#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье определяются потенциальные уязвимости, связанные с возможностями Splashtop's Remote Monitoring and Management (RMM), в частности, с акцентом на общий целевой порт 6783 для запросов. Это подчеркивает наличие самозаверяющего SSL-сертификата ", - Splashtop Inc. Self CA" и отмечает, что злоумышленники могут использовать открытые каталоги для размещения вредоносного контента в безопасных в остальном пространствах. Анализ выявил 2610 активных хостов, использующих этот сертификат, и подчеркивает сложность сетевой безопасности, связанной с ПО для удаленного доступа.
-----

В статье обсуждается использование Splashtop, особое внимание уделяется его возможностям удаленного мониторинга и управления (RMM) и потенциальным уязвимостям, связанным с ними. Порт 6783 был определен в качестве общей цели для запросов, связанных с Splashtop, но усилия столкнулись с проблемами из-за высокого числа ложноположительных результатов, учитывая объем результатов. Важным аспектом анализа была проверка SSL-сертификатов, преимущественно "Splashtop Inc. Self CA", который представляет собой самозаверяющий сертификат, используемый Splashtop для своего программного обеспечения Streamer.

В результате анализа были отмечены "Подозрительные каталоги", которые относятся к открытым каталогам, в которых могут содержаться потенциально опасные файлы. Этот аспект запросов Splashtop предполагает, что злоумышленники могут использовать инструменты RMM для размещения вредоносного контента в явно безопасных местах. В статье подчеркивается необходимость обеспечения безопасности персональных устройств и подчеркивается важность мониторинга любых общедоступных сервисов в глобальной сети с использованием таких инструментов, как Censys или Shodan. Пользователям рекомендуется ознакомиться с любыми сервисами, размещенными на их IP-адресе, и рассмотреть варианты безопасного доступа, такие как WireGuard или обратные прокси-серверы.

Более того, результаты, касающиеся стримера Splashtop, указывают на значительное число активных хостов — 2610 на момент написания статьи, — которые используют определенный сертификат. Анализ также касался ретрансляционных служб Splashtop, указывая на то, что сертификаты как от мобильных, так и от обычных ретрансляторов данных имеют решающее значение при исследовании этой технологии в контексте безопасности, поскольку они могут вызывать ложные срабатывания из-за того, что другие несвязанные службы используют аналогичные соглашения об именовании.

Общий анализ показывает, что, хотя такие инструменты, как Splashtop, могут улучшить удаленный доступ и управление, они представляют собой заманчивую цель для злоумышленников. Осведомленность о безопасности и упреждающие меры имеют решающее значение для снижения рисков, связанных с такими услугами. Кроме того, выявление потенциально вредоносных действий, связанных с открытыми каталогами и службами, работающими по одному и тому же IP-адресу, подчеркивает сложную природу сетевой безопасности, где часто требуется дальнейший анализ для установления законности наблюдаемого поведения.

#ParsedReport #CompletenessHigh
10-11-2025

BlueNoroff Group cryptoaffair: "ghost" investments and bogus job offers

https://securelist.ru/bluenoroff-apt-campaigns-ghostcall-and-ghosthire/113883/

Report completeness: High

Actors/Campaigns:
Bluenoroff (motivation: financially_motivated)
Snatchcrypto
Ghostcall
Ghosthire
Contagious_interview
Lazarus

Threats:
Rustbucket
Clickfix_technique
Downtroy
Cosmicdoor
Rootroy
Sysphon
Sneakmain
Zoomclutch
Realtimetroy
Sysphone
Teamsclutch
Gillyinjector
Viper
Silentsiphon
Supply_chain_technique
Nimcore
Xscreen
Cryptobot
Nimdoor
Corekitagent
Sugarloader
Kandykorn
Uac_bypass_technique
Pid_spoofing_technique
Goloader
Themida_tool
Objcshellz
Trojan.vbs.agent.gen
Sbadur
Trojan.vbs.cobalt.gen
Trojan.vbs.runner
Kryptik
Nukesped_rat
Netchk_tool
Triplewatch

Industry:
Financial

Geo:
Italy, Indian, India, Sweden, Spain, Australia, Asia-pacific, Japan, France, Turkey, Singapore, Hong kong

TTPs:
Tactics: 2
Technics: 0

IOCs:
File: 47
Hash: 59
Url: 26
Domain: 25
Path: 5
Command: 2
IP: 1

Soft:
macOS, Telegram, Zoom, Microsoft Teams, OpenAI, curl, Bitwarden, LastPass, 1Password, Dashlane, have more...

Wallets:
exodus_wallet, coinbase, coin98, sui_wallet, tonkeeper, mytonwallet, metamask

Crypto:
solana, algorand

Algorithms:
aes, aes-256, sha256, xor, md5, base64, pbkdf2, zip, rc4

Functions:
GetUniRoute, getenv, posix_spawn

Win API:
Arc, CreateThread, SeDebugPrivilege, NtCreateThreadEx

Languages:
rust, typescript, python, powershell, applescript, javascript, swift

Platforms:
cross-platform, apple

#ParsedReport #ExtractedSchema

Classified images:
schema: 7, windows: 2, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа BlueNoroff, также известная как APT38, нацелена на разработчиков блокчейна и руководителей Web3 с помощью таких кампаний, как GhostCall и GhostHire, используя тактику социальной инженерии. Кампания GhostCall, которая стартовала в середине 2023 года, использует поддельные приложения Zoom и DownTroy вредоносное ПО для извлечения данных, в то время как GhostHire распространяет вредоносные проекты через такие платформы, как Telegram и GitHub, используя различные уязвимости ОС. Злоумышленники используют целый ряд вредоносных ПО, включая CosmicDoor и Bof, с использованием передовых методов, таких как обход UAC для повышения привилегий.
-----

Группа BlueNoroff, также известная как APT38 или TA444, нацелена на разработчиков блокчейна и руководителей Web3 с помощью таких кампаний, как SnatchCrypto. Кампания GhostCall использует тактику социальной инженерии с помощью обманчивых видеоконференций, при этом злоумышленники выдают себя за венчурных капиталистов на таких платформах, как Telegram. Эта кампания началась в середине 2023 года с использованием поддельных ссылок Zoom и замаскированных URL-адресов для фишинга. Все начинается с вредоносного ПО DownTroy, которое загружает клавиатурные шпионы и стиллеры данных, такие как CosmicDoor и RooTroy. Вредоносное приложение под названием ZoomClutch было создано для имитации законного приложения Zoom на macOS. Компоненты CosmicDoor включают в себя GillyInjector, который вводит зашифрованную полезную нагрузку в системы. Параллельная кампания GhostHire нацелена на разработчиков, которые распространяют вредоносные проекты через Telegram и GitHub, используя вредоносные пакеты Go и проекты TypeScript. Реализация атак охватывает Windows, macOS и Linux, с использованием сценариев, адаптированных для каждой ОС. В кампаниях используются передовые методы, такие как обход UAC, использование определенных интерфейсов RPC для получения повышенных привилегий. BlueNoroff использует множество вредоносных ПО, от легких инструментов, таких как SysPhon и SilentSiphon, до сложных загрузчиков, таких как Bof, которые работают как законный процесс при запуске Windows. Двойная функциональность CosmicDoor в Windows отражает ее поведение в macOS, демонстрируя эволюционирующую методологию группы.

#ParsedReport #CompletenessMedium
11-11-2025

DarkComet RAT Malware Hidden Inside Fake Bitcoin Tool

https://www.pointwild.com/threat-intelligence/darkcomet-rat-malware-hidden-inside-fake-bitcoin-tool

Report completeness: Medium

Threats:
Darkcomet_rat
Upx_tool
Spear-phishing_technique

Victims:
Cryptocurrency users, Financial technology users

Industry:
Financial

TTPs:
Tactics: 8
Technics: 7

IOCs:
File: 9
Hash: 9
Path: 5
Registry: 2

Crypto:
bitcoin

Algorithms:
md5, sha1, sha256

Win API:
decompress

Languages:
delphi

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО DarkComet RAT было внедрено в мошенническое приложение для биткоин-кошелька, что подчеркивает его адаптивность к текущим тенденциям. Упакованное с использованием UPX, чтобы избежать обнаружения, вредоносное ПО устанавливает соединение для управления и демонстрирует такое поведение, как Регистрация нажатий клавиш для сбора конфиденциальной информации. Используемые методы атаки включают первоначальный доступ с помощью spearphishing, уклонение от UPX и закрепление с помощью изменений в реестре, что сигнализирует о значительной угрозе в сфере криптовалют.
-----

Вредоносное ПО DarkComet RAT вновь появилось в мошенническом биткоин-приложении, демонстрируя эволюционирующую природу киберпреступности, особенно в связи с ростом популярности криптовалют. Это вредоносное ПО было встроено в архив RAR, замаскированный под приложение для биткоин-кошелька, что является распространенной тактикой, используемой злоумышленниками для обхода мер безопасности и заманивания ничего не подозревающих жертв к исполнению.

Подробный анализ образца вредоносного ПО, идентифицированного как "94 тыс. BTC wallet.exe ," выяснилось, что он был упакован с использованием UPX (Ultimate Packer для исполняемых файлов), чтобы скрыть свой вредоносный код и избежать обнаружения. UPX часто используется разработчиками вредоносного ПО для этой цели; его возможности усложняют статический анализ исполняемого файла. После распаковки вредоносное ПО продемонстрировало типичное поведение DarkComet, включая установление соединения с сервером для управления "kvejo991.ddns.net "на стандартном порту 1604. Сетевой анализ показал, что вредоносное ПО предпринимало неоднократные попытки подключиться к серверу, что указывает на активное поведение маяка, характерное для семейства DarkComet RAT.

Основная функциональность вредоносного ПО включает Регистрацию нажатий клавиш, при которой оно записывает нажатия клавиш пользователя для получения конфиденциальных данных, таких как учетные данные для входа в систему и финансовая информация. После выполнения он инициирует множество процессов, облегчая выполнение внутренних команд вредоносного ПО и создавая среду, благоприятствующую его работе. Также включены механизмы закрепления, при этом DarkComet настраивает ключи запуска реестра для обеспечения его запуска при запуске системы, тем самым сохраняя опору на скомпрометированных системах.

Что касается векторов атак, то методология, используемая в этой кампании, согласуется с различными методами, сопоставленными с платформой MITRE ATT&CK. К ним относятся первоначальный доступ с помощью Целевого фишинга с вложениями с использованием сжатого архива, уклонение с помощью упаковки UPX, Выполнение с участием пользователя замаскированного приложения, закрепление с использованием изменений реестра и сбор данных с помощью регистрации нажатий клавиш. Захваченные нажатия клавиш и конфиденциальная информация впоследствии фильтруются по каналу C2, установленному во время выполнения.

Интеграция вредоносного ПО в приложение на тему биткоина является примером того, как устоявшиеся угрозы перепрофилируются для использования современных тенденций, создавая значительные риски не только из-за кражи данных, но и из-за потенциального финансового ущерба от взломанных учетных записей в криптовалюте. Это подчеркивает сохраняющуюся необходимость проявлять бдительность в отношении подобной тактики социальной инженерии в условиях постоянно меняющегося ландшафта угроз.

#ParsedReport #CompletenessMedium
11-11-2025

Booking.com Hotels Hacked in 'I Paid Twice' Scam

https://www.secureblink.com/cyber-security-news/booking-com-hotels-hacked-in-i-paid-twice-scam

Report completeness: Medium

Threats:
Clickfix_technique
Purerat
Spear-phishing_technique
Bec_technique
Dll_sideloading_technique
Dll_hijacking_technique
Dotnet_reactor_tool
Credential_harvesting_technique

Victims:
Hotels, Booking com customers

Industry:
Financial, Entertainment

TTPs:
Tactics: 7
Technics: 8

IOCs:
File: 3
Command: 1

Soft:
NET Reactor, WhatsApp

Algorithms:
zip, base64

Functions:
JavaScript

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по фишингу, нацеленная на Booking.com появились аккаунты, использующие скомпрометированные электронные письма из взломанных отелей для обхода фильтров безопасности и перенаправления жертв на поддельную страницу входа в систему. Эта страница развертывает вредоносное ПО с помощью двухэтапного сценария PowerShell, который извлекает системную информацию и использует тактику DLL side-loading для скрытой работы в памяти. В конечном счете, злоумышленники выдают себя за отели, чтобы принудить гостей к совершению мошеннических платежей, что приводит к значительным Кражам денежных средств.
-----

Изощренная кампания по фишингу, нацеленная на Booking.com были выявлены учетные записи, действующие как организованное преступное предприятие со специализированными функциями, направленными на обман постояльцев отеля. Первоначальный компромисс использует электронные письма с ранее взломанных законных аккаунтов других отелей, которые обходят фильтры безопасности и кажутся жертвам срочными. Электронные письма содержат ссылки, ведущие к Системе распределения трафика (TDS), чтобы замаскировать конечную точку. Попадая на целевую страницу, пользователи сталкиваются с убедительно воспроизведенным Booking.com интерфейс входа в систему, в котором функция JavaScript предназначена для копирования вредоносной команды PowerShell в буфер обмена. Жертвам предлагается вставить и выполнить эту команду, тем самым невольно загружая и запуская вредоносное ПО.

Развертывание вредоносного ПО включает в себя двухэтапный сценарий PowerShell: первый сценарий выполняется по команде пользователя и извлекает более продвинутый второй сценарий PowerShell с сервера злоумышленника. Этот дополнительный сценарий выполняет разведку для сбора системной информации, которая затем отфильтровывается обратно на сервер командования и контроля (C2). Злоумышленники доставляют полезные файлы, которые включают в себя один законный, подписанный исполняемый файл наряду с вредоносными библиотеками DLL. Механизм постоянной угрозы использует ключи реестра и ярлыки папок автозагрузки, используя тактику DLL side-loading, при которой вместо законного исполняемого файла загружаются вредоносные библиотеки DLL. Этот метод без файлов позволяет вредоносному ПО работать в памяти, сводя к минимуму риски обнаружения.

Конечная цель кампании - Кража денежных средств, получившая название аферы "Я заплатил дважды". Злоумышленники собирают учетные данные для отелей' Booking.com порталы экстрасети, использующие различные методы, включая клавиатурные шпионы и сброс памяти. Получая доступ к подлинным данным бронирования, они выдают себя за отели и связываются со своими гостями, заявляя о проблемах с банковским обслуживанием или безопасностью и принуждая их к совершению мошеннических платежей на счета, контролируемые злоумышленниками, в результате чего жертвы обманом платят дважды за свое пребывание.

Базовая инфраструктура для этой операции включает рынки учетных данных, где украденные учетные данные продаются на форумах Dark Web, с автоматизированными инструментами проверки, обеспечивающими действительность учетных данных. Очевиден многоуровневый подход, использующий методы фишинга и передовые методы исполнения, чтобы избежать обнаружения и обеспечить закрепление в скомпрометированных системах. Рекомендации по защите включают повышение уровня подготовки пользователей, применение мер безопасности электронной почты, ограничение использования PowerShell, мониторинг необычной активности в реестре, внесение приложений в белый список и обязательную Многофакторную аутентификацию для учетных записей платформы бронирования, чтобы снизить риски, связанные с этой постоянной угрозой.

#ParsedReport #CompletenessLow
11-11-2025

GlassWorm Returns: New Wave Strikes as We Expose Attacker Infrastructure

https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure

Report completeness: Low

Threats:
Glassworm

Victims:
Software development, Government

Industry:
Critical_infrastructure, Financial, E-commerce, Government

Geo:
Middle east, America, Asia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1059, T1090, T1102, T1105, T1195, T1552, T1659

IOCs:
IP: 1

Soft:
Chrome, VSCode, Hugging Face

Crypto:
solana

Languages:
javascript

Links:
https://github.com/Darkrain2009/RedExt?tab=readme-ov-file
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберугроза GlassWorm нацелена на расширения кода Visual Studio, использующие невидимые символы Юникода, чтобы скрыть вредоносный код и избежать обнаружения. Недавно это распространилось на GitHub, где злоумышленники используют украденные учетные данные для совершения кажущихся законными коммитов, которые скрывают вредоносное ПО. Эта угроза подчеркивает трудности в борьбе с изощренными атаками, которые могут распространяться через скомпрометированные учетные записи, затрагивая широкий круг жертв по всему миру.
-----

Киберугроза GlassWorm появилась вновь, конкретно нацеленная на расширения Visual Studio Code (VS Code). Первоначально раскрытый тремя неделями ранее, GlassWorm примечателен своей самораспространяющейся природой, использующей невидимые символы Юникода для скрытия вредоносного кода, который ускользает от обнаружения в редакторах кода. Недавние события указывают на появление еще трех расширений OpenVSX, демонстрирующих ту же сигнатуру GlassWorm, что подтверждает закрепление угрозы и ее адаптивность.

Исследования показывают, что GlassWorm расширил свой охват репозиториев GitHub по состоянию на 31 октября 2025 года, а исследователи безопасности из Aikido Security выявили случаи, когда разработчики обнаруживали, что их репозитории скомпрометированы. Атаки включали якобы законные коммиты, которые включали изменения кода для конкретного проекта, которые казались сгенерированными искусственным интеллектом, чтобы замаскироваться под обычную деятельность по разработке. Однако эти коммиты скрывали один и тот же невидимый шаблон вредоносного ПО в Юникоде, используя кодировку области частного использования, чтобы скрыть вредоносную полезную нагрузку. Полезные нагрузки используют ранее идентифицированный механизм доставки через блокчейн Solana. Примечательно, что злоумышленники используют украденные учетные данные GitHub для выполнения вредоносных коммитов, демонстрируя тем самым способность червя к самораспространению через захваченные учетные записи.

Круг пострадавших простирается по Соединенным Штатам, Южной Америке, Европе, Азии и включает в себя правительственное учреждение с Ближнего Востока, а также множество индивидуальных разработчиков и организаций. Это тревожное распространение подчеркивает широкомасштабные последствия атаки GlassWorm и подчеркивает необходимость улучшения управления и прозрачности по всей Цепочке поставок программного обеспечения. Сложность этой угрозы иллюстрирует ограничения традиционных средств безопасности в среде, где вредоносное ПО может оставаться незамеченным, а злоумышленники могут использовать украденные учетные данные для дальнейшего распространения.

#ParsedReport #CompletenessLow
11-11-2025

North Korean hackers rely on Google to locate and find opportunities, and remotely destroy the core data of the target's phone after stealing the secret.

https://www.secrss.com/articles/84887

Report completeness: Low

Actors/Campaigns:
Scarcruft
Kimsuky
Forumtroll

Threats:
Spear-phishing_technique

Victims:
Android smartphone users

Geo:
North korean

ChatGPT TTPs:
do not use without manual check
T1446, T1566

Soft:
Android, KakaoTalk, Gmail

Win API:
IoKlTr

Languages:
autoit

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, table: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры разработали новую тактику APT, позволяющую им удаленно манипулировать смартфонами Android и перезагружать их с помощью точной геолокации и фишинга. Первоначально собирая критическую информацию с помощью фишинга, они используют уязвимости для удаленной очистки устройства, что приводит к значительной потере данных. Этот метод свидетельствует о тревожной тенденции в области киберугроз, сочетающей традиционную социальную инженерию с передовыми технологическими манипуляциями для эффективного воздействия на жертв.
-----

Недавние результаты, полученные от иностранной охранной фирмы, свидетельствуют о новой тактике использования северокорейскими хакерами сложных целенаправленных угроз (APT). Эта группа разработала метод удаленного управления Android-смартфонами и их сброса. Используя комбинацию методов точной геолокации и фишингов-мошенничества, хакеры могут эффективно воздействовать на пользователей.

Как только цель идентифицирована, хакеры начинают свою атаку, сначала получая критическую информацию с помощью попыток фишинга. Такой подход позволяет им использовать уязвимости или слабые места в мобильном устройстве цели. После успешного проникновения злоумышленники могут выполнить удаленную очистку устройства, что приведет к значительной потере данных жертвой. Намерение, стоящее за этими действиями, по-видимому, направлено на нанесение разрушительного удара, удаление основных данных с целевых телефонов для достижения своих целей.

Этот метод иллюстрирует тревожную тенденцию в области киберугроз, когда традиционная тактика социальной инженерии дополняется технологическими манипуляциями. Полагаясь на такие инструменты и сервисы, как Google, для точного отслеживания местоположения, эти злоумышленники могут увеличить свои шансы на успешное взаимодействие с выбранными целями. Последствия этих атак подчеркивают важность защиты персональных устройств и бдительности в отношении попыток фишинга, особенно для тех, кто может подвергаться более высокому риску стать мишенью киберпреступников, спонсируемых государством.

#ParsedReport #CompletenessLow
11-11-2025

Analysis of the Yurei ransomware's Go-based builder encryption structure.

https://asec.ahnlab.com/ko/90933/

Report completeness: Low

Threats:
Yurei
Ransom/mdp.event.m1785
Ransom/mdp.decoy.m1171
Ransom/mdp.event.m1875
Ransomware/win.yureicrypt.r721068
Ransomware/win.yureicrypt.r721188
Prince_ransomware

Industry:
Foodtech, Transport, Logistic

Geo:
Nigeria, Sri lanka

ChatGPT TTPs:
do not use without manual check
T1083, T1486, T1490

IOCs:
File: 1

Soft:
nuget, vscode

Algorithms:
md5, chacha20-poly1305, ecdh, aes-gcm

Languages:
dotnet

Platforms:
intel, x86

#ParsedReport #ExtractedSchema

Classified images:
code: 1, schema: 1