#ParsedReport #CompletenessHigh
24-11-2025

Morphisec Thwarts Russian-Linked StealC V2 Campaign Targeting Blender Users via Malicious .blend Files

https://www.morphisec.com/blog/morphisec-thwarts-russian-linked-stealc-v2-campaign-targeting-blender-users-via-malicious-blend-files/

Report completeness: High

Actors/Campaigns:
Blender

Threats:
Stealc
Pyramid_c2_tool
Blenderx
Uac_bypass_technique

Victims:
Blender users

Industry:
E-commerce

Geo:
Russian

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1059, T1204, T1587, T1588

IOCs:
File: 2
Url: 27
Hash: 24
Path: 1
IP: 9

Soft:
macOS, Linux, Chromium, Firefox, Opera, Chrome, Telegram, Discord, Pidgin

Algorithms:
chacha20, sha256, zip

Languages:
python, powershell

Links:
https://github.com/cessen/rigify/tree/master

#ParsedReport #CompletenessMedium
24-11-2025

Browser Notification Hijack via Matrix Push C2

https://cybersecsentinel.com/browser-notification-hijack-via-matrix-push-c2/

Report completeness: Medium

Threats:
Clearfake
Clearshort
Clickfix_technique
Etherhiding_technique
Netsupportmanager_rat
Amos_stealer
Lumma_stealer
Vidar_stealer
Latrodectus
Bitsadmin_tool

Victims:
Cryptocurrency users, Websites

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1059.007, T1102, T1105, T1204, T1566, T1566.002, T1583.001, T1584.004, T1608.004, have more...

IOCs:
Coin: 3
File: 4
Domain: 17
Registry: 1

Soft:
Chrome, Firefox, WordPress, macOS, Linux, Android, curl

Algorithms:
aes

Languages:
powershell, javascript

Platforms:
cross-platform

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Matrix Push C2 фокусируется на методах атаки на основе браузера, которые используют W3C Push API и сервисных работников для постоянной связи с скомпрометированными пользователями. Злоумышленники используют такие методы, как ClearFake, который заражает веб-сайты вредоносными скриптами, и ClickFix, использующий социальную инженерию, чтобы обманом заставить пользователей выполнять вредоносные команды под видом законного устранения неполадок. Недавние кампании особенно нацелены на пользователей криптовалютных кошельков, используя тактику фишинга для кражи конфиденциальной информации, сохраняя при этом скрытность благодаря взаимодействию с пользователем и инновационным каналам C2.
-----

Matrix Push C2 фокусируется на методах атаки на основе браузера. Используя веб-функции, такие как W3C Push API и Service Workers, эта платформа управления (C2) позволяет злоумышленникам поддерживать постоянную связь с скомпрометированными пользователями, не полагаясь на традиционные исполняемые файлы. Этот метод сочетает вредоносный трафик со стандартными веб-действиями, усложняя усилия по обнаружению для защиты от кибербезопасности.

Система Matrix Push C2 позволяет злоумышленникам эффективно воздействовать на поведение конкретных пользователей. В нем используются два ключевых метода доставки, известных как ClearFake и ClickFix, которые повышают охват и эффективность метода. ClearFake включает в себя компрометацию многочисленных веб-сайтов для внедрения вредоносных скриптов загрузки, в то время как ClickFix использует социальную инженерию, чтобы убедить пользователей выполнять команды, которые, по их мнению, являются частью законных действий по устранению неполадок. Например, жертвы могут получать предупреждения о проблемах, связанных с браузером или DNS, побуждающие их выполнять вредоносные команды с помощью обычных системных утилит.

Оценки рисков классифицируют Matrix Push C2 по повышенному уровню угрозы, оцененному в 6,8, из-за его высокой развертываемости и способности к скрытным операциям. Платформа использует преимущества взаимодействия с пользователем и поддерживает канал C2, который позволяет избежать традиционных методов обнаружения. Кроме того, используется технология блокчейн, использующая смарт-контракты в смарт-цепочке BNB для хранения сведений о конфигурации, что добавляет еще один уровень устойчивости к удалению.

Недавние кампании были особенно нацелены на лиц, использующих расширения криптовалютных кошельков, распространяя вводящие в заблуждение уведомления о предполагаемых обновлениях безопасности и заявлениях о сбросе средств, тем самым способствуя краже конфиденциальной информации, такой как начальные фразы и учетные данные кошелька. Способность инструмента отслеживать и идентифицировать расширения криптовалютных кошельков позволяет проводить индивидуальные попытки фишинга, повышая вероятность успешного использования.

Чтобы смягчить эти угрозы, организациям необходимо внедрить надежные средства управления политикой браузера, такие как блокирование запросов уведомлений по умолчанию и уделение особого внимания информированию пользователей об опасностях выполнения нежелательных команд. Поддержание бдительности с помощью телеметрии и приема данных SIEM имеет решающее значение для обнаружения признаков компрометации ClearFake и EtherHiding. Традиционные меры кибербезопасности, включая фильтрацию электронной почты и защиту конечных точек, остаются жизненно важными компонентами комплексной стратегии защиты от вызовов, создаваемых эволюционирующими угрозами, такими как Matrix Push C2.

#ParsedReport #CompletenessHigh
18-11-2025

Autumn Dragon

https://cdn.prod.website-files.com/68cd99b1bd96b42702f97a39/691bf999a544b31f93edb11d_1ef2574b3561b372b9c766a6638315ff_CyberArmor-AutumnDragon-China-nexus-APT-group-target-se-asia.pdf

Report completeness: High

Actors/Campaigns:
Autumn_dragon (motivation: cyber_espionage)
Winnti

Threats:
Dll_sideloading_technique
Dllsearchorder_hijacking_technique
Autumn_backdoor
Spear-phishing_technique

Victims:
Government, Media news

Industry:
Government, Military, Maritime

Geo:
Canada, New zealand, Indo-pacific, Philippines, Laos, Philippine, Myanmar, Asia, Indonesia, China, Australia, Singapore, Cambodia

CVEs:
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 7
Technics: 15

IOCs:
File: 23
Command: 8
Path: 23
Hash: 65
Url: 15
Registry: 1
Domain: 11

Soft:
Telegram, Task Scheduler, Windows Defender, Dropbox, OperaGX, curl

Algorithms:
md5, zip, sha256, xor, sha1, aes

Functions:
TaskScheduler, Get-MpThreat

Win API:
CreateThread, sendMessage

Win Services:
WebClient

Languages:
powershell

Platforms:
x86

YARA: Found

Links:
https://github.com/bartblaze/Yara-rules

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группировка nexus проводит многоэтапную кампанию кибершпионажа, нацеленную на страны Юго-Восточной Азии с помощью DLL Sideloading, начиная с уязвимости WinRAR (CVE-2025-8088) во вложении к фишингу электронной почты. Они внедряют облегченный бэкдор, используя модифицированный исполняемый файл программного обеспечения Open Broadcaster для сбора данных с помощью команд Telegram, и совершенствуют тактику уклонения, используя компонент Adobe Creative Cloud для внедрения вредоносного кода. Кампания отражает растущую сложность, используя географические ограничения и специальные проверки HTTP User-Agent для обеспечения безопасности операций командования и контроля.
-----

В отчете описывается кампания кибершпионажа, приписываемая APT-группировке China-nexus, ориентированной на страны Юго-Восточной Азии, включая Лаос, Камбоджу, Сингапур, Филиппины и Индонезию. Кампания использует многоэтапные атаки, использующие методы DLL sideloading, на четырех различных этапах.

Этап 1 начинается с кажущегося законным вложения по электронной почте под названием "Proposal_for_Cooperation_3415.05092025.rar ." Этот файл использует CVE-2025-8088, уязвимость обхода пути в WinRAR, для удаления полезной нагрузки. На этапе 2 злоумышленник развертывает исходный бэкдор, состоящий из законного исполняемого файла Open Broadcaster Software (OBS) в паре с модифицированным libcef.dll файл, позволяющий проводить разведку и сбор данных с компьютера жертвы. Облегченный бэкдор выполняет только три команды — /shell, /screenshot и /upload — управляемые с помощью Telegram-бота, что позволяет работать скрытно.

Контроллер бота может оценить систему жертвы, используя команды, которые собирают подробную информацию об активных процессах и системных конфигурациях. Это включает в себя такие команды, как "/shell systeminfo" и "/shell tasklist", которые помогают злоумышленнику определить, является ли цель изолированной средой или предполагаемой жертвой. Кроме того, команда "/upload" позволяет контроллеру устанавливать дополнительные Вредоносные файлы, в то время как закрепление достигается с помощью задач, запланированных с помощью команды "/shell schtasks".

На этапе 3 злоумышленник снова использует DLL Sideloading, на этот раз злоупотребляя компонентом Adobe Creative Cloud для загрузки вредоносного кода в CRClient.dll , достигая как обхода мер безопасности, так и расшифровки полезной нагрузки для окончательного Backdoor. Этап 4 включает в себя облегченный бэкдор, написанный на C++, который работает аналогично через DLL sideloading.

Кампания характеризуется целенаправленным подходом, часто использующим географические ограничения и особые требования к пользовательскому агенту HTTP, которые ограничивают доступ к инфраструктуре command and control (C2), часто размещаемой на Cloudflare для обеспечения анонимности. В отчете представлены различные IOC (индикаторы компрометации), включая множественные хэши Вредоносных файлов, использованных во время атак, и подключения к доменам C2 в разных географических точках. Анализ указывает на эволюционирующую изощренность методологии злоумышленников по мере того, как они адаптируют свою тактику для повышения оперативной безопасности и избежания обнаружения.

#ParsedReport #CompletenessLow
19-11-2025

Thousands of ASUS Routers Hijacked in Global Operation "WrtHug" in a Suspected China-Backed Campaign

https://securityscorecard.com/wp-content/uploads/2025/11/STRIKE_Asus_WrtHug-Report_V6.pdf

Report completeness: Low

Actors/Campaigns:
Wrthug (motivation: cyber_espionage)
Vicioustrap

Threats:
Lapdogs
Ayysshush

Victims:
Soho routers, Asus router users

Industry:
Iot

Geo:
Russia, Hong kong, Chinese, China, Taiwan, Sweden, America, Asia, Korea, Asian, Japan

CVEs:
CVE-2023-41346 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2024-12912 [Vulners]
CVSS V3.1: 7.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2023-39780 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-41348 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-41345 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2023-41347 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- asus rt-ax55_firmware (3.0.0.4.386.51598)

CVE-2025-2492 [Vulners]
CVSS V3.1: 9.2,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1584, T1587.001

IOCs:
IP: 7

Soft:
ORB Networks, Ruckus

Algorithms:
sha1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "WrtHug" нацелена на маршрутизаторы ASUS по всему миру, используя уязвимости N-го дня в моделях с истекшим сроком службы для получения повышенных привилегий. Скомпрометированные устройства используют самозаверяющий сертификат TLS со сроком действия 100 лет, что особенно сказывается на маршрутизаторах на Тайване и указывает на спонсируемую государством деятельность, связанную с китайскими злоумышленниками. Злоумышленники демонстрируют систематическую тактику вторжения, выявляя потенциал для самораспространения среди зараженных маршрутизаторов, подчеркивая организованную угрозу для устройств малого офиса/домашнего офиса-интерната.
-----

Операция "WrtHug" - это серьезная киберкомпрометация, нацеленная на маршрутизаторы ASUS по всему миру, выявленная ударной группой SecurityScorecard в сотрудничестве с ASUS. Эта операция использует уязвимости N-го дня, особенно в маршрутизаторах ASUS WRT с истекшим сроком службы, для получения повышенных привилегий. Отличительной особенностью скомпрометированных устройств является самозаверяющий сертификат TLS с необычно длительным сроком действия - 100 лет, который помогает идентифицировать уязвимые маршрутизаторы.

Операция вписывается в более широкий контекст спонсируемых государством кампаний по вторжению, особенно тех, которые связаны с китайскими злоумышленниками. Примечательным наблюдением является то, что почти половина скомпрометированных маршрутизаторов расположена на Тайване, что указывает на геополитический аспект атаки. Тактика вторжения ORB (Operational Relay Box), используемая в этой операции, выявляет систематические закономерности, а не случайные компрометации устройств. Это указывает на потенциальный механизм самораспространения или совместного использования компонентов среди эксплуатируемых маршрутизаторов, что указывает на долгосрочные стратегические намерения злоумышленников.

Подозрительный сертификат TLS, особо отмеченный его хэшем SHA1 (1894a6800dff523894eba7f31cea8d05d51032b4), сыграл ключевую роль в раскрытии этой операции. Это означает скоординированные усилия по созданию сети зараженных устройств, главным образом в Юго-Восточной Азии и на Тайване, при этом в материковом Китае, за пределами Гонконга, скомпрометированных устройств обнаружено не было.

Уязвимости, на которые были нацелены эти атаки, были обсуждены после консультаций с командой безопасности ASUS, подчеркнув важность решения проблем с поддержкой по истечении срока службы в их устройствах. Полученные данные подчеркивают растущую тенденцию организованных атак на устройства малого офиса/домашнего офиса (SOHO), вызывая тревогу по поводу растущей сложности и координации таких киберопераций. Наличие уникального сертификата TLS выделяется как ключевой показатель компрометации, указывающий на меняющийся ландшафт угроз для устройств такого типа.

Таким образом, операция WrtHug не только демонстрирует возможности задействованных злоумышленников, но и подчеркивает необходимость усиления мер безопасности и стратегий реагирования, поскольку среда киберугрозы продолжает обостряться.

#ParsedReport #CompletenessLow
24-11-2025

Shai Hulud Launches Second Supply-Chain Attack: Zapier, ENS, AsyncAPI, PostHog, Postman Compromised

https://www.aikido.dev/blog/shai-hulud-strikes-again-hitting-zapier-ensdomains

Report completeness: Low

Actors/Campaigns:
S1ngularity

Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool

Victims:
Software supply chain, Open source packages, Developers

TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1059.007, T1071.001, T1195, T1199, T1552, T1552.001, T1568.001

IOCs:
File: 21

Soft:
Unix, curl

Functions:
isBunOnPath, reloadPath, downloadAndSetupBun, findBunExecutable, main

Languages:
powershell

Links:
https://github.com/search?q=Sha1-Hulud%3A+The+Second+Coming.&ref=opensearch&type=repositories

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai Hulud запустила вторую атаку supply-chain на такие платформы, как Zapier и Postman, используя уязвимый период перед отзывом токенов npm. Самореплицирующийся червь npm сканирует открытые секреты с помощью TruffleHog, отфильтровывает их в общедоступный репозиторий GitHub и распространяется, отправляя в реестр npm. Эта недавняя волна скомпрометировала 425 пакетов, причем вредоносное ПО способно публиковать украденные секреты под случайными именами, выявляя значительные уязвимости в Цепочке поставок программного обеспечения.
-----

Кампания Shai Hulud инициировала вторую атаку на supply-chain, нацеленную на несколько известных платформ, включая Zapier, ENS, AsyncAPI, PostHog и Postman. Эта волна атак произошла незадолго до запланированного npm отзыва токенов classic, воспользовавшись уязвимым окном, в котором многим пользователям еще предстоит перейти на надежные методы публикации.

Shai Hulud характеризуется как самовоспроизводящийся червь npm, предназначенный для быстрого проникновения в среду разработчиков. После заражения вредоносное ПО использует TruffleHog для поиска открытых секретов, таких как API-ключи и токены, и впоследствии загружает эти результаты в общедоступный репозиторий GitHub. В дополнение к эксфильтрации данных червь пытается размножаться, отправляя новые копии самого себя в реестр npm, эффективно обеспечивая свое распространение по всей экосистеме. Злоумышленник назвал эту недавнюю волну угроз "Вторым пришествием", что соответствует их драматическому тематическому брендингу.

Эта атака скомпрометировала 425 пакетов, на которые в совокупности приходится 132 миллиона ежемесячных загрузок. Особенно тревожным аспектом этой кампании является способность вредоносного ПО публиковать украденные секреты на GitHub со случайными именами и описаниями, что еще больше усугубляет риски.

Анализ затронутых пакетов показывает, что некоторые из них содержат исходный промежуточный код, в частности, указанный в файле с именем setup_bun.js . Однако фактический код червя Shai Hulud находится в bun_environment.js , предлагающий стратегический подход к распространению в сообществе с возможностью дополнительных заражений из-за неоптимальных методов обеспечения безопасности. Инцидент выявил сохраняющиеся уязвимости в Цепочке поставок программного обеспечения, подчеркнув необходимость проявлять бдительность при защите среды разработчиков от таких сложных угроз.

#ParsedReport #CompletenessLow
24-11-2025

CVE-2025-61757: Oracle Identity Manager Auth Bypass Flaw Added to CISAs KEV

https://socradar.io/cve-2025-61757-oracle-identity-manager/

Report completeness: Low

Victims:
Government agencies, Enterprises relying on identity governance, Organizations with exposed oracle identity manager rest endpoints, Organizations with incomplete patching of october 2025 oracle critical patch update

Industry:
Government

CVEs:
CVE-2025-61757 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle identity_manager (12.2.1.4.0, 14.1.2.1.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190, T1210

IOCs:
IP: 3

Languages:
groovy

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-61757 - критическая уязвимость в Oracle Identity Manager, позволяющая удаленно выполнять код из-за отсутствия аутентификации на конечных точках REST API, с оценкой CVSS 9,8. Уязвимость позволяет злоумышленникам использовать внутренние API-интерфейсы управления, в частности Groovy script status API, который компилирует и выполняет отправленные скрипты. В отчетах указаны активные попытки использования с 30 августа по 9 сентября 2025 года, до выпуска исправлений в октябре 2025 года.
-----

CVE-2025-61757 - это критическая уязвимость в Oracle Identity Manager, признанная CISA известной эксплуатируемой уязвимостью (KEV) из-за подтвержденной активной эксплуатации. Этот недостаток, который имеет оценку CVSS 9,8, затрагивает версии 12.2.1.4.0 и 14.1.2.1.0 и допускает удаленное выполнение кода (RCE), используя отсутствие аутентификации для ключевых функций. Уязвимость в первую очередь заключается в ненадлежащим образом защищенных конечных точках REST API, которые, будучи нацеленными, могут быть использованы для выполнения произвольного кода.

Специфика уязвимости заключается в том, что, как только злоумышленники обходят аутентификацию, они могут использовать внутренние API-интерфейсы управления. Особое беспокойство вызывает API-интерфейс Groovy script status, предназначенный для проверки синтаксиса кода Groovy. Однако эта конечная точка также компилирует и выполняет отправленные сценарии, открывая злоумышленникам путь к получению контроля над системой.

Отчеты Центра SANS Internet Storm Center указывают на то, что в период с 30 августа по 9 сентября 2025 года было предпринято множество попыток воспользоваться этой уязвимостью. Эти инциденты произошли до выпуска исправления Oracle в октябре 2025 года, что указывает на срочность устранения этого недостатка. К организациям, подверженным высокому риску, относятся правительственные учреждения и предприятия, которые используют промежуточное программное обеспечение Oracle Fusion для управления идентификацией, а также те, у кого есть открытые конечные точки REST API, которые, возможно, не были обновлены до последних исправлений безопасности.

Чтобы снизить риски, связанные с CVE-2025-61757, организациям следует внимательно отслеживать и анализировать трафик на предмет необычных шаблонов, нацеленных на уязвимую конечную точку API, особенно неожиданные запросы POST с размером полезной нагрузки около 556 байт. Внедрение комплексных процедур управления исправлениями и обеспечение своевременного обновления в ответ на критические выпуски исправлений Oracle имеет решающее значение для поддержания безопасности.

#ParsedReport #CompletenessHigh
20-11-2025

UNC2891: ATM Threats Never Die

https://go.group-ib.com/hubfs/report/protected/group-ib-UNC2891-atm-threats-never-die-report-2025-en.pdf

Report completeness: High

Actors/Campaigns:
Lightbasin (motivation: cyber_criminal, cyber_espionage, financially_motivated)
Carbanak

Threats:
Steelcorgi
Tinyshell
Slapstick
Sun4me_tool
Winghook
Logbleach
Caketap
Teamviewer_tool
Timestomp_technique
Dns_tunneling_technique
Iodine_tool
Wingcrack
Credential_harvesting_technique
Gpshell_tool
Dirty_cow_vuln

Victims:
Financial institutions, Banking sector, Atm infrastructure

Industry:
Telco, Financial

Geo:
Indonesia, Apac, Asia

CVEs:
CVE-2017-10271 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle weblogic_server (10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0)

CVE-2014-0160 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openssl (<1.0.1g)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2017-5683 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel hardware_accelerated_execution_manager (le6.0.4)


TTPs:
Tactics: 11
Technics: 22

IOCs:
File: 7
Domain: 6
IP: 3
Hash: 12
Email: 1

Soft:
Telegram, Raspberry Pi, Linux, Unix, CRONTAB, lightdm, Viber, Net Core, Systemd, selinux, have more...

Algorithms:
md5, sha256, rc4, exhibit

Win API:
ARC

Win Services:
bits

Languages:
java, python, perl

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC2891 - финансово мотивированный злоумышленник, нацеленный на банковскую инфраструктуру в Индонезии с 2017 года, использующий передовое вредоносное ПО, связанное с банкоматами, такое как CAKETAP, SLAPSTICK и TINYSHELL. Они используют уязвимости, такие как "Dirty Cow" (CVE-2016-5195), и используют физические устройства для получения первоначального доступа, сохраняя при этом скрытность с помощью оперативных методов, таких как подделка журналов и использование денежных мулов для операций по обналичиванию. Их изощренные методы управления и перемещения внутри компании подчеркивают значительную эволюцию киберугроз против финансовых учреждений.
-----

UNC2891 действует как минимум с 2017 года, ориентируясь на банковскую инфраструктуру Индонезии.

Группа специализируется на киберугрозах, связанных с банкоматами, используя передовые технологии вредоносного ПО и оперативную скрытность.

Ключевое вредоносное ПО включает CAKETAP (руткит для манипулирования модулями безопасности Аппаратного обеспечения), SLAPSTICK (бэкдор для сбора учетных записей) и TINYSHELL (бэкдор, обеспечивающий удаленный доступ).

Дополнительными инструментами являются WINGHOOK (кейлоггер) и STEELCORGI (средство шифрования вредоносных полезных данных).

Первоначальный компромисс часто включает в себя физические устройства, такие как Raspberry Pi, подключенные к сетевым коммутаторам ATM, использование SSH и украденных учетных данных.

Тактика атаки включает в себя Выполнение с участием пользователя Вредоносных файлов и повышение привилегий с помощью таких уязвимостей, как "Dirty Cow" (CVE-2016-5195).

Группа поддерживает закрепление, изменяя критически важные системные двоичные файлы для внедрения вредоносного ПО.

Методы перемещения внутри компании используют модифицированные модули PAM и "волшебные пароли" для доступа без действительных учетных данных.

UNC2891 использует денежных мулов для операций по обналичиванию средств, набранных по онлайн-объявлениям и проинструктированных осуществлять снятие средств с помощью клонированных карт.

Их атаки демонстрируют передовые методы поддержания скрытых систем управления и уклонения от обнаружения.

Тактика уклонения от обнаружения включает в себя подделку журналов и эксфильтрацию данных по защищенным каналам.

Контрмеры должны быть направлены на немедленное сдерживание, контроль доступа к сети и постоянный мониторинг вторжений.

Надежное управление учетными данными, проверка целостности программного обеспечения и повышение надежности системы имеют решающее значение для устранения таких угроз.

#ParsedReport #CompletenessHigh
17-11-2025

APT Activity Report

https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q2-2025-q3-2025.pdf

Report completeness: High

Actors/Campaigns:
Ghostemperor
Muddywater
Tortoiseshell
Famous_chollima (motivation: cyber_espionage)
Lazarus (motivation: cyber_espionage)
Gamaredon (motivation: cyber_espionage)
Inedibleochotense
Sandworm (motivation: cyber_espionage)
Daggerfly
Plushdaemon (motivation: cyber_espionage)
Sinistereye (motivation: cyber_espionage)
Thewizards
Red_delta (motivation: financially_motivated, cyber_espionage)
Flax_typhoon (motivation: financially_motivated, cyber_espionage)
Bladedfeline
Kimsuky (motivation: cyber_espionage)
Scarcruft (motivation: cyber_espionage)
Ghostwriter
Digitalrecyclers (motivation: financially_motivated, cyber_espionage)
Silver_fox (motivation: financially_motivated, cyber_espionage)
Blackwood
Fontgoblin
Oilrig
Moonstone_sleet
Bookcodes
Dream_job
Andariel
Loaddenise
Void_rabisu (motivation: cyber_espionage)
Turla
Uac0099
Winter_vivern

Threats:
Aitm_technique
Supply_chain_technique
Watering_hole_technique
Romcom_rat
Smac
Bloodalchemy
Spear-phishing_technique
Dllsearchorder_hijacking_technique
Clickfix_technique
Kazuar
Zerolot
Sting
Kalambur
Calarat
Kidsrat
Rustvoralix
Holdinghands
Sparrowdoor
Proxylogon_exploit
Windealer
Spydealer
Edgestepper
Slowstepper
Atera_tool
Confuserex_tool
Akdoor
Akdoortea
Threatneedle
Signbt
Rokrat
Qilin_ransomware
Articletea
Imprudentcook
Scoringmathtea
Memload
Sessionrunner_tool
Eternalblue_vuln
Eggshell_rat
Snipbot
Rustyclaw
Mythic_c2
Smuggling_technique
Pterographin
Pteroodd
Pteropaste
Pteropsdoor
Pterovdoor
Dev_tunnels_tool
Backorder
Avremover_tool

Industry:
Retail, Telco, Transport, Foodtech, Energy, Ngo, Financial, Government, Entertainment, Semiconductor_industry, Education, Healthcare, Logistic, Critical_infrastructure, Petroleum, Maritime, Aerospace

Geo:
Latin america, Korea, Malaysia, Arab emirates, Cyprus, Americas, Asian, Cambodia, North korea, Taiwanese, Guatemala, Egypt, Taiwan, Japanese, Argentina, Russia, Ukrainian, Asia, Korean, America, Armenia, Nigeria, Middle east, Asia-pacific, Saudi arabia, Panama, Latin american, Albania, Ukraine, Canada, China, Italian, United arab emirates, Iraq, Honduras, Azerbaijan, Uzbekistan, Polish, North korean, India, Lithuania, Chinese, Iran, Poland, Ecuador, Malaysian, Hong kong, Russian, Greece, Africa, Israel

CVEs:
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server_message_block (1.0)

CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 3
Technics: 9

IOCs:
File: 18
Domain: 4
Email: 3

Soft:
Roundcube, Android, SoftEther, macOS, Telegram, WhatsApp, Instagram, Sogou, Youdao, Windows Defender, have more...

Wallets:
wassabi

Algorithms:
exhibit, zip

Functions:
WhatsApp, Defender, DLL, f

Win API:
SHMemLoader

Languages:
javascript, applescript, powershell, php, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4