#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Contagious Interview, связанная с злоумышленниками из КНДР, нацелена на разработчиков программного обеспечения с помощью тактики социальной инженерии на таких платформах, как LinkedIn, с целью получения финансовой выгоды за счет скомпрометированной криптовалюты и проектов Web3. Первоначальный доступ достигается путем предоставления троянского кода во время поэтапных опросов с использованием таких полезных программ, как BeaverTail, OtterCookie и InvisibleFerret RAT. Кампания использует сервисы хранения JSON для доставки вредоносного ПО, используя Node.JS и динамические возможности фреймворка InvisibleFerret для эффективной адаптации и эксфильтрации данных.
-----

Кампания Contagious Interview, связанная с злоумышленниками из Корейской Народно-Демократической Республики (КНДР), эволюционировала для использования сервисов хранения JSON, включая JSON Keeper и npoint.io , для доставки вредоносного ПО. Эта кампания, действующая с 2023 года, в первую очередь нацелена на разработчиков программного обеспечения в известных операционных системах, таких как Windows, Linux и macOS, с особым акцентом на лиц, вовлеченных в криптовалютные проекты и Web3. Основной целью кампании является финансовая выгода, направленная на получение доходов для режима КНДР.

Первоначальный доступ к целям достигается с помощью тактики социальной инженерии, включая использование ClickFix и поддельных профилей рекрутеров. В этом сценарии гипотетический медицинский директор обращается к потенциальным жертвам на профессиональных сетевых платформах, таких как LinkedIn, намереваясь предоставить троянский код, замаскированный под демонстрационный проект, во время поэтапных собеседований при приеме на работу. В кампании используются такие известные полезные приложения, как стиллеры BeaverTail и OtterCookie, а также модульный инструмент удаленного доступа InvisibleFerret (RAT), разработанный для облегчения эксфильтрации данных.

Доставка вредоносного ПО происходит, когда жертвами манипулируют, заставляя выполнять задачи кода, связанные с интервью, обычно используя Node.JS . Показатели инфраструктуры злоумышленников предполагают структурированный подход, использующий службы хранения JSON для размещения вредоносных полезных данных, что эффективно позволяет им избегать обнаружения. Исследователи выявили многочисленные хранилища и IP-адреса, связанные с этой кампанией, что еще больше раскрывает использование Railway для размещения дополнительных полезных нагрузок.

InvisibleFerret, ключевой компонент этой атаки, представляет собой модульную структуру вредоносного ПО, разработанную на Python. Такая модульность обеспечивает гибкую работу и адаптацию вредоносного ПО в соответствии с потребностями акторов. Отчеты указывают на то, что некоторые образцы InvisibleFerret были сконфигурированы для сбора дополнительной полезной нагрузки с таких платформ, как Pastebin, что повышает их операционную эффективность.

#ParsedReport #CompletenessLow
13-11-2025

Uncovering a Multi-Stage Phishing Kit Targeting Italy's Infrastructure

https://www.group-ib.com/blog/uncover-phishing-italy/

Report completeness: Low

Threats:
Spear-phishing_technique

Victims:
Aruba customers, Telecom and internet services users, Financial services customers

Industry:
Financial

Geo:
Italy, Aruba, Italian

ChatGPT TTPs:
do not use without manual check
T1036, T1566.002, T1656

IOCs:
Domain: 7
IP: 7

Soft:
Telegram

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Был выявлен сложный многоэтапный набор для фишинга, нацеленный на инфраструктуру Италии, использующий передовые методы уклонения и выдающий себя за надежные бренды, такие как Aruba. Атака начинается с Целевого фишинга электронных писем, призывающих к срочности, и приводит жертв на поддельные страницы входа в систему, предназначенные для обхода автоматического обнаружения с помощью фильтрации CAPTCHA. Конфиденциальные данные, включая платежные реквизиты и одноразовые пароли, фильтруются через Telegram, что позволяет злоумышленникам проводить несанкционированные транзакции.
-----

Исследователи Group-IB выявили сложный многоэтапный набор для фишинга, специально предназначенный для инфраструктуры Италии, демонстрирующий эволюцию тактики фишинга, использующей передовые методы уклонения. Этот фреймворк для фишинга имитирует надежные бренды, такие как Aruba, используя такие стратегии, как многоуровневое уклонение, фильтрация КАПЧИ и перехват конфиденциальной информации через Telegram для эксфильтрации данных. Набор работает как полноценное приложение, предназначенное для методичного руководства жертвами в процессе сбора учетных записей в обход автоматизированных систем обнаружения.

Атака фишинга обычно начинается с Целевого фишинга электронных писем, которые создают срочность из-за угроз истечения срока действия услуг или сбоев в платежах. Эти электронные письма направляют жертв на поддельные страницы входа в систему, которые спроектированы так, чтобы напоминать законные почтовые сервисы, такие как Aruba.it . Атака начинается с первоначального запроса CAPTCHA, предназначенного для фильтрации автоматизированного анализа безопасности, таким образом гарантируя, что вредоносный контент достигнет реальных пользователей.

Как только жертвы взаимодействуют с этими страницами, они сталкиваются с многоступенчатым процессом сбора данных. После ввода своих платежных реквизитов жертвы перенаправляются на поддельную страницу подтверждения 3D Secure или OTP, где им предлагается ввести одноразовый пароль, отправленный их банком. Злоумышленники получают эту важную информацию, что позволяет им санкционировать мошеннические транзакции без ведома жертв. Затем жертвы перенаправляются на законный сайт, не подозревая о произошедшей краже.

Набор для фишинга использует Telegram в качестве центральной платформы для всех этапов атаки, облегчая коммуникацию и обмен информацией между киберпреступниками. Эта интеграция показывает, как Telegram стал жизненно важной инфраструктурой для организации многочисленных киберпреступных действий в рамках различных кампаний.

#ParsedReport #CompletenessLow
13-11-2025

October 2025 Infostealer Trends Report

https://asec.ahnlab.com/ko/91022/

Report completeness: Low

Threats:
Seo_poisoning_technique
Rhadamanthys
Acr_stealer
Lumma_stealer
Dll_sideloading_technique
Amatera_stealer

TTPs:
Tactics: 1
Technics: 0

IOCs:
Url: 4

Algorithms:
md5

Languages:
php, powershell

#ParsedReport #CompletenessMedium
13-11-2025

Digit stealer: a JXA-based infostealer that leaves little footprint

https://www.jamf.com/blog/jtl-digitstealer-macos-infostealer-analysis/

Report completeness: Medium

Threats:
Digitstealer
Odyssey_stealer
Macsyncstealer
Typosquatting_technique

Victims:
Macos users

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036, T1053.004, T1059.002, T1059.004, T1059.007, T1105, T1204.002, T1518.001, T1547.001, have more...

IOCs:
File: 21
Hash: 24
Url: 15
Domain: 2

Soft:
macOS, Gatekeeper, curl, sysctl, Ledger Live, Chrome, Firefox, Telegram

Wallets:
electrum, coinomi

Algorithms:
zip, base64, md5, sha256

Languages:
applescript, javascript

Platforms:
arm, intel, apple

Links:
https://github.com/electron/asar
have more...
https://github.com/search?q=org%3Aapple-oss-distributions+FEAT\_ECV&type=code

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 10, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
DigitStealer - это сложный стиллер для macOS, использующий передовые методы для уклонения от обнаружения, включая проверку Аппаратного обеспечения и многоэтапное выполнение. Вредоносное ПО работает через дроппер, который извлекает и выполняет ряд полезных функций, начиная с базового AppleScript для запроса паролей пользователей и заканчивая сильно запутанным стиллером на основе JXA. Конечная полезная нагрузка устанавливает постоянный бэкдор с помощью Агента запуска, обеспечивая постоянный доступ для эксфильтрации данных.
-----

DigitStealer представляет собой сложный стиллер для macOS, идентифицированный Jamf Threat Labs. Это вредоносное ПО использует передовые методы, чтобы избежать обнаружения и извлечь конфиденциальную информацию из своих целей. Анализ различных этапов атаки выявляет методичный подход, использующий проверки Аппаратного обеспечения и многоэтапное выполнение для повышения скрытности.

Атака начинается с начального дроппера, где содержимое файла с именем Drag Into Terminal.msi включает простую команду bash, которая использует curl для извлечения удаленной полезной нагрузки, которая затем выполняется через bash. Первая полезная нагрузка - это не запутанный стиллер AppleScript, который запрашивает пароль пользователя после инициализации своих переменных. Эта полезная нагрузка на ранней стадии создает основу для последующих, более сложных атак.

За первоначальной полезной нагрузкой следует второй, более сложный стиллер на основе JXA, который снова извлекается с помощью curl и выполняется как JavaScript через osascript. Эта полезная нагрузка JXA сильно запутана, что наводит на мысль о намерении авторов скрыть ее истинную функциональность как от пользователей, так и от средств безопасности. Третья полезная нагрузка служит заменой Ledger Live, возвращаясь к тактике запутывания, но она меньше по размеру по сравнению со своим предшественником, что указывает на потенциальную эволюцию дизайна для повышения скрытности.

Конечная полезная нагрузка интегрирует постоянный бэкдор с использованием Агента запуска, усиливая способность вредоносного ПО сохранять себя в скомпрометированных системах без обнаружения. Этот бэкдор обеспечивает непрерывный доступ, что делает стиллер более опасным, поскольку позволяет осуществлять эксфильтрацию данных с течением времени.

#ParsedReport #CompletenessLow
13-11-2025

Unmasking Vo1d: Inside Darktraces Botnet Detection

https://www.darktrace.com/blog/unmasking-vo1d-inside-darktraces-botnet-detection

Report completeness: Low

Threats:
Vo1d

Victims:
Smart tv users, Android tv box users, Consumer electronics

Industry:
Media

Geo:
South africa, African

TTPs:
Tactics: 1
Technics: 1

ChatGPT TTPs:
do not use without manual check
T1071.004, T1090, T1105, T1568.002, T1583.001, T1583.003

IOCs:
IP: 1
Domain: 7

Soft:
Android

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Vo1d - это сложный Android-ботнет - вредоносное ПО, предназначенный для смарт-телевизоров и недорогих устройств Android TV. Из бэкдора он превратился в инструмент, способный устанавливать дополнительное вредоносное ПО, запускать прокси-сервисы и реализовывать схемы мошенничества с рекламой, затрагивающий от 1,3 до 1,6 миллионов устройств к началу 2025 года. Его оперативная тактика включает в себя использование алгоритма генерации домена (DGA) для гибкой и скрытой связи командования и контроля, при этом имеются свидетельства увеличения числа инцидентов в Южной Африке, характеризующихся ненормальным поведением DNS среди скомпрометированных устройств. Индикаторы компрометации, связанные с Vo1d, включают конкретные IP-адреса и имена хостов, связанные с его инфраструктурой C2.
-----

Vo1d - это значительная часть вредоносного ПО, которое появилось в дикой природе в сентябре 2024 года, превратившись в один из самых распространенных известных ботнет для Android, в частности, нацеленный на смарт-телевизоры и недорогие устройства Android TV. Первоначально распознанные как бэкдор, возможности Vo1d's расширились, позволив устанавливать дополнительное вредоносное программное обеспечение, использовать прокси-сервисы и использовать схемы мошенничества с рекламой. Согласно прогнозам, к началу 2025 года Vo1d скомпрометировал от 1,3 до 1,6 миллиона устройств по всему миру.

Недавняя активность Darktrace выявила заметный рост инцидентов, связанных с Vo1d, в основном затрагивающих клиентов в Южной Африке. Многие из скомпрометированных устройств демонстрировали ненормальное поведение сети, такое как чрезмерное количество DNS-запросов, что указывает на активность вредоносного ПО. Сообщество OSINT определило Южную Африку как один из регионов, сильно подверженных воздействию вредоносного ПО Vo1d, особенно среди сред с большим количеством недорогих и часто непатченных устройств, что делает их уязвимыми для таких атак.

Оперативная тактика Vo1d включает в себя генерацию доменов с помощью алгоритма генерации доменов (DGA), который способствует гибкости и скрытности инфраструктуры командования и контроля (C2). Этот метод позволяет Vo1d поддерживать связь со скомпрометированными устройствами, избегая традиционных методов обнаружения. Индикаторы компрометации (IOCs), связанные с Vo1d, включают конкретные IP-адреса и имена хостов, которые связаны с его инфраструктурой C2, а также различные потенциальные конечные точки DGA, которые могут привести к дальнейшим заражениям.

Деятельность Vo1d's усиливает важность обеспечения безопасности бытовой электроники, поскольку эти устройства могут невольно оказывать поддержку киберпреступным предприятиям. Наблюдения подчеркивают необходимость усиления мер безопасности и бдительности в пользовательской среде, особенно в регионах, подверженных заражениям ботнет, вызванным непатентованными и недорогими устройствами.

#ParsedReport #CompletenessLow
13-11-2025

North Korean Hackers Weaponize Google Find Hub to Wipe Phones

https://www.secureblink.com/cyber-security-news/north-korean-hackers-weaponize-google-find-hub-to-wipe-phones

Report completeness: Low

Actors/Campaigns:
Scarcruft

Threats:
Spear-phishing_technique
Remcos_rat
Quasar_rat
Credential_harvesting_technique

Victims:
Google account users, Windows users, Android users, Government agency impersonation targets

Industry:
Government

Geo:
North korean, Korean

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1078, T1102, T1219, T1485, T1555.003

Soft:
Android, KakaoTalk

Languages:
autoit

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские хакеры проводят сложную кроссплатформенную атаку, используя сервис Google "Найди мое устройство" для удаления данных с телефонов Android. Атака инициируется с помощью сообщений о Целевом фишинге на KakaoTalk, которые содержат вредоносный установщик MSI, который при запуске устанавливает трояны удаленного доступа (RATs), такие как RemcosRAT и QuasarRAT, на компьютеры Windows для сбора учетных записей. Это позволяет злоумышленникам использовать скомпрометированные аккаунты Google для отправки команд сброса настроек на Android-устройства жертв, что приводит к полной потере данных.
-----

Северокорейские хакеры осуществили сложную кроссплатформенную атаку, которая использует сервис Google "Найди мое устройство" для удаления данных с телефонов Android. Кампания начинается с Целевого фишинга сообщений, отправляемых через KakaoTalk, которые часто выдают себя за официальные правительственные организации, такие как Национальная налоговая служба Южной Кореи. Сообщение обычно содержит вредоносный установочный файл MSI с цифровой подписью, который при запуске на ПК с Windows запускает сценарии, написанные в AutoIt, для установки троянов удаленного доступа (RATs), в частности RemcosRAT и QuasarRAT.

Основной целью этой кампании является сбор учетных записей, при котором скомпрометированный компьютер Windows используется для извлечения сохраненных учетных данных браузера, в частности, для учетных записей Google и Naver. Как только злоумышленники получают доступ к этим учетным данным, они могут войти в учетную запись Google жертвы и использовать функцию "Найти мое устройство", чтобы отправить команду сброса настроек на зарегистрированное Android-устройство жертвы, что приводит к полной потере данных.

Этот вектор атаки важен благодаря своему гибридному подходу, который не опирается на традиционное мобильное вредоносное ПО. Вместо этого он переходит от заражения Windows к воздействию на мобильные ресурсы через Облачные сервисы, используя скомпрометированную учетную запись Google жертвы. Этот метод демонстрирует способность злоумышленников использовать легальные сервисы в качестве средства для осуществления деструктивных действий.

Для защиты от подобных кампаний эксперты рекомендуют внедрять надежную Многофакторную аутентификацию (MFA) для защиты учетных записей, поскольку злоумышленникам, не имеющим доступа ко второму фактору, одного украденного пароля будет недостаточно. Для особо важных целей рекомендуется зарегистрироваться в программе расширенной защиты Google для повышения безопасности учетной записи. Обучение осведомленности пользователей также имеет решающее значение; люди должны быть проинформированы о рисках, связанных с нежелательными файлами, доставляемыми через приложения для обмена сообщениями, даже от доверенных контактов. Кроме того, организациям следует инвестировать в решения для обнаружения конечных точек и реагирования (EDR), способные обнаруживать и блокировать выполнение вредоносных скриптов, таких как AutoIt, наряду с известными полезными нагрузками RAT, для дальнейшей защиты своих систем от этих гибридных угроз.

#ParsedReport #CompletenessMedium
14-11-2025

SNOWLIGHT Malware for Windows by UNC5174

https://sect.iij.ad.jp/blog/2025/11/unc5174-windows-snowlight-in-2025/

Report completeness: Medium

Actors/Campaigns:
Unc5174

Threats:
Snowlight
Vshell
Snowshell
Screenconnect_tool

Industry:
Education

Geo:
Asian, Chinese, Vietnamese, Canada, Japan, China

CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.007, T1036.005, T1055, T1071, T1071.001, T1105, T1106, T1620

IOCs:
File: 1
Domain: 3
IP: 1
Hash: 8

Soft:
Linux, BIG-IP, Twitter

Algorithms:
aes-gcm, xor, sha256, ror13

Win API:
GetTempPathA, EnumWindows

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
dump: 1, windows: 2, schema: 2, code: 2, chart: 3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В октябре 2025 года UNC5174, хакерская группировка, внедрила Windows-версию вредоносного ПО SNOWLIGHT, традиционно ассоциируемую с системами Linux, идентифицированную с помощью VirusTotal, загружаемой из Японии. Вредоносное ПО действует как загрузчик для VShell, инструмента удаленного доступа (RAT), который взаимодействует с серверами управления с помощью WebSockets. Кроме того, загрузчик шелл-кода, также разработанный в Go, использует функции EnumWindows API для выполнения полезных нагрузок, зашифрованных AES-GCM, что указывает на сложный подход к развертыванию вредоносного ПО в различных операционных системах.
-----

В октябре 2025 года было замечено, что хакерская группировка UNC5174 внедрила новый вариант вредоносного ПО SNOWLIGHT, нацеленный на Windows. В то время как большинство обнаружений SNOWLIGHT исторически касались систем Linux, эта итерация Windows была идентифицирована с помощью файлов, загруженных в VirusTotal из Японии. Конкретные функциональные возможности и поведение вредоносного ПО позволяют получить представление о методах работы UNC5174.

Вариант Windows, SNOWLIGHT, действует как загрузчик, аналогичный своему аналогу в Linux. Он запускает VShell, который представляет собой инструмент удаленного доступа (RAT), разработанный в Go. VShell подключается к серверам command and control (C2) с помощью WebSockets, позволяя злоумышленникам получать удаленный доступ к оболочке и выполнять различные файловые операции в скомпрометированных системах.

Критическим компонентом этой архитектуры атаки является загрузчик шеллкода, также разработанный в Go, который расшифровывает и выполняет полезные нагрузки шеллкода. Этот загрузчик использует функции EnumWindows API для выполнения зашифрованного AES-GCM шеллкода в памяти. Конкретный выполняемый шелл-код относится к SNOWSHELL для Windows x64, который отвечает за загрузку и выполнение VShell с сервера C2.

Примечательно, что версия SNOWSHELL для Linux содержит полезную нагрузку ELF, в то время как вариант для Windows содержит полезную нагрузку shellcode. В анализе было отмечено, что SNOWSHELL для Windows выполняет HTTP-запросы GET, включая типичную строку пользовательского агента, в отличие от варианта Linux, который, как сообщается, использует HTTP-запросы GET с аномалиями, такими как пробельные символы, что потенциально указывает на ошибку кодирования разработчиком вредоносного ПО.

Появление этих новых возможностей демонстрирует адаптацию и эволюцию стратегий развертывания UNC5174's вредоносного ПО. Используя ряд языков программирования и методов коммуникации, они расширяют свои возможности по внедрению в целевые организации в различных секторах мира, включая США, Канаду и регионы Юго-Восточной Азии. Постоянный мониторинг и анализ вредоносного ПО SNOWLIGHT будет иметь решающее значение для понимания и смягчения его воздействия на ландшафты кибербезопасности.

#ParsedReport #CompletenessHigh
13-11-2025

RONINGLOADER: DragonBreaths New Path to PPLAbuse

https://www.elastic.co/security-labs/roningloader

Report completeness: High

Actors/Campaigns:
Golden_eyed_dog
Dragon_breath

Threats:
Roningloader
Gh0st_rat
Cloudeye
Agent_tesla
Hooksigntool_tool
Process_injection_technique
Uac_bypass_technique
Edr-freeze_tool

Victims:
Endpoint security vendors, Windows users

Industry:
E-commerce, Entertainment

Geo:
Chinese

TTPs:
Tactics: 8
Technics: 0

IOCs:
File: 33
Path: 25
Command: 1
Coin: 1
Registry: 2
Hash: 13
Domain: 1

Soft:
Google Chrome, Microsoft Teams, Microsoft Defender, Windows Defender, Google Chrome, Microsoft Teams, NSIS installer, ollama, Windows Defender Application Control, m installe, m.exe runn, have more...

Wallets:
metamask

Algorithms:
xor, sha256

Win API:
DllRegisterServer, NtAllocateVirtualMemory, NtCreateThreadEx, GetProcAddress, GetTokenInformation, SeDebugPrivilege, NtCreateSection, CreateFileW, WriteFile, CloseHandle, have more...

Win Services:
MsMpEng

Languages:
dotnet

Platforms:
x64

YARA: Found

Links:
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/defense\_evasion\_potential\_evasion\_via\_clipup\_execution.toml
https://github.com/Jemmy1228/HookSigntool

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, filemanager: 1, code: 28, dump: 2