#ParsedReport #CompletenessMedium
25-11-2025

ViperSoftX attackers mining Monero coins

https://asec.ahnlab.com/ko/91206/

Report completeness: Medium

Actors/Campaigns:
Purecoder

Threats:
Vipersoftx
Quasar_rat
Purerat
Purehvnc_tool
Clipbanker
Venomsoftx
Tesseract_stealer
Purelogs
Hvnc_tool
Purecryptor
Xmrig_miner
Coinminer

Victims:
Cryptocurrency users

Geo:
Korea

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.005, T1056.001, T1057, T1059.001, T1071.004, T1083, T1105, T1112, have more...

IOCs:
Hash: 5
Url: 5
Domain: 5
IP: 5

Soft:
KeePass, 1Password, task scheduler

Crypto:
monero

Algorithms:
md5

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленник ViperSoftX устанавливает майнер монет Monero и троян удаленного доступа (RAT) на скомпрометированные системы, избегая обнаружения путем Маскировки под законное программное обеспечение. Он использует планировщик задач для выполнения вредоносных скриптов PowerShell и использует алгоритм генерации домена для закрепления C&C. Вредоносное ПО также включает в себя возможности манипулирования буфером обмена и использует дополнительные RAT, такие как QuasarRAT и PureRAT, для получения широкого контроля и извлечения конфиденциальной информации у жертв.
-----

Злоумышленник ViperSoftX использует сложные методы для установки майнера монет Monero на скомпрометированные системы наряду с возможностями трояна удаленного доступа (RAT), присущими вредоносному ПО. Впервые обнаруженный в 2020 году, ViperSoftX маскируется под легальное программное обеспечение, в основном распространяемое в виде кряков или генераторов ключей и даже под видом электронных книг. Это вредоносное ПО не только облегчает кражу адресов криптовалютных кошельков, но и эволюционировало, включив в себя дополнительные функции, такие как манипулирование буфером обмена и возможность установки других вредоносных программ.

Недавний анализ, проведенный исследователями кибербезопасности, показывает, что ViperSoftX использует планировщик задач в зараженных системах для выполнения вредоносного сценария PowerShell. Этот сценарий обычно включает в себя чтение зашифрованных смещений в замаскированных файлах или выполнение команд, хранящихся в системном реестре. Инфраструктура командования и контроля (C&C) злоумышленника продолжает использовать методы алгоритма генерации доменов (DGA) и использование TXT-записей DNS для поддержания закрепления в процессе заражения.

В дополнение к ViperSoftX злоумышленники используют QuasarRAT и PureRAT для получения удаленного контроля над зараженными устройствами. QuasarRAT - это инструмент с открытым исходным кодом, построенный на .NET, позволяющий осуществлять широкий контроль над процессами и выполнением удаленных команд, в то время как PureRAT включает возможности для Регистрации нажатий клавиш и перехвата буфера обмена, что расширяет возможности злоумышленников по сбору конфиденциальной информации. Комбинация этих инструментов позволяет злоумышленникам сохранять обширный контроль и извлекать ценные пользовательские данные.

Функциональность ViperSoftX расширилась благодаря недавнему добавлению возможностей майнинга. Внутренние конфигурации, связанные с XMRig в вредоносном ПО, предполагают, что он не только служит загрузчиком дополнительного вредоносного ПО, но и активно добывает монеты Monero, используя ресурсы зараженной системы. Это свидетельствует о более широкой тенденции в тактике киберпреступников, где все более распространенной становится двойная цель - сохранение доступа и получение дохода с помощью криптомайнинга.

Таким образом, ViperSoftX и связанное с ним вредоносное ПО представляют значительный риск для пользователей, особенно тех, кто имеет дело с криптовалютой. Постоянные методы распространения и развивающиеся функциональные возможности подчеркивают существующий ландшафт угроз, в котором злоумышленники постоянно адаптируются к использованию уязвимостей для получения финансовой выгоды, ставя под угрозу безопасность пользователей.

#ParsedReport #CompletenessLow
25-11-2025

Matrix Push C2 abuses browser notifications to deliver phishing and malware

https://www.malwarebytes.com/blog/news/2025/11/matrix-push-c2-abuses-browser-notifications-to-deliver-phishing-and-malware

Report completeness: Low

Victims:
General internet users

ChatGPT TTPs:
do not use without manual check
T1204.001, T1566.002

Soft:
TikTok, Chrome, Opera, Android

Wallets:
metamask

Platforms:
apple

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберпреступники используют push-уведомления браузера для распространения кампаний фишинга и вредоносного ПО, используя разрешения таких браузеров, как Chrome, Opera и Edge. Инструмент Matrix Push C2 помогает справиться с этой угрозой, позволяя злоумышленникам обходить традиционную систему безопасности, предлагая пользователям переходить по Вредоносным ссылкам или загружать вредоносные файлы в рамках, казалось бы, законных уведомлений. Эта тактика позволяет осуществлять дальнейшую эксплуатацию, включая сбор учетных записей и установку вредоносного ПО.
-----

Киберпреступники используют push-уведомления браузера для облегчения распространения кампаний фишинга и вредоносного ПО. Этот метод использует преимущества разрешений, предоставляемых такими браузерами, как Chrome, Opera и Edge, для доставки сообщений непосредственно пользователям. Уведомления предназначены для имитации законных предупреждений, обманом заставляя пользователей переходить по Вредоносным ссылкам или загружать вредоносные файлы, тем самым ставя под угрозу их системы.

В частности, Matrix Push C2 стал выдающимся инструментом в борьбе с этим типом киберугроз. Используя push-уведомления, злоумышленники могут обойти традиционные меры безопасности, которые не обеспечивают тщательного мониторинга взаимодействий на уровне браузера. Как только жертва взаимодействует с этими уведомлениями, она может быть перенаправлена на сайты фишинга, нацеленные на сбор учетных данных, или получить запрос на загрузку вредоносного ПО, что приведет к дальнейшей эксплуатации.

Чтобы снизить риски, связанные с таким подходом, пользователи могут настроить настройки своего браузера таким образом, чтобы блокировать уведомления. Например, в Chrome пользователи могут перейти в раздел "Настройки", затем "Конфиденциальность и безопасность", а затем "Настройки сайта", где они могут полностью отключить уведомления. Этот процесс аналогичен в Opera и Microsoft Edge, что выделяет единую тему среди современных браузеров с точки зрения управления разрешениями на уведомления.

По мере развития этой тактики как для конечных пользователей, так и для организаций становится все более важным сохранять бдительность в отношении подобных угроз, понимая, что уведомления, кажущиеся законными, не всегда могут быть безопасными. Признание потенциальной возможности злоупотреблений функциями браузера может привести к совершенствованию методов защиты от такого фишинга и способов доставки вредоносного ПО.

#ParsedReport #CompletenessMedium
25-11-2025

Restless VasyGrek: F6 studied the attacker's August-November 2025 attacks

https://www.f6.ru/blog/vasygrek-new-attacks-2025/

Report completeness: Medium

Actors/Campaigns:
Fluffy_wolf (motivation: cyber_criminal)
Purecoder
Sticky_werewolf

Threats:
Pay2key
Burnsrat
Purecryptor
Purelogs
Purehvnc_tool
Cryptojacker
Meta_stealer
Teamviewer_tool
Redline_stealer
Avemaria_rat
Purerat
Stego_loader
Ozone
Darktrack

Victims:
Russian companies, Financial sector

Industry:
Foodtech, Financial, Energy, Entertainment

Geo:
Russian

ChatGPT TTPs:
do not use without manual check
T1055, T1071.001, T1218, T1566, T1573, T1583.001

IOCs:
File: 69
Url: 54
Path: 2
Domain: 10
IP: 22
Registry: 1
Hash: 86

Algorithms:
sha1, base64

Languages:
powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
VasyGrek, русскоязычная хакерская группировка, действующая с 2016 года, использует кампании фишинга, нацеленные на различные сектора, используя мошеннические электронные письма, напоминающие финансовые учреждения. Недавняя активность выявила развертывание PureHVNC, троянца удаленного доступа (RAT), который запускался через .библиотека dll внутри RegAsm.exe процесс, демонстрирующий методичный подход к уклонению и закреплению. Параметры конфигурации атаки являются индикаторами компрометации, подчеркивая опыт VasyGrek's в области внедрения вредоносного ПО и эксплуатации системы.
-----

VasyGrek, русскоязычная хакерская группировка, действующая как минимум с 2016 года, нацелена на различные сектора в России с помощью изощренных методов фишинга и способов доставки вредоносного ПО. Злоумышленник обычно использует мошеннические кампании по электронной почте, которые представляют финансовые организации, чтобы привлечь жертв. Недавнее расследование, проведенное F6 Threat Intelligence, выявило подробную информацию об операциях VasyGrek с августа по ноябрь 2025 года, включая технические особенности и признаки компрометации.

В течение анализируемого периода одним из ключевых компонентов методологии атаки VasyGrek's было использование exe-файла, который выполняется через .библиотека dll. Кульминацией атак стал инцидент 13 ноября 2025 года, когда была развернута полезная нагрузка с именем PureHVNC, классифицированная как троян удаленного доступа (RAT). Аналитики угроз отметили, что это сложное вредоносное ПО было внедрено в RegAsm.exe процесс, законный системный исполняемый файл, что указывает на злонамеренное намерение вмешаться в обычные системные операции и избежать обнаружения.

Параметры конфигурации, связанные с полезной нагрузкой PureHVNC, включают в себя критическую инфраструктуру, такую как IP-адреса командования и контроля (C2), имена мьютексов, номера портов и SSL-сертификаты, любой из которых может служить индикатором компрометации для организаций, отслеживающих вредоносные действия. Это подчеркивает методичный подход VasyGrek's к закреплению и скрытности в своих операциях, отражающий глубокое понимание развертывания вредоносного ПО и эксплуатации системы.

#ParsedReport #CompletenessHigh
25-11-2025

Russian RomCom Utilizing SocGholish to Deliver Mythic Agent to U.S. Companies Supporting Ukraine

https://arcticwolf.com/resources/blog/romcom-utilizing-socgholish-to-deliver-mythic-agent-to-usa-companies-supporting-ukraine/

Report completeness: High

Actors/Campaigns:
Ta569 (motivation: financially_motivated, cyber_criminal)
Void_rabisu
Evil_corp

Threats:
Romcom_rat
Socgholish_loader
Mythic_c2
Vipertunnel
Dridex
Lockbit
Obf-io_tool
Raspberry_robin

Victims:
Engineering, Civil engineering, Organizations supporting ukraine

Industry:
Military, Government

Geo:
Russia, Ukrainian, Russian, Ukraine

TTPs:
Tactics: 6
Technics: 7

IOCs:
File: 3
Domain: 12
Url: 1
IP: 9
Hash: 1

Soft:
Chrome, Firefox, Microsoft Teams, Flash Player, Active Directory

Algorithms:
sha256, md5, aes

Languages:
python, javascript, powershell

Platforms:
intel

Links:
have more...
https://github.com/ben-sb/obfuscator-io-deobfuscator
https://github.com/MythicC2Profiles/dynamichttp

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Связанная с Россией хакерская группировка RomCom была идентифицирована с использованием фреймворка вредоносного ПО SocGholish, нацеленного на американскую компанию, связанную с Украиной, что стало первым зарегистрированным использованием полезной нагрузки RomCom's через SocGholish. Атака включала доставку загрузчика Mythic Agent примерно через десять минут после первоначального взлома через сеть SocGholish, которая использует легальные веб-сайты для установки вредоносного ПО. Методы RomCom's отражают возможности, типичные для акторов национальных государств, использующих сложную тактику для достижения долгосрочного доступа к сетям, соответствующим их политическим целям.
-----

Недавнее выявление американской компании, на которую нацелилась связанная с Россией хакерская группировка RomCom, использующая фреймворк вредоносного ПО SocGholish, подчеркивает меняющийся ландшафт киберугроз. Этот инцидент знаменует собой первое зарегистрированное использование полезной нагрузки RomCom, распространяемой через SocGholish, метод, обычно используемый злоумышленником TA569, известным своими финансово мотивированными атаками.

В сентябре 2025 года произошла последовательность событий, когда примерно через 10 минут после первоначального использования с помощью знакомой цепочки атак SocGholish полезная нагрузка RomCom, идентифицированная как загрузчик агента Mythic, была доставлена в скомпрометированную систему. SocGholish известен как механизм доставки вредоносного ПО, в основном распространяющий поддельные обновления программного обеспечения, которые используют скомпрометированные законные веб-сайты для внедрения вредоносного JavaScript. В случае успеха этот метод позволяет устанавливать загрузчики, которые в дальнейшем загружают дополнительные полезные данные, облегчая долгосрочный доступ к уязвимой сети.

RomCom, также известный под несколькими псевдонимами, включая Storm-0978 и Tropical Scorpius, действует с середины 2022 года и нацелен преимущественно на организации, связанные с Украиной или ее системами поддержки, демонстрируя четкое соответствие политическим целям. Группа использует изощренную тактику и демонстрирует возможности, типичные для акторов национальных государств, что свидетельствует об их закреплении и техническом мастерстве.

TA569 приобрел дурную славу благодаря внедрению SocGholish и характеризуется как брокер первоначального доступа (IAB). Он использует законные сайты, используя методы обмана, при которых вредоносное ПО доставляется под видом обновлений браузера для таких известных приложений, как Chrome или Firefox. Их методология сводит к минимуму время ожидания, позволяя быстро скомпрометировать систему с последующим внедрением вредоносного ПО или программ-вымогателей среди жертв.

Конкретный загрузчик, задействованный в данном случае, обозначается msedge.dll , предназначен для проверки рабочего домена перед выполнением полезной нагрузки, которая в данном случае подключена к агенту Mythic. Кроме того, подключенная инфраструктура также выявила совпадающие характеристики с другими операциями, что свидетельствует о жестко контролируемой среде командования и контроля.

Выявленная цель, строительная фирма в США, имела связи с организациями, оказывающими помощь Украине, что соответствует стратегическим предпочтениям RomCom в отношении таргетинга. К счастью, эта попытка была пресечена защитными механизмами Arctic Wolf, продемонстрировавшими важность надежной защиты конечных точек в противодействии таким сложным векторам атак.

Эффективные стратегии устранения таких угроз, как SocGholish, включают в себя усиление защиты конечных точек, информирование пользователей о рисках поддельных запросов, введение строгого списка разрешенных приложений и поддержание актуального программного обеспечения. Поскольку ландшафт киберугроз продолжает развиваться, организациям по-прежнему крайне важно внедрять комплексные меры безопасности и сохранять бдительность в отношении таких целенаправленных действий.

#ParsedReport #CompletenessLow
25-11-2025

Canon Allegedly Breached by Clop Ransomware via Oracle E-Business Suite 0-Day Hack

https://cybersecuritynews.com/canon-breached-clop-ransomware-oracle-ebs-hack/

Report completeness: Low

Actors/Campaigns:
Ta505

Threats:
Clop
Maze

Victims:
Canon, Technology sector

CVEs:
CVE-2025-61882 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- oracle concurrent_processing (le12.2.14)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1588.005

IOCs:
IP: 2
Hash: 2

Algorithms:
sha256, zip

Languages:
python

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания Canon стала мишенью хакерской кампании, связанной с программой-вымогателем Clop, использующей критическую уязвимость CVE-2025-61882 в пакете Oracle E-Business Suite для zero-day. Этот недостаток позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код, создавая значительные риски, такие как несанкционированный доступ к системе, развертывание вредоносного ПО и эксфильтрация данных. Инцидент подчеркивает растущую изощренность программ-вымогателей, использующих критические уязвимости.
-----

Canon подтвердила, что подверглась хакерской кампании, связанной с программой-вымогателем Clop, которая использовала критическую уязвимость zero-day в Oracle E-Business Suite (EBS). Конкретная уязвимость, идентифицированная как CVE-2025-61882, была описана как серьезный недостаток безопасности, который позволяет злоумышленникам, не прошедшим проверку подлинности, удаленно выполнять произвольный код на скомпрометированных серверах.

Этот тип эксплойта подчеркивает значительные риски, связанные с Oracle EBS, поскольку он позволяет злоумышленникам получать несанкционированный доступ к системам и потенциально внедрять вредоносное ПО или извлекать конфиденциальные данные. Учитывая природу программы-вымогателя Clop, которая известна тем, что шифрует данные жертв и требует выкуп за расшифровку, организациям, использующим Oracle EBS, следует уделить первоочередное внимание исправлению этой уязвимости и тщательной оценке своей системы безопасности для предотвращения подобных угроз в будущем.

Поскольку кампания демонстрирует растущую изощренность атак программ-вымогателей, использующих критические уязвимости, она служит напоминанием организациям о необходимости сохранять бдительность в отношении своих методов обеспечения безопасности, особенно при управлении исправлениями и мониторинге попыток несанкционированного доступа.

#ParsedReport #CompletenessLow
25-11-2025

Shai Huluds The Second Coming: New npm Campaign Hits Zapier, ENS, Postman

https://socradar.io/shai-hulud-the-second-coming-npm-campaign/

Report completeness: Low

Threats:
Shai-hulud
Trufflehog_tool
Supply_chain_technique

Victims:
Zapier, Ens domains, Asyncapi, Posthog, Postman, Open source ecosystem, Software development ecosystem

Industry:
Financial

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1021, T1041, T1078, T1105, T1190, T1195, T1199, T1550, T1552, T1553, have more...

IOCs:
File: 2

Languages:
javascript

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Новая волна атак, связанных с червем Shai Hulud npm, скомпрометировала около 492 пакетов npm, затронув такие известные проекты, как Zapier и Postman, с момента его обнаружения 24 ноября 2025 года. Этот самораспространяющийся червь использует уязвимости в экосистеме npm, позволяя злоумышленникам красть данные, получать доступ к конфиденциальной информации и публиковать вредоносные пакеты, тем самым угрожая рабочим процессам разработчиков. Кампания совпадает с предстоящим отзывом npm "классических токенов", что увеличивает риски для сопровождающих из-за небезопасных методов публикации.
-----

Появилась новая кампания, связанная с червем npm Shai Hulud, которая оказала значительное воздействие на различные громкие проекты, включая Zapier, ENS Domains, AsyncAPI, PostHog и Postman. Обнаруженная 24 ноября 2025 года, эта волна атак привела к троянизации примерно 492 пакетов npm, которые в совокупности получают около 132 миллионов загрузок каждый месяц. Атака использует уязвимости в экосистеме npm, нацеливаясь на библиотеки и инструменты, являющиеся неотъемлемой частью рабочих процессов разработчиков и автоматизации инфраструктуры.

Вариант Shai Hulud разработан как самораспространяющийся червь npm, обладающий скоординированными и стратегическими возможностями для проникновения и компрометации широко распространенных пакетов. Эта атака не только представляет непосредственный риск из-за кражи данных, но и позволяет злоумышленникам получить доступ к конфиденциальной информации, включая действительные секреты, которые могут привести к манипулированию или эксфильтрации закрытого исходного кода, публикации вредоносных пакетов под доверенными учетными записями и потенциальному перемещению внутри компании в рамках операций CI/CD.

Текущая волна совпадает с запланированным npm отзывом "классических токенов", запланированным на 9 декабря 2025 года, что затронет многих сопровождающих, которые еще не перешли на более безопасные методы публикации. Наличие долгоживущих токенов, оставшихся незащищенными, увеличивает риск эксплуатации в течение этого переходного периода.

Чтобы снизить риски, связанные с червем Shai Hulud, организациям рекомендуется выявлять и помечать версии пакетов npm, которые скомпрометированы, и предпринимать шаги по понижению версии или временному удалению этих пакетов из своих систем. По мере усиления угроз в Цепочке поставок решающее значение приобретает акцент на своевременном реагировании и повышении осведомленности об экосистеме. Службы безопасности должны сосредоточиться на раннем обнаружении утечек учетных данных, выявлении уязвимостей третьих лиц и мониторинге появляющихся показателей, связанных с такими кампаниями, как Shai Hulud, чтобы эффективно усилить свою защиту.

#ParsedReport #CompletenessMedium
25-11-2025

Build script exposes PyPI to domain takeover attacks

https://www.reversinglabs.com/blog/build-script-exposes-pypi-to-domain-takeover-attacks

Report completeness: Medium

Threats:
Supply_chain_technique

Victims:
Open source software ecosystem, Software supply chain

Industry:
Transport

CVEs:
CVE-2023-45311 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fsevents_project fsevents (<1.2.11)


ChatGPT TTPs:
do not use without manual check
T1059.006, T1105, T1190, T1195, T1204.002

IOCs:
Domain: 1
File: 3
Url: 1
Hash: 11

Soft:
Twitter

Algorithms:
sha1

Languages:
python

Links:
https://github.com/pypiserver/pypiserver/pull/642
have more...
https://github.com/tornadoweb/tornado/blob/master/maint/vm/windows/bootstrap.py
https://github.com/IMIO/imio.pm.locales/commit/a8976219d86de139388ff9892135661658aed7a1

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, code: 2, windows: 1