CTT Report Hub
#ParsedReport #CompletenessLow 13-11-2025 Unmasking Vo1d: Inside Darktraces Botnet Detection https://www.darktrace.com/blog/unmasking-vo1d-inside-darktraces-botnet-detection Report completeness: Low Threats: Vo1d Victims: Smart tv users, Android tv box…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Vo1d - это сложный Android-ботнет - вредоносное ПО, предназначенный для смарт-телевизоров и недорогих устройств Android TV. Из бэкдора он превратился в инструмент, способный устанавливать дополнительное вредоносное ПО, запускать прокси-сервисы и реализовывать схемы мошенничества с рекламой, затрагивающий от 1,3 до 1,6 миллионов устройств к началу 2025 года. Его оперативная тактика включает в себя использование алгоритма генерации домена (DGA) для гибкой и скрытой связи командования и контроля, при этом имеются свидетельства увеличения числа инцидентов в Южной Африке, характеризующихся ненормальным поведением DNS среди скомпрометированных устройств. Индикаторы компрометации, связанные с Vo1d, включают конкретные IP-адреса и имена хостов, связанные с его инфраструктурой C2.
-----
Vo1d - это значительная часть вредоносного ПО, которое появилось в дикой природе в сентябре 2024 года, превратившись в один из самых распространенных известных ботнет для Android, в частности, нацеленный на смарт-телевизоры и недорогие устройства Android TV. Первоначально распознанные как бэкдор, возможности Vo1d's расширились, позволив устанавливать дополнительное вредоносное программное обеспечение, использовать прокси-сервисы и использовать схемы мошенничества с рекламой. Согласно прогнозам, к началу 2025 года Vo1d скомпрометировал от 1,3 до 1,6 миллиона устройств по всему миру.
Недавняя активность Darktrace выявила заметный рост инцидентов, связанных с Vo1d, в основном затрагивающих клиентов в Южной Африке. Многие из скомпрометированных устройств демонстрировали ненормальное поведение сети, такое как чрезмерное количество DNS-запросов, что указывает на активность вредоносного ПО. Сообщество OSINT определило Южную Африку как один из регионов, сильно подверженных воздействию вредоносного ПО Vo1d, особенно среди сред с большим количеством недорогих и часто непатченных устройств, что делает их уязвимыми для таких атак.
Оперативная тактика Vo1d включает в себя генерацию доменов с помощью алгоритма генерации доменов (DGA), который способствует гибкости и скрытности инфраструктуры командования и контроля (C2). Этот метод позволяет Vo1d поддерживать связь со скомпрометированными устройствами, избегая традиционных методов обнаружения. Индикаторы компрометации (IOCs), связанные с Vo1d, включают конкретные IP-адреса и имена хостов, которые связаны с его инфраструктурой C2, а также различные потенциальные конечные точки DGA, которые могут привести к дальнейшим заражениям.
Деятельность Vo1d's усиливает важность обеспечения безопасности бытовой электроники, поскольку эти устройства могут невольно оказывать поддержку киберпреступным предприятиям. Наблюдения подчеркивают необходимость усиления мер безопасности и бдительности в пользовательской среде, особенно в регионах, подверженных заражениям ботнет, вызванным непатентованными и недорогими устройствами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Vo1d - это сложный Android-ботнет - вредоносное ПО, предназначенный для смарт-телевизоров и недорогих устройств Android TV. Из бэкдора он превратился в инструмент, способный устанавливать дополнительное вредоносное ПО, запускать прокси-сервисы и реализовывать схемы мошенничества с рекламой, затрагивающий от 1,3 до 1,6 миллионов устройств к началу 2025 года. Его оперативная тактика включает в себя использование алгоритма генерации домена (DGA) для гибкой и скрытой связи командования и контроля, при этом имеются свидетельства увеличения числа инцидентов в Южной Африке, характеризующихся ненормальным поведением DNS среди скомпрометированных устройств. Индикаторы компрометации, связанные с Vo1d, включают конкретные IP-адреса и имена хостов, связанные с его инфраструктурой C2.
-----
Vo1d - это значительная часть вредоносного ПО, которое появилось в дикой природе в сентябре 2024 года, превратившись в один из самых распространенных известных ботнет для Android, в частности, нацеленный на смарт-телевизоры и недорогие устройства Android TV. Первоначально распознанные как бэкдор, возможности Vo1d's расширились, позволив устанавливать дополнительное вредоносное программное обеспечение, использовать прокси-сервисы и использовать схемы мошенничества с рекламой. Согласно прогнозам, к началу 2025 года Vo1d скомпрометировал от 1,3 до 1,6 миллиона устройств по всему миру.
Недавняя активность Darktrace выявила заметный рост инцидентов, связанных с Vo1d, в основном затрагивающих клиентов в Южной Африке. Многие из скомпрометированных устройств демонстрировали ненормальное поведение сети, такое как чрезмерное количество DNS-запросов, что указывает на активность вредоносного ПО. Сообщество OSINT определило Южную Африку как один из регионов, сильно подверженных воздействию вредоносного ПО Vo1d, особенно среди сред с большим количеством недорогих и часто непатченных устройств, что делает их уязвимыми для таких атак.
Оперативная тактика Vo1d включает в себя генерацию доменов с помощью алгоритма генерации доменов (DGA), который способствует гибкости и скрытности инфраструктуры командования и контроля (C2). Этот метод позволяет Vo1d поддерживать связь со скомпрометированными устройствами, избегая традиционных методов обнаружения. Индикаторы компрометации (IOCs), связанные с Vo1d, включают конкретные IP-адреса и имена хостов, которые связаны с его инфраструктурой C2, а также различные потенциальные конечные точки DGA, которые могут привести к дальнейшим заражениям.
Деятельность Vo1d's усиливает важность обеспечения безопасности бытовой электроники, поскольку эти устройства могут невольно оказывать поддержку киберпреступным предприятиям. Наблюдения подчеркивают необходимость усиления мер безопасности и бдительности в пользовательской среде, особенно в регионах, подверженных заражениям ботнет, вызванным непатентованными и недорогими устройствами.
#ParsedReport #CompletenessLow
13-11-2025
North Korean Hackers Weaponize Google Find Hub to Wipe Phones
https://www.secureblink.com/cyber-security-news/north-korean-hackers-weaponize-google-find-hub-to-wipe-phones
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Spear-phishing_technique
Remcos_rat
Quasar_rat
Credential_harvesting_technique
Victims:
Google account users, Windows users, Android users, Government agency impersonation targets
Industry:
Government
Geo:
North korean, Korean
ChatGPT TTPs:
T1036, T1059, T1078, T1102, T1219, T1485, T1555.003
Soft:
Android, KakaoTalk
Languages:
autoit
Platforms:
cross-platform
13-11-2025
North Korean Hackers Weaponize Google Find Hub to Wipe Phones
https://www.secureblink.com/cyber-security-news/north-korean-hackers-weaponize-google-find-hub-to-wipe-phones
Report completeness: Low
Actors/Campaigns:
Scarcruft
Threats:
Spear-phishing_technique
Remcos_rat
Quasar_rat
Credential_harvesting_technique
Victims:
Google account users, Windows users, Android users, Government agency impersonation targets
Industry:
Government
Geo:
North korean, Korean
ChatGPT TTPs:
do not use without manual checkT1036, T1059, T1078, T1102, T1219, T1485, T1555.003
Soft:
Android, KakaoTalk
Languages:
autoit
Platforms:
cross-platform
Secureblink
North Korean Hackers Weaponize Google Find Hub to Wipe Phones
A sophisticated cross-platform attack bridges Windows PCs and Android devices, using Google's own service as a destructive tool.
CTT Report Hub
#ParsedReport #CompletenessLow 13-11-2025 North Korean Hackers Weaponize Google Find Hub to Wipe Phones https://www.secureblink.com/cyber-security-news/north-korean-hackers-weaponize-google-find-hub-to-wipe-phones Report completeness: Low Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Северокорейские хакеры проводят сложную кроссплатформенную атаку, используя сервис Google "Найди мое устройство" для удаления данных с телефонов Android. Атака инициируется с помощью сообщений о Целевом фишинге на KakaoTalk, которые содержат вредоносный установщик MSI, который при запуске устанавливает трояны удаленного доступа (RATs), такие как RemcosRAT и QuasarRAT, на компьютеры Windows для сбора учетных записей. Это позволяет злоумышленникам использовать скомпрометированные аккаунты Google для отправки команд сброса настроек на Android-устройства жертв, что приводит к полной потере данных.
-----
Северокорейские хакеры осуществили сложную кроссплатформенную атаку, которая использует сервис Google "Найди мое устройство" для удаления данных с телефонов Android. Кампания начинается с Целевого фишинга сообщений, отправляемых через KakaoTalk, которые часто выдают себя за официальные правительственные организации, такие как Национальная налоговая служба Южной Кореи. Сообщение обычно содержит вредоносный установочный файл MSI с цифровой подписью, который при запуске на ПК с Windows запускает сценарии, написанные в AutoIt, для установки троянов удаленного доступа (RATs), в частности RemcosRAT и QuasarRAT.
Основной целью этой кампании является сбор учетных записей, при котором скомпрометированный компьютер Windows используется для извлечения сохраненных учетных данных браузера, в частности, для учетных записей Google и Naver. Как только злоумышленники получают доступ к этим учетным данным, они могут войти в учетную запись Google жертвы и использовать функцию "Найти мое устройство", чтобы отправить команду сброса настроек на зарегистрированное Android-устройство жертвы, что приводит к полной потере данных.
Этот вектор атаки важен благодаря своему гибридному подходу, который не опирается на традиционное мобильное вредоносное ПО. Вместо этого он переходит от заражения Windows к воздействию на мобильные ресурсы через Облачные сервисы, используя скомпрометированную учетную запись Google жертвы. Этот метод демонстрирует способность злоумышленников использовать легальные сервисы в качестве средства для осуществления деструктивных действий.
Для защиты от подобных кампаний эксперты рекомендуют внедрять надежную Многофакторную аутентификацию (MFA) для защиты учетных записей, поскольку злоумышленникам, не имеющим доступа ко второму фактору, одного украденного пароля будет недостаточно. Для особо важных целей рекомендуется зарегистрироваться в программе расширенной защиты Google для повышения безопасности учетной записи. Обучение осведомленности пользователей также имеет решающее значение; люди должны быть проинформированы о рисках, связанных с нежелательными файлами, доставляемыми через приложения для обмена сообщениями, даже от доверенных контактов. Кроме того, организациям следует инвестировать в решения для обнаружения конечных точек и реагирования (EDR), способные обнаруживать и блокировать выполнение вредоносных скриптов, таких как AutoIt, наряду с известными полезными нагрузками RAT, для дальнейшей защиты своих систем от этих гибридных угроз.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Северокорейские хакеры проводят сложную кроссплатформенную атаку, используя сервис Google "Найди мое устройство" для удаления данных с телефонов Android. Атака инициируется с помощью сообщений о Целевом фишинге на KakaoTalk, которые содержат вредоносный установщик MSI, который при запуске устанавливает трояны удаленного доступа (RATs), такие как RemcosRAT и QuasarRAT, на компьютеры Windows для сбора учетных записей. Это позволяет злоумышленникам использовать скомпрометированные аккаунты Google для отправки команд сброса настроек на Android-устройства жертв, что приводит к полной потере данных.
-----
Северокорейские хакеры осуществили сложную кроссплатформенную атаку, которая использует сервис Google "Найди мое устройство" для удаления данных с телефонов Android. Кампания начинается с Целевого фишинга сообщений, отправляемых через KakaoTalk, которые часто выдают себя за официальные правительственные организации, такие как Национальная налоговая служба Южной Кореи. Сообщение обычно содержит вредоносный установочный файл MSI с цифровой подписью, который при запуске на ПК с Windows запускает сценарии, написанные в AutoIt, для установки троянов удаленного доступа (RATs), в частности RemcosRAT и QuasarRAT.
Основной целью этой кампании является сбор учетных записей, при котором скомпрометированный компьютер Windows используется для извлечения сохраненных учетных данных браузера, в частности, для учетных записей Google и Naver. Как только злоумышленники получают доступ к этим учетным данным, они могут войти в учетную запись Google жертвы и использовать функцию "Найти мое устройство", чтобы отправить команду сброса настроек на зарегистрированное Android-устройство жертвы, что приводит к полной потере данных.
Этот вектор атаки важен благодаря своему гибридному подходу, который не опирается на традиционное мобильное вредоносное ПО. Вместо этого он переходит от заражения Windows к воздействию на мобильные ресурсы через Облачные сервисы, используя скомпрометированную учетную запись Google жертвы. Этот метод демонстрирует способность злоумышленников использовать легальные сервисы в качестве средства для осуществления деструктивных действий.
Для защиты от подобных кампаний эксперты рекомендуют внедрять надежную Многофакторную аутентификацию (MFA) для защиты учетных записей, поскольку злоумышленникам, не имеющим доступа ко второму фактору, одного украденного пароля будет недостаточно. Для особо важных целей рекомендуется зарегистрироваться в программе расширенной защиты Google для повышения безопасности учетной записи. Обучение осведомленности пользователей также имеет решающее значение; люди должны быть проинформированы о рисках, связанных с нежелательными файлами, доставляемыми через приложения для обмена сообщениями, даже от доверенных контактов. Кроме того, организациям следует инвестировать в решения для обнаружения конечных точек и реагирования (EDR), способные обнаруживать и блокировать выполнение вредоносных скриптов, таких как AutoIt, наряду с известными полезными нагрузками RAT, для дальнейшей защиты своих систем от этих гибридных угроз.
#ParsedReport #CompletenessMedium
14-11-2025
SNOWLIGHT Malware for Windows by UNC5174
https://sect.iij.ad.jp/blog/2025/11/unc5174-windows-snowlight-in-2025/
Report completeness: Medium
Actors/Campaigns:
Unc5174
Threats:
Snowlight
Vshell
Snowshell
Screenconnect_tool
Industry:
Education
Geo:
Asian, Chinese, Vietnamese, Canada, Japan, China
CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1027, T1027.007, T1036.005, T1055, T1071, T1071.001, T1105, T1106, T1620
IOCs:
File: 1
Domain: 3
IP: 1
Hash: 8
Soft:
Linux, BIG-IP, Twitter
Algorithms:
aes-gcm, xor, sha256, ror13
Win API:
GetTempPathA, EnumWindows
Platforms:
x86, x64
14-11-2025
SNOWLIGHT Malware for Windows by UNC5174
https://sect.iij.ad.jp/blog/2025/11/unc5174-windows-snowlight-in-2025/
Report completeness: Medium
Actors/Campaigns:
Unc5174
Threats:
Snowlight
Vshell
Snowshell
Screenconnect_tool
Industry:
Education
Geo:
Asian, Chinese, Vietnamese, Canada, Japan, China
CVEs:
CVE-2023-46747 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1027, T1027.007, T1036.005, T1055, T1071, T1071.001, T1105, T1106, T1620
IOCs:
File: 1
Domain: 3
IP: 1
Hash: 8
Soft:
Linux, BIG-IP, Twitter
Algorithms:
aes-gcm, xor, sha256, ror13
Win API:
GetTempPathA, EnumWindows
Platforms:
x86, x64
IIJ Security Diary
UNC5174のWindows版マルウェアSNOWLIGHT – IIJ Security Diary
2025年10月、IIJはUNC5174が攻撃活動で使用するマルウェアSNOWLIGHTを観測しました。UNC5174は中国国家安全部 (MSS) と関係する可能性がある攻撃者とされており、...
CTT Report Hub
#ParsedReport #CompletenessMedium 14-11-2025 SNOWLIGHT Malware for Windows by UNC5174 https://sect.iij.ad.jp/blog/2025/11/unc5174-windows-snowlight-in-2025/ Report completeness: Medium Actors/Campaigns: Unc5174 Threats: Snowlight Vshell Snowshell Screenconnect_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В октябре 2025 года UNC5174, хакерская группировка, внедрила Windows-версию вредоносного ПО SNOWLIGHT, традиционно ассоциируемую с системами Linux, идентифицированную с помощью VirusTotal, загружаемой из Японии. Вредоносное ПО действует как загрузчик для VShell, инструмента удаленного доступа (RAT), который взаимодействует с серверами управления с помощью WebSockets. Кроме того, загрузчик шелл-кода, также разработанный в Go, использует функции EnumWindows API для выполнения полезных нагрузок, зашифрованных AES-GCM, что указывает на сложный подход к развертыванию вредоносного ПО в различных операционных системах.
-----
В октябре 2025 года было замечено, что хакерская группировка UNC5174 внедрила новый вариант вредоносного ПО SNOWLIGHT, нацеленный на Windows. В то время как большинство обнаружений SNOWLIGHT исторически касались систем Linux, эта итерация Windows была идентифицирована с помощью файлов, загруженных в VirusTotal из Японии. Конкретные функциональные возможности и поведение вредоносного ПО позволяют получить представление о методах работы UNC5174.
Вариант Windows, SNOWLIGHT, действует как загрузчик, аналогичный своему аналогу в Linux. Он запускает VShell, который представляет собой инструмент удаленного доступа (RAT), разработанный в Go. VShell подключается к серверам command and control (C2) с помощью WebSockets, позволяя злоумышленникам получать удаленный доступ к оболочке и выполнять различные файловые операции в скомпрометированных системах.
Критическим компонентом этой архитектуры атаки является загрузчик шеллкода, также разработанный в Go, который расшифровывает и выполняет полезные нагрузки шеллкода. Этот загрузчик использует функции EnumWindows API для выполнения зашифрованного AES-GCM шеллкода в памяти. Конкретный выполняемый шелл-код относится к SNOWSHELL для Windows x64, который отвечает за загрузку и выполнение VShell с сервера C2.
Примечательно, что версия SNOWSHELL для Linux содержит полезную нагрузку ELF, в то время как вариант для Windows содержит полезную нагрузку shellcode. В анализе было отмечено, что SNOWSHELL для Windows выполняет HTTP-запросы GET, включая типичную строку пользовательского агента, в отличие от варианта Linux, который, как сообщается, использует HTTP-запросы GET с аномалиями, такими как пробельные символы, что потенциально указывает на ошибку кодирования разработчиком вредоносного ПО.
Появление этих новых возможностей демонстрирует адаптацию и эволюцию стратегий развертывания UNC5174's вредоносного ПО. Используя ряд языков программирования и методов коммуникации, они расширяют свои возможности по внедрению в целевые организации в различных секторах мира, включая США, Канаду и регионы Юго-Восточной Азии. Постоянный мониторинг и анализ вредоносного ПО SNOWLIGHT будет иметь решающее значение для понимания и смягчения его воздействия на ландшафты кибербезопасности.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В октябре 2025 года UNC5174, хакерская группировка, внедрила Windows-версию вредоносного ПО SNOWLIGHT, традиционно ассоциируемую с системами Linux, идентифицированную с помощью VirusTotal, загружаемой из Японии. Вредоносное ПО действует как загрузчик для VShell, инструмента удаленного доступа (RAT), который взаимодействует с серверами управления с помощью WebSockets. Кроме того, загрузчик шелл-кода, также разработанный в Go, использует функции EnumWindows API для выполнения полезных нагрузок, зашифрованных AES-GCM, что указывает на сложный подход к развертыванию вредоносного ПО в различных операционных системах.
-----
В октябре 2025 года было замечено, что хакерская группировка UNC5174 внедрила новый вариант вредоносного ПО SNOWLIGHT, нацеленный на Windows. В то время как большинство обнаружений SNOWLIGHT исторически касались систем Linux, эта итерация Windows была идентифицирована с помощью файлов, загруженных в VirusTotal из Японии. Конкретные функциональные возможности и поведение вредоносного ПО позволяют получить представление о методах работы UNC5174.
Вариант Windows, SNOWLIGHT, действует как загрузчик, аналогичный своему аналогу в Linux. Он запускает VShell, который представляет собой инструмент удаленного доступа (RAT), разработанный в Go. VShell подключается к серверам command and control (C2) с помощью WebSockets, позволяя злоумышленникам получать удаленный доступ к оболочке и выполнять различные файловые операции в скомпрометированных системах.
Критическим компонентом этой архитектуры атаки является загрузчик шеллкода, также разработанный в Go, который расшифровывает и выполняет полезные нагрузки шеллкода. Этот загрузчик использует функции EnumWindows API для выполнения зашифрованного AES-GCM шеллкода в памяти. Конкретный выполняемый шелл-код относится к SNOWSHELL для Windows x64, который отвечает за загрузку и выполнение VShell с сервера C2.
Примечательно, что версия SNOWSHELL для Linux содержит полезную нагрузку ELF, в то время как вариант для Windows содержит полезную нагрузку shellcode. В анализе было отмечено, что SNOWSHELL для Windows выполняет HTTP-запросы GET, включая типичную строку пользовательского агента, в отличие от варианта Linux, который, как сообщается, использует HTTP-запросы GET с аномалиями, такими как пробельные символы, что потенциально указывает на ошибку кодирования разработчиком вредоносного ПО.
Появление этих новых возможностей демонстрирует адаптацию и эволюцию стратегий развертывания UNC5174's вредоносного ПО. Используя ряд языков программирования и методов коммуникации, они расширяют свои возможности по внедрению в целевые организации в различных секторах мира, включая США, Канаду и регионы Юго-Восточной Азии. Постоянный мониторинг и анализ вредоносного ПО SNOWLIGHT будет иметь решающее значение для понимания и смягчения его воздействия на ландшафты кибербезопасности.
#ParsedReport #CompletenessHigh
13-11-2025
RONINGLOADER: DragonBreaths New Path to PPLAbuse
https://www.elastic.co/security-labs/roningloader
Report completeness: High
Actors/Campaigns:
Golden_eyed_dog
Dragon_breath
Threats:
Roningloader
Gh0st_rat
Cloudeye
Agent_tesla
Hooksigntool_tool
Process_injection_technique
Uac_bypass_technique
Edr-freeze_tool
Victims:
Endpoint security vendors, Windows users
Industry:
E-commerce, Entertainment
Geo:
Chinese
TTPs:
Tactics: 8
Technics: 0
IOCs:
File: 33
Path: 25
Command: 1
Coin: 1
Registry: 2
Hash: 13
Domain: 1
Soft:
Google Chrome, Microsoft Teams, Microsoft Defender, Windows Defender, Google Chrome, Microsoft Teams, NSIS installer, ollama, Windows Defender Application Control, m installe, m.exe runn, have more...
Wallets:
metamask
Algorithms:
xor, sha256
Win API:
DllRegisterServer, NtAllocateVirtualMemory, NtCreateThreadEx, GetProcAddress, GetTokenInformation, SeDebugPrivilege, NtCreateSection, CreateFileW, WriteFile, CloseHandle, have more...
Win Services:
MsMpEng
Languages:
dotnet
Platforms:
x64
YARA: Found
Links:
have more...
13-11-2025
RONINGLOADER: DragonBreaths New Path to PPLAbuse
https://www.elastic.co/security-labs/roningloader
Report completeness: High
Actors/Campaigns:
Golden_eyed_dog
Dragon_breath
Threats:
Roningloader
Gh0st_rat
Cloudeye
Agent_tesla
Hooksigntool_tool
Process_injection_technique
Uac_bypass_technique
Edr-freeze_tool
Victims:
Endpoint security vendors, Windows users
Industry:
E-commerce, Entertainment
Geo:
Chinese
TTPs:
Tactics: 8
Technics: 0
IOCs:
File: 33
Path: 25
Command: 1
Coin: 1
Registry: 2
Hash: 13
Domain: 1
Soft:
Google Chrome, Microsoft Teams, Microsoft Defender, Windows Defender, Google Chrome, Microsoft Teams, NSIS installer, ollama, Windows Defender Application Control, m installe, m.exe runn, have more...
Wallets:
metamask
Algorithms:
xor, sha256
Win API:
DllRegisterServer, NtAllocateVirtualMemory, NtCreateThreadEx, GetProcAddress, GetTokenInformation, SeDebugPrivilege, NtCreateSection, CreateFileW, WriteFile, CloseHandle, have more...
Win Services:
MsMpEng
Languages:
dotnet
Platforms:
x64
YARA: Found
Links:
have more...
https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/windows/defense\_evasion\_potential\_evasion\_via\_clipup\_execution.tomlhttps://github.com/Jemmy1228/HookSigntoolwww.elastic.co
RONINGLOADER: DragonBreath’s New Path to PPL Abuse — Elastic Security Labs
Elastic Security Labs uncovers RONINGLOADER, a multi-stage loader deploying DragonBreath’s updated gh0st RAT variant. The campaign weaponizes signed drivers, thread-pool injection, and PPL abuse to disable Defender and evade Chinese EDR tools.
CTT Report Hub
#ParsedReport #CompletenessHigh 13-11-2025 RONINGLOADER: DragonBreaths New Path to PPLAbuse https://www.elastic.co/security-labs/roningloader Report completeness: High Actors/Campaigns: Golden_eyed_dog Dragon_breath Threats: Roningloader Gh0st_rat Cloudeye…
#ParsedReport #ExtractedSchema
Classified images:
schema: 1, windows: 1, filemanager: 1, code: 28, dump: 2
Classified images:
schema: 1, windows: 1, filemanager: 1, code: 28, dump: 2
CTT Report Hub
#ParsedReport #CompletenessHigh 13-11-2025 RONINGLOADER: DragonBreaths New Path to PPLAbuse https://www.elastic.co/security-labs/roningloader Report completeness: High Actors/Campaigns: Golden_eyed_dog Dragon_breath Threats: Roningloader Gh0st_rat Cloudeye…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RONINGLOADER, связанный с APT DragonBreath, представляет собой сложный многоэтапный загрузчик вредоносного ПО, поставляющий модифицированную версию gh0st RAT. Он использует троянские программы установки NSIS, замаскированные под законные приложения, и использует методы, позволяющие избежать обнаружения, такие как использование подписанных драйверов, манипулирование системными файлами и нацеливание антивирусных процессов на нарушение ведения журнала и обмена данными. Кроме того, он фиксирует нажатия клавиш и манипулирует Данными из буфера обмена, поддерживая постоянную связь со своим сервером управления, что отражает его сложный характер и зависимость от законного программного обеспечения.
-----
RONINGLOADER - это сложный многоэтапный загрузчик вредоносного ПО, связанный с APT DragonBreath (APT-Q-27), который предоставляет обновленный вариант gh0st RAT. Недавние выводы Elastic Security Labs показывают, что вредоносное ПО использует троянские программы установки NSIS, замаскированные под законные приложения, такие как Google Chrome и Microsoft Teams. Цепочка заражения включает в себя несколько методов обхода, разработанных для нарушения механизмов безопасности, распространенных в китайской среде кибербезопасности, включая использование подписанных драйверов, пользовательских политик управления приложениями защитника Windows (WDAC) и злоупотребление Protected Process Light (PPL) для отключения защитника Windows.
Изначально RONINGLOADER развертывается с помощью вредоносного установщика, содержащего как доброкачественные, так и вредоносные исполняемые файлы. После запуска вредоносное ПО сначала проверяет наличие административных привилегий, используя GetTokenInformation API и команду runas для запуска экземпляра с повышенными правами, если это необходимо. После повышения привилегий он нацеливается на антивирусное программное обеспечение, в частности, подтверждает завершение процесса Qihoo 360 Total Security и впоследствии восстанавливает настройки брандмауэра, чтобы прервать любое потенциальное ведение журнала или связь со средствами безопасности.
Поведение вредоносного ПО также включает манипулирование системными файлами, например, написание пользовательских файлов политики для обхода защиты WDAC. Он генерирует пакетные сценарии, которые создают правила брандмауэра, блокирующие сетевые подключения определенных процессов безопасности, эффективно изолируя их от правильного функционирования. Во время своей работы RONINGLOADER использует различные библиотеки DLL для управления внедрением полезной нагрузки в другие процессы, используя различные интерфейсы командной строки и команды оболочки для выполнения своих вредоносных действий.
Конечная полезная нагрузка остается модифицированной версией gh0st RAT, которая поддерживает основные функциональные возможности, включая возможности эксфильтрации данных. Имплантат регулярно отправляет маяки на свой сервер управления (C2), отправляя структурированные данные, которые включают регистрацию нажатий клавиш и управление Данными из буфера обмена. Эта функция перехвата буфера обмена позволяет вредоносному ПО заменять определенные строки, определенные злоумышленником, что еще раз демонстрирует его гибкость и адаптивность при уклонении от обнаружения.
Вся операция тщательно продумана с учетом избыточности, чтобы полностью отключить безопасность конечных точек, демонстрируя передовые технологии, согласованные с платформой MITRE ATT&CK. Для борьбы с этой возникающей угрозой были разработаны правила YARA, позволяющие идентифицировать RONINGLOADER и лежащие в его основе действия. Примечательно, что зависимость вредоносного ПО от легального программного обеспечения для распространения наряду с использованием подписанных драйверов иллюстрирует меняющийся ландшафт угроз, где традиционные средства защиты могут быть все более неэффективными.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
RONINGLOADER, связанный с APT DragonBreath, представляет собой сложный многоэтапный загрузчик вредоносного ПО, поставляющий модифицированную версию gh0st RAT. Он использует троянские программы установки NSIS, замаскированные под законные приложения, и использует методы, позволяющие избежать обнаружения, такие как использование подписанных драйверов, манипулирование системными файлами и нацеливание антивирусных процессов на нарушение ведения журнала и обмена данными. Кроме того, он фиксирует нажатия клавиш и манипулирует Данными из буфера обмена, поддерживая постоянную связь со своим сервером управления, что отражает его сложный характер и зависимость от законного программного обеспечения.
-----
RONINGLOADER - это сложный многоэтапный загрузчик вредоносного ПО, связанный с APT DragonBreath (APT-Q-27), который предоставляет обновленный вариант gh0st RAT. Недавние выводы Elastic Security Labs показывают, что вредоносное ПО использует троянские программы установки NSIS, замаскированные под законные приложения, такие как Google Chrome и Microsoft Teams. Цепочка заражения включает в себя несколько методов обхода, разработанных для нарушения механизмов безопасности, распространенных в китайской среде кибербезопасности, включая использование подписанных драйверов, пользовательских политик управления приложениями защитника Windows (WDAC) и злоупотребление Protected Process Light (PPL) для отключения защитника Windows.
Изначально RONINGLOADER развертывается с помощью вредоносного установщика, содержащего как доброкачественные, так и вредоносные исполняемые файлы. После запуска вредоносное ПО сначала проверяет наличие административных привилегий, используя GetTokenInformation API и команду runas для запуска экземпляра с повышенными правами, если это необходимо. После повышения привилегий он нацеливается на антивирусное программное обеспечение, в частности, подтверждает завершение процесса Qihoo 360 Total Security и впоследствии восстанавливает настройки брандмауэра, чтобы прервать любое потенциальное ведение журнала или связь со средствами безопасности.
Поведение вредоносного ПО также включает манипулирование системными файлами, например, написание пользовательских файлов политики для обхода защиты WDAC. Он генерирует пакетные сценарии, которые создают правила брандмауэра, блокирующие сетевые подключения определенных процессов безопасности, эффективно изолируя их от правильного функционирования. Во время своей работы RONINGLOADER использует различные библиотеки DLL для управления внедрением полезной нагрузки в другие процессы, используя различные интерфейсы командной строки и команды оболочки для выполнения своих вредоносных действий.
Конечная полезная нагрузка остается модифицированной версией gh0st RAT, которая поддерживает основные функциональные возможности, включая возможности эксфильтрации данных. Имплантат регулярно отправляет маяки на свой сервер управления (C2), отправляя структурированные данные, которые включают регистрацию нажатий клавиш и управление Данными из буфера обмена. Эта функция перехвата буфера обмена позволяет вредоносному ПО заменять определенные строки, определенные злоумышленником, что еще раз демонстрирует его гибкость и адаптивность при уклонении от обнаружения.
Вся операция тщательно продумана с учетом избыточности, чтобы полностью отключить безопасность конечных точек, демонстрируя передовые технологии, согласованные с платформой MITRE ATT&CK. Для борьбы с этой возникающей угрозой были разработаны правила YARA, позволяющие идентифицировать RONINGLOADER и лежащие в его основе действия. Примечательно, что зависимость вредоносного ПО от легального программного обеспечения для распространения наряду с использованием подписанных драйверов иллюстрирует меняющийся ландшафт угроз, где традиционные средства защиты могут быть все более неэффективными.
#ParsedReport #CompletenessMedium
14-11-2025
Analysis of Recent Phishing Attack Activity by the MuddyWater Group
https://www.ctfiot.com/282122.html
Report completeness: Medium
Actors/Campaigns:
Muddywater
Threats:
Udpgangster
Phoenix_keylogger
Geo:
Azerbaijani, Israel, Israeli, Azerbaijan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1059.005, T1204.002, T1204.002, T1566, T1566.001
IOCs:
Hash: 15
File: 9
IP: 3
Url: 3
Soft:
WeChat
Algorithms:
md5, base64
Win API:
MoveFileA, CryptStringToBinaryA
Languages:
powershell
14-11-2025
Analysis of Recent Phishing Attack Activity by the MuddyWater Group
https://www.ctfiot.com/282122.html
Report completeness: Medium
Actors/Campaigns:
Muddywater
Threats:
Udpgangster
Phoenix_keylogger
Geo:
Azerbaijani, Israel, Israeli, Azerbaijan
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1059.005, T1204.002, T1204.002, T1566, T1566.001
IOCs:
Hash: 15
File: 9
IP: 3
Url: 3
Soft:
Algorithms:
md5, base64
Win API:
MoveFileA, CryptStringToBinaryA
Languages:
powershell
CTF导航
MuddyWater组织近期钓鱼攻击活动分析 | CTF导航
MuddyWater(又称Static Kitten或MERCURY)是一个疑似由伊朗政府支持的APT(高级持续性威胁)组织,其活动最早可追溯至2017年初。该组织主要活跃于中东地区,同时也针对欧洲和北美国家发动攻击,目标行业包括政府...
CTT Report Hub
#ParsedReport #CompletenessMedium 14-11-2025 Analysis of Recent Phishing Attack Activity by the MuddyWater Group https://www.ctfiot.com/282122.html Report completeness: Medium Actors/Campaigns: Muddywater Threats: Udpgangster Phoenix_keylogger Geo: Azerbaijani…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа MuddyWater применяла тактику фишинга для доставки исполняемых файлов, Маскировку под законные документы, которые используют бэкдор UDPGangster для несанкционированного доступа и эксфильтрации данных. Этот бэкдор похож на бэкдор Phoenix, и оба используют макрокод для доставки, что отражает последовательное использование доверия пользователей к файлам документов. Стратегическая направленность группы на совершенствование своих методов фишинга подчеркивает изощренность их атак.
-----
Группа MuddyWater недавно применила методы фишинга, которые включают доставку исполняемых файлов, замаскированных под законные документы PDF и DOC, содержащие макрокод. Когда эти Вредоносные файлы запускаются, они запускают бэкдор UDPGangster, который облегчает несанкционированный доступ и эксфильтрацию данных. Этот бэкдор предназначен для различных действий по краже, позволяя злоумышленникам извлекать конфиденциальную информацию из скомпрометированных систем.
В дополнение к бэкдору UDPGangster, существует заметная корреляция с бэкдором Phoenix, который имеет сходство в механизмах командования и контроля (C2) и ранее распространялся с помощью макрокода в предыдущих атаках. Использование методов доставки на основе макросов для обоих бэкдоров указывает на последовательную тактику злоумышленника, направленную на использование доверия к файлам документов, тем самым повышая шансы на успешное выполнение.
Такой стратегический подход к фишингу означает постоянные усилия группы MuddyWater по совершенствованию векторов своих атак, используя аспекты социальной инженерии для эффективного компрометирования систем жертв. Общий процесс атаки подчеркивает изощренность группы, подчеркивая необходимость повышения осведомленности и мер безопасности против подобных кампаний фишинга.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Группа MuddyWater применяла тактику фишинга для доставки исполняемых файлов, Маскировку под законные документы, которые используют бэкдор UDPGangster для несанкционированного доступа и эксфильтрации данных. Этот бэкдор похож на бэкдор Phoenix, и оба используют макрокод для доставки, что отражает последовательное использование доверия пользователей к файлам документов. Стратегическая направленность группы на совершенствование своих методов фишинга подчеркивает изощренность их атак.
-----
Группа MuddyWater недавно применила методы фишинга, которые включают доставку исполняемых файлов, замаскированных под законные документы PDF и DOC, содержащие макрокод. Когда эти Вредоносные файлы запускаются, они запускают бэкдор UDPGangster, который облегчает несанкционированный доступ и эксфильтрацию данных. Этот бэкдор предназначен для различных действий по краже, позволяя злоумышленникам извлекать конфиденциальную информацию из скомпрометированных систем.
В дополнение к бэкдору UDPGangster, существует заметная корреляция с бэкдором Phoenix, который имеет сходство в механизмах командования и контроля (C2) и ранее распространялся с помощью макрокода в предыдущих атаках. Использование методов доставки на основе макросов для обоих бэкдоров указывает на последовательную тактику злоумышленника, направленную на использование доверия к файлам документов, тем самым повышая шансы на успешное выполнение.
Такой стратегический подход к фишингу означает постоянные усилия группы MuddyWater по совершенствованию векторов своих атак, используя аспекты социальной инженерии для эффективного компрометирования систем жертв. Общий процесс атаки подчеркивает изощренность группы, подчеркивая необходимость повышения осведомленности и мер безопасности против подобных кампаний фишинга.
#ParsedReport #CompletenessLow
14-11-2025
Be careful responding to unexpected job interviews
https://www.malwarebytes.com/blog/news/2025/11/be-careful-responding-to-unexpected-job-interviews
Report completeness: Low
Threats:
Logmein_tool
IOCs:
Url: 1
File: 1
Domain: 1
Soft:
Zoom, Gmail
14-11-2025
Be careful responding to unexpected job interviews
https://www.malwarebytes.com/blog/news/2025/11/be-careful-responding-to-unexpected-job-interviews
Report completeness: Low
Threats:
Logmein_tool
IOCs:
Url: 1
File: 1
Domain: 1
Soft:
Zoom, Gmail
Malwarebytes
Be careful responding to unexpected job interviews
Contacted out of the blue for a virtual interview? Be cautious. Attackers are using fake interviews to slip malware onto your device.
CTT Report Hub
#ParsedReport #CompletenessLow 14-11-2025 Be careful responding to unexpected job interviews https://www.malwarebytes.com/blog/news/2025/11/be-careful-responding-to-unexpected-job-interviews Report completeness: Low Threats: Logmein_tool IOCs: Url: 1…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют поддельные предложения о собеседовании при приеме на работу для проведения фишинг-атак, направленных на извлечение конфиденциальной информации или распространение вредоносного ПО. Электронные письма, имитирующие законные возможности трудоустройства, часто содержат обманчивые ссылки, в том числе приглашения на Zoom, которые могут привести к краже учетных данных или установке вредоносного ПО. Основной риск возникает из-за того, что отдельные лица не могут проверить подлинность таких сообщений, что подчеркивает необходимость проявлять бдительность при получении незапрашиваемых предложений о работе.
-----
В предоставленном тексте освещаются потенциальные риски, связанные с откликом на неожиданные предложения о собеседовании. Хотя в нем не рассматриваются конкретные киберугрозы, он вызывает соответствующую обеспокоенность в связи с атаками фишинга, которые часто используют аналогичную тактику. Киберпреступники могут использовать поддельные запросы на собеседование при приеме на работу, чтобы заманить ничего не подозревающих людей к обмену конфиденциальной информацией или загрузке вредоносного программного обеспечения.
Такие инциденты часто связаны с использованием электронных писем, которые кажутся законными, приглашающими цели перейти по ссылкам или предоставить личные данные для предполагаемого собеседования. Упоминание ссылки Zoom в последующей переписке является распространенной тактикой, используемой злоумышленниками для облегчения дальнейшего обмана, и может привести к установке вредоносного ПО или раскрытию схем сбора учетных записей.
Эта ситуация подчеркивает важность проверки подлинности предложений о работе и сообщений от потенциальных работодателей, чтобы не стать жертвой мошенников. Отдельным лицам следует критически оценивать неожиданные приглашения, особенно изучая Адреса эл. почты, изучая кадровые процессы компании и проявляя осторожность при обмене личной информацией или использовании ссылок, предоставленных в незапрашиваемых электронных письмах.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Киберпреступники используют поддельные предложения о собеседовании при приеме на работу для проведения фишинг-атак, направленных на извлечение конфиденциальной информации или распространение вредоносного ПО. Электронные письма, имитирующие законные возможности трудоустройства, часто содержат обманчивые ссылки, в том числе приглашения на Zoom, которые могут привести к краже учетных данных или установке вредоносного ПО. Основной риск возникает из-за того, что отдельные лица не могут проверить подлинность таких сообщений, что подчеркивает необходимость проявлять бдительность при получении незапрашиваемых предложений о работе.
-----
В предоставленном тексте освещаются потенциальные риски, связанные с откликом на неожиданные предложения о собеседовании. Хотя в нем не рассматриваются конкретные киберугрозы, он вызывает соответствующую обеспокоенность в связи с атаками фишинга, которые часто используют аналогичную тактику. Киберпреступники могут использовать поддельные запросы на собеседование при приеме на работу, чтобы заманить ничего не подозревающих людей к обмену конфиденциальной информацией или загрузке вредоносного программного обеспечения.
Такие инциденты часто связаны с использованием электронных писем, которые кажутся законными, приглашающими цели перейти по ссылкам или предоставить личные данные для предполагаемого собеседования. Упоминание ссылки Zoom в последующей переписке является распространенной тактикой, используемой злоумышленниками для облегчения дальнейшего обмана, и может привести к установке вредоносного ПО или раскрытию схем сбора учетных записей.
Эта ситуация подчеркивает важность проверки подлинности предложений о работе и сообщений от потенциальных работодателей, чтобы не стать жертвой мошенников. Отдельным лицам следует критически оценивать неожиданные приглашения, особенно изучая Адреса эл. почты, изучая кадровые процессы компании и проявляя осторожность при обмене личной информацией или использовании ссылок, предоставленных в незапрашиваемых электронных письмах.
#ParsedReport #CompletenessLow
14-11-2025
In the arsenal of Shedding Zmiy: a tool for attacks through flaws in the system environment settings of a popular CMS.
https://rt-solar.ru/solar-4rays/blog/6220/
Report completeness: Low
Actors/Campaigns:
Shedding_zmiy
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
T1068, T1190
IOCs:
File: 5
Hash: 3
Soft:
Telegram, Bitrix, nginx, sudo, Apparmor, SELinux
Algorithms:
sha256, md5, sha1
Win Services:
bits
14-11-2025
In the arsenal of Shedding Zmiy: a tool for attacks through flaws in the system environment settings of a popular CMS.
https://rt-solar.ru/solar-4rays/blog/6220/
Report completeness: Low
Actors/Campaigns:
Shedding_zmiy
Geo:
Russian
TTPs:
Tactics: 1
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1068, T1190
IOCs:
File: 5
Hash: 3
Soft:
Telegram, Bitrix, nginx, sudo, Apparmor, SELinux
Algorithms:
sha256, md5, sha1
Win Services:
bits