#ParsedReport #CompletenessLow
24-11-2025

CVE-2025-61757: Oracle Identity Manager Auth Bypass Flaw Added to CISAs KEV

https://socradar.io/cve-2025-61757-oracle-identity-manager/

Report completeness: Low

Victims:
Government agencies, Enterprises relying on identity governance, Organizations with exposed oracle identity manager rest endpoints, Organizations with incomplete patching of october 2025 oracle critical patch update

Industry:
Government

CVEs:
CVE-2025-61757 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle identity_manager (12.2.1.4.0, 14.1.2.1.0)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1068, T1190, T1210

IOCs:
IP: 3

Languages:
groovy

Platforms:
x64

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-61757 - критическая уязвимость в Oracle Identity Manager, позволяющая удаленно выполнять код из-за отсутствия аутентификации на конечных точках REST API, с оценкой CVSS 9,8. Уязвимость позволяет злоумышленникам использовать внутренние API-интерфейсы управления, в частности Groovy script status API, который компилирует и выполняет отправленные скрипты. В отчетах указаны активные попытки использования с 30 августа по 9 сентября 2025 года, до выпуска исправлений в октябре 2025 года.
-----

CVE-2025-61757 - это критическая уязвимость в Oracle Identity Manager, признанная CISA известной эксплуатируемой уязвимостью (KEV) из-за подтвержденной активной эксплуатации. Этот недостаток, который имеет оценку CVSS 9,8, затрагивает версии 12.2.1.4.0 и 14.1.2.1.0 и допускает удаленное выполнение кода (RCE), используя отсутствие аутентификации для ключевых функций. Уязвимость в первую очередь заключается в ненадлежащим образом защищенных конечных точках REST API, которые, будучи нацеленными, могут быть использованы для выполнения произвольного кода.

Специфика уязвимости заключается в том, что, как только злоумышленники обходят аутентификацию, они могут использовать внутренние API-интерфейсы управления. Особое беспокойство вызывает API-интерфейс Groovy script status, предназначенный для проверки синтаксиса кода Groovy. Однако эта конечная точка также компилирует и выполняет отправленные сценарии, открывая злоумышленникам путь к получению контроля над системой.

Отчеты Центра SANS Internet Storm Center указывают на то, что в период с 30 августа по 9 сентября 2025 года было предпринято множество попыток воспользоваться этой уязвимостью. Эти инциденты произошли до выпуска исправления Oracle в октябре 2025 года, что указывает на срочность устранения этого недостатка. К организациям, подверженным высокому риску, относятся правительственные учреждения и предприятия, которые используют промежуточное программное обеспечение Oracle Fusion для управления идентификацией, а также те, у кого есть открытые конечные точки REST API, которые, возможно, не были обновлены до последних исправлений безопасности.

Чтобы снизить риски, связанные с CVE-2025-61757, организациям следует внимательно отслеживать и анализировать трафик на предмет необычных шаблонов, нацеленных на уязвимую конечную точку API, особенно неожиданные запросы POST с размером полезной нагрузки около 556 байт. Внедрение комплексных процедур управления исправлениями и обеспечение своевременного обновления в ответ на критические выпуски исправлений Oracle имеет решающее значение для поддержания безопасности.

#ParsedReport #CompletenessHigh
20-11-2025

UNC2891: ATM Threats Never Die

https://go.group-ib.com/hubfs/report/protected/group-ib-UNC2891-atm-threats-never-die-report-2025-en.pdf

Report completeness: High

Actors/Campaigns:
Lightbasin (motivation: cyber_criminal, cyber_espionage, financially_motivated)
Carbanak

Threats:
Steelcorgi
Tinyshell
Slapstick
Sun4me_tool
Winghook
Logbleach
Caketap
Teamviewer_tool
Timestomp_technique
Dns_tunneling_technique
Iodine_tool
Wingcrack
Credential_harvesting_technique
Gpshell_tool
Dirty_cow_vuln

Victims:
Financial institutions, Banking sector, Atm infrastructure

Industry:
Telco, Financial

Geo:
Indonesia, Apac, Asia

CVEs:
CVE-2017-10271 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle weblogic_server (10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0)

CVE-2014-0160 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- openssl (<1.0.1g)

CVE-2016-5195 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- canonical ubuntu_linux (12.04, 14.04, 16.04, 16.10)

CVE-2017-5683 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- intel hardware_accelerated_execution_manager (le6.0.4)


TTPs:
Tactics: 11
Technics: 22

IOCs:
File: 7
Domain: 6
IP: 3
Hash: 12
Email: 1

Soft:
Telegram, Raspberry Pi, Linux, Unix, CRONTAB, lightdm, Viber, Net Core, Systemd, selinux, have more...

Algorithms:
md5, sha256, rc4, exhibit

Win API:
ARC

Win Services:
bits

Languages:
java, python, perl

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
UNC2891 - финансово мотивированный злоумышленник, нацеленный на банковскую инфраструктуру в Индонезии с 2017 года, использующий передовое вредоносное ПО, связанное с банкоматами, такое как CAKETAP, SLAPSTICK и TINYSHELL. Они используют уязвимости, такие как "Dirty Cow" (CVE-2016-5195), и используют физические устройства для получения первоначального доступа, сохраняя при этом скрытность с помощью оперативных методов, таких как подделка журналов и использование денежных мулов для операций по обналичиванию. Их изощренные методы управления и перемещения внутри компании подчеркивают значительную эволюцию киберугроз против финансовых учреждений.
-----

UNC2891 действует как минимум с 2017 года, ориентируясь на банковскую инфраструктуру Индонезии.

Группа специализируется на киберугрозах, связанных с банкоматами, используя передовые технологии вредоносного ПО и оперативную скрытность.

Ключевое вредоносное ПО включает CAKETAP (руткит для манипулирования модулями безопасности Аппаратного обеспечения), SLAPSTICK (бэкдор для сбора учетных записей) и TINYSHELL (бэкдор, обеспечивающий удаленный доступ).

Дополнительными инструментами являются WINGHOOK (кейлоггер) и STEELCORGI (средство шифрования вредоносных полезных данных).

Первоначальный компромисс часто включает в себя физические устройства, такие как Raspberry Pi, подключенные к сетевым коммутаторам ATM, использование SSH и украденных учетных данных.

Тактика атаки включает в себя Выполнение с участием пользователя Вредоносных файлов и повышение привилегий с помощью таких уязвимостей, как "Dirty Cow" (CVE-2016-5195).

Группа поддерживает закрепление, изменяя критически важные системные двоичные файлы для внедрения вредоносного ПО.

Методы перемещения внутри компании используют модифицированные модули PAM и "волшебные пароли" для доступа без действительных учетных данных.

UNC2891 использует денежных мулов для операций по обналичиванию средств, набранных по онлайн-объявлениям и проинструктированных осуществлять снятие средств с помощью клонированных карт.

Их атаки демонстрируют передовые методы поддержания скрытых систем управления и уклонения от обнаружения.

Тактика уклонения от обнаружения включает в себя подделку журналов и эксфильтрацию данных по защищенным каналам.

Контрмеры должны быть направлены на немедленное сдерживание, контроль доступа к сети и постоянный мониторинг вторжений.

Надежное управление учетными данными, проверка целостности программного обеспечения и повышение надежности системы имеют решающее значение для устранения таких угроз.

#ParsedReport #CompletenessHigh
17-11-2025

APT Activity Report

https://web-assets.esetstatic.com/wls/en/papers/threat-reports/eset-apt-activity-report-q2-2025-q3-2025.pdf

Report completeness: High

Actors/Campaigns:
Ghostemperor
Muddywater
Tortoiseshell
Famous_chollima (motivation: cyber_espionage)
Lazarus (motivation: cyber_espionage)
Gamaredon (motivation: cyber_espionage)
Inedibleochotense
Sandworm (motivation: cyber_espionage)
Daggerfly
Plushdaemon (motivation: cyber_espionage)
Sinistereye (motivation: cyber_espionage)
Thewizards
Red_delta (motivation: financially_motivated, cyber_espionage)
Flax_typhoon (motivation: financially_motivated, cyber_espionage)
Bladedfeline
Kimsuky (motivation: cyber_espionage)
Scarcruft (motivation: cyber_espionage)
Ghostwriter
Digitalrecyclers (motivation: financially_motivated, cyber_espionage)
Silver_fox (motivation: financially_motivated, cyber_espionage)
Blackwood
Fontgoblin
Oilrig
Moonstone_sleet
Bookcodes
Dream_job
Andariel
Loaddenise
Void_rabisu (motivation: cyber_espionage)
Turla
Uac0099
Winter_vivern

Threats:
Aitm_technique
Supply_chain_technique
Watering_hole_technique
Romcom_rat
Smac
Bloodalchemy
Spear-phishing_technique
Dllsearchorder_hijacking_technique
Clickfix_technique
Kazuar
Zerolot
Sting
Kalambur
Calarat
Kidsrat
Rustvoralix
Holdinghands
Sparrowdoor
Proxylogon_exploit
Windealer
Spydealer
Edgestepper
Slowstepper
Atera_tool
Confuserex_tool
Akdoor
Akdoortea
Threatneedle
Signbt
Rokrat
Qilin_ransomware
Articletea
Imprudentcook
Scoringmathtea
Memload
Sessionrunner_tool
Eternalblue_vuln
Eggshell_rat
Snipbot
Rustyclaw
Mythic_c2
Smuggling_technique
Pterographin
Pteroodd
Pteropaste
Pteropsdoor
Pterovdoor
Dev_tunnels_tool
Backorder
Avremover_tool

Industry:
Retail, Telco, Transport, Foodtech, Energy, Ngo, Financial, Government, Entertainment, Semiconductor_industry, Education, Healthcare, Logistic, Critical_infrastructure, Petroleum, Maritime, Aerospace

Geo:
Latin america, Korea, Malaysia, Arab emirates, Cyprus, Americas, Asian, Cambodia, North korea, Taiwanese, Guatemala, Egypt, Taiwan, Japanese, Argentina, Russia, Ukrainian, Asia, Korean, America, Armenia, Nigeria, Middle east, Asia-pacific, Saudi arabia, Panama, Latin american, Albania, Ukraine, Canada, China, Italian, United arab emirates, Iraq, Honduras, Azerbaijan, Uzbekistan, Polish, North korean, India, Lithuania, Chinese, Iran, Poland, Ecuador, Malaysian, Hong kong, Russian, Greece, Africa, Israel

CVEs:
CVE-2024-42009 [Vulners]
CVSS V3.1: 9.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- roundcube webmail (<1.5.8, <1.6.8)

CVE-2017-0144 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft server_message_block (1.0)

CVE-2024-9680 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- mozilla firefox (<115.16.1, <131.0.2, <128.3.1)
- mozilla thunderbird (<115.16.0, <128.3.1, 131.0)

CVE-2023-36884 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20107)
- microsoft windows_10_1607 (<10.0.14393.6167)
- microsoft windows_10_1809 (<10.0.17763.4737)
- microsoft windows_10_21h2 (<10.0.19044.3324)
- microsoft windows_10_22h2 (<10.0.19044.3324)
have more...
CVE-2025-8088 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- rarlab winrar (<7.13)


TTPs:
Tactics: 3
Technics: 9

IOCs:
File: 18
Domain: 4
Email: 3

Soft:
Roundcube, Android, SoftEther, macOS, Telegram, WhatsApp, Instagram, Sogou, Youdao, Windows Defender, have more...

Wallets:
wassabi

Algorithms:
exhibit, zip

Functions:
WhatsApp, Defender, DLL, f

Win API:
SHMemLoader

Languages:
javascript, applescript, powershell, php, rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибероперации APT-группировок, особенно из Китая, Ирана, Северной Кореи и России, продемонстрировали изощренные методы атак и целевые сектора. Китайские группировки, такие как Mustang Panda, нацелились на правительственный и морской секторы, в то время как иранские группировки, такие как MuddyWater, использовали spearphishing и инструменты удаленного управления. Северокорейские акторы сосредоточились на криптовалюте, маскируя свою деятельность мошенничеством с трудоустройством, а российские группировки использовали уязвимости zero-day, такие как CVE-2023-36884, для громких атак, особенно в Украине.
-----

В течение отчетного периода различные APT-группировки продемонстрировали активное участие в кибероперациях, особенно те, которые связаны с Китаем, Ираном, Северной Кореей и Россией. Китайские APT-группировки использовали методы "Злоумышленник посередине", совершенствуя свои методы первоначального доступа и перемещения внутри компании. С использованием этого подхода были выявлены такие группы, как SinisterEye и PlushDaemon, частота которых увеличилась за последние два года. Деятельность Mustang Panda's охватывала Юго-Восточную Азию, США и Европу, преимущественно ориентируясь на правительственный, инженерный и морской секторы, в то время как Flax Typhoon специально нацелился на сектор здравоохранения Тайваня, используя скомпрометированные веб-серверы для развертывания веб-оболочек.

Связанная с Ираном группа MuddyWater проявила значительную активность, сосредоточившись на кампаниях spearphishing в различных регионах, предоставляя инструменты удаленного управления, замаскированные под законные загрузки. GalaxyGato, другая иранская группа, нацелилась на сектор судоходства в Греции, используя свой бэкдор C5, со временем расширив свои возможности. Злоумышленники из Северной Кореи, такие как DeceptiveDevelopment и Lazarus, продолжили свои кампании, часто фокусируясь на секторе криптовалют для получения дохода. Примечательно, что DeceptiveDevelopment была вовлечена в гнусную деятельность, замаскированную под вакансии, используя троянские базы кода для компрометации потенциальных жертв.

Российские APT-группировки сохраняли свое внимание к Украине и ассоциированным государствам - членам Европейского союза, в основном используя spearphishing электронные письма для проникновения в сети. RomCom, одна из наиболее известных групп, использовала уязвимости zero-day, включая эксплойты для CVE-2023-36884 и CVE-2024-9680, для компрометации оборонных и правительственных объектов. Gamaredon оставался очень активным в Украине, часто адаптируя свои методы, в то время как Sandworm продолжал разрушительные операции, используя вредоносное ПО для удаления данных с помощью эксплойтов Active Directory.

Были замечены различные другие кампании APT, в том числе несколько групп, использующих одну и ту же уязвимость XSS (CVE-2024-42009) в Roundcube, что указывает на совместную направленность на использование обозначенных слабых мест. Кроме того, в Ираке была обнаружена новая шпионская программа для Android под названием Wibag, что указывает на продолжающиеся угрозы со стороны местных агентств.

#technique #llm

AutoBackdoor: Automating Backdoor Attacks via LLM Agents

https://arxiv.org/html/2511.16709v1

#ParsedReport #CompletenessMedium
25-11-2025

ToddyCat is your hidden email assistant. Part 1

https://securelist.ru/toddycat-apt-steals-email-data-from-outlook/114045/

Report completeness: Medium

Actors/Campaigns:
Toddycat (motivation: information_theft)

Threats:
Tomberbil
Tcsectorcopy_tool
Xstreader_tool
Minidump_tool
Procdump_tool

Victims:
Email services, Corporate correspondence, Outlook users, Office 365 users

TTPs:
Tactics: 1
Technics: 3

IOCs:
Path: 5
File: 10
Hash: 3

Soft:
Microsoft Exchange Server, Gmail, Chrome, Firefox, NET Framework, Google Chrome, Mozilla Firefox, Microsoft Edge, windows service, Outlook, Microsoft Exchange, have more...

Algorithms:
base64

Functions:
ReadLine

Win API:
OpenProcess

Win Services:
POWERPNT

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToddyCat выявляет уязвимости в системах электронной почты, особенно в организациях, использующих облачные решения, такие как Microsoft 365 или Gmail, где традиционные тактики компрометации неэффективны. Связанное с ним вредоносное ПО TomBerBil нацелено на файлы cookie и пароли веб-браузера, в то время как злоумышленники используют TCSectorCopy для посекторного извлечения файлов из заблокированных данных электронной почты и XstReader для доступа к файлам Microsoft Outlook. Они также нацелены на извлечение токенов доступа из приложений, обращающихся к Office 365, что позволяет незаметно проникать в конфиденциальные коммуникации.
-----

ToddyCat представляет собой киберугрозу, которая подчеркивает уязвимость систем электронной почты даже в организациях, использующих облачные решения, такие как Microsoft 365 или Gmail. Для компаний, не имеющих доменного доступа к этим платформам, обычная тактика компрометации доменов терпит неудачу, что побуждает злоумышленников применять альтернативные методологии для извлечения конфиденциальной корреспонденции.

Ключевым элементом вредоносного ПО, связанного с этой угрозой, является семейство инструментов TomBerBil, специально разработанных для извлечения файлов cookie и сохраненных паролей из веб-браузеров, установленных на устройствах пользователей. Это вредоносное ПО написано на C# и C++ для использования различных методов обфускации при нацеливании на конфиденциальную информацию. По мере развития систем безопасности, позволяющих отслеживать подобные виды вторжений, злоумышленники сосредоточили свое внимание на доступе к корпоративной электронной переписке, хранящейся локально в Microsoft Outlook.

Чтобы незаконно получить эти электронные письма, злоумышленники использовали инструмент TCSectorCopy, который работает, обрабатывая диск как доступный только для чтения и методично копируя содержимое файла сектор за сектором. Этот подход обходит стандартные ограничения Windows API, позволяя извлекать файлы, которые могут быть заблокированы протоколами операционной системы или другими приложениями.

В тандеме с этим злоумышленники использовали XstReader, инструмент с открытым исходным кодом, предназначенный для просмотра и экспорта данных из Microsoft Outlook.ОСТ и .Форматы файлов PST. Это позволило им экспортировать содержимое ранее скопированных файлов Outlook и получить к нему доступ.

Еще больше усложняя защиту от этих угроз, злоумышленники искали способы доступа к данным электронной почты, хранящимся на контролируемых хостах, без срабатывания аварийных сигналов. В случаях, когда целевые организации использовали Microsoft Office 365, злоумышленники стремились извлечь токен доступа непосредственно из памяти приложений, использующих эти Облачные сервисы. Поступая таким образом, они повысили свою способность проникать и извлекать конфиденциальные сообщения, не вызывая немедленных подозрений. Это иллюстрирует эволюционирующую природу киберугроз, которые используют как локальную, так и облачную инфраструктуру электронной почты.

#ParsedReport #CompletenessMedium
25-11-2025

ViperSoftX attackers mining Monero coins

https://asec.ahnlab.com/ko/91206/

Report completeness: Medium

Actors/Campaigns:
Purecoder

Threats:
Vipersoftx
Quasar_rat
Purerat
Purehvnc_tool
Clipbanker
Venomsoftx
Tesseract_stealer
Purelogs
Hvnc_tool
Purecryptor
Xmrig_miner
Coinminer

Victims:
Cryptocurrency users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.005, T1056.001, T1057, T1059.001, T1071.004, T1083, T1105, T1112, have more...

IOCs:
Hash: 5
Url: 5
Domain: 5
IP: 5

Soft:
KeePass, 1Password, task scheduler

Crypto:
monero

Algorithms:
md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник ViperSoftX устанавливает майнер монет Monero и троян удаленного доступа (RAT) на скомпрометированные системы, избегая обнаружения путем Маскировки под законное программное обеспечение. Он использует планировщик задач для выполнения вредоносных скриптов PowerShell и использует алгоритм генерации домена для закрепления C&C. Вредоносное ПО также включает в себя возможности манипулирования буфером обмена и использует дополнительные RAT, такие как QuasarRAT и PureRAT, для получения широкого контроля и извлечения конфиденциальной информации у жертв.
-----

Злоумышленник ViperSoftX использует сложные методы для установки майнера монет Monero на скомпрометированные системы наряду с возможностями трояна удаленного доступа (RAT), присущими вредоносному ПО. Впервые обнаруженный в 2020 году, ViperSoftX маскируется под легальное программное обеспечение, в основном распространяемое в виде кряков или генераторов ключей и даже под видом электронных книг. Это вредоносное ПО не только облегчает кражу адресов криптовалютных кошельков, но и эволюционировало, включив в себя дополнительные функции, такие как манипулирование буфером обмена и возможность установки других вредоносных программ.

Недавний анализ, проведенный исследователями кибербезопасности, показывает, что ViperSoftX использует планировщик задач в зараженных системах для выполнения вредоносного сценария PowerShell. Этот сценарий обычно включает в себя чтение зашифрованных смещений в замаскированных файлах или выполнение команд, хранящихся в системном реестре. Инфраструктура командования и контроля (C&C) злоумышленника продолжает использовать методы алгоритма генерации доменов (DGA) и использование TXT-записей DNS для поддержания закрепления в процессе заражения.

В дополнение к ViperSoftX злоумышленники используют QuasarRAT и PureRAT для получения удаленного контроля над зараженными устройствами. QuasarRAT - это инструмент с открытым исходным кодом, построенный на .NET, позволяющий осуществлять широкий контроль над процессами и выполнением удаленных команд, в то время как PureRAT включает возможности для Регистрации нажатий клавиш и перехвата буфера обмена, что расширяет возможности злоумышленников по сбору конфиденциальной информации. Комбинация этих инструментов позволяет злоумышленникам сохранять обширный контроль и извлекать ценные пользовательские данные.

Функциональность ViperSoftX расширилась благодаря недавнему добавлению возможностей майнинга. Внутренние конфигурации, связанные с XMRig в вредоносном ПО, предполагают, что он не только служит загрузчиком дополнительного вредоносного ПО, но и активно добывает монеты Monero, используя ресурсы зараженной системы. Это свидетельствует о более широкой тенденции в тактике киберпреступников, где все более распространенной становится двойная цель - сохранение доступа и получение дохода с помощью криптомайнинга.

Таким образом, ViperSoftX и связанное с ним вредоносное ПО представляют значительный риск для пользователей, особенно тех, кто имеет дело с криптовалютой. Постоянные методы распространения и развивающиеся функциональные возможности подчеркивают существующий ландшафт угроз, в котором злоумышленники постоянно адаптируются к использованию уязвимостей для получения финансовой выгоды, ставя под угрозу безопасность пользователей.

#ParsedReport #CompletenessLow
25-11-2025

Matrix Push C2 abuses browser notifications to deliver phishing and malware

https://www.malwarebytes.com/blog/news/2025/11/matrix-push-c2-abuses-browser-notifications-to-deliver-phishing-and-malware

Report completeness: Low

Victims:
General internet users

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002

Soft:
TikTok, Chrome, Opera, Android

Wallets:
metamask

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют push-уведомления браузера для распространения кампаний фишинга и вредоносного ПО, используя разрешения таких браузеров, как Chrome, Opera и Edge. Инструмент Matrix Push C2 помогает справиться с этой угрозой, позволяя злоумышленникам обходить традиционную систему безопасности, предлагая пользователям переходить по Вредоносным ссылкам или загружать вредоносные файлы в рамках, казалось бы, законных уведомлений. Эта тактика позволяет осуществлять дальнейшую эксплуатацию, включая сбор учетных записей и установку вредоносного ПО.
-----

Киберпреступники используют push-уведомления браузера для облегчения распространения кампаний фишинга и вредоносного ПО. Этот метод использует преимущества разрешений, предоставляемых такими браузерами, как Chrome, Opera и Edge, для доставки сообщений непосредственно пользователям. Уведомления предназначены для имитации законных предупреждений, обманом заставляя пользователей переходить по Вредоносным ссылкам или загружать вредоносные файлы, тем самым ставя под угрозу их системы.

В частности, Matrix Push C2 стал выдающимся инструментом в борьбе с этим типом киберугроз. Используя push-уведомления, злоумышленники могут обойти традиционные меры безопасности, которые не обеспечивают тщательного мониторинга взаимодействий на уровне браузера. Как только жертва взаимодействует с этими уведомлениями, она может быть перенаправлена на сайты фишинга, нацеленные на сбор учетных данных, или получить запрос на загрузку вредоносного ПО, что приведет к дальнейшей эксплуатации.

Чтобы снизить риски, связанные с таким подходом, пользователи могут настроить настройки своего браузера таким образом, чтобы блокировать уведомления. Например, в Chrome пользователи могут перейти в раздел "Настройки", затем "Конфиденциальность и безопасность", а затем "Настройки сайта", где они могут полностью отключить уведомления. Этот процесс аналогичен в Opera и Microsoft Edge, что выделяет единую тему среди современных браузеров с точки зрения управления разрешениями на уведомления.

По мере развития этой тактики как для конечных пользователей, так и для организаций становится все более важным сохранять бдительность в отношении подобных угроз, понимая, что уведомления, кажущиеся законными, не всегда могут быть безопасными. Признание потенциальной возможности злоупотреблений функциями браузера может привести к совершенствованию методов защиты от такого фишинга и способов доставки вредоносного ПО.

#ParsedReport #CompletenessMedium
25-11-2025

Restless VasyGrek: F6 studied the attacker's August-November 2025 attacks

https://www.f6.ru/blog/vasygrek-new-attacks-2025/

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf (motivation: cyber_criminal)
Purecoder
Sticky_werewolf

Threats:
Pay2key
Burnsrat
Purecryptor
Purelogs
Purehvnc_tool
Cryptojacker
Meta_stealer
Teamviewer_tool
Redline_stealer
Avemaria_rat
Purerat
Stego_loader
Ozone
Darktrack

Victims:
Russian companies, Financial sector

Industry:
Foodtech, Financial, Energy, Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1071.001, T1218, T1566, T1573, T1583.001

IOCs:
File: 69
Url: 54
Path: 2
Domain: 10
IP: 22
Registry: 1
Hash: 86

Algorithms:
sha1, base64

Languages:
powershell

Platforms:
x86