумышленники выдают себя за венчурных капиталистов на таких платформах, как Telegram. Эта кампания началась в середине 2023 года с использованием поддельных ссылок Zoom и замаскированных URL-адресов для фишинга. Все начинается с вредоносного ПО DownTroy, которое загружает клавиатурные шпионы и стиллеры данных, такие как CosmicDoor и RooTroy. Вредоносное приложение под названием ZoomClutch было создано для имитации законного приложения Zoom на macOS. Компоненты CosmicDoor включают в себя GillyInjector, который вводит зашифрованную полезную нагрузку в системы. Параллельная кампания GhostHire нацелена на разработчиков, которые распространяют вредоносные проекты через Telegram и GitHub, используя вредоносные пакеты Go и проекты TypeScript. Реализация атак охватывает Windows, macOS и Linux, с использованием сценариев, адаптированных для каждой ОС. В кампаниях используются передовые методы, такие как обход UAC, использование определенных интерфейсов RPC для получения повышенных привилегий. BlueNoroff использует множество вредоносных ПО, от легких инструментов, таких как SysPhon и SilentSiphon, до сложных загрузчиков, таких как Bof, которые работают как законный процесс при запуске Windows. Двойная функциональность CosmicDoor в Windows отражает ее поведение в macOS, демонстрируя эволюционирующую методологию группы.
#ParsedReport #CompletenessMedium
11-11-2025
DarkComet RAT Malware Hidden Inside Fake Bitcoin Tool
https://www.pointwild.com/threat-intelligence/darkcomet-rat-malware-hidden-inside-fake-bitcoin-tool
Report completeness: Medium
Threats:
Darkcomet_rat
Upx_tool
Spear-phishing_technique
Victims:
Cryptocurrency users, Financial technology users
Industry:
Financial
TTPs:
Tactics: 8
Technics: 7
IOCs:
File: 9
Hash: 9
Path: 5
Registry: 2
Crypto:
bitcoin
Algorithms:
md5, sha1, sha256
Win API:
decompress
Languages:
delphi
11-11-2025
DarkComet RAT Malware Hidden Inside Fake Bitcoin Tool
https://www.pointwild.com/threat-intelligence/darkcomet-rat-malware-hidden-inside-fake-bitcoin-tool
Report completeness: Medium
Threats:
Darkcomet_rat
Upx_tool
Spear-phishing_technique
Victims:
Cryptocurrency users, Financial technology users
Industry:
Financial
TTPs:
Tactics: 8
Technics: 7
IOCs:
File: 9
Hash: 9
Path: 5
Registry: 2
Crypto:
bitcoin
Algorithms:
md5, sha1, sha256
Win API:
decompress
Languages:
delphi
Point Wild
DarkComet RAT Malware Hidden Inside Fake Bitcoin Tool | Point Wild
Introduction The rise of cryptocurrency has not only transformed global finance but has also opened new opportunities for cybercriminals. Bitcoin, being the most recognized digital currency, has become a common lure in social engineering campaigns. Attackers…
CTT Report Hub
#ParsedReport #CompletenessMedium 11-11-2025 DarkComet RAT Malware Hidden Inside Fake Bitcoin Tool https://www.pointwild.com/threat-intelligence/darkcomet-rat-malware-hidden-inside-fake-bitcoin-tool Report completeness: Medium Threats: Darkcomet_rat Upx_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО DarkComet RAT было внедрено в мошенническое приложение для биткоин-кошелька, что подчеркивает его адаптивность к текущим тенденциям. Упакованное с использованием UPX, чтобы избежать обнаружения, вредоносное ПО устанавливает соединение для управления и демонстрирует такое поведение, как Регистрация нажатий клавиш для сбора конфиденциальной информации. Используемые методы атаки включают первоначальный доступ с помощью spearphishing, уклонение от UPX и закрепление с помощью изменений в реестре, что сигнализирует о значительной угрозе в сфере криптовалют.
-----
Вредоносное ПО DarkComet RAT вновь появилось в мошенническом биткоин-приложении, демонстрируя эволюционирующую природу киберпреступности, особенно в связи с ростом популярности криптовалют. Это вредоносное ПО было встроено в архив RAR, замаскированный под приложение для биткоин-кошелька, что является распространенной тактикой, используемой злоумышленниками для обхода мер безопасности и заманивания ничего не подозревающих жертв к исполнению.
Подробный анализ образца вредоносного ПО, идентифицированного как "94 тыс. BTC wallet.exe ," выяснилось, что он был упакован с использованием UPX (Ultimate Packer для исполняемых файлов), чтобы скрыть свой вредоносный код и избежать обнаружения. UPX часто используется разработчиками вредоносного ПО для этой цели; его возможности усложняют статический анализ исполняемого файла. После распаковки вредоносное ПО продемонстрировало типичное поведение DarkComet, включая установление соединения с сервером для управления "kvejo991.ddns.net "на стандартном порту 1604. Сетевой анализ показал, что вредоносное ПО предпринимало неоднократные попытки подключиться к серверу, что указывает на активное поведение маяка, характерное для семейства DarkComet RAT.
Основная функциональность вредоносного ПО включает Регистрацию нажатий клавиш, при которой оно записывает нажатия клавиш пользователя для получения конфиденциальных данных, таких как учетные данные для входа в систему и финансовая информация. После выполнения он инициирует множество процессов, облегчая выполнение внутренних команд вредоносного ПО и создавая среду, благоприятствующую его работе. Также включены механизмы закрепления, при этом DarkComet настраивает ключи запуска реестра для обеспечения его запуска при запуске системы, тем самым сохраняя опору на скомпрометированных системах.
Что касается векторов атак, то методология, используемая в этой кампании, согласуется с различными методами, сопоставленными с платформой MITRE ATT&CK. К ним относятся первоначальный доступ с помощью Целевого фишинга с вложениями с использованием сжатого архива, уклонение с помощью упаковки UPX, Выполнение с участием пользователя замаскированного приложения, закрепление с использованием изменений реестра и сбор данных с помощью регистрации нажатий клавиш. Захваченные нажатия клавиш и конфиденциальная информация впоследствии фильтруются по каналу C2, установленному во время выполнения.
Интеграция вредоносного ПО в приложение на тему биткоина является примером того, как устоявшиеся угрозы перепрофилируются для использования современных тенденций, создавая значительные риски не только из-за кражи данных, но и из-за потенциального финансового ущерба от взломанных учетных записей в криптовалюте. Это подчеркивает сохраняющуюся необходимость проявлять бдительность в отношении подобной тактики социальной инженерии в условиях постоянно меняющегося ландшафта угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Вредоносное ПО DarkComet RAT было внедрено в мошенническое приложение для биткоин-кошелька, что подчеркивает его адаптивность к текущим тенденциям. Упакованное с использованием UPX, чтобы избежать обнаружения, вредоносное ПО устанавливает соединение для управления и демонстрирует такое поведение, как Регистрация нажатий клавиш для сбора конфиденциальной информации. Используемые методы атаки включают первоначальный доступ с помощью spearphishing, уклонение от UPX и закрепление с помощью изменений в реестре, что сигнализирует о значительной угрозе в сфере криптовалют.
-----
Вредоносное ПО DarkComet RAT вновь появилось в мошенническом биткоин-приложении, демонстрируя эволюционирующую природу киберпреступности, особенно в связи с ростом популярности криптовалют. Это вредоносное ПО было встроено в архив RAR, замаскированный под приложение для биткоин-кошелька, что является распространенной тактикой, используемой злоумышленниками для обхода мер безопасности и заманивания ничего не подозревающих жертв к исполнению.
Подробный анализ образца вредоносного ПО, идентифицированного как "94 тыс. BTC wallet.exe ," выяснилось, что он был упакован с использованием UPX (Ultimate Packer для исполняемых файлов), чтобы скрыть свой вредоносный код и избежать обнаружения. UPX часто используется разработчиками вредоносного ПО для этой цели; его возможности усложняют статический анализ исполняемого файла. После распаковки вредоносное ПО продемонстрировало типичное поведение DarkComet, включая установление соединения с сервером для управления "kvejo991.ddns.net "на стандартном порту 1604. Сетевой анализ показал, что вредоносное ПО предпринимало неоднократные попытки подключиться к серверу, что указывает на активное поведение маяка, характерное для семейства DarkComet RAT.
Основная функциональность вредоносного ПО включает Регистрацию нажатий клавиш, при которой оно записывает нажатия клавиш пользователя для получения конфиденциальных данных, таких как учетные данные для входа в систему и финансовая информация. После выполнения он инициирует множество процессов, облегчая выполнение внутренних команд вредоносного ПО и создавая среду, благоприятствующую его работе. Также включены механизмы закрепления, при этом DarkComet настраивает ключи запуска реестра для обеспечения его запуска при запуске системы, тем самым сохраняя опору на скомпрометированных системах.
Что касается векторов атак, то методология, используемая в этой кампании, согласуется с различными методами, сопоставленными с платформой MITRE ATT&CK. К ним относятся первоначальный доступ с помощью Целевого фишинга с вложениями с использованием сжатого архива, уклонение с помощью упаковки UPX, Выполнение с участием пользователя замаскированного приложения, закрепление с использованием изменений реестра и сбор данных с помощью регистрации нажатий клавиш. Захваченные нажатия клавиш и конфиденциальная информация впоследствии фильтруются по каналу C2, установленному во время выполнения.
Интеграция вредоносного ПО в приложение на тему биткоина является примером того, как устоявшиеся угрозы перепрофилируются для использования современных тенденций, создавая значительные риски не только из-за кражи данных, но и из-за потенциального финансового ущерба от взломанных учетных записей в криптовалюте. Это подчеркивает сохраняющуюся необходимость проявлять бдительность в отношении подобной тактики социальной инженерии в условиях постоянно меняющегося ландшафта угроз.
#ParsedReport #CompletenessMedium
11-11-2025
Booking.com Hotels Hacked in 'I Paid Twice' Scam
https://www.secureblink.com/cyber-security-news/booking-com-hotels-hacked-in-i-paid-twice-scam
Report completeness: Medium
Threats:
Clickfix_technique
Purerat
Spear-phishing_technique
Bec_technique
Dll_sideloading_technique
Dll_hijacking_technique
Dotnet_reactor_tool
Credential_harvesting_technique
Victims:
Hotels, Booking com customers
Industry:
Financial, Entertainment
TTPs:
Tactics: 7
Technics: 8
IOCs:
File: 3
Command: 1
Soft:
NET Reactor, WhatsApp
Algorithms:
zip, base64
Functions:
JavaScript
Languages:
javascript, powershell
11-11-2025
Booking.com Hotels Hacked in 'I Paid Twice' Scam
https://www.secureblink.com/cyber-security-news/booking-com-hotels-hacked-in-i-paid-twice-scam
Report completeness: Medium
Threats:
Clickfix_technique
Purerat
Spear-phishing_technique
Bec_technique
Dll_sideloading_technique
Dll_hijacking_technique
Dotnet_reactor_tool
Credential_harvesting_technique
Victims:
Hotels, Booking com customers
Industry:
Financial, Entertainment
TTPs:
Tactics: 7
Technics: 8
IOCs:
File: 3
Command: 1
Soft:
NET Reactor, WhatsApp
Algorithms:
zip, base64
Functions:
JavaScript
Languages:
javascript, powershell
Secureblink
Booking.com Hotels Hacked in 'I Paid Twice' Scam
Sophisticated phishing campaign compromises hotel Booking.com accounts, enabling criminals to scam guests with fraudulent payment requests.
CTT Report Hub
#ParsedReport #CompletenessMedium 11-11-2025 Booking.com Hotels Hacked in 'I Paid Twice' Scam https://www.secureblink.com/cyber-security-news/booking-com-hotels-hacked-in-i-paid-twice-scam Report completeness: Medium Threats: Clickfix_technique Purerat…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по фишингу, нацеленная на Booking.com появились аккаунты, использующие скомпрометированные электронные письма из взломанных отелей для обхода фильтров безопасности и перенаправления жертв на поддельную страницу входа в систему. Эта страница развертывает вредоносное ПО с помощью двухэтапного сценария PowerShell, который извлекает системную информацию и использует тактику DLL side-loading для скрытой работы в памяти. В конечном счете, злоумышленники выдают себя за отели, чтобы принудить гостей к совершению мошеннических платежей, что приводит к значительным Кражам денежных средств.
-----
Изощренная кампания по фишингу, нацеленная на Booking.com были выявлены учетные записи, действующие как организованное преступное предприятие со специализированными функциями, направленными на обман постояльцев отеля. Первоначальный компромисс использует электронные письма с ранее взломанных законных аккаунтов других отелей, которые обходят фильтры безопасности и кажутся жертвам срочными. Электронные письма содержат ссылки, ведущие к Системе распределения трафика (TDS), чтобы замаскировать конечную точку. Попадая на целевую страницу, пользователи сталкиваются с убедительно воспроизведенным Booking.com интерфейс входа в систему, в котором функция JavaScript предназначена для копирования вредоносной команды PowerShell в буфер обмена. Жертвам предлагается вставить и выполнить эту команду, тем самым невольно загружая и запуская вредоносное ПО.
Развертывание вредоносного ПО включает в себя двухэтапный сценарий PowerShell: первый сценарий выполняется по команде пользователя и извлекает более продвинутый второй сценарий PowerShell с сервера злоумышленника. Этот дополнительный сценарий выполняет разведку для сбора системной информации, которая затем отфильтровывается обратно на сервер командования и контроля (C2). Злоумышленники доставляют полезные файлы, которые включают в себя один законный, подписанный исполняемый файл наряду с вредоносными библиотеками DLL. Механизм постоянной угрозы использует ключи реестра и ярлыки папок автозагрузки, используя тактику DLL side-loading, при которой вместо законного исполняемого файла загружаются вредоносные библиотеки DLL. Этот метод без файлов позволяет вредоносному ПО работать в памяти, сводя к минимуму риски обнаружения.
Конечная цель кампании - Кража денежных средств, получившая название аферы "Я заплатил дважды". Злоумышленники собирают учетные данные для отелей' Booking.com порталы экстрасети, использующие различные методы, включая клавиатурные шпионы и сброс памяти. Получая доступ к подлинным данным бронирования, они выдают себя за отели и связываются со своими гостями, заявляя о проблемах с банковским обслуживанием или безопасностью и принуждая их к совершению мошеннических платежей на счета, контролируемые злоумышленниками, в результате чего жертвы обманом платят дважды за свое пребывание.
Базовая инфраструктура для этой операции включает рынки учетных данных, где украденные учетные данные продаются на форумах Dark Web, с автоматизированными инструментами проверки, обеспечивающими действительность учетных данных. Очевиден многоуровневый подход, использующий методы фишинга и передовые методы исполнения, чтобы избежать обнаружения и обеспечить закрепление в скомпрометированных системах. Рекомендации по защите включают повышение уровня подготовки пользователей, применение мер безопасности электронной почты, ограничение использования PowerShell, мониторинг необычной активности в реестре, внесение приложений в белый список и обязательную Многофакторную аутентификацию для учетных записей платформы бронирования, чтобы снизить риски, связанные с этой постоянной угрозой.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Кампания по фишингу, нацеленная на Booking.com появились аккаунты, использующие скомпрометированные электронные письма из взломанных отелей для обхода фильтров безопасности и перенаправления жертв на поддельную страницу входа в систему. Эта страница развертывает вредоносное ПО с помощью двухэтапного сценария PowerShell, который извлекает системную информацию и использует тактику DLL side-loading для скрытой работы в памяти. В конечном счете, злоумышленники выдают себя за отели, чтобы принудить гостей к совершению мошеннических платежей, что приводит к значительным Кражам денежных средств.
-----
Изощренная кампания по фишингу, нацеленная на Booking.com были выявлены учетные записи, действующие как организованное преступное предприятие со специализированными функциями, направленными на обман постояльцев отеля. Первоначальный компромисс использует электронные письма с ранее взломанных законных аккаунтов других отелей, которые обходят фильтры безопасности и кажутся жертвам срочными. Электронные письма содержат ссылки, ведущие к Системе распределения трафика (TDS), чтобы замаскировать конечную точку. Попадая на целевую страницу, пользователи сталкиваются с убедительно воспроизведенным Booking.com интерфейс входа в систему, в котором функция JavaScript предназначена для копирования вредоносной команды PowerShell в буфер обмена. Жертвам предлагается вставить и выполнить эту команду, тем самым невольно загружая и запуская вредоносное ПО.
Развертывание вредоносного ПО включает в себя двухэтапный сценарий PowerShell: первый сценарий выполняется по команде пользователя и извлекает более продвинутый второй сценарий PowerShell с сервера злоумышленника. Этот дополнительный сценарий выполняет разведку для сбора системной информации, которая затем отфильтровывается обратно на сервер командования и контроля (C2). Злоумышленники доставляют полезные файлы, которые включают в себя один законный, подписанный исполняемый файл наряду с вредоносными библиотеками DLL. Механизм постоянной угрозы использует ключи реестра и ярлыки папок автозагрузки, используя тактику DLL side-loading, при которой вместо законного исполняемого файла загружаются вредоносные библиотеки DLL. Этот метод без файлов позволяет вредоносному ПО работать в памяти, сводя к минимуму риски обнаружения.
Конечная цель кампании - Кража денежных средств, получившая название аферы "Я заплатил дважды". Злоумышленники собирают учетные данные для отелей' Booking.com порталы экстрасети, использующие различные методы, включая клавиатурные шпионы и сброс памяти. Получая доступ к подлинным данным бронирования, они выдают себя за отели и связываются со своими гостями, заявляя о проблемах с банковским обслуживанием или безопасностью и принуждая их к совершению мошеннических платежей на счета, контролируемые злоумышленниками, в результате чего жертвы обманом платят дважды за свое пребывание.
Базовая инфраструктура для этой операции включает рынки учетных данных, где украденные учетные данные продаются на форумах Dark Web, с автоматизированными инструментами проверки, обеспечивающими действительность учетных данных. Очевиден многоуровневый подход, использующий методы фишинга и передовые методы исполнения, чтобы избежать обнаружения и обеспечить закрепление в скомпрометированных системах. Рекомендации по защите включают повышение уровня подготовки пользователей, применение мер безопасности электронной почты, ограничение использования PowerShell, мониторинг необычной активности в реестре, внесение приложений в белый список и обязательную Многофакторную аутентификацию для учетных записей платформы бронирования, чтобы снизить риски, связанные с этой постоянной угрозой.
#ParsedReport #CompletenessLow
11-11-2025
GlassWorm Returns: New Wave Strikes as We Expose Attacker Infrastructure
https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure
Report completeness: Low
Threats:
Glassworm
Victims:
Software development, Government
Industry:
Critical_infrastructure, Financial, E-commerce, Government
Geo:
Middle east, America, Asia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1036, T1059, T1090, T1102, T1105, T1195, T1552, T1659
IOCs:
IP: 1
Soft:
Chrome, VSCode, Hugging Face
Crypto:
solana
Languages:
javascript
Links:
have more...
11-11-2025
GlassWorm Returns: New Wave Strikes as We Expose Attacker Infrastructure
https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure
Report completeness: Low
Threats:
Glassworm
Victims:
Software development, Government
Industry:
Critical_infrastructure, Financial, E-commerce, Government
Geo:
Middle east, America, Asia
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1036, T1059, T1090, T1102, T1105, T1195, T1552, T1659
IOCs:
IP: 1
Soft:
Chrome, VSCode, Hugging Face
Crypto:
solana
Languages:
javascript
Links:
https://github.com/Darkrain2009/RedExt?tab=readme-ov-filehave more...
www.koi.ai
GlassWorm Returns: New Wave Strikes as We Expose Attacker Infrastructure
GlassWorm launches a new wave of attacks with updated tactics, our analysis reveals fresh attacker infrastructure now exposed.
CTT Report Hub
#ParsedReport #CompletenessLow 11-11-2025 GlassWorm Returns: New Wave Strikes as We Expose Attacker Infrastructure https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure Report completeness: Low Threats: Glassworm…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберугроза GlassWorm нацелена на расширения кода Visual Studio, использующие невидимые символы Юникода, чтобы скрыть вредоносный код и избежать обнаружения. Недавно это распространилось на GitHub, где злоумышленники используют украденные учетные данные для совершения кажущихся законными коммитов, которые скрывают вредоносное ПО. Эта угроза подчеркивает трудности в борьбе с изощренными атаками, которые могут распространяться через скомпрометированные учетные записи, затрагивая широкий круг жертв по всему миру.
-----
Киберугроза GlassWorm появилась вновь, конкретно нацеленная на расширения Visual Studio Code (VS Code). Первоначально раскрытый тремя неделями ранее, GlassWorm примечателен своей самораспространяющейся природой, использующей невидимые символы Юникода для скрытия вредоносного кода, который ускользает от обнаружения в редакторах кода. Недавние события указывают на появление еще трех расширений OpenVSX, демонстрирующих ту же сигнатуру GlassWorm, что подтверждает закрепление угрозы и ее адаптивность.
Исследования показывают, что GlassWorm расширил свой охват репозиториев GitHub по состоянию на 31 октября 2025 года, а исследователи безопасности из Aikido Security выявили случаи, когда разработчики обнаруживали, что их репозитории скомпрометированы. Атаки включали якобы законные коммиты, которые включали изменения кода для конкретного проекта, которые казались сгенерированными искусственным интеллектом, чтобы замаскироваться под обычную деятельность по разработке. Однако эти коммиты скрывали один и тот же невидимый шаблон вредоносного ПО в Юникоде, используя кодировку области частного использования, чтобы скрыть вредоносную полезную нагрузку. Полезные нагрузки используют ранее идентифицированный механизм доставки через блокчейн Solana. Примечательно, что злоумышленники используют украденные учетные данные GitHub для выполнения вредоносных коммитов, демонстрируя тем самым способность червя к самораспространению через захваченные учетные записи.
Круг пострадавших простирается по Соединенным Штатам, Южной Америке, Европе, Азии и включает в себя правительственное учреждение с Ближнего Востока, а также множество индивидуальных разработчиков и организаций. Это тревожное распространение подчеркивает широкомасштабные последствия атаки GlassWorm и подчеркивает необходимость улучшения управления и прозрачности по всей Цепочке поставок программного обеспечения. Сложность этой угрозы иллюстрирует ограничения традиционных средств безопасности в среде, где вредоносное ПО может оставаться незамеченным, а злоумышленники могут использовать украденные учетные данные для дальнейшего распространения.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберугроза GlassWorm нацелена на расширения кода Visual Studio, использующие невидимые символы Юникода, чтобы скрыть вредоносный код и избежать обнаружения. Недавно это распространилось на GitHub, где злоумышленники используют украденные учетные данные для совершения кажущихся законными коммитов, которые скрывают вредоносное ПО. Эта угроза подчеркивает трудности в борьбе с изощренными атаками, которые могут распространяться через скомпрометированные учетные записи, затрагивая широкий круг жертв по всему миру.
-----
Киберугроза GlassWorm появилась вновь, конкретно нацеленная на расширения Visual Studio Code (VS Code). Первоначально раскрытый тремя неделями ранее, GlassWorm примечателен своей самораспространяющейся природой, использующей невидимые символы Юникода для скрытия вредоносного кода, который ускользает от обнаружения в редакторах кода. Недавние события указывают на появление еще трех расширений OpenVSX, демонстрирующих ту же сигнатуру GlassWorm, что подтверждает закрепление угрозы и ее адаптивность.
Исследования показывают, что GlassWorm расширил свой охват репозиториев GitHub по состоянию на 31 октября 2025 года, а исследователи безопасности из Aikido Security выявили случаи, когда разработчики обнаруживали, что их репозитории скомпрометированы. Атаки включали якобы законные коммиты, которые включали изменения кода для конкретного проекта, которые казались сгенерированными искусственным интеллектом, чтобы замаскироваться под обычную деятельность по разработке. Однако эти коммиты скрывали один и тот же невидимый шаблон вредоносного ПО в Юникоде, используя кодировку области частного использования, чтобы скрыть вредоносную полезную нагрузку. Полезные нагрузки используют ранее идентифицированный механизм доставки через блокчейн Solana. Примечательно, что злоумышленники используют украденные учетные данные GitHub для выполнения вредоносных коммитов, демонстрируя тем самым способность червя к самораспространению через захваченные учетные записи.
Круг пострадавших простирается по Соединенным Штатам, Южной Америке, Европе, Азии и включает в себя правительственное учреждение с Ближнего Востока, а также множество индивидуальных разработчиков и организаций. Это тревожное распространение подчеркивает широкомасштабные последствия атаки GlassWorm и подчеркивает необходимость улучшения управления и прозрачности по всей Цепочке поставок программного обеспечения. Сложность этой угрозы иллюстрирует ограничения традиционных средств безопасности в среде, где вредоносное ПО может оставаться незамеченным, а злоумышленники могут использовать украденные учетные данные для дальнейшего распространения.
#ParsedReport #CompletenessLow
11-11-2025
North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret.
https://www.secrss.com/articles/84887
Report completeness: Low
Actors/Campaigns:
Scarcruft
Kimsuky
Forumtroll
Threats:
Spear-phishing_technique
Victims:
Android smartphone users
Geo:
North korean
ChatGPT TTPs:
T1446, T1566
Soft:
Android, KakaoTalk, Gmail
Win API:
IoKlTr
Languages:
autoit
11-11-2025
North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret.
https://www.secrss.com/articles/84887
Report completeness: Low
Actors/Campaigns:
Scarcruft
Kimsuky
Forumtroll
Threats:
Spear-phishing_technique
Victims:
Android smartphone users
Geo:
North korean
ChatGPT TTPs:
do not use without manual checkT1446, T1566
Soft:
Android, KakaoTalk, Gmail
Win API:
IoKlTr
Languages:
autoit
Secrss
朝鲜黑客靠谷歌定位找时机,窃密后远程摧毁目标手机核心数据
朝鲜黑客组织通过精准定位与钓鱼诈骗结合的方式,远程操控并重置安卓智能手机,造成用户核心数据丢失,达成破坏性攻击目的。