#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 1, filemanager: 1, code: 28, dump: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RONINGLOADER, связанный с APT DragonBreath, представляет собой сложный многоэтапный загрузчик вредоносного ПО, поставляющий модифицированную версию gh0st RAT. Он использует троянские программы установки NSIS, замаскированные под законные приложения, и использует методы, позволяющие избежать обнаружения, такие как использование подписанных драйверов, манипулирование системными файлами и нацеливание антивирусных процессов на нарушение ведения журнала и обмена данными. Кроме того, он фиксирует нажатия клавиш и манипулирует Данными из буфера обмена, поддерживая постоянную связь со своим сервером управления, что отражает его сложный характер и зависимость от законного программного обеспечения.
-----

RONINGLOADER - это сложный многоэтапный загрузчик вредоносного ПО, связанный с APT DragonBreath (APT-Q-27), который предоставляет обновленный вариант gh0st RAT. Недавние выводы Elastic Security Labs показывают, что вредоносное ПО использует троянские программы установки NSIS, замаскированные под законные приложения, такие как Google Chrome и Microsoft Teams. Цепочка заражения включает в себя несколько методов обхода, разработанных для нарушения механизмов безопасности, распространенных в китайской среде кибербезопасности, включая использование подписанных драйверов, пользовательских политик управления приложениями защитника Windows (WDAC) и злоупотребление Protected Process Light (PPL) для отключения защитника Windows.

Изначально RONINGLOADER развертывается с помощью вредоносного установщика, содержащего как доброкачественные, так и вредоносные исполняемые файлы. После запуска вредоносное ПО сначала проверяет наличие административных привилегий, используя GetTokenInformation API и команду runas для запуска экземпляра с повышенными правами, если это необходимо. После повышения привилегий он нацеливается на антивирусное программное обеспечение, в частности, подтверждает завершение процесса Qihoo 360 Total Security и впоследствии восстанавливает настройки брандмауэра, чтобы прервать любое потенциальное ведение журнала или связь со средствами безопасности.

Поведение вредоносного ПО также включает манипулирование системными файлами, например, написание пользовательских файлов политики для обхода защиты WDAC. Он генерирует пакетные сценарии, которые создают правила брандмауэра, блокирующие сетевые подключения определенных процессов безопасности, эффективно изолируя их от правильного функционирования. Во время своей работы RONINGLOADER использует различные библиотеки DLL для управления внедрением полезной нагрузки в другие процессы, используя различные интерфейсы командной строки и команды оболочки для выполнения своих вредоносных действий.

Конечная полезная нагрузка остается модифицированной версией gh0st RAT, которая поддерживает основные функциональные возможности, включая возможности эксфильтрации данных. Имплантат регулярно отправляет маяки на свой сервер управления (C2), отправляя структурированные данные, которые включают регистрацию нажатий клавиш и управление Данными из буфера обмена. Эта функция перехвата буфера обмена позволяет вредоносному ПО заменять определенные строки, определенные злоумышленником, что еще раз демонстрирует его гибкость и адаптивность при уклонении от обнаружения.

Вся операция тщательно продумана с учетом избыточности, чтобы полностью отключить безопасность конечных точек, демонстрируя передовые технологии, согласованные с платформой MITRE ATT&CK. Для борьбы с этой возникающей угрозой были разработаны правила YARA, позволяющие идентифицировать RONINGLOADER и лежащие в его основе действия. Примечательно, что зависимость вредоносного ПО от легального программного обеспечения для распространения наряду с использованием подписанных драйверов иллюстрирует меняющийся ландшафт угроз, где традиционные средства защиты могут быть все более неэффективными.

#ParsedReport #CompletenessMedium
14-11-2025

Analysis of Recent Phishing Attack Activity by the MuddyWater Group

https://www.ctfiot.com/282122.html

Report completeness: Medium

Actors/Campaigns:
Muddywater

Threats:
Udpgangster
Phoenix_keylogger

Geo:
Azerbaijani, Israel, Israeli, Azerbaijan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.005, T1204.002, T1204.002, T1566, T1566.001

IOCs:
Hash: 15
File: 9
IP: 3
Url: 3

Soft:
WeChat

Algorithms:
md5, base64

Win API:
MoveFileA, CryptStringToBinaryA

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа MuddyWater применяла тактику фишинга для доставки исполняемых файлов, Маскировку под законные документы, которые используют бэкдор UDPGangster для несанкционированного доступа и эксфильтрации данных. Этот бэкдор похож на бэкдор Phoenix, и оба используют макрокод для доставки, что отражает последовательное использование доверия пользователей к файлам документов. Стратегическая направленность группы на совершенствование своих методов фишинга подчеркивает изощренность их атак.
-----

Группа MuddyWater недавно применила методы фишинга, которые включают доставку исполняемых файлов, замаскированных под законные документы PDF и DOC, содержащие макрокод. Когда эти Вредоносные файлы запускаются, они запускают бэкдор UDPGangster, который облегчает несанкционированный доступ и эксфильтрацию данных. Этот бэкдор предназначен для различных действий по краже, позволяя злоумышленникам извлекать конфиденциальную информацию из скомпрометированных систем.

В дополнение к бэкдору UDPGangster, существует заметная корреляция с бэкдором Phoenix, который имеет сходство в механизмах командования и контроля (C2) и ранее распространялся с помощью макрокода в предыдущих атаках. Использование методов доставки на основе макросов для обоих бэкдоров указывает на последовательную тактику злоумышленника, направленную на использование доверия к файлам документов, тем самым повышая шансы на успешное выполнение.

Такой стратегический подход к фишингу означает постоянные усилия группы MuddyWater по совершенствованию векторов своих атак, используя аспекты социальной инженерии для эффективного компрометирования систем жертв. Общий процесс атаки подчеркивает изощренность группы, подчеркивая необходимость повышения осведомленности и мер безопасности против подобных кампаний фишинга.

#ParsedReport #CompletenessLow
14-11-2025

Be careful responding to unexpected job interviews

https://www.malwarebytes.com/blog/news/2025/11/be-careful-responding-to-unexpected-job-interviews

Report completeness: Low

Threats:
Logmein_tool

IOCs:
Url: 1
File: 1
Domain: 1

Soft:
Zoom, Gmail

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют поддельные предложения о собеседовании при приеме на работу для проведения фишинг-атак, направленных на извлечение конфиденциальной информации или распространение вредоносного ПО. Электронные письма, имитирующие законные возможности трудоустройства, часто содержат обманчивые ссылки, в том числе приглашения на Zoom, которые могут привести к краже учетных данных или установке вредоносного ПО. Основной риск возникает из-за того, что отдельные лица не могут проверить подлинность таких сообщений, что подчеркивает необходимость проявлять бдительность при получении незапрашиваемых предложений о работе.
-----

В предоставленном тексте освещаются потенциальные риски, связанные с откликом на неожиданные предложения о собеседовании. Хотя в нем не рассматриваются конкретные киберугрозы, он вызывает соответствующую обеспокоенность в связи с атаками фишинга, которые часто используют аналогичную тактику. Киберпреступники могут использовать поддельные запросы на собеседование при приеме на работу, чтобы заманить ничего не подозревающих людей к обмену конфиденциальной информацией или загрузке вредоносного программного обеспечения.

Такие инциденты часто связаны с использованием электронных писем, которые кажутся законными, приглашающими цели перейти по ссылкам или предоставить личные данные для предполагаемого собеседования. Упоминание ссылки Zoom в последующей переписке является распространенной тактикой, используемой злоумышленниками для облегчения дальнейшего обмана, и может привести к установке вредоносного ПО или раскрытию схем сбора учетных записей.

Эта ситуация подчеркивает важность проверки подлинности предложений о работе и сообщений от потенциальных работодателей, чтобы не стать жертвой мошенников. Отдельным лицам следует критически оценивать неожиданные приглашения, особенно изучая Адреса эл. почты, изучая кадровые процессы компании и проявляя осторожность при обмене личной информацией или использовании ссылок, предоставленных в незапрашиваемых электронных письмах.

#ParsedReport #CompletenessLow
14-11-2025

In the arsenal of Shedding Zmiy: a tool for attacks through flaws in the system environment settings of a popular CMS.

https://rt-solar.ru/solar-4rays/blog/6220/

Report completeness: Low

Actors/Campaigns:
Shedding_zmiy

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190

IOCs:
File: 5
Hash: 3

Soft:
Telegram, Bitrix, nginx, sudo, Apparmor, SELinux

Algorithms:
sha256, md5, sha1

Win Services:
bits

#ParsedReport #ExtractedSchema

Classified images:
code: 2, schema: 2, dump: 1, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Shedding Zmiy, проукраинская хакерская группировка, использующая утилиту под названием "Install" для использования уязвимости zero-day в устаревших версиях системы управления контентом Bitrix, способствующей повышению привилегий после несанкционированного доступа к веб-серверу. Уязвимость, относящаяся к версиям до 9.0.5, остается не исправленной в этих установках, создавая значительные риски до тех пор, пока она не будет устранена. Эта проблема была занесена в каталог под идентификатором BDU:2025-04539 BDU ФСТЭК, подчеркивая настоятельную необходимость своевременного обновления программного обеспечения для предотвращения эксплуатации.
-----

Shedding Zmiy, проукраинская хакерская группировка, использующая утилиту под названием "Install", которая использует уязвимость в настройках системной среды системы управления контентом Bitrix (CMS). На момент обнаружения эта уязвимость была идентифицирована как zero-day, что указывает на то, что она еще не была исправлена. Утилита специально разработана для облегчения повышения привилегий в инфраструктуре после получения несанкционированного доступа к веб-серверу.

Уязвимость связана с недостатками конфигурации, присутствующими в устаревших версиях Bitrix, в частности, до версии 9.0.5. Это говорит о том, что установки CMS, которые не были обновлены, могут быть особенно подвержены тактике, используемой Shedding Zmiy. Примечательно, что поставщик CMS был оперативно проинформирован об уязвимости, что привело к быстрому устранению, впоследствии подчеркнув важность поддержания обновленного программного обеспечения для снижения таких рисков.

В результате этого инцидента уязвимость была зарегистрирована в BDU ФСТЭК под идентификатором BDU:2025-04539, что делает ее важной деталью, которую следует учитывать организациям, использующим CMS Bitrix, поскольку она может подвергнуть их потенциальным атакам, если они не обеспечат своевременное обновление и исправление. Сложившаяся ситуация подчеркивает острую необходимость в бдительности и упреждающих мерах по устранению системных уязвимостей, особенно тех, которые остаются без внимания в широко используемых программных решениях.

#ParsedReport #CompletenessLow
14-11-2025

FortiWeb Path Traversal Exploit Actively Targeted: What You Need to Know

https://socradar.io/fortiweb-path-traversal-exploit-actively-targeted/

Report completeness: Low

Victims:
Fortinet fortiweb users, Fortiweb admins, Internet facing management interfaces

ChatGPT TTPs:
do not use without manual check
T1068, T1078.003, T1106, T1136.001, T1190, T1595.001

IOCs:
IP: 3

Links:
have more...
https://github.com/watchtowrlabs/watchTowr-vs-Fortiweb-AuthBypass

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавно обнаруженная уязвимость обхода путей в устройствах Fortinet FortiWeb позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи локальных администраторов, получая полный доступ к интерфейсам управления. Активные попытки использования, подтвержденные исследованиями Rapid7, нацелены на уязвимые версии 8.0.2 и более ранние, с доказательством концепции, демонстрирующей успешный доступ после неудачного входа в систему. Сканирование Shodan выявило более 700 уязвимых сайтов FortiWeb, в основном в США, что подчеркивает значительный риск продолжающихся атак.
-----

Недавно выявленная уязвимость в устройствах Fortinet FortiWeb привела к увеличению числа атак, использующих недокументированный обходной путь. Эта уязвимость позволяет злоумышленникам, не прошедшим проверку подлинности, создавать учетные записи локальных администраторов на целевых устройствах, предоставляя им полный доступ к интерфейсу управления. По состоянию на 6 октября, в данных honeypot были обнаружены признаки эксплуатации, указывающие на активные попытки сканирования и компрометации открытых экземпляров FortiWeb по всему миру.

Исследование, проведенное Rapid7, подтвердило, что только версия 8.0.2 FortiWeb эффективно устраняет эту уязвимость, возвращая ответ 403 Forbidden на попытки использования. Более ранние версии по-прежнему подвержены уязвимости, позволяющей несанкционированно создавать учетные записи администраторов. Было разработано доказательство концепции (PoC), демонстрирующее эффективность эксплойта после нескольких первоначальных неудачных попыток входа в систему, за которыми последовал успешный доступ через недавно созданную учетную запись администратора.

Анализ Shodan выявил более 700 уязвимостей в FortiWeb, в основном в Соединенных Штатах. Такая уязвимость вызывает опасения, особенно когда интерфейсы управления доступны для общественности, что делает их основными объектами во время активных кампаний.

#ParsedReport #CompletenessMedium
15-11-2025

Analyzing What Appears to Be GNNCRY's macOS Test Build

https://denwp.com/gnncrys-macos-test-build/

Report completeness: Medium

Threats:
Gonnacry

Victims:
Linux users, Macos users

Geo:
Portuguese

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1083, T1486

IOCs:
File: 2
Hash: 1

Soft:
macOS, Linux, Gatekeeper

Algorithms:
zip, sha256, aes

Functions:
_get_home_enviroment, _get_desktop_enviroment, _get_username, _get_trash_path, _get_media_path, _find_files, _encrypt_files, _create_files_desktop, strtok, _get_filename_ext, have more...

Win API:
ARC

Platforms:
apple, arm

YARA: Found

Links:
have more...
https://github.com/tarcisio-marinho/GonnaCry?ref=denwp.com
https://github.com/tarcisio-marinho?ref=denwp.com

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, code: 9, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель GNNCRY, первоначально выпущенная в 2017 году PoC для Linux, имеет вредоносные варианты, нацеленные на Linux и macOS, демонстрирующие методы шифрования и нацеливания на файлы. Вариант macOS использует рекурсивный обход каталога для поиска файлов с определенными расширениями и шифрует их с помощью алгоритма Blowfish, генерируя ключи с помощью функции rand() стандартной библиотеки C. Несмотря на свои возможности, он классифицируется как неотвратимая угроза, служащая скорее учебным пособием, чем активным источником риска вредоносного ПО.
-----

Программа-вымогатель GNNCRY, известная в основном как GonnaCry, представляет собой вариант PoC (proof-of-concept), первоначально разработанный в 2017 году Тарчио Мариньо для систем Linux. Он служит учебным пособием, иллюстрирующим механику программ-вымогателей и методы шифрования, но к 2021 году появились варианты вредоносных программ, нацеленных на среды Linux. Это расширение привело к появлению реальных случаев, когда пользовательские файлы шифруются и требуется выкуп в криптовалюте, что побудило антивирусные решения активизировать усилия по обнаружению.

Рассматриваемый вариант macOS демонстрирует поведение, аналогичное его аналогу в Linux. В ходе первоначального анализа был обнаружен жестко закодированный список с подробным описанием целевых расширений файлов, включая различные типы документов, изображений, архивов и баз данных, а также текстовое уведомление о выкупе. Статический анализ показал, что поток выполнения отражает оригинальную концепцию Linux proof-of-concept, хотя и адаптирован для macOS. В частности, вредоносное ПО содержит переменную пути в виде открытого текста, намекающую на среду разработчика, предполагающую, что оно было либо создано, либо протестировано в этом контексте.

Вредоносное ПО использует метод рекурсивного обхода каталогов с помощью функции _find_files() для поиска файлов с предопределенными расширениями. Как только цели идентифицированы, запускается шифрование. 16-байтовый вектор инициализации (IV) и 32-байтовый ключ генерируются с использованием функции _generate_key, хотя, что примечательно, используемый алгоритм Blowfish требует только первых 16 байт этого ключа. Процесс шифрования происходит на месте и управляется функцией _encrypt().

Что касается генерации ключей, GNNCRY использует функцию rand() стандартной библиотеки C, в которой отсутствует криптографически защищенный генератор псевдослучайных чисел (CSPRNG), что вызывает опасения по поводу ее случайности и общей безопасности. Структура сохраненных ключей соответствует определенному порядку, при этом 32-байтовому ключу предшествует 16-байтовый IV, а затем путь к зашифрованному файлу, обозначаемый расширением .GNNCRY; важно отметить, что исходный путь к открытому тексту не сохраняется.

Динамическое тестирование в системе macOS подтвердило, что образец GNNCRY выдает типичные предупреждения системы безопасности, указывающие на то, что он может представлять опасность. В конечном счете, GNNCRY классифицируется как неотвратимая угроза для пользователей macOS; он остается тестовым PoC, демонстрирующим, как может функционировать программа-вымогатель, освещая важные технические аспекты, касающиеся ее таргетинга на файлы, методов шифрования и управления ключами, не представляя активной угрозы в текущем киберпространстве.

#ParsedReport #CompletenessLow
14-11-2025

Microsoft Office Russian Dolls

https://dshield.org/diary/Microsoft+Office+Russian+Dolls/32484/

Report completeness: Low

Threats:
Formbook

Geo:
Russian

CVEs:
CVE-2017-11882 [Vulners]
CVSS V3.1: Unknown,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1059.005, T1203, T1566.001

IOCs:
Hash: 2
Path: 1

Soft:
Microsoft Office

Algorithms:
sha256