#ParsedReport #ExtractedSchema

Classified images:
chats: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние операции правоохранительных органов привели к уничтожению стиллера Rhadamanthys, вредоносного ПО, известного кражей учетных данных и эксфильтрацией информации. После сбоя пользователи сообщили о заблокированном доступе к Панели управления, что побудило команду Rhadamanthys посоветовать операторам удалить следы вредоносного ПО, стереть журналы и выключить серверы, чтобы помешать усилиям правоохранительных органов по восстановлению. Этот инцидент отражает продолжающийся конфликт между киберпреступниками и правоохранительными органами в борьбе с угрозами кибербезопасности.
-----

Недавние сообщения указывают на то, что в результате масштабной операции правоохранительных органов была успешно нарушена инфраструктура стиллера Rhadamanthys, вредоносного ПО, широко используемого для кражи учетных данных и эксфильтрации информации. Пользователи этого вредоносного ПО заметили, что их доступ к Панели управления систематически блокировался после операции, что свидетельствует о целенаправленных усилиях по отключению ее операционных возможностей.

В ответ на сбои команда Rhadamanthys выпустила срочные инструкции для всех лиц, работающих со своими Панелями управления. Они рекомендовали немедленные действия, включая удаление всех следов вредоносного ПО, удаление системных журналов и переустановку серверов. Рекомендации по эксплуатации также включали отключение электроснабжения - мера, направленная на предотвращение дальнейшего доступа и потенциального восстановления со стороны правоохранительных органов.

Это событие подчеркивает продолжающуюся борьбу между киберпреступными операциями и правоохранительными органами, подчеркивая изменчивый характер ландшафта киберугроз и активные меры, принимаемые различными организациями для защиты своей инфраструктуры как от судебного преследования, так и от обнаружения. Сосредоточенность стиллера Rhadamanthys на сборе учетных записей делает его эффективное нарушение критически важным для снижения рисков, связанных с такими киберугрозами.

#ParsedReport #CompletenessLow
12-11-2025

MacOS Infection Vector: Using AppleScripts to bypass Gatekeeper

https://pberba.github.io/security/2025/11/11/macos-infection-vector-applescript-bypass-gatekeeper/

Report completeness: Low

Actors/Campaigns:
Bluenoroff

Threats:
Macc_stealer
Odyssey_stealer

Victims:
Macos users, Software update users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1059.002, T1105, T1204, T1553.001, T1566.002

IOCs:
File: 10
Hash: 20
Domain: 11
IP: 4

Soft:
MacOS, Gatekeeper, Chrome, Zoom, curl, wordpress

Algorithms:
zip

Languages:
powershell, applescript

Platforms:
apple

Links:
have more...
https://github.com/t3l3machus/PowerShell-Obfuscation-Bible
https://github.com/pberba

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 7

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Распространяемое вредоносное ПО на macOS все чаще использует файлы .scpt AppleScript для обхода системы безопасности Gatekeeper, ранее распространенной в кампаниях APT, но теперь распространенной среди стиллеров macOS, таких как MacSync и Odyssey. После обновления Apple от августа 2024 года злоумышленники усовершенствовали свои методы, используя эти скрипты для доставки вредоносного ПО, замаскированного под поддельные документы или обновления программного обеспечения. Например, вредоносный AppleScript может выполнить запутанный скрипт для удаления дополнительной полезной нагрузки, что указывает на многоуровневую стратегию атаки, которая позволяет злоумышленникам эффективно маскировать Вредоносные файлы.
-----

Последние тенденции в распространении вредоносного ПО на macOS продемонстрировали использование файлов .scpt AppleScript в качестве метода обхода мер безопасности Gatekeeper. Этот метод перешел от использования в основном в кампаниях по борьбе с сложными целенаправленными угрозами (APT) к более распространенному использованию в экосистеме стиллеров macOS, включая вредоносные ПО таких типов, как MacSync и Odyssey.

С тех пор как обновление от Apple в августе 2024 года ввело более строгие меры безопасности, злоумышленникам пришлось внедрять инновации. Распространение вредоносного ПО через scpt-файлы набирает обороты, причем за последние несколько месяцев этот вектор заметно увеличился. Злоумышленники используют scpt-файлы для доставки вредоносного ПО, замаскированного под поддельные документы Office или обновления программного обеспечения для популярных приложений, таких как Zoom и Microsoft Teams.

Один из приведенных примеров связан с вредоносным AppleScript, который выполняет запутанный скрипт, доступный только для чтения (888.scpt), который отвечает за удаление дальнейшей вредоносной полезной нагрузки в виде файлов образов дисков (DMG). Это означает многоуровневый подход к атаке, поскольку первоначальное внедрение вредоносного ПО приводит к дальнейшим стадиям заражения. Кроме того, вредоносные скрипты подчеркивают потенциальную возможность использования как открытого текста, так и скомпилированных AppleScript в качестве оружия против пользователей.

Возможность назначать пользовательские значки для различных типов файлов в macOS облегчает обман, поскольку злоумышленники могут маскировать Вредоносные файлы, чтобы они выглядели законными. Поэтому распознавание и поиск этих вредоносных скриптов имеет решающее значение, поскольку они могут принимать различные формы. В соответствии с рекомендациями по снижению рисков, связанных с аналогичными расширениями файлов в Windows, рекомендуется изменить приложение по умолчанию, связанное с .scpt и аналогичными расширениями (например, .AppleScript). Это снижает риск выполнения файла без ведома пользователя, повышая общую безопасность пользователей macOS.

#ParsedReport #CompletenessHigh
13-11-2025

Unexpected artifacts in the recent GoRed campaign

https://securelist.ru/gored-backdoor-new-attacks/113980/

Report completeness: High

Actors/Campaigns:
Shedding_zmiy (motivation: hacktivism)
C0met
Bo_team (motivation: cyber_espionage, hacktivism)

Threats:
Bulldog_backdoor
Supply_chain_technique
Proxyshell_vuln
Dns_tunneling_technique
Dumplsass_tool
Netscan_tool
Crackmapexec_tool
Cobalt_strike_tool
Fake_potato_vuln

Industry:
Transport, Software_development, Energy

Geo:
Ukrainian, Russian, Russia

CVEs:
CVE-2021-31207 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-38100 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34473 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2021-34523 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

IOCs:
Path: 1
File: 21
Domain: 10
Registry: 2
Url: 2
IP: 13
Hash: 32

Soft:
PostgreSQL, Microsoft Exchange, KeePass, Sysinternals, Process Explorer, Telegram, Linux

Algorithms:
md5

Functions:
ReadAll, CreateObject, WriteText, SetWallpaper

Win Services:
webclient

Languages:
cscript, golang, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Весной 2025 года кампания по вредоносному ПО с бэкдорами GoRed, первоначально обнаруженная в 2024 году, развила свою тактику кибершпионажа против российских объектов. Работающая в Golang, последняя версия (v1.1.5-34ab) использует ошибки конфигурации PostgreSQL для удаленного выполнения команд, в отличие от предыдущих методов. Операторы используют инструменты Cobalt Strike и троянские программы Sysinternals наряду с методами Credential Dumping, что указывает на сложный подход и потенциальное сотрудничество с BO Team для достижения общих целей.
-----

Весной 2025 года кампания GoRed backdoor по вредоносному ПО, которая впервые появилась в 2024 году, продемонстрировала новую тактику и возможности, ориентированные на кибершпионаж против российских организаций. Бэкдор GoRed, также известный как Bulldog Backdoor, представляет собой сложный инструмент, написанный на Golang и постоянно развивающийся с момента своего появления. Последняя идентифицированная версия, v1.1.5-34ab, поддерживает расширенные функциональные возможности, которые представляют значительные риски для целевых организаций. Атрибуция этой кампании была связана с такими группами, как ExCobalt и Shedding Zmiy, которые аналитики классифицируют как Red Likho.

Отличительной особенностью недавних действий GoRed было использование ошибок конфигурации в PostgreSQL на скомпрометированном общедоступном веб-портале с использованием этого вектора для удаленного выполнения команд. Этот метод знаменует собой отклонение от традиционных методов инфильтрации, ранее связанных с GoRed. Операторы кампании провели первоначальную разведку, получив список запущенных процессов на зараженном хосте, прежде чем внедрять свое вредоносное ПО.

Возможности бэкдора GoRed распространяются на удаленное выполнение команд, управление файловой системой и эксфильтрацию данных, что позиционирует его как грозный инструмент шпионажа. Недавние эксплойты, продемонстрированные операторами, включают попытки установить системные учетные данные с помощью методов, в которых отсутствовала обфускация, таких как сброс кучи системного реестра и реестра SAM вместе с Памятью процесса LSASS.

Кроме того, Cobalt Strike был развернут как часть инструментария операторов GoRed, что свидетельствует о скоординированном использовании хорошо известных фреймворков атак. Интересно, что альтернативный подход предусматривал использование троянских системных утилит для загрузки агента Tuoni, который появился как продвинутая платформа управления (C2) примерно в феврале 2024 года, иллюстрируя эволюцию их методов работы.

Еще одним примечательным приемом, выявленным в ходе кампании, был метод просачивания обоев. Этот подход вдохновлен технологией локального повышения привилегий Fake Potato, которая использует небезопасную конфигурацию COM/DCOM для повышения привилегий в уязвимых системах.

Более того, в кампании GoRed есть потенциальный аспект сотрудничества, о чем свидетельствует связь с деятельностью BO Team. Факты свидетельствуют об общей базе жертв между Red Likho и BO Team, намекая на возможные скоординированные действия или обмен знаниями между ними. Учитывая историю сотрудничества BO Team's с другими хактивистскими группами, нацеленными на российские интересы, вполне вероятно, что Red Likho может либо использовать инструменты BO Team's, либо действовать в тандеме на протяжении всей этой кампании.

#ParsedReport #CompletenessMedium
13-11-2025

Unleashing the Kraken ransomware group

https://blog.talosintelligence.com/kraken-ransomware-group/

Report completeness: Medium

Actors/Campaigns:
Kraken (motivation: financially_motivated)
Weacorp

Threats:
Kraken
Kraken_cryptor
Hellokitty
Cloudflared_tool

Victims:
Enterprises

Geo:
Denmark, Canada, Kuwait, United kingdom, Panama

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021.001, T1027, T1039, T1041, T1071.001, T1078, T1090, T1190, T1486, T1490, have more...

IOCs:
Registry: 1
File: 1
Hash: 11

Soft:
Linux, ESXi, Hyper-V, Microsoft SQL server, esxcli, Ubuntu Linux, ubuntu, ESXi esxcli

Crypto:
bitcoin

Algorithms:
exhibit, chacha20

Functions:
unlink, fork_as_daemon

Win API:
Wow64EnableWow64FsRedirection, SetErrorMode, SHEmptyRecycleBinA, GetLogicalDrives, GetDriveTypeW

Win Services:
bits

Languages:
powershell, golang

Platforms:
cross-platform, x86

Links:
https://github.com/Cisco-Talos/IOCs/blob/main/2025/11/kraken-ransomware-group.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Kraken ransomware group, связанная с картелем HelloKitty, использует передовые тактики, включая охоту на крупную дичь и двойное вымогательство, используя уязвимости малого и среднего бизнеса для первоначального доступа. Оказавшись внутри, они используют такие инструменты, как Cloudflared, для закрепления и выполняют эксфильтрацию данных через SSHFS перед шифрованием с помощью специальных шифровальщиков для Windows, Linux и VMware ESXi. Примечательно, что Kraken выполняет машинные тесты предварительного шифрования, имеет меры защиты от повторного заражения и использует сложное многопоточное выполнение для различных типов файлов, повышая степень скрытия от обнаружения.
-----

В августе 2025 года Kraken ransomware group, которая, как полагают, возникла из картеля вымогателей HelloKitty, занялась изощренной охотой на крупную дичь и тактикой двойного вымогательства. Эта русскоязычная группа использовала уязвимости Server Message Block (SMB) для получения первоначального доступа к сетям жертв. Оказавшись внутри, они использовали такие инструменты, как Cloudflared для закрепления и SSH Filesystem (SSHFS) для эксфильтрации данных перед шифрованием. Отличительной особенностью Kraken являются его кроссплатформенные возможности, благодаря специальным шифровальщикам, разработанным для систем Windows, Linux и VMware ESXi, что позволяет ему работать в различных корпоративных средах.

Цепочка заражения Kraken обычно начинается с использования уязвимостей SMB на серверах, подключенных к Интернету. Затем злоумышленники получают действительные учетные данные администратора, повторно входя в среду жертвы через подключения к удаленному рабочему столу. Такой подход подчеркивает оппортунистическую направленность группы, поскольку они не фокусируются на конкретных секторах бизнеса и затронули жертв во многих географических регионах, включая США, Великобританию, Канаду и Кувейт.

Kraken ransomware сама по себе характеризуется своей сложностью и функциональностью. Он имеет множество опций командной строки для обеспечения гибкости работы, позволяя злоумышленникам выполнять полное или частичное шифрование файлов. Примечательно, что Kraken выполняет машинный тест перед запуском шифрования — редкая особенность в операциях программ—вымогателей - и может нацеливаться на различные типы файлов, такие как базы данных SQL и общие сетевые ресурсы.

Windows-вариант Kraken - это 32-разрядный исполняемый файл, который может быть запутан с помощью упаковщика на базе Golang. Он включает в себя проверку на реинфекцию для предотвращения двойного шифрования и использует методы антианализа, чтобы избежать обнаружения и усложнить судебно-медицинский анализ. Программа-вымогатель добавляет расширение .zpsc к зашифрованным файлам и включает опции для тестирования производительности, которые позволяют злоумышленникам оценить компьютер жертвы перед фактическим шифрованием данных. Процесс шифрования выполняется параллельно в четырех модулях: база данных SQL, общий сетевой ресурс, локальный диск и Hyper-V.

Для систем Linux и ESXi Kraken ransomware представляет собой 64-разрядный исполняемый файл, разработанный с использованием crosstool-NG версии 1.26.0, поддерживающий как полное, так и частичное шифрование. Подобно версии для Windows, он выполняет многопоточное шифрование и использует тесты производительности. Примечательно, что вариант Linux использует запутывание потока управления и демонические процессы для улучшения тактики уклонения, что еще больше усложняет потенциальный анализ исследователями безопасности.

#ParsedReport #CompletenessLow
12-11-2025

Phishing emails disguised as spam filter alerts are stealing logins

https://www.malwarebytes.com/blog/news/2025/11/phishing-emails-disguised-as-spam-filter-alerts-are-stealing-logins

Report completeness: Low

Threats:
Credential_harvesting_technique

Victims:
Email users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1056.003, T1566.002

IOCs:
Domain: 10
Url: 11
File: 1
Email: 1

Algorithms:
base64

Languages:
javascript

Links:
https://github.com/PaloAltoNetworks/Unit42-timely-threat-intel/blob/main/2025-11-07-IOCs-for-phishing-activity-spoofing-spam-filters.txt

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют изощренную тактику фишинга, отправляя электронные письма, которые выглядят как предупреждения от спам-фильтров, с целью кражи учетных данных пользователя для входа в систему. Эти электронные письма, напоминающие законные уведомления, создают срочность и заманивают получателей на сайты фишинга, предназначенные для сбора конфиденциальной информации. Этот метод включает в себя подделку заголовков электронной почты и форматирование для имитации надежных источников, повышая вероятность взаимодействия пользователя с этими вредоносными сообщениями.
-----

Киберпреступники используют изощренную тактику фишинга, маскируя электронные письма под предупреждения спам-фильтра, чтобы украсть учетные данные пользователя для входа в систему. Эти электронные письма создаются таким образом, чтобы они выглядели как законные уведомления от собственной системы фильтрации спама организации, создавая у получателя ощущение срочности действий. Основная цель этой тактики - заманить пользователей на сайты фишинга, предназначенные для получения их регистрационной информации. Эти учетные данные потенциально могут обеспечить доступ к конфиденциальным учетным записям, включая электронную почту, облачное хранилище и другие личные или организационные платформы.

Механизм фишинга основан на подмене заголовков электронной почты и форматировании для имитации надежных внутренних источников, что значительно увеличивает вероятность взаимодействия получателей с этими вредоносными сообщениями. Этот обманчивый подход использует врожденное доверие пользователя к сообщениям, которые, как представляется, исходят из его собственной организации, таким образом обходя многие традиционные средства защиты от фишинга.

Чтобы снизить риски, связанные с такими попытками фишинга, пользователям крайне важно внедрить две фундаментальные меры безопасности. Во-первых, проверка адреса электронной почты отправителя и тщательное изучение любых ссылок, включенных в сообщение, перед переходом по ним могут предотвратить несанкционированный доступ. Во-вторых, осторожность в отношении нежелательных запросов о предоставлении конфиденциальной информации может значительно снизить вероятность стать жертвой этих мошенников. Сохраняя бдительность и принимая на вооружение эти простые правила, люди могут лучше защитить себя от растущей угрозы фишинг-атак, Маскировок под законные сообщения.

#ParsedReport #CompletenessLow
13-11-2025

We opened a fake invoice and fell down a retro XWorm-shaped wormhole

https://www.malwarebytes.com/blog/threats/2025/11/we-opened-a-fake-invoice-and-fell-down-a-retro-xworm-shaped-wormhole

Report completeness: Low

Threats:
Xworm_rat

Victims:
Business email users

ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1059.001, T1059.003, T1059.005, T1105, T1140, T1203, T1204.002, T1566.001, have more...

IOCs:
File: 5
Path: 2
Command: 3
Hash: 1

Algorithms:
zip, aes, gzip, sha256, base64

Functions:
WriteLine

Languages:
python, powershell, visual_basic

Platforms:
intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В статье обсуждается кампания по вредоносному ПО, использующая Backdoor.Троянец удаленного доступа XWorm, доставленный через обманчивое электронное письмо, содержащее вложение скрипта Visual Basic (.vbs), что необычно в бизнес-контексте. Файл .vbs использует метод заполнения, чтобы скрыть вредоносный код, и включает в себя скрипт PowerShell для извлечения полезной нагрузки. Это отражает изменение тактики злоумышленников, которые сосредотачиваются на необычных типах файлов, чтобы избежать обнаружения, подчеркивая необходимость бдительности при выявлении таких угроз.
-----

В статье описывается угроза, исходящая от кампании по распространению вредоносного ПО, включающей Backdoor.Троянец удаленного доступа XWorm, который доставляется по ложному электронному письму, содержащему вложение скрипта Visual Basic (.vbs). Само электронное письмо кажется безобидным, запрашивающим подтверждение оплаты счетов-фактур, но включение файла .vbs является нетипичным в бизнес-контексте, сигнализируя о потенциальном злонамерении. Современные деловые коммуникации обычно отдают предпочтение использованию более безопасных и универсальных языков сценариев, таких как PowerShell, а не Visual Basic Script, что усиливает подозрительность электронного письма.

Выбор в пользу использования файла .vbs вместо более традиционных векторов, таких как файлы Excel с вредоносными макросами VBA, предполагает попытку обойти осведомленность пользователя. Хотя макросы Excel часто используются и могут обманом заставить пользователей включить вредоносный контент, использование файла .vbs заслуживает внимания из-за его редкости и присущих ему рисков, связанных с непосредственным выполнением скриптов. Этот метод отражает сдвиг в методологиях злоумышленников, когда они иногда используют менее распространенные типы файлов, чтобы обойти обнаружение.

При проверке файл .vbs содержал переменные, которым не были присвоены значения, что указывает на метод заполнения, используемый авторами вредоносного ПО. Эта тактика предназначена для того, чтобы запутать реальный вредоносный код и усложнить анализ специалистами по кибербезопасности. Когда автор дополнительно проанализировал содержимое файла, они расшифровали скрипт PowerShell, который мог бы облегчить извлечение полезной нагрузки, позволяя идентифицировать и исследовать вредоносное ПО.

Чтобы безопасно извлекать и анализировать полезную нагрузку вредоносного ПО, не запуская выполнение, автор разработал скрипт на Python. Такой подход позволил им выделить и идентифицировать два исполняемых образца из исходного сценария. Общий анализ освещает эволюцию методов доставки вредоносного ПО, подчеркивая важность тщательного изучения необычных типов файлов и использования надежных стратегий обнаружения и анализа вредоносного ПО в операциях по кибербезопасности.

#ParsedReport #CompletenessHigh
13-11-2025

Operation Endgame Quakes Rhadamanthys

https://www.proofpoint.com/us/blog/threat-insight/operation-endgame-quakes-rhadamanthys

Report completeness: High

Actors/Campaigns:
Ta585
Ta2541
Scully_spider
Ta571 (motivation: cyber_criminal)
Ta866 (motivation: cyber_criminal)
Aggaa

Threats:
Rhadamanthys
Elysium_stealer
Clickfix_technique
Hijackloader
Icedid
Bumblebee
Systembc
Pikabot
Smokeloader
Danabot
Warmcookie
Trickbot
Lumma_stealer
Steganography_technique
Seo_poisoning_technique
Darkgate
Cloudeye
Smartloader
Doubleloader
Doiloader
Latrodectus
Castleloader
Amadey
Remcos_rat
Quasar_rat
Ahkbot
Screenshotter
Bitrat
Xworm_rat
Formbook
Macropack_tool
Amatera_stealer
Nightshade

Victims:
Entertainment and media sector, Logistics sector

Industry:
Entertainment, Financial, Logistic

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1071.001, T1105, T1190, T1199, T1204, T1566, T1568, T1573, T1583.001, have more...

IOCs:
Url: 8
Domain: 33
Hash: 6
IP: 4

Soft:
Cloudflare turnstile

Crypto:
ripple

Algorithms:
sha256, base64

Win API:
VirtualAlloc, CreateThread, RtlMoveMemory

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4