#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CLOBELSECTEAM, хактивистская группа, появившаяся в июне 2025 года, нацелена на различные секторы, включая правительство и энергетику, используя кибератаки и продажу данных для получения финансовой выгоды. Их агрессивная кампания #OpJapan, запущенная 1 октября 2025 года, включала взломы важных объектов, включая предполагаемые атаки на японские ядерные объекты, с использованием вредоносного ПО ResideLocker и продажей украденных данных. Их операции подчеркивают тенденцию сочетания политических и финансовых мотивов при взломе, что, в частности, создает существенную угрозу кибербезопасности Японии.
-----

CLOBELSECTEAM - это хактивистская группа, появившаяся в июне 2025 года, известная тем, что нацелена на различные секторы, включая правительство, вооруженные силы, авиацию и энергетику. Эта группа не только занимается кибератаками, но и фокусируется на финансовом аспекте этих операций путем раскрытия и продажи конфиденциальных данных. Их операционный след простирается за пределы Китая, имея связи с Россией, Северной Кореей и Вьетнамом, что предполагает более широкую международную повестку дня. Группа общается в основном на китайском, русском и английском языках и нацелилась на множество стран, в том числе на Японию, Соединенные Штаты и несколько европейских стран.

Кампания #OpJapan, инициированная CLOBELSECTEAM, отличается особой агрессивностью и отмечена серией кибератак, направленных на японские учреждения. Начиная с 1 октября 2025 года, кампания была отмечена их сообщениями через Telegram, первоначально связанными с другой группой, Black Force. В течение октября CLOBELSECTEAM заявляла о взломе важных объектов, включая предполагаемую кражу данных из японских исследовательских центров по ядерному синтезу и известных ИТ-компаний, таких как Microsoft Japan. Они утверждали, что в этих операциях использовалось вредоносное ПО ResideLocker, а заявленные цены за украденные данные варьировались от 1500 до 3000 долларов.

График работы этой группы раскрывает стратегический подход к кибероперациям, демонстрируя их возможности по эксфильтрации данных из множества соответствующих секторов. К концу октября они запросили ответы от различных правительственных и научно-исследовательских институтов, хотя было подтверждено, что многие из просочившихся документов имеют открытый исходный код или общедоступны. Взаимодействие с группой Hezi Rash 8 октября еще раз подчеркивает их тактику сотрудничества, потенциально усиливая их воздействие.

Методы CLOBELSECTEAM's указывают на четкую ориентацию на сбои и финансовую выгоду за счет хакерских атак, что делает их заметной угрозой для международных систем кибербезопасности, особенно в Японии, где их деятельность активизировалась. Их стратегическое использование вредоносного ПО и последующая продажа данных свидетельствуют о растущей тенденции среди групп хактивистов сочетать политические мотивы с финансовым вымогательством в цифровой сфере.

#ParsedReport #CompletenessMedium
12-11-2025

CVE-2025-21042: Samsung Galaxy Zero-Day Exploited in LANDFALL Spyware Campaign

https://socradar.io/cve-2025-21042-samsung-galaxy-0day-landfall-spyware/

Report completeness: Medium

Threats:
Landfall

Victims:
Mobile users, Samsung galaxy users

Industry:
Government

Geo:
Iran, Morocco, Middle east, Iraq, Turkey

CVEs:
CVE-2025-43300 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-21042 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-55177 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2025-21043 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1105, T1203, T1204.002, T1548.003, T1566.002

IOCs:
Hash: 12
File: 6
IP: 6
Domain: 4

Soft:
WhatsApp, Android, SELinux

Algorithms:
zip, sha256

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-21042 является критической уязвимостью в libimagecodec.quram.so библиотека устройств Samsung Galaxy, набравшая 9,8 баллов по CVSS и активно эксплуатируемая шпионской кампанией LANDFALL, которая нацелена на флагманские модели, такие как Galaxy S22, S23 и Z Flip4, в основном в таких регионах, как Ирак и Иран. В этой кампании используются передовые методы и общие объектные файлы, что указывает на высокий уровень сложности, и является частью тенденции мобильной эксплуатации, связанной с уязвимостями в анализаторах мультимедиа. Ландшафт угроз отражает растущие риски, связанные с обработкой мультимедийных данных в приложениях обмена сообщениями.
-----

CVE-2025-21042 является критической уязвимостью системы безопасности, выявленной в libimagecodec.quram.so библиотека, используемая устройствами Samsung Galaxy для декодирования изображений. Эта уязвимость с оценкой CVSS 9,8 была подтверждена как активно эксплуатируемая в дикой природе, что привело к ее включению в каталог известных эксплуатируемых уязвимостей (KEV) Агентства по кибербезопасности и инфраструктурной безопасности (CISA). Использование этой уязвимости, в частности, связано со шпионской кампанией LANDFALL, которая специально нацелена на флагманские модели смартфонов Samsung, такие как Galaxy S22, S23, S24, Z Fold4 и Z Flip4.

Кампания "LANDFALL", по-видимому, сосредоточена на регионах, включая Ирак, Иран, Турцию и Марокко, которые часто ассоциируются с деятельностью по наблюдению, спонсируемой государством. Исследователи отметили, что инфраструктура и тактика, используемые в этой кампании, отражают те, которые обычно используются коммерческими поставщиками шпионских программ на Ближнем Востоке, хотя окончательная атрибуция остается неясной.

CVE-2025-21042 демонстрирует более широкую тенденцию в использовании мобильных устройств, направленную на устранение уязвимостей в сложных медиапарсерах, которые обрабатывают изображения в таких приложениях, как обмен сообщениями и фотогалереи. Предыдущие инциденты, произошедшие в период с 2024 по 2025 год, аналогичным образом продемонстрировали растущую уязвимость мобильных платформ.

Чтобы смягчить воздействие CVE-2025-21042, пользователям рекомендуется обновить свои устройства до последней версии прошивки, в частности, убедившись, что их программное обеспечение соответствует или превосходит версию обновления безопасности от апреля 2025 года. Также рекомендуется обновить приложения для обмена сообщениями, в частности WhatsApp, и отключить автоматическую загрузку мультимедиа, чтобы уменьшить потенциальную подверженность файлам с Вредоносными образами. Пользователи должны сохранять бдительность в отношении признаков компрометации, таких как ненормальный разряд батареи или неожиданная передача данных.

Шпионская кампания LANDFALL включает в себя различные вредоносные компоненты, включая несколько общих объектных файлов (b.so ) и манипулятивная политика SELinux, которая предполагает значительную техническую изощренность. В число Вредоносных файлов, обнаруженных в ходе кампании, входят изображения, распространяемые через WhatsApp и другие платформы, что усиливает необходимость соблюдения пользователями правил безопасности при использовании своих приложений и управлении устройствами.

#ParsedReport #CompletenessMedium
12-11-2025

Backdoor malware with a legitimate signature is being distributed disguised as a Steam cleanup tool.

https://asec.ahnlab.com/ko/90915/

Report completeness: Medium

Threats:
Trojan/js.proxyware.sc295915

Victims:
Steam users

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1071.001, T1553.002

IOCs:
Url: 3
Path: 7
File: 16
Domain: 5
Hash: 2

Soft:
Steam, SteamCleaner, Node.js, InnoSetup, task scheduler

Algorithms:
md5, gzip, deflate

Functions:
TaskScheduler

Win Services:
VGAuthService

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная ПО с бэкдором маскируется под "SteamCleaner", законное приложение для игровой платформы Steam, и использует действительную цифровую подпись, чтобы избежать обнаружения. После установки он выполняет Node.js сценарий, который поддерживает связь с сервером управления (C2), позволяя злоумышленникам удаленно управлять скомпрометированными системами. Эта тактика выявляет уязвимости в традиционных методах обнаружения, облегчая вредоносному ПО незамеченное использование пользовательских систем.
-----

Появился новый дистрибутив бэкдорного вредоносного ПО, который маскируется под законное приложение, известное как "SteamCleaner", которое продается как инструмент очистки для игровой платформы Steam. Это вредоносное ПО использует действительную цифровую подпись, чтобы повысить доверие к себе и избежать обнаружения, что позволяет ему более эффективно проникать в пользовательские системы.

После установки вредоносное программное обеспечение вводит Node.js сценарий, который работает на скомпрометированном компьютере. Этот скрипт устанавливает периодическую связь с сервером управления (C2), позволяя злоумышленникам удаленно выполнять различные команды. Функциональность бэкдора этого вредоносного ПО представляет значительные риски, поскольку позволяет осуществлять несанкционированный доступ и контроль над системой пользователя, что потенциально может привести к дальнейшей эксплуатации или краже данных.

Использование законных сигнатур для развертывания вредоносного ПО представляет собой критическую уязвимость, поскольку усложняет традиционные методы обнаружения и делает выявление угрозы все более сложным для пользователей и систем безопасности. Последствия такой тактики подчеркивают необходимость повышенной бдительности и более надежных мер безопасности среди пользователей, чтобы снизить риск таких бэкдорных эксплойтов, связанных с обманчиво безвредными приложениями.

#ParsedReport #CompletenessMedium
12-11-2025

APT PROFILE BRONZE BUTLER

https://www.cyfirma.com/research/apt-profile-bronze-butler/

Report completeness: Medium

Actors/Campaigns:
Tick (motivation: information_theft, cyber_espionage)
Tag-74
Winnti

Threats:
9002_rat
Lilith_rat
Gh0st_rat
Symonloader
Gofarer
Datper
Daserf
Gsecdump
Elirks
Mimikatz_tool
Minzen
Shadowpad
Rarstar
Procdump_tool
Korlia
Shadowpy
Netboy
Ghostdown
Revbshell
Gokcpdoor
Dll_sideloading_technique
Havoc
Spear-phishing_technique
Steganography_technique
Right-to-left_override_technique
Credential_dumping_technique
Dead_drop_technique

Victims:
Government, Manufacturing, Biotechnology, Electronics, Heavy industry, Japanese organizations

Industry:
Government, Biotechnology

Geo:
Japan, Japanese, Russia, Taiwan, Korea, China

CVEs:
CVE-2025-61932 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0802 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 40

Soft:
PsExec, Microsoft Exchange Server, Microsoft Office, Active Directory

Languages:
python, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская группа кибершпионажа BRONZE BUTLER специализируется на получении конфиденциальной информации из японских секторов, жизненно важных для национальной безопасности, таких как правительство и производство. Группа известна своим опытом в использовании уязвимостей zero-day. В 2025 году произошел значительный инцидент, связанный с критической уязвимостью в MotexLanscope Endpoint Manager, которая обеспечивала доступ на системном уровне. Эта возможность значительно расширяет возможности их проникновения в важнейшие промышленные системы Японии и манипулирования ими.
-----

BRONZE BUTLER, также известная как Tick или REDBALDKNIGHT, является кибершпионажной группой, предположительно происходящей из Китая, известной своими постоянными операциями, направленными на получение конфиденциальной информации от японских организаций. Группа в первую очередь нацелена на секторы, имеющие решающее значение для национальной и экономической безопасности, включая правительство, обрабатывающую промышленность, биотехнологии, электронику и тяжелую промышленность. Их основная цель связана с кражей интеллектуальной собственности и конфиденциальных бизнес-данных.

Одной из определяющих характеристик BRONZE BUTLER является его продвинутый уровень владения уязвимостями zero-day. Недавний значительный инцидент произошел в 2025 году, когда группа использовала критическую уязвимость zero-day в MotexLanscope Endpoint Manager. Эта эксплуатируемая уязвимость позволила им получить доступ на системном уровне, что повысило их способность более эффективно проникать в системы целевых японских предприятий и манипулировать ими. Воздействие такой эксплуатации вызывает особую обеспокоенность из-за стратегической важности отраслей, на которые она направлена.

#ParsedReport #CompletenessLow
12-11-2025

Rhadamanthys Stealer Servers Reportedly Seized; Admin Urges Immediate Reinstallation

https://gbhackers.com/rhadamanthys-stealer-2/

Report completeness: Low

Threats:
Rhadamanthys

Victims:
Malware operators

Geo:
German

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1070.001, T1070.004

Soft:
Twitter, WhatsApp

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние операции правоохранительных органов привели к уничтожению стиллера Rhadamanthys, вредоносного ПО, известного кражей учетных данных и эксфильтрацией информации. После сбоя пользователи сообщили о заблокированном доступе к Панели управления, что побудило команду Rhadamanthys посоветовать операторам удалить следы вредоносного ПО, стереть журналы и выключить серверы, чтобы помешать усилиям правоохранительных органов по восстановлению. Этот инцидент отражает продолжающийся конфликт между киберпреступниками и правоохранительными органами в борьбе с угрозами кибербезопасности.
-----

Недавние сообщения указывают на то, что в результате масштабной операции правоохранительных органов была успешно нарушена инфраструктура стиллера Rhadamanthys, вредоносного ПО, широко используемого для кражи учетных данных и эксфильтрации информации. Пользователи этого вредоносного ПО заметили, что их доступ к Панели управления систематически блокировался после операции, что свидетельствует о целенаправленных усилиях по отключению ее операционных возможностей.

В ответ на сбои команда Rhadamanthys выпустила срочные инструкции для всех лиц, работающих со своими Панелями управления. Они рекомендовали немедленные действия, включая удаление всех следов вредоносного ПО, удаление системных журналов и переустановку серверов. Рекомендации по эксплуатации также включали отключение электроснабжения - мера, направленная на предотвращение дальнейшего доступа и потенциального восстановления со стороны правоохранительных органов.

Это событие подчеркивает продолжающуюся борьбу между киберпреступными операциями и правоохранительными органами, подчеркивая изменчивый характер ландшафта киберугроз и активные меры, принимаемые различными организациями для защиты своей инфраструктуры как от судебного преследования, так и от обнаружения. Сосредоточенность стиллера Rhadamanthys на сборе учетных записей делает его эффективное нарушение критически важным для снижения рисков, связанных с такими киберугрозами.

#ParsedReport #CompletenessLow
12-11-2025

MacOS Infection Vector: Using AppleScripts to bypass Gatekeeper

https://pberba.github.io/security/2025/11/11/macos-infection-vector-applescript-bypass-gatekeeper/

Report completeness: Low

Actors/Campaigns:
Bluenoroff

Threats:
Macc_stealer
Odyssey_stealer

Victims:
Macos users, Software update users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1059.002, T1105, T1204, T1553.001, T1566.002

IOCs:
File: 10
Hash: 20
Domain: 11
IP: 4

Soft:
MacOS, Gatekeeper, Chrome, Zoom, curl, wordpress

Algorithms:
zip

Languages:
powershell, applescript

Platforms:
apple

Links:
have more...
https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
https://github.com/pberba

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Распространяемое вредоносное ПО на macOS все чаще использует файлы .scpt AppleScript для обхода системы безопасности Gatekeeper, ранее распространенной в кампаниях APT, но теперь распространенной среди стиллеров macOS, таких как MacSync и Odyssey. После обновления Apple от августа 2024 года злоумышленники усовершенствовали свои методы, используя эти скрипты для доставки вредоносного ПО, замаскированного под поддельные документы или обновления программного обеспечения. Например, вредоносный AppleScript может выполнить запутанный скрипт для удаления дополнительной полезной нагрузки, что указывает на многоуровневую стратегию атаки, которая позволяет злоумышленникам эффективно маскировать Вредоносные файлы.
-----

Последние тенденции в распространении вредоносного ПО на macOS продемонстрировали использование файлов .scpt AppleScript в качестве метода обхода мер безопасности Gatekeeper. Этот метод перешел от использования в основном в кампаниях по борьбе с сложными целенаправленными угрозами (APT) к более распространенному использованию в экосистеме стиллеров macOS, включая вредоносные ПО таких типов, как MacSync и Odyssey.

С тех пор как обновление от Apple в августе 2024 года ввело более строгие меры безопасности, злоумышленникам пришлось внедрять инновации. Распространение вредоносного ПО через scpt-файлы набирает обороты, причем за последние несколько месяцев этот вектор заметно увеличился. Злоумышленники используют scpt-файлы для доставки вредоносного ПО, замаскированного под поддельные документы Office или обновления программного обеспечения для популярных приложений, таких как Zoom и Microsoft Teams.

Один из приведенных примеров связан с вредоносным AppleScript, который выполняет запутанный скрипт, доступный только для чтения (888.scpt), который отвечает за удаление дальнейшей вредоносной полезной нагрузки в виде файлов образов дисков (DMG). Это означает многоуровневый подход к атаке, поскольку первоначальное внедрение вредоносного ПО приводит к дальнейшим стадиям заражения. Кроме того, вредоносные скрипты подчеркивают потенциальную возможность использования как открытого текста, так и скомпилированных AppleScript в качестве оружия против пользователей.

Возможность назначать пользовательские значки для различных типов файлов в macOS облегчает обман, поскольку злоумышленники могут маскировать Вредоносные файлы, чтобы они выглядели законными. Поэтому распознавание и поиск этих вредоносных скриптов имеет решающее значение, поскольку они могут принимать различные формы. В соответствии с рекомендациями по снижению рисков, связанных с аналогичными расширениями файлов в Windows, рекомендуется изменить приложение по умолчанию, связанное с .scpt и аналогичными расширениями (например, .AppleScript). Это снижает риск выполнения файла без ведома пользователя, повышая общую безопасность пользователей macOS.

#ParsedReport #CompletenessHigh
13-11-2025

Unexpected artifacts in the recent GoRed campaign

https://securelist.ru/gored-backdoor-new-attacks/113980/

Report completeness: High

Actors/Campaigns:
Shedding_zmiy (motivation: hacktivism)
C0met
Bo_team (motivation: cyber_espionage, hacktivism)

Threats:
Bulldog_backdoor
Supply_chain_technique
Proxyshell_vuln
Dns_tunneling_technique
Dumplsass_tool
Netscan_tool
Crackmapexec_tool
Cobalt_strike_tool
Fake_potato_vuln

Industry:
Transport, Software_development, Energy

Geo:
Ukrainian, Russian, Russia

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38100 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34473 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 1
File: 21
Domain: 10
Registry: 2
Url: 2
IP: 13
Hash: 32

Soft:
PostgreSQL, Microsoft Exchange, KeePass, Sysinternals, Process Explorer, Telegram, Linux

Algorithms:
md5

Functions:
ReadAll, CreateObject, WriteText, SetWallpaper

Win Services:
webclient

Languages:
cscript, golang, powershell

Platforms:
x86