#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение Chrome, Маскировка под кошелек Ethereum под названием Safery, создано для кражи исходных фраз пользователей и завладения криптовалютными кошельками. Он использует скрытый метод, включающий транзакции Sui, для кодирования захваченных мнемоник BIP-39 в шестнадцатеричные адреса, умело маскируя их. Эта атака классифицируется в рамках MITRE ATT&CK и использует такие тактики, как Компрометация цепочки поставок, Выполнение с участием пользователя и Веб-сервисы для эксфильтрации, в конечном счете нацеленные на Кражу денежных средств.
-----

Вредоносное расширение Chrome, замаскированное под кошелек Ethereum под названием Safery, предназначено для кражи начальных фраз пользователей, способствуя полному захвату криптовалютных кошельков. Расширение позиционирует себя как надежный и удобный в использовании инструмент для транзакций Ethereum, хвастаясь заявлениями о безопасности и конфиденциальности, которые вводят в заблуждение. С помощью вводящего в заблуждение рекламного контента он гарантирует пользователям, что их Закрытые ключи надежно хранятся на их устройствах и что никакие пользовательские данные не собираются.

Механизм кражи данных особенно коварен, поскольку использует скрытый канал, использующий транзакции Sui. После получения мнемонического кода BIP-39 модуль кодирует его в один или два шестнадцатеричных адреса в стиле Sui. Этот процесс включает загрузку стандартного списка слов, сопоставление слов с их соответствующими числовыми индексами и упаковку этих индексов в шестнадцатеричную строку. После правильного форматирования вредоносное расширение добавляет отступы, длина которых достигает 64 символов, что еще больше маскирует отфильтрованную исходную фразу под законный адрес Sui.

С точки зрения кибербезопасности, в этой атаке используются различные методы, классифицированные в рамках MITRE ATT&CK framework. Это включает в себя Компрометацию цепочки поставок (T1195.002) посредством использования расширения браузера (T1176.001), наряду с такими тактиками, как Выполнение с участием пользователя (T1204) и манипулирование командами JavaScript (T1059.007). Примечательно, что в нем также подчеркивается уязвимость, связанная с незащищенными учетными данными, в частности, с Закрытыми ключами (T1552.004), и используются Веб-сервисы для эксфильтрации (T1567), что приводит к Краже денежных средств (T1657).

Этот инцидент подчеркивает острую необходимость повышенной бдительности при установке расширений для браузера и важность обеспечения подлинности программного обеспечения для защиты от потенциальных захватов кошельков и связанного с ними мошенничества с криптовалютой.

#ParsedReport #CompletenessLow
13-11-2025

NGate: NFC Relay Malware Enabling ATM Withdrawals Without Physical Cards

https://zimperium.com/blog/ngate-nfc-relay-malware-enabling-atm-withdrawals-without-physical-cards

Report completeness: Low

Threats:
Ngate

Victims:
Bank customers

Industry:
Financial

Geo:
Polish

ChatGPT TTPs:
do not use without manual check
T1409, T1557

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CERT Polska выявила вредоносное ПО NGate, сложную угрозу для Android, предназначенную для атак с использованием NFC-ретрансляции на пользователей польских банков. Это вредоносное ПО использует технологию эмуляции хост-карты (HCE) для перехвата платежных данных NFC и обеспечения возможности несанкционированного снятия наличных со взломанных устройств без доступа к банковской карте пользователя. Появление NGate высвечивает уязвимости в мобильном банкинге, подчеркивая меняющийся ландшафт киберугроз в финансовых транзакциях.
-----

CERT Polska выявила сложное семейство вредоносных ПО для Android под названием NGate, специально разработанное для выполнения атак с ретрансляцией NFC, нацеленных на пользователей польских банков. Это вредоносное ПО представляет собой значительный прогресс в методах мобильного финансового мошенничества. Вредоносное ПО NGate использует технологию эмуляции хост-карты (HCE) для захвата платежных данных Near Field Communication (NFC) с мобильного устройства жертвы и пересылки их в банкоматы, находящиеся под контролем злоумышленников.

Операционный механизм NGate вызывает особую тревогу, поскольку он позволяет злоумышленникам осуществлять несанкционированное снятие наличных без необходимости физического обладания банковской картой жертвы. Передавая конфиденциальную финансовую информацию непосредственно со взломанных устройств в целевые банкоматы, злоумышленники могут обойти традиционные меры безопасности, связанные с использованием карт. Внедрение HCE в этот метод не только выявляет уязвимости, связанные с мобильным банкингом, но и подчеркивает потенциал для широкого использования пользователями, которые полагаются на финансовые транзакции с поддержкой NFC.

Этот инцидент с вредоносным ПО иллюстрирует растущую тенденцию в области киберугроз, когда развиваются методы, позволяющие использовать как технологические достижения, так и поведение пользователей в сфере цифровых финансов. Поскольку финансовые учреждения работают над защитой своих систем от несанкционированного доступа, пользователям крайне важно сохранять бдительность и принимать дополнительные меры безопасности для снижения рисков, связанных с таким продвинутым вредоносным ПО.

#ParsedReport #CompletenessLow
13-11-2025

Security brief: VenomRAT is defanged

https://www.proofpoint.com/us/blog/threat-insight/security-brief-venomrat-defanged

Report completeness: Low

Actors/Campaigns:
Ta558
Ta2541

Threats:
Venomrat
Quasar_rat
Remcos_rat
Pdq_connect_tool
Njrat
Xworm_rat
Hijackloader
Icedid
Bumblebee
Systembc
Pikabot
Smokeloader
Danabot
Warmcookie
Trickbot
Lumma_stealer

Victims:
Hotel and hospitality

Industry:
Entertainment, Aerospace

Geo:
Portuguese, Spanish, America, Greece, Latin america

TTPs:
Tactics: 1
Technics: 0

IOCs:
Domain: 2

Languages:
javascript, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VenomRAT, троян удаленного доступа, связанный с хакерской группировкой TA558, действует с 2020 года, в частности, нацеливаясь на гостиничный сектор с помощью кампаний по электронной почте. Его использование увеличивалось до середины 2024 года, но с сентября 2025 года столкнулось со значительными сбоями, что привело к снижению активности и переходу на другие вредоносные ПО, такие как Remcos RAT и XWorm. Этот переход отражает адаптацию тактики киберпреступников в ответ на усиленные меры по обнаружению и кибербезопасности.
-----

VenomRAT - это троян удаленного доступа (RAT), который использовался различными киберпреступниками с момента его появления в 2020 году, при этом значительная активность, зафиксированная Proofpoint, началась в 2022 году. Это вредоносное ПО является производным от Quasar RAT с открытым исходным кодом, включающим дополнительные элементы из других источников. VenomRAT, который в основном используется хакерской группировкой TA558, нацеленной на гостиничный сектор, регулярно фигурирует в кампаниях атак по электронной почте.

С середины 2024 года по лето 2025 года наблюдалось увеличение использования VenomRAT's как среди приписываемых, так и не приписываемых злоумышленников. Однако недавний сбой в работе VenomRAT's существенно повлиял на его развертывание. С сентября 2025 года Proofpoint не сообщала ни о каких случаях VenomRAT в активных кампаниях. Следовательно, TA558 переключился на альтернативные решения для защиты от вредоносного ПО, в частности Remcos RAT и XWorm, при этом начиная с октября наблюдается снижение общей активности.

Прекращение деятельности VenomRAT's говорит о том, что киберпреступники, использующие эту RAT, теперь адаптируются к ландшафту, переключаясь на новые полезные нагрузки. Такое поведение иллюстрирует потенциальную эволюцию их тактики, поскольку они стремятся обойти обнаружение и сохранить свои оперативные возможности в условиях возросших усилий по кибербезопасности.

#ParsedReport #CompletenessLow
13-11-2025

GTIG AI Threat Tracker: Advances in Threat Actor Usage of AI Tools

https://cloud.google.com/blog/topics/threat-intelligence/threat-actor-usage-of-ai-tools

Report completeness: Low

Actors/Campaigns:
Fancy_bear (motivation: government_sponsored)
Muddywater
Cryptocore
Bluenoroff
Tradertraitor
Apt42 (motivation: government_sponsored)
Winnti

Threats:
Promptflux
Lamehug_tool
Fruitshell
Promptlock
Quietvault
Credential_harvesting_technique
Bigmacho
Cobalt_strike_tool
Metasploit_tool
Osstun_tool

Victims:
Ukraine, Cryptocurrency sector, Think tanks, Security technology community

Industry:
Education, E-commerce

Geo:
Ukraine, Dprk, Iran, Iranian, North korean, China, Korea, Israeli, North korea, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1027.010, T1059, T1059.005, T1071.001, T1078, T1082, T1566, T1583, have more...

IOCs:
Path: 2
File: 1

Soft:
Linux, PyInstaller, Hugging Face, Discord, MacOS, Zoom

Functions:
Gemini

Languages:
javascript, python, lua, golang, powershell

Platforms:
intel, cross-platform, arm

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, windows: 4

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил значительную эволюцию в киберугрозах, когда противники используют инструменты искусственного интеллекта для операций с вредоносным ПО, особенно с помощью таких семейств, как PROMPTFLUX и PROMPTSTEAL, которые используют большие языковые модели (LLM) для динамической модификации поведения. Примечательно, что было замечено, что APT28 (спонсируемая российским государством) использует PROMPTSTEAL для запроса LLM в режиме реального времени, в то время как иранская группа TEMP.Zagros интегрирует искусственный интеллект для разработки вредоносного ПО наряду с традиционной тактикой. Этот сдвиг сигнализирует о тенденции использования передовых инструментов искусственного интеллекта, что делает киберугрозы более изощренными и доступными для менее опытных акторов.
-----

Киберпреступники все чаще используют инструменты Искусственного интеллекта в операциях с вредоносным ПО. Вредоносное ПО с поддержкой искусственного интеллекта может динамически изменять свое поведение во время выполнения. Семейства вредоносных ПО, такие как PROMPTFLUX и PROMPTSTEAL, используют большие языковые модели (LLM) для расширения функциональности. Эти вредоносные ПО обладают возможностями "точно в срок", генерируя вредоносные скрипты и запутывая код "на лету", чтобы избежать обнаружения. Использование LLMS позволяет этим вредоносным ПО автономно создавать вредоносные функции. Злоумышленники прибегли к социальной инженерии, чтобы обойти меры защиты от искусственного интеллекта, выдавая себя за студентов или исследователей в области кибербезопасности для получения информации ограниченного доступа. Подпольный рынок инструментов искусственного интеллекта расширяется, способствуя фишингу, разработке вредоносного ПО и исследованию уязвимостей. APT28, актор, спонсируемый российским государством, использует PROMPTSTEAL для запроса команд в LLM. Иранская группа TEMP.Zagros использует искусственный интеллект для разработки индивидуального вредоносного ПО наряду с традиционной тактикой фишинга. Спонсируемые государством акторы из Северной Кореи и Ирана внедряют инструменты генеративного искусственного интеллекта во все свои операции, совершенствуя стратегии от разведки до эксфильтрации данных. Эти события свидетельствуют о том, что квалифицированные противники повышают свою эффективность, в то время как менее квалифицированные акторы получают доступ к передовым инструментам. Растущее использование искусственного интеллекта в киберпреступности подчеркивает необходимость усиления защиты. Мониторинг и исследования этих развивающихся методов имеют решающее значение для снижения рисков.

#ParsedReport #CompletenessLow
13-11-2025

Quantum Route Redirect: Anonymous Tool Streamlining Global Phishing Attack

https://blog.knowbe4.com/quantum-route-redirect-anonymous-tool-streamlining-global-phishing-attack

Report completeness: Low

Threats:
Quantum_route_redirect_tool
Credential_harvesting_technique
Qshing_technique

Victims:
Microsoft 365 users

Industry:
Education

ChatGPT TTPs:
do not use without manual check
T1566.002

Soft:
Microsoft Exchange

Languages:
php

#ParsedReport #ExtractedSchema

Classified images:
schema: 3, windows: 3, chats: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Была выявлена кампания фишинга, нацеленная на пользователей Microsoft 365, использующая инструмент под названием Quantum Route Redirect, который позволяет киберпреступникам запускать атаки с минимальными техническими знаниями. Этот метод облегчает беспрепятственную кражу учетных данных и обходит стандартные средства защиты, усиливая воздействие фишинга. Кампания подчеркивает растущую изощренность методов фишинга, что требует постоянной корректировки стратегий безопасности электронной почты.
-----

Лаборатория угроз KnowBe4 выявила новую кампанию фишинга, нацеленную на пользователей Microsoft 365, используя продвинутый инструмент, известный как Quantum Route Redirect. Этот инструмент упрощает процесс запуска фишинг-атак, позволяя киберпреступникам выполнять сложные схемы одним щелчком мыши, значительно повышая эффективность их операций. В Quantum Route Redirect используются методы, позволяющие обойти различные технические средства защиты, что усложняет усилия по защите организаций, полагающихся на обычные меры безопасности.

Техника фишинга, используемая в этой кампании, вызывает особое беспокойство, поскольку она предназначена для беспрепятственного кражи учетных данных пользователей. Оптимизируя настройку фишинга, злоумышленникам становится легче охватить более широкую аудиторию при минимизации требуемых технических знаний, что снижает барьер для совершения вредоносных действий. Такая эволюция тактики фишинга подчеркивает необходимость пересмотра организациями своих стратегий обеспечения безопасности электронной почты и их усиления.

В ответ на растущую сложность угроз фишинга KnowBe4 представила решения для обеспечения безопасности, направленные на устранение уязвимостей, присущих Microsoft 365 и шлюзам защищенной электронной почты (SEGs). Эти решения предназначены для расширения возможностей обнаружения, оптимизации реагирования на угрозы и улучшения общей системы безопасности за счет формирования у пользователей культуры проактивной безопасности. Выводы лаборатории угроз KnowBe4 подчеркивают, насколько быстро развиваются технологии фишинга, и подчеркивают постоянную необходимость в бдительности и адаптации методов обеспечения кибербезопасности. Этот инцидент служит важным напоминанием о сохраняющихся угрозах, исходящих от фишинга, и стратегических изменениях, необходимых для эффективной борьбы с ними.

#ParsedReport #CompletenessMedium
13-11-2025

Mines, training, crypto: F6 detected malicious mailings by cyber group CapFIX

https://habr.com/ru/companies/F6/articles/966072/

Report completeness: Medium

Actors/Campaigns:
Capfix (motivation: cyber_criminal)

Threats:
Capdoor
Dll_sideloading_technique
Clickfix_technique

Victims:
Retail sector, Collection agencies, Microfinance institutions, Insurance companies

Industry:
Retail, Education

Geo:
Ukraine, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1589

IOCs:
File: 10
Url: 1
Path: 4
Command: 1
Domain: 2
IP: 2
Hash: 11

Soft:
CryptoPro

Algorithms:
zip

Win API:
ShellExecuteW

Languages:
powershell

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа CapFIX проводит обманчивую кампанию по электронной почте, нацеленную на такие секторы, как розничная торговля и финансы, используя социальную инженерию для проникновения в системы жертв. Их основным инструментом является бэкдор CapDoor, который обеспечивает несанкционированный доступ к скомпрометированным сетям. Операция подчеркивает необходимость бдительности среди организаций, управляющих конфиденциальными данными, поскольку тактика группы использует кажущиеся законными коммуникации для повышения успеха своего проникновения.
-----

Центр кибербезопасности и анализа угроз F6 выявил новую вредоносную рассылочную кампанию, приписываемую кибергруппе, известной как CapFIX. Эта группа использует тактику, при которой они рассылают обманчивые электронные письма, которые маскируются под сообщения об угрозах, связанных с майнингом, призывая получателей сообщать о том, как противостоять предполагаемым информационным атакам. Основной целью этих сообщений, по-видимому, является проникновение в системы жертв с помощью социальной инженерии.

Операция CapFIX специально нацелена на такие секторы, как розничная торговля, коллекторские агентства, микрофинансовые организации и страховые компании, что указывает на продуманный подход к компрометации организаций, которые управляют конфиденциальными финансовыми и персональными данными. Центральным элементом методологии этой группы является внедрение бэкдора CapDoor, который предназначен для облегчения доступа злоумышленников к скомпрометированным сетям.

F6 составил подробное резюме методов, используемых CapFIX, вместе с соответствующими индикаторами компрометации (IOCs), которые могут быть использованы для обнаружения угроз и смягчения их последствий. Способность группы использовать тактику социальной инженерии с помощью, казалось бы, законных каналов коммуникации повышает их потенциал для успешного проникновения и подчеркивает важность бдительности среди целевых организаций. Выявление такой тактики аналитиками имеет решающее значение для разработки эффективных механизмов защиты от этих типов киберугроз.

#ParsedReport #CompletenessHigh
13-11-2025

Contagious Interview Actors Now Utilize JSON Storage Services for Malware Delivery

https://blog.nviso.eu/2025/11/13/contagious-interview-actors-now-utilize-json-storage-services-for-malware-delivery/

Report completeness: High

Actors/Campaigns:
Contagious_interview (motivation: financially_motivated)

Threats:
Clickfix_technique
Beavertail
Ottercookie
Invisibleferret
Tsunami_botnet
Tsunami_framework
Anydesk_tool

Victims:
Software developers, Cryptocurrency sector, Web3 projects

Industry:
Financial, Transport, Healthcare

Geo:
Northkorea, Korea, Dprk

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204, T1566

IOCs:
File: 2
Url: 65
Hash: 1
IP: 48

Soft:
Linux, macOS, Node.JS, Windows Defender

Wallets:
metamask, tronlink

Algorithms:
base64, xor, zip

Languages:
swift, python, javascript

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 2, code: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4