#ParsedReport #ExtractedSchema

Classified images:
schema: 2, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ToddyCat выявляет уязвимости в системах электронной почты, особенно в организациях, использующих облачные решения, такие как Microsoft 365 или Gmail, где традиционные тактики компрометации неэффективны. Связанное с ним вредоносное ПО TomBerBil нацелено на файлы cookie и пароли веб-браузера, в то время как злоумышленники используют TCSectorCopy для посекторного извлечения файлов из заблокированных данных электронной почты и XstReader для доступа к файлам Microsoft Outlook. Они также нацелены на извлечение токенов доступа из приложений, обращающихся к Office 365, что позволяет незаметно проникать в конфиденциальные коммуникации.
-----

ToddyCat представляет собой киберугрозу, которая подчеркивает уязвимость систем электронной почты даже в организациях, использующих облачные решения, такие как Microsoft 365 или Gmail. Для компаний, не имеющих доменного доступа к этим платформам, обычная тактика компрометации доменов терпит неудачу, что побуждает злоумышленников применять альтернативные методологии для извлечения конфиденциальной корреспонденции.

Ключевым элементом вредоносного ПО, связанного с этой угрозой, является семейство инструментов TomBerBil, специально разработанных для извлечения файлов cookie и сохраненных паролей из веб-браузеров, установленных на устройствах пользователей. Это вредоносное ПО написано на C# и C++ для использования различных методов обфускации при нацеливании на конфиденциальную информацию. По мере развития систем безопасности, позволяющих отслеживать подобные виды вторжений, злоумышленники сосредоточили свое внимание на доступе к корпоративной электронной переписке, хранящейся локально в Microsoft Outlook.

Чтобы незаконно получить эти электронные письма, злоумышленники использовали инструмент TCSectorCopy, который работает, обрабатывая диск как доступный только для чтения и методично копируя содержимое файла сектор за сектором. Этот подход обходит стандартные ограничения Windows API, позволяя извлекать файлы, которые могут быть заблокированы протоколами операционной системы или другими приложениями.

В тандеме с этим злоумышленники использовали XstReader, инструмент с открытым исходным кодом, предназначенный для просмотра и экспорта данных из Microsoft Outlook.ОСТ и .Форматы файлов PST. Это позволило им экспортировать содержимое ранее скопированных файлов Outlook и получить к нему доступ.

Еще больше усложняя защиту от этих угроз, злоумышленники искали способы доступа к данным электронной почты, хранящимся на контролируемых хостах, без срабатывания аварийных сигналов. В случаях, когда целевые организации использовали Microsoft Office 365, злоумышленники стремились извлечь токен доступа непосредственно из памяти приложений, использующих эти Облачные сервисы. Поступая таким образом, они повысили свою способность проникать и извлекать конфиденциальные сообщения, не вызывая немедленных подозрений. Это иллюстрирует эволюционирующую природу киберугроз, которые используют как локальную, так и облачную инфраструктуру электронной почты.

#ParsedReport #CompletenessMedium
25-11-2025

ViperSoftX attackers mining Monero coins

https://asec.ahnlab.com/ko/91206/

Report completeness: Medium

Actors/Campaigns:
Purecoder

Threats:
Vipersoftx
Quasar_rat
Purerat
Purehvnc_tool
Clipbanker
Venomsoftx
Tesseract_stealer
Purelogs
Hvnc_tool
Purecryptor
Xmrig_miner
Coinminer

Victims:
Cryptocurrency users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.005, T1056.001, T1057, T1059.001, T1071.004, T1083, T1105, T1112, have more...

IOCs:
Hash: 5
Url: 5
Domain: 5
IP: 5

Soft:
KeePass, 1Password, task scheduler

Crypto:
monero

Algorithms:
md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник ViperSoftX устанавливает майнер монет Monero и троян удаленного доступа (RAT) на скомпрометированные системы, избегая обнаружения путем Маскировки под законное программное обеспечение. Он использует планировщик задач для выполнения вредоносных скриптов PowerShell и использует алгоритм генерации домена для закрепления C&C. Вредоносное ПО также включает в себя возможности манипулирования буфером обмена и использует дополнительные RAT, такие как QuasarRAT и PureRAT, для получения широкого контроля и извлечения конфиденциальной информации у жертв.
-----

Злоумышленник ViperSoftX использует сложные методы для установки майнера монет Monero на скомпрометированные системы наряду с возможностями трояна удаленного доступа (RAT), присущими вредоносному ПО. Впервые обнаруженный в 2020 году, ViperSoftX маскируется под легальное программное обеспечение, в основном распространяемое в виде кряков или генераторов ключей и даже под видом электронных книг. Это вредоносное ПО не только облегчает кражу адресов криптовалютных кошельков, но и эволюционировало, включив в себя дополнительные функции, такие как манипулирование буфером обмена и возможность установки других вредоносных программ.

Недавний анализ, проведенный исследователями кибербезопасности, показывает, что ViperSoftX использует планировщик задач в зараженных системах для выполнения вредоносного сценария PowerShell. Этот сценарий обычно включает в себя чтение зашифрованных смещений в замаскированных файлах или выполнение команд, хранящихся в системном реестре. Инфраструктура командования и контроля (C&C) злоумышленника продолжает использовать методы алгоритма генерации доменов (DGA) и использование TXT-записей DNS для поддержания закрепления в процессе заражения.

В дополнение к ViperSoftX злоумышленники используют QuasarRAT и PureRAT для получения удаленного контроля над зараженными устройствами. QuasarRAT - это инструмент с открытым исходным кодом, построенный на .NET, позволяющий осуществлять широкий контроль над процессами и выполнением удаленных команд, в то время как PureRAT включает возможности для Регистрации нажатий клавиш и перехвата буфера обмена, что расширяет возможности злоумышленников по сбору конфиденциальной информации. Комбинация этих инструментов позволяет злоумышленникам сохранять обширный контроль и извлекать ценные пользовательские данные.

Функциональность ViperSoftX расширилась благодаря недавнему добавлению возможностей майнинга. Внутренние конфигурации, связанные с XMRig в вредоносном ПО, предполагают, что он не только служит загрузчиком дополнительного вредоносного ПО, но и активно добывает монеты Monero, используя ресурсы зараженной системы. Это свидетельствует о более широкой тенденции в тактике киберпреступников, где все более распространенной становится двойная цель - сохранение доступа и получение дохода с помощью криптомайнинга.

Таким образом, ViperSoftX и связанное с ним вредоносное ПО представляют значительный риск для пользователей, особенно тех, кто имеет дело с криптовалютой. Постоянные методы распространения и развивающиеся функциональные возможности подчеркивают существующий ландшафт угроз, в котором злоумышленники постоянно адаптируются к использованию уязвимостей для получения финансовой выгоды, ставя под угрозу безопасность пользователей.

#ParsedReport #CompletenessLow
25-11-2025

Matrix Push C2 abuses browser notifications to deliver phishing and malware

https://www.malwarebytes.com/blog/news/2025/11/matrix-push-c2-abuses-browser-notifications-to-deliver-phishing-and-malware

Report completeness: Low

Victims:
General internet users

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002

Soft:
TikTok, Chrome, Opera, Android

Wallets:
metamask

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют push-уведомления браузера для распространения кампаний фишинга и вредоносного ПО, используя разрешения таких браузеров, как Chrome, Opera и Edge. Инструмент Matrix Push C2 помогает справиться с этой угрозой, позволяя злоумышленникам обходить традиционную систему безопасности, предлагая пользователям переходить по Вредоносным ссылкам или загружать вредоносные файлы в рамках, казалось бы, законных уведомлений. Эта тактика позволяет осуществлять дальнейшую эксплуатацию, включая сбор учетных записей и установку вредоносного ПО.
-----

Киберпреступники используют push-уведомления браузера для облегчения распространения кампаний фишинга и вредоносного ПО. Этот метод использует преимущества разрешений, предоставляемых такими браузерами, как Chrome, Opera и Edge, для доставки сообщений непосредственно пользователям. Уведомления предназначены для имитации законных предупреждений, обманом заставляя пользователей переходить по Вредоносным ссылкам или загружать вредоносные файлы, тем самым ставя под угрозу их системы.

В частности, Matrix Push C2 стал выдающимся инструментом в борьбе с этим типом киберугроз. Используя push-уведомления, злоумышленники могут обойти традиционные меры безопасности, которые не обеспечивают тщательного мониторинга взаимодействий на уровне браузера. Как только жертва взаимодействует с этими уведомлениями, она может быть перенаправлена на сайты фишинга, нацеленные на сбор учетных данных, или получить запрос на загрузку вредоносного ПО, что приведет к дальнейшей эксплуатации.

Чтобы снизить риски, связанные с таким подходом, пользователи могут настроить настройки своего браузера таким образом, чтобы блокировать уведомления. Например, в Chrome пользователи могут перейти в раздел "Настройки", затем "Конфиденциальность и безопасность", а затем "Настройки сайта", где они могут полностью отключить уведомления. Этот процесс аналогичен в Opera и Microsoft Edge, что выделяет единую тему среди современных браузеров с точки зрения управления разрешениями на уведомления.

По мере развития этой тактики как для конечных пользователей, так и для организаций становится все более важным сохранять бдительность в отношении подобных угроз, понимая, что уведомления, кажущиеся законными, не всегда могут быть безопасными. Признание потенциальной возможности злоупотреблений функциями браузера может привести к совершенствованию методов защиты от такого фишинга и способов доставки вредоносного ПО.

#ParsedReport #CompletenessMedium
25-11-2025

Restless VasyGrek: F6 studied the attacker's August-November 2025 attacks

https://www.f6.ru/blog/vasygrek-new-attacks-2025/

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf (motivation: cyber_criminal)
Purecoder
Sticky_werewolf

Threats:
Pay2key
Burnsrat
Purecryptor
Purelogs
Purehvnc_tool
Cryptojacker
Meta_stealer
Teamviewer_tool
Redline_stealer
Avemaria_rat
Purerat
Stego_loader
Ozone
Darktrack

Victims:
Russian companies, Financial sector

Industry:
Foodtech, Financial, Energy, Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1071.001, T1218, T1566, T1573, T1583.001

IOCs:
File: 69
Url: 54
Path: 2
Domain: 10
IP: 22
Registry: 1
Hash: 86

Algorithms:
sha1, base64

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VasyGrek, русскоязычная хакерская группировка, действующая с 2016 года, использует кампании фишинга, нацеленные на различные сектора, используя мошеннические электронные письма, напоминающие финансовые учреждения. Недавняя активность выявила развертывание PureHVNC, троянца удаленного доступа (RAT), который запускался через .библиотека dll внутри RegAsm.exe процесс, демонстрирующий методичный подход к уклонению и закреплению. Параметры конфигурации атаки являются индикаторами компрометации, подчеркивая опыт VasyGrek's в области внедрения вредоносного ПО и эксплуатации системы.
-----

VasyGrek, русскоязычная хакерская группировка, действующая как минимум с 2016 года, нацелена на различные сектора в России с помощью изощренных методов фишинга и способов доставки вредоносного ПО. Злоумышленник обычно использует мошеннические кампании по электронной почте, которые представляют финансовые организации, чтобы привлечь жертв. Недавнее расследование, проведенное F6 Threat Intelligence, выявило подробную информацию об операциях VasyGrek с августа по ноябрь 2025 года, включая технические особенности и признаки компрометации.

В течение анализируемого периода одним из ключевых компонентов методологии атаки VasyGrek's было использование exe-файла, который выполняется через .библиотека dll. Кульминацией атак стал инцидент 13 ноября 2025 года, когда была развернута полезная нагрузка с именем PureHVNC, классифицированная как троян удаленного доступа (RAT). Аналитики угроз отметили, что это сложное вредоносное ПО было внедрено в RegAsm.exe процесс, законный системный исполняемый файл, что указывает на злонамеренное намерение вмешаться в обычные системные операции и избежать обнаружения.

Параметры конфигурации, связанные с полезной нагрузкой PureHVNC, включают в себя критическую инфраструктуру, такую как IP-адреса командования и контроля (C2), имена мьютексов, номера портов и SSL-сертификаты, любой из которых может служить индикатором компрометации для организаций, отслеживающих вредоносные действия. Это подчеркивает методичный подход VasyGrek's к закреплению и скрытности в своих операциях, отражающий глубокое понимание развертывания вредоносного ПО и эксплуатации системы.

#ParsedReport #CompletenessHigh
25-11-2025

Russian RomCom Utilizing SocGholish to Deliver Mythic Agent to U.S. Companies Supporting Ukraine

https://arcticwolf.com/resources/blog/romcom-utilizing-socgholish-to-deliver-mythic-agent-to-usa-companies-supporting-ukraine/

Report completeness: High

Actors/Campaigns:
Ta569 (motivation: financially_motivated, cyber_criminal)
Void_rabisu
Evil_corp

Threats:
Romcom_rat
Socgholish_loader
Mythic_c2
Vipertunnel
Dridex
Lockbit
Obf-io_tool
Raspberry_robin

Victims:
Engineering, Civil engineering, Organizations supporting ukraine

Industry:
Military, Government

Geo:
Russia, Ukrainian, Russian, Ukraine

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
Domain: 12
Url: 1
IP: 9
Hash: 1

Soft:
Chrome, Firefox, Microsoft Teams, Flash Player, Active Directory

Algorithms:
sha256, md5, aes

Languages:
python, javascript, powershell

Platforms:
intel

Links:
have more...
https://github.com/ben-sb/obfuscator-io-deobfuscator
https://github.com/MythicC2Profiles/dynamichttp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанная с Россией хакерская группировка RomCom была идентифицирована с использованием фреймворка вредоносного ПО SocGholish, нацеленного на американскую компанию, связанную с Украиной, что стало первым зарегистрированным использованием полезной нагрузки RomCom's через SocGholish. Атака включала доставку загрузчика Mythic Agent примерно через десять минут после первоначального взлома через сеть SocGholish, которая использует легальные веб-сайты для установки вредоносного ПО. Методы RomCom's отражают возможности, типичные для акторов национальных государств, использующих сложную тактику для достижения долгосрочного доступа к сетям, соответствующим их политическим целям.
-----

Недавнее выявление американской компании, на которую нацелилась связанная с Россией хакерская группировка RomCom, использующая фреймворк вредоносного ПО SocGholish, подчеркивает меняющийся ландшафт киберугроз. Этот инцидент знаменует собой первое зарегистрированное использование полезной нагрузки RomCom, распространяемой через SocGholish, метод, обычно используемый злоумышленником TA569, известным своими финансово мотивированными атаками.

В сентябре 2025 года произошла последовательность событий, когда примерно через 10 минут после первоначального использования с помощью знакомой цепочки атак SocGholish полезная нагрузка RomCom, идентифицированная как загрузчик агента Mythic, была доставлена в скомпрометированную систему. SocGholish известен как механизм доставки вредоносного ПО, в основном распространяющий поддельные обновления программного обеспечения, которые используют скомпрометированные законные веб-сайты для внедрения вредоносного JavaScript. В случае успеха этот метод позволяет устанавливать загрузчики, которые в дальнейшем загружают дополнительные полезные данные, облегчая долгосрочный доступ к уязвимой сети.

RomCom, также известный под несколькими псевдонимами, включая Storm-0978 и Tropical Scorpius, действует с середины 2022 года и нацелен преимущественно на организации, связанные с Украиной или ее системами поддержки, демонстрируя четкое соответствие политическим целям. Группа использует изощренную тактику и демонстрирует возможности, типичные для акторов национальных государств, что свидетельствует об их закреплении и техническом мастерстве.

TA569 приобрел дурную славу благодаря внедрению SocGholish и характеризуется как брокер первоначального доступа (IAB). Он использует законные сайты, используя методы обмана, при которых вредоносное ПО доставляется под видом обновлений браузера для таких известных приложений, как Chrome или Firefox. Их методология сводит к минимуму время ожидания, позволяя быстро скомпрометировать систему с последующим внедрением вредоносного ПО или программ-вымогателей среди жертв.

Конкретный загрузчик, задействованный в данном случае, обозначается msedge.dll , предназначен для проверки рабочего домена перед выполнением полезной нагрузки, которая в данном случае подключена к агенту Mythic. Кроме того, подключенная инфраструктура также выявила совпадающие характеристики с другими операциями, что свидетельствует о жестко контролируемой среде командования и контроля.

Выявленная цель, строительная фирма в США, имела связи с организациями, оказывающими помощь Украине, что соответствует стратегическим предпочтениям RomCom в отношении таргетинга. К счастью, эта попытка была пресечена защитными механизмами Arctic Wolf, продемонстрировавшими важность надежной защиты конечных точек в противодействии таким сложным векторам атак.

Эффективные стратегии устранения таких угроз, как SocGholish, включают в себя усиление защиты конечных точек, информирование пользователей о рисках поддельных запросов, введение строгого списка разрешенных приложений и поддержание актуального программного обеспечения. Поскольку ландшафт киберугроз продолжает развиваться, организациям по-прежнему крайне важно внедрять комплексные меры безопасности и сохранять бдительность в отношении таких целенаправленных действий.

#ParsedReport #CompletenessLow
25-11-2025

Canon Allegedly Breached by Clop Ransomware via Oracle E-Business Suite 0-Day Hack

https://cybersecuritynews.com/canon-breached-clop-ransomware-oracle-ebs-hack/

Report completeness: Low

Actors/Campaigns:
Ta505

Threats:
Clop
Maze

Victims:
Canon, Technology sector

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1588.005

IOCs:
IP: 2
Hash: 2

Algorithms:
sha256, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Canon стала мишенью хакерской кампании, связанной с программой-вымогателем Clop, использующей критическую уязвимость CVE-2025-61882 в пакете Oracle E-Business Suite для zero-day. Этот недостаток позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код, создавая значительные риски, такие как несанкционированный доступ к системе, развертывание вредоносного ПО и эксфильтрация данных. Инцидент подчеркивает растущую изощренность программ-вымогателей, использующих критические уязвимости.
-----

Canon подтвердила, что подверглась хакерской кампании, связанной с программой-вымогателем Clop, которая использовала критическую уязвимость zero-day в Oracle E-Business Suite (EBS). Конкретная уязвимость, идентифицированная как CVE-2025-61882, была описана как серьезный недостаток безопасности, который позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на скомпрометированных серверах.

Этот тип эксплойта подчеркивает значительные риски, связанные с Oracle EBS, поскольку он позволяет злоумышленникам получать несанкционированный доступ к системам и потенциально внедрять вредоносное ПО или извлекать конфиденциальные данные. Учитывая природу программы-вымогателя Clop, которая известна тем, что шифрует данные жертв и требует выкуп за расшифровку, организациям, использующим Oracle EBS, следует уделить первоочередное внимание исправлению этой уязвимости и тщательной оценке своей системы безопасности для предотвращения подобных угроз в будущем.

Поскольку кампания демонстрирует растущую изощренность атак программ-вымогателей, использующих критические уязвимости, она служит напоминанием организациям о необходимости сохранять бдительность в отношении своих методов обеспечения безопасности, особенно при управлении исправлениями и мониторинге попыток несанкционированного доступа.

#ParsedReport #CompletenessLow
25-11-2025

Shai Huluds The Second Coming: New npm Campaign Hits Zapier, ENS, Postman

https://socradar.io/shai-hulud-the-second-coming-npm-campaign/

Report completeness: Low

Threats:
Shai-hulud
Trufflehog_tool
Supply_chain_technique

Victims:
Zapier, Ens domains, Asyncapi, Posthog, Postman, Open source ecosystem, Software development ecosystem

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1078, T1105, T1190, T1195, T1199, T1550, T1552, T1553, have more...

IOCs:
File: 2

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4