#ParsedReport #CompletenessMedium
12-11-2025

Backdoor malware with a legitimate signature is being distributed disguised as a Steam cleanup tool.

https://asec.ahnlab.com/ko/90915/

Report completeness: Medium

Threats:
Trojan/js.proxyware.sc295915

Victims:
Steam users

Industry:
Entertainment

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059.007, T1071.001, T1553.002

IOCs:
Url: 3
Path: 7
File: 16
Domain: 5
Hash: 2

Soft:
Steam, SteamCleaner, Node.js, InnoSetup, task scheduler

Algorithms:
md5, gzip, deflate

Functions:
TaskScheduler

Win Services:
VGAuthService

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая вредоносная ПО с бэкдором маскируется под "SteamCleaner", законное приложение для игровой платформы Steam, и использует действительную цифровую подпись, чтобы избежать обнаружения. После установки он выполняет Node.js сценарий, который поддерживает связь с сервером управления (C2), позволяя злоумышленникам удаленно управлять скомпрометированными системами. Эта тактика выявляет уязвимости в традиционных методах обнаружения, облегчая вредоносному ПО незамеченное использование пользовательских систем.
-----

Появился новый дистрибутив бэкдорного вредоносного ПО, который маскируется под законное приложение, известное как "SteamCleaner", которое продается как инструмент очистки для игровой платформы Steam. Это вредоносное ПО использует действительную цифровую подпись, чтобы повысить доверие к себе и избежать обнаружения, что позволяет ему более эффективно проникать в пользовательские системы.

После установки вредоносное программное обеспечение вводит Node.js сценарий, который работает на скомпрометированном компьютере. Этот скрипт устанавливает периодическую связь с сервером управления (C2), позволяя злоумышленникам удаленно выполнять различные команды. Функциональность бэкдора этого вредоносного ПО представляет значительные риски, поскольку позволяет осуществлять несанкционированный доступ и контроль над системой пользователя, что потенциально может привести к дальнейшей эксплуатации или краже данных.

Использование законных сигнатур для развертывания вредоносного ПО представляет собой критическую уязвимость, поскольку усложняет традиционные методы обнаружения и делает выявление угрозы все более сложным для пользователей и систем безопасности. Последствия такой тактики подчеркивают необходимость повышенной бдительности и более надежных мер безопасности среди пользователей, чтобы снизить риск таких бэкдорных эксплойтов, связанных с обманчиво безвредными приложениями.

#ParsedReport #CompletenessMedium
12-11-2025

APT PROFILE BRONZE BUTLER

https://www.cyfirma.com/research/apt-profile-bronze-butler/

Report completeness: Medium

Actors/Campaigns:
Tick (motivation: information_theft, cyber_espionage)
Tag-74
Winnti

Threats:
9002_rat
Lilith_rat
Gh0st_rat
Symonloader
Gofarer
Datper
Daserf
Gsecdump
Elirks
Mimikatz_tool
Minzen
Shadowpad
Rarstar
Procdump_tool
Korlia
Shadowpy
Netboy
Ghostdown
Revbshell
Gokcpdoor
Dll_sideloading_technique
Havoc
Spear-phishing_technique
Steganography_technique
Right-to-left_override_technique
Credential_dumping_technique
Dead_drop_technique

Victims:
Government, Manufacturing, Biotechnology, Electronics, Heavy industry, Japanese organizations

Industry:
Government, Biotechnology

Geo:
Japan, Japanese, Russia, Taiwan, Korea, China

CVEs:
CVE-2025-61932 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26855 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26858 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-27065 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-26857 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2018-0802 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 11
Technics: 40

Soft:
PsExec, Microsoft Exchange Server, Microsoft Office, Active Directory

Languages:
python, visual_basic, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская группа кибершпионажа BRONZE BUTLER специализируется на получении конфиденциальной информации из японских секторов, жизненно важных для национальной безопасности, таких как правительство и производство. Группа известна своим опытом в использовании уязвимостей zero-day. В 2025 году произошел значительный инцидент, связанный с критической уязвимостью в MotexLanscope Endpoint Manager, которая обеспечивала доступ на системном уровне. Эта возможность значительно расширяет возможности их проникновения в важнейшие промышленные системы Японии и манипулирования ими.
-----

BRONZE BUTLER, также известная как Tick или REDBALDKNIGHT, является кибершпионажной группой, предположительно происходящей из Китая, известной своими постоянными операциями, направленными на получение конфиденциальной информации от японских организаций. Группа в первую очередь нацелена на секторы, имеющие решающее значение для национальной и экономической безопасности, включая правительство, обрабатывающую промышленность, биотехнологии, электронику и тяжелую промышленность. Их основная цель связана с кражей интеллектуальной собственности и конфиденциальных бизнес-данных.

Одной из определяющих характеристик BRONZE BUTLER является его продвинутый уровень владения уязвимостями zero-day. Недавний значительный инцидент произошел в 2025 году, когда группа использовала критическую уязвимость zero-day в MotexLanscope Endpoint Manager. Эта эксплуатируемая уязвимость позволила им получить доступ на системном уровне, что повысило их способность более эффективно проникать в системы целевых японских предприятий и манипулировать ими. Воздействие такой эксплуатации вызывает особую обеспокоенность из-за стратегической важности отраслей, на которые она направлена.

#ParsedReport #CompletenessLow
12-11-2025

Rhadamanthys Stealer Servers Reportedly Seized; Admin Urges Immediate Reinstallation

https://gbhackers.com/rhadamanthys-stealer-2/

Report completeness: Low

Threats:
Rhadamanthys

Victims:
Malware operators

Geo:
German

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1070.001, T1070.004

Soft:
Twitter, WhatsApp

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние операции правоохранительных органов привели к уничтожению стиллера Rhadamanthys, вредоносного ПО, известного кражей учетных данных и эксфильтрацией информации. После сбоя пользователи сообщили о заблокированном доступе к Панели управления, что побудило команду Rhadamanthys посоветовать операторам удалить следы вредоносного ПО, стереть журналы и выключить серверы, чтобы помешать усилиям правоохранительных органов по восстановлению. Этот инцидент отражает продолжающийся конфликт между киберпреступниками и правоохранительными органами в борьбе с угрозами кибербезопасности.
-----

Недавние сообщения указывают на то, что в результате масштабной операции правоохранительных органов была успешно нарушена инфраструктура стиллера Rhadamanthys, вредоносного ПО, широко используемого для кражи учетных данных и эксфильтрации информации. Пользователи этого вредоносного ПО заметили, что их доступ к Панели управления систематически блокировался после операции, что свидетельствует о целенаправленных усилиях по отключению ее операционных возможностей.

В ответ на сбои команда Rhadamanthys выпустила срочные инструкции для всех лиц, работающих со своими Панелями управления. Они рекомендовали немедленные действия, включая удаление всех следов вредоносного ПО, удаление системных журналов и переустановку серверов. Рекомендации по эксплуатации также включали отключение электроснабжения - мера, направленная на предотвращение дальнейшего доступа и потенциального восстановления со стороны правоохранительных органов.

Это событие подчеркивает продолжающуюся борьбу между киберпреступными операциями и правоохранительными органами, подчеркивая изменчивый характер ландшафта киберугроз и активные меры, принимаемые различными организациями для защиты своей инфраструктуры как от судебного преследования, так и от обнаружения. Сосредоточенность стиллера Rhadamanthys на сборе учетных записей делает его эффективное нарушение критически важным для снижения рисков, связанных с такими киберугрозами.

#ParsedReport #CompletenessLow
12-11-2025

MacOS Infection Vector: Using AppleScripts to bypass Gatekeeper

https://pberba.github.io/security/2025/11/11/macos-infection-vector-applescript-bypass-gatekeeper/

Report completeness: Low

Actors/Campaigns:
Bluenoroff

Threats:
Macc_stealer
Odyssey_stealer

Victims:
Macos users, Software update users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1059.002, T1105, T1204, T1553.001, T1566.002

IOCs:
File: 10
Hash: 20
Domain: 11
IP: 4

Soft:
MacOS, Gatekeeper, Chrome, Zoom, curl, wordpress

Algorithms:
zip

Languages:
powershell, applescript

Platforms:
apple

Links:
have more...
https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
https://github.com/pberba

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Распространяемое вредоносное ПО на macOS все чаще использует файлы .scpt AppleScript для обхода системы безопасности Gatekeeper, ранее распространенной в кампаниях APT, но теперь распространенной среди стиллеров macOS, таких как MacSync и Odyssey. После обновления Apple от августа 2024 года злоумышленники усовершенствовали свои методы, используя эти скрипты для доставки вредоносного ПО, замаскированного под поддельные документы или обновления программного обеспечения. Например, вредоносный AppleScript может выполнить запутанный скрипт для удаления дополнительной полезной нагрузки, что указывает на многоуровневую стратегию атаки, которая позволяет злоумышленникам эффективно маскировать Вредоносные файлы.
-----

Последние тенденции в распространении вредоносного ПО на macOS продемонстрировали использование файлов .scpt AppleScript в качестве метода обхода мер безопасности Gatekeeper. Этот метод перешел от использования в основном в кампаниях по борьбе с сложными целенаправленными угрозами (APT) к более распространенному использованию в экосистеме стиллеров macOS, включая вредоносные ПО таких типов, как MacSync и Odyssey.

С тех пор как обновление от Apple в августе 2024 года ввело более строгие меры безопасности, злоумышленникам пришлось внедрять инновации. Распространение вредоносного ПО через scpt-файлы набирает обороты, причем за последние несколько месяцев этот вектор заметно увеличился. Злоумышленники используют scpt-файлы для доставки вредоносного ПО, замаскированного под поддельные документы Office или обновления программного обеспечения для популярных приложений, таких как Zoom и Microsoft Teams.

Один из приведенных примеров связан с вредоносным AppleScript, который выполняет запутанный скрипт, доступный только для чтения (888.scpt), который отвечает за удаление дальнейшей вредоносной полезной нагрузки в виде файлов образов дисков (DMG). Это означает многоуровневый подход к атаке, поскольку первоначальное внедрение вредоносного ПО приводит к дальнейшим стадиям заражения. Кроме того, вредоносные скрипты подчеркивают потенциальную возможность использования как открытого текста, так и скомпилированных AppleScript в качестве оружия против пользователей.

Возможность назначать пользовательские значки для различных типов файлов в macOS облегчает обман, поскольку злоумышленники могут маскировать Вредоносные файлы, чтобы они выглядели законными. Поэтому распознавание и поиск этих вредоносных скриптов имеет решающее значение, поскольку они могут принимать различные формы. В соответствии с рекомендациями по снижению рисков, связанных с аналогичными расширениями файлов в Windows, рекомендуется изменить приложение по умолчанию, связанное с .scpt и аналогичными расширениями (например, .AppleScript). Это снижает риск выполнения файла без ведома пользователя, повышая общую безопасность пользователей macOS.

#ParsedReport #CompletenessHigh
13-11-2025

Unexpected artifacts in the recent GoRed campaign

https://securelist.ru/gored-backdoor-new-attacks/113980/

Report completeness: High

Actors/Campaigns:
Shedding_zmiy (motivation: hacktivism)
C0met
Bo_team (motivation: cyber_espionage, hacktivism)

Threats:
Bulldog_backdoor
Supply_chain_technique
Proxyshell_vuln
Dns_tunneling_technique
Dumplsass_tool
Netscan_tool
Crackmapexec_tool
Cobalt_strike_tool
Fake_potato_vuln

Industry:
Transport, Software_development, Energy

Geo:
Ukrainian, Russian, Russia

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38100 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34473 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 1
File: 21
Domain: 10
Registry: 2
Url: 2
IP: 13
Hash: 32

Soft:
PostgreSQL, Microsoft Exchange, KeePass, Sysinternals, Process Explorer, Telegram, Linux

Algorithms:
md5

Functions:
ReadAll, CreateObject, WriteText, SetWallpaper

Win Services:
webclient

Languages:
cscript, golang, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Весной 2025 года кампания по вредоносному ПО с бэкдорами GoRed, первоначально обнаруженная в 2024 году, развила свою тактику кибершпионажа против российских объектов. Работающая в Golang, последняя версия (v1.1.5-34ab) использует ошибки конфигурации PostgreSQL для удаленного выполнения команд, в отличие от предыдущих методов. Операторы используют инструменты Cobalt Strike и троянские программы Sysinternals наряду с методами Credential Dumping, что указывает на сложный подход и потенциальное сотрудничество с BO Team для достижения общих целей.
-----

Весной 2025 года кампания GoRed backdoor по вредоносному ПО, которая впервые появилась в 2024 году, продемонстрировала новую тактику и возможности, ориентированные на кибершпионаж против российских организаций. Бэкдор GoRed, также известный как Bulldog Backdoor, представляет собой сложный инструмент, написанный на Golang и постоянно развивающийся с момента своего появления. Последняя идентифицированная версия, v1.1.5-34ab, поддерживает расширенные функциональные возможности, которые представляют значительные риски для целевых организаций. Атрибуция этой кампании была связана с такими группами, как ExCobalt и Shedding Zmiy, которые аналитики классифицируют как Red Likho.

Отличительной особенностью недавних действий GoRed было использование ошибок конфигурации в PostgreSQL на скомпрометированном общедоступном веб-портале с использованием этого вектора для удаленного выполнения команд. Этот метод знаменует собой отклонение от традиционных методов инфильтрации, ранее связанных с GoRed. Операторы кампании провели первоначальную разведку, получив список запущенных процессов на зараженном хосте, прежде чем внедрять свое вредоносное ПО.

Возможности бэкдора GoRed распространяются на удаленное выполнение команд, управление файловой системой и эксфильтрацию данных, что позиционирует его как грозный инструмент шпионажа. Недавние эксплойты, продемонстрированные операторами, включают попытки установить системные учетные данные с помощью методов, в которых отсутствовала обфускация, таких как сброс кучи системного реестра и реестра SAM вместе с Памятью процесса LSASS.

Кроме того, Cobalt Strike был развернут как часть инструментария операторов GoRed, что свидетельствует о скоординированном использовании хорошо известных фреймворков атак. Интересно, что альтернативный подход предусматривал использование троянских системных утилит для загрузки агента Tuoni, который появился как продвинутая платформа управления (C2) примерно в феврале 2024 года, иллюстрируя эволюцию их методов работы.

Еще одним примечательным приемом, выявленным в ходе кампании, был метод просачивания обоев. Этот подход вдохновлен технологией локального повышения привилегий Fake Potato, которая использует небезопасную конфигурацию COM/DCOM для повышения привилегий в уязвимых системах.

Более того, в кампании GoRed есть потенциальный аспект сотрудничества, о чем свидетельствует связь с деятельностью BO Team. Факты свидетельствуют об общей базе жертв между Red Likho и BO Team, намекая на возможные скоординированные действия или обмен знаниями между ними. Учитывая историю сотрудничества BO Team's с другими хактивистскими группами, нацеленными на российские интересы, вполне вероятно, что Red Likho может либо использовать инструменты BO Team's, либо действовать в тандеме на протяжении всей этой кампании.

#ParsedReport #CompletenessMedium
13-11-2025

Unleashing the Kraken ransomware group

https://blog.talosintelligence.com/kraken-ransomware-group/

Report completeness: Medium

Actors/Campaigns:
Kraken (motivation: financially_motivated)
Weacorp

Threats:
Kraken
Kraken_cryptor
Hellokitty
Cloudflared_tool

Victims:
Enterprises

Geo:
Denmark, Canada, Kuwait, United kingdom, Panama

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1039, T1041, T1071.001, T1078, T1090, T1190, T1486, T1490, have more...

IOCs:
Registry: 1
File: 1
Hash: 11

Soft:
Linux, ESXi, Hyper-V, Microsoft SQL server, esxcli, Ubuntu Linux, ubuntu, ESXi esxcli

Crypto:
bitcoin

Algorithms:
exhibit, chacha20

Functions:
unlink, fork_as_daemon

Win API:
Wow64EnableWow64FsRedirection, SetErrorMode, SHEmptyRecycleBinA, GetLogicalDrives, GetDriveTypeW

Win Services:
bits

Languages:
powershell, golang

Platforms:
cross-platform, x86

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/11/kraken-ransomware-group.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kraken ransomware group, связанная с картелем HelloKitty, использует передовые тактики, включая охоту на крупную дичь и двойное вымогательство, используя уязвимости малого и среднего бизнеса для первоначального доступа. Оказавшись внутри, они используют такие инструменты, как Cloudflared, для закрепления и выполняют эксфильтрацию данных через SSHFS перед шифрованием с помощью специальных шифровальщиков для Windows, Linux и VMware ESXi. Примечательно, что Kraken выполняет машинные тесты предварительного шифрования, имеет меры защиты от повторного заражения и использует сложное многопоточное выполнение для различных типов файлов, повышая степень скрытия от обнаружения.
-----

В августе 2025 года Kraken ransomware group, которая, как полагают, возникла из картеля вымогателей HelloKitty, занялась изощренной охотой на крупную дичь и тактикой двойного вымогательства. Эта русскоязычная группа использовала уязвимости Server Message Block (SMB) для получения первоначального доступа к сетям жертв. Оказавшись внутри, они использовали такие инструменты, как Cloudflared для закрепления и SSH Filesystem (SSHFS) для эксфильтрации данных перед шифрованием. Отличительной особенностью Kraken являются его кроссплатформенные возможности, благодаря специальным шифровальщикам, разработанным для систем Windows, Linux и VMware ESXi, что позволяет ему работать в различных корпоративных средах.

Цепочка заражения Kraken обычно начинается с использования уязвимостей SMB на серверах, подключенных к Интернету. Затем злоумышленники получают действительные учетные данные администратора, повторно входя в среду жертвы через подключения к удаленному рабочему столу. Такой подход подчеркивает оппортунистическую направленность группы, поскольку они не фокусируются на конкретных секторах бизнеса и затронули жертв во многих географических регионах, включая США, Великобританию, Канаду и Кувейт.

Kraken ransomware сама по себе характеризуется своей сложностью и функциональностью. Он имеет множество опций командной строки для обеспечения гибкости работы, позволяя злоумышленникам выполнять полное или частичное шифрование файлов. Примечательно, что Kraken выполняет машинный тест перед запуском шифрования — редкая особенность в операциях программ—вымогателей - и может нацеливаться на различные типы файлов, такие как базы данных SQL и общие сетевые ресурсы.

Windows-вариант Kraken - это 32-разрядный исполняемый файл, который может быть запутан с помощью упаковщика на базе Golang. Он включает в себя проверку на реинфекцию для предотвращения двойного шифрования и использует методы антианализа, чтобы избежать обнаружения и усложнить судебно-медицинский анализ. Программа-вымогатель добавляет расширение .zpsc к зашифрованным файлам и включает опции для тестирования производительности, которые позволяют злоумышленникам оценить компьютер жертвы перед фактическим шифрованием данных. Процесс шифрования выполняется параллельно в четырех модулях: база данных SQL, общий сетевой ресурс, локальный диск и Hyper-V.

Для систем Linux и ESXi Kraken ransomware представляет собой 64-разрядный исполняемый файл, разработанный с использованием crosstool-NG версии 1.26.0, поддерживающий как полное, так и частичное шифрование. Подобно версии для Windows, он выполняет многопоточное шифрование и использует тесты производительности. Примечательно, что вариант Linux использует запутывание потока управления и демонические процессы для улучшения тактики уклонения, что еще больше усложняет потенциальный анализ исследователями безопасности.

#ParsedReport #CompletenessLow
12-11-2025

Phishing emails disguised as spam filter alerts are stealing logins

https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Email users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002

IOCs:
Domain: 10
Url: 11
File: 1
Email: 1

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-11-07-IOCs-for-phishing-activity-spoofing-spam-filters.txt