#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимости аутентификации NTLM остаются мишенью для хакерских группировок, которые используют различные методы атак, включая пересылку учетных данных, атаки на основе принуждения, утечку хэша и атаки man-in-the-middle (MitM). Недавние уязвимости, такие как CVE-2024-43451, CVE-2025-24054 и CVE-2025-33073, усугубляют эти угрозы, обеспечивая несанкционированный доступ и повышение привилегий в средах Windows, при этом отмечается, что такие группы, как BlindEagle APT, используют методы фишинга для распространения вредоносных полезных данных. Конкретные примеры включают атаки с использованием созданных файлов и модифицированного программного обеспечения для обхода аутентификации и утечки хэша, которые оказывают воздействие на организации в таких регионах, как Колумбия и Россия.
-----

Закрепление уязвимостей аутентификации NTLM продолжает привлекать хакерские группировки, которые используют многочисленные векторы атак. NTLM, протокол "запрос-ответ", используемый для аутентификации в средах Windows, подвержен целому ряду методов эксплойта из-за присущих ему конструктивных ограничений. Среди этих методов - пересылка учетных данных, атаки на основе принуждения, утечка хэша и атаки man-in-the-middle (MitM), все из которых используют отсутствие в протоколе современных мер безопасности.

Утечка хэша обычно возникает из-за созданных файлов или Вредоносных ссылок, которые вызывают автоматическую проверку подлинности NTLM на ресурсах, контролируемых злоумышленником, что позволяет пассивно использовать хэши аутентификации. Атаки, основанные на принуждении, которые не требуют взаимодействия с пользователем, используют такие инструменты, как PetitPotam, чтобы заставить целевую систему инициировать аутентификацию в службе злоумышленника, позволяя перехватывать и ретранслировать хэши аутентификации. Переадресация учетных данных также позволяет злоумышленникам выдавать себя за пользователей в разных системах, используя ранее захваченные токены NTLM, используя метод Pass-the-Hash без использования оригинальных паролей, особенно распространенный в средах с неправильно настроенными процессами единого входа.

Недавние уязвимости усилили эти риски, включая CVE-2024-43451, которые могут привести к утечке хэшей паролей NTLMv2 при минимальном взаимодействии с пользователем. Эта уязвимость была использована в недавней атаке APT-группировки BlindEagle, нацеленной на колумбийские организации, где они использовали тактику фишинга для доставки модифицированного Remcos RAT через созданные файлы .url. Соответствующая инфраструктура позволяла осуществлять прямое взаимодействие с сервером WebDAV, контролируемым злоумышленниками.

Мошенничество, использующее CVE-2025-24054, уязвимость, связанную с утечкой хэша NTLM в различных версиях Windows, показывает, как созданные файлы могут инициировать запросы аутентификации, тем самым компрометируя учетные данные. Примечательно, что в России были обнаружены атаки с использованием обманчивых ZIP-файлов, содержащих вредоносное ПО.библиотека - файлы ms, которые запрашивали аутентификацию NTLM на серверах, контролируемых злоумышленником.

CVE-2025-33073 - еще одна значительная уязвимость, позволяющая прошедшим проверку подлинности злоумышленникам манипулировать аутентификацией SMB, что приводит к повышению привилегий путем принуждения системы жертвы к повторной аутентификации самой себя. Это было замечено в подозрительной деятельности в финансовом секторе Узбекистана.

#ParsedReport #CompletenessMedium
26-11-2025

Bloody Wolf: A Blunt Crowbar Threat To Justice

https://www.group-ib.com/blog/bloody-wolf/

Report completeness: Medium

Actors/Campaigns:
Bloody_wolf

Threats:
Spear-phishing_technique
Netsupportmanager_rat
Strrat
Credential_stealing_technique

Victims:
Government institutions, It and telecommunications, Financial entities, Private organizations, Commercial organizations

Industry:
Education, Military, Government, Financial, Healthcare, Telco

Geo:
Asian, Russia, Kyrgyzstan, Russian, Uzbekistan, Kazakhstan, Asia

TTPs:
Tactics: 5
Technics: 10

IOCs:
File: 2
Path: 3
Command: 3
Registry: 2
Hash: 62
Domain: 11

Soft:
Linux

Algorithms:
sha256

Functions:
createTempFiles

Languages:
java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Bloody Wolf - APT-группировка, действующая с конца 2023 года, нацеленная на Центральную Азию и Россию с помощью Целевых фишингов кампаний, которые выдают себя за правительственные учреждения, в первую очередь Министерства юстиции. Цепочка их атак начинается с вредоносных PDF-вложений, ведущих к загрузке JAR-файлов, которые служат загрузчиками ПО для удаленного доступа. Первоначально используя вредоносное ПО STRRAT, они теперь используют законное программное обеспечение NetSupport Manager для несанкционированного доступа и эксфильтрации данных, демонстрируя свою способность использовать надежные технологии против различных секторов, включая правительство и финансы.
-----

Bloody Wolf - это APT-группировка, занимающаяся распространением устойчивых угроз, которая действует с конца 2023 года и продолжит действовать в 2025 году, особенно в Центральной Азии и России. Тактика группы включает в себя кампании по Целевому фишингу, в ходе которых они выдают себя за правительственные учреждения, в частности Министерства юстиции, чтобы завоевать доверие своих жертв. С помощью этого метода они распространяют вредоносные PDF-вложения, которые приводят к запуску цепочки их атак.

Их цепочка заражения начинается с Целевого фишинга по электронной почте, содержащей PDF-файл, содержащий Вредоносные ссылки, замаскированные под "материалы дела". При обращении к этим ссылкам запускается загрузка файла Java Archive (JAR), который действует как загрузчик для дополнительного вредоносного ПО, в частности ПО для удаленного доступа. Использование JAR-файлов, созданных с помощью пользовательского генератора, позволяет Bloody Wolf избегать обнаружения антивирусом из-за их небольшого размера и использования Java, устоявшейся технологии с присущей ей легитимностью.

Первоначально Bloody Wolf использовал коммерческое вредоносное ПО STRRAT в своих кампаниях; однако в последнее время деятельность переключилась на использование законного программного обеспечения NetSupport Manager. Этот инструмент обычно используется для удаленного управления в различных секторах, включая образование и здравоохранение, но в руках злоумышленников он облегчает несанкционированный удаленный доступ и эксфильтрацию данных. Использование группой такого коммерчески доступного программного обеспечения показывает, как обычные инструменты могут быть перепрофилированы для злонамеренных целей.

Основными отраслями, на которые нацелен Bloody Wolf, являются государственные учреждения, сектор информационных технологий и телекоммуникаций, финансовые организации, а также частные и коммерческие структуры. Стратегия группы не только подчеркивает их технические возможности, но и демонстрирует их понимание социальной инженерии; используя надежность государственных органов, они повышают вероятность успешных попыток фишинга.

Для предотвращения заражения организациям рекомендуется внедрять строгие меры контроля, такие как блокирование выполнения файла JAR, отключение Java runtime в средах, где это не является необходимым, и применение строгих методов проверки вложений PDF в электронной почте. Кроме того, обучение сотрудников распознавать неожиданные официальные сообщения и осторожно реагировать на них имеет решающее значение для предотвращения подобных атак.

#ParsedReport #CompletenessLow
25-11-2025

Malicious Chrome Extension Injects Hidden SOL Fees Into Solana Swaps

https://socket.dev/blog/malicious-chrome-extension-injects-hidden-sol-fees-into-solana-swaps

Report completeness: Low

Threats:
Supply_chain_technique

Victims:
Cryptocurrency traders, Solana users

TTPs:
Tactics: 2
Technics: 4

IOCs:
File: 3
Domain: 2

Soft:
Chrome, Raydium, Twitter

Wallets:
solflare

Crypto:
solana

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное расширение Chrome Crypto Copilot нацелено на трейдеров Solana, манипулируя свопами Raydium для введения скрытых комиссий, действуя на уровне построения транзакций. Он включает в себя жестко заданную плату за платформу и использует инструкцию SystemProgram.transfer для перекачивания средств, вводя пользователей в заблуждение и заставляя их подписывать законные транзакции. Дизайн расширения позволяет широко отслеживать действия пользователей и потенциальное использование без необходимости обновлений, что вызывает серьезные опасения у пользователей по поводу безопасности.
-----

Недавнее исследование, проведенное компанией Socket, выявило вредоносное расширение для Chrome, известное как Crypto Copilot, которое нацелено на трейдеров Solana, манипулируя свопами Raydium для введения скрытых платежей SOL. Это расширение маскируется под инструмент, предназначенный для удобства, утверждая, что оно облегчает обмен данными непосредственно из Twitter, однако скрывает свои вредоносные действия, не раскрывая никаких дополнительных сборов или переводов в рамках своего маркетинга.

Вредоносный механизм работает на уровне построения транзакций расширения. После сборки инструкций по обмену для Raydium расширение вычисляет жестко заданную плату платформы и добавляет к транзакции инструкцию SystemProgram.transfer. Этот метод позволяет злоумышленнику перекачивать криптовалюту, направляя нераскрытую комиссию на свой кошелек, и все это при получении подписи пользователя под предлогом совершения законной сделки.

Архитектура расширения вызывает беспокойство, поскольку оно включает жестко закодированный ключ API Helius и ссылается на несколько узлов RPC. Несмотря на то, что создание свопа происходит на стороне клиента, дизайн предоставляет оператору значительную информацию о действиях пользовательского кошелька, включая подключенные учетные записи и поведение в торговле. Кроме того, этот централизованный серверный интерфейс позволяет оператору изменять логику или ответы на стороне сервиса без необходимости обновления расширения, расширяя возможности потенциального использования.

Для пользователей, участвующих в сделках Solana, крайне важно внимательно ознакомиться с инструкциями по транзакции перед подписанием, особенно в поисках любых неожиданных инструкций по системной программе.transfer. Рекомендуется избегать торговых расширений с закрытым исходным кодом, которые запрашивают разрешения на подпись, и удалять любые потенциально скомпрометированные расширения, такие как Crypto Copilot, с последующим переносом активов на неподключенные чистые кошельки. Пользователи должны убедиться, что расширения кошелька устанавливаются исключительно со страниц проверенных издателей, а не со случайных результатов поиска в интернет-магазине Chrome.

Командам безопасности рекомендуется использовать инструменты, которые анализируют поведение и потоки данных в расширениях браузера, выявляя манипулятивные методы и блокируя обновления, обнаруживающие признаки злонамеренного намерения, прежде чем они смогут повлиять на конечных пользователей. Инцидент согласуется с различными методами, описанными в MITRE ATT&CK framework, особенно в отношении Компрометации цепочки поставок, расширений браузера, выполнения JavaScript, запутанной информации и Кражи денежных средств.

#ParsedReport #CompletenessMedium
26-11-2025

Dark Web Profile: Berserk Bear

https://socradar.io/dark-web-profile-berserk-bear/

Report completeness: Medium

Actors/Campaigns:
Energeticbear (motivation: financially_motivated, cyber_espionage)
Sandworm
Static_tundra

Threats:
Havex_rat
Teamspy
Teamviewer_tool
Watering_hole_technique
Supply_chain_technique
Oldrea
Synful_knock
Passthehash_technique
Credential_dumping_technique
Hydra
Crackmapexec_tool
Mimikatz_tool
Secretsdump_tool
Spear-phishing_technique
Credential_harvesting_technique

Victims:
Critical infrastructure, Energy sector, Utilities, Government agencies, Municipal networks, Aviation systems, Telecommunications infrastructure, Academic and research institutions

Industry:
Energy, Ics, Education, Critical_infrastructure, Aerospace, Government, Telco

Geo:
America, Russian, Hungarian

CVEs:
CVE-2020-1472 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_1903 (*)
- microsoft windows_server_1909 (*)
- microsoft windows_server_2004 (-)
- microsoft windows_server_2008 (r2)
- microsoft windows_server_2012 (-, r2)
have more...
CVE-2011-0611 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe flash_player (<10.2.154.27)

CVE-2018-0171 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- cisco ios (15.2\(5\)e)


TTPs:
Tactics: 9
Technics: 58

IOCs:
File: 4

Soft:
PsExec, Outlook

Languages:
python, powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, chart: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Berserk Bear, спонсируемая российским государством шпионская группировка, связанная с ФСБ, фокусируется на проникновении в критически важную инфраструктуру, особенно в энергетическом и коммунальном секторах, используя многоэтапные кампании, в которых особое внимание уделяется скрытности. Их тактика включает в себя фишинг, компрометацию supply-chain и использование уязвимостей в ключевых Сетевых устройствах, в частности, нацеленных на правительственные и муниципальные системы. Известные методы включают обнаружение Доменных учетных записей, манипулирование учетными данными и использование таких инструментов, как Mimikatz, демонстрирующих возможность постоянного доступа и эксфильтрации конфиденциальных данных.
-----

Berserk Bear - спонсируемая российским государством группа кибершпионажа, связанная с ФСБ, известная своей долгой историей проведения киберопераций, начиная как минимум с 2010 года. Группа была идентифицирована под несколькими псевдонимами, включая Dragonfly, Energetic Bear, Havex и Crouching Yeti, и сосредоточилась на проникновении в критически важную инфраструктуру, особенно в энергетическом и коммунальном секторах. Их деятельность эволюционировала и включает в себя нацеливание на правительственные учреждения, муниципальные сети, транспортные системы, телекоммуникации и академические учреждения.

Оперативная стратегия группы включает в себя проведение многоэтапных шпионских кампаний, характеризующихся терпеливым прогрессированием и сильным акцентом на скрытность. Berserk Bear использует комбинацию методов для получения доступа к системам, включая фишинг, компрометацию supply-chain и использование уязвимостей в основных Сетевых устройствах. Такая тактика позволяет им проникать в промышленные системы управления (ICS) и операционные технологические сети, где они проводят разведку, собирают конфиденциальные данные, такие как конструкторская документация и учетные данные, и поддерживают долгосрочный доступ.

Атаки Berserk Bear's отражены в различных тактиках, техниках и процедурах (TTP), описанных в рамках MITRE ATT&CK. Заслуживающие внимания методы включают обнаружение Доменных учетных записей, где для перечисления пользователей используются пакетные сценарии, а также манипулирование учетными данными, позволяющее добавлять учетные записи в группы администраторов. Они используют интерпретаторы командной строки, использующие скрипты PowerShell и Python для выполнения команд. Группа также обладает опытом эксплуатации общедоступных приложений, успешно устраняя уязвимости в таких системах, как Citrix и Exchange. Кроме того, было замечено, что они используют целый ряд вредоносных инструментов, включая Mimikatz и CrackMapExec для credential Dumping и перемещения внутри компании.

Механизмы закрепления группы обозначаются такими действиями, как создание разделов реестра для автозапуска и использование запланированных задач для облегчения текущего доступа. Они также используют различные методы фишинга, нацеливаясь на отдельных лиц с помощью Целевого фишинга с вложениями и ссылок, предназначенных для сбора учетных данных. Для эксфильтрации данных Berserk Bear сжимает собранную информацию в файлы, часто используя SMB для связи командования и контроля.

Что касается защиты, организациям рекомендуется усилить точки входа в сети, внимательно следить за признаками долгосрочных вторжений и усилить защиту от обычной тактики, применяемой Berserk Bear, чтобы снизить риск, создаваемый этим актором-носителем сложной целенаправленной угрозы.

#ParsedReport #CompletenessLow
26-11-2025

VSCode Marketplace Hit by Rogue Prettier Extension Delivering Anivia Stealer

https://gbhackers.com/vscode-marketplace-2/

Report completeness: Low

Threats:
Anivia

Victims:
Software developers, Vscode users

Industry:
E-commerce, Education

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1036, T1041, T1059, T1195, T1204

IOCs:
File: 1

Soft:
VSCode, Twitter, WhatsApp, Visual Studio Code

Algorithms:
base64, aes

Languages:
powershell, swift

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Для доставки вредоносного ПО-стиллера Anivia было использовано вредоносное расширение Маскировки под "более симпатичный" форматировщик в Visual Studio Code Marketplace. Эта многоэтапная атака, разработанная для обхода стандартных мер безопасности, была направлена на сбор конфиденциальных учетных данных для входа в систему и личных данных, включая частные чаты WhatsApp. Инцидент подчеркивает значительные угрозы, исходящие от вредоносного программного обеспечения сторонних производителей, нацеленного на разработчиков, и сложности, связанные с такими уклончивыми атаками вредоносного ПО.
-----

Недавний инцидент, связанный с торговой площадкой Visual Studio Code (VSCode), высветил значительную киберугрозу, когда вредоносное расширение, выдававшее себя за популярное средство форматирования "Красивее", использовалось для доставки вредоносного ПО-стиллера Anivia. Это мошенническое расширение, названное "prettier-vscode-plus", было ненадолго доступно на официальном маркетплейсе и предназначалось для разработчиков, стремясь получить конфиденциальные учетные данные для входа в систему и личные данные из их систем.

В ходе атаки используется многоэтапный и обходной подход, который особенно примечателен, поскольку он предназначен для обхода обычных мер безопасности. Такая сложность как в процессе заражения, так и в процессе выполнения указывает на хорошо спланированный механизм атаки, позволяющий избежать обнаружения стандартными сканерами безопасности.

После запуска вредоносное ПО-стиллер Anivia умеет извлекать ценную информацию, захватывая не только учетные данные для входа в систему, но и системные метаданные и личные данные, включая личные чаты WhatsApp. Цель, стоящая за этим широким сбором данных, подчеркивает серьезность угрозы, поскольку она направлена на то, чтобы скомпрометировать как профессиональные, так и личные аспекты скомпрометированных систем.

Этот инцидент служит напоминанием о постоянных рисках, связанных со сторонним программным обеспечением и расширениями в средах разработки, подчеркивая необходимость повышенной бдительности и надежных мер безопасности против таких целенаправленных атак.

#ParsedReport #CompletenessLow
26-11-2025

Discord Bot backdoor malware from the UNC5174 group

https://asec.ahnlab.com/ko/91228/

Report completeness: Low

Actors/Campaigns:
Unc5174

Threats:
Vshell
Discord_c2_technique

Victims:
Unspecified organizations

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1053, T1059, T1071.001, T1105, T1219

IOCs:
Coin: 2

Soft:
Discord

Algorithms:
base64, md5, aes

Functions:
AddHandler

Languages:
golang

Links:
https://translate.google.com/website?sl=auto&tl=en&hl=ru&client=webapp&u=https://github.com/bwmarrin/discordgo

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа UNC5174 использует бэкдор - вредоносное ПО, использующее Discord API для своих операций командования и контроля (C2), что позволяет осуществлять постоянный контроль над скомпрометированными системами. Первоначально они используют установленные бэкдоры, такие как vshell, для получения доступа, а затем внедряют более скрытые варианты, чтобы избежать обнаружения. Эта стратегия иллюстрирует их адаптивные методы и подчеркивает тенденцию использования законных платформ для вредоносных действий.
-----

Была идентифицирована группа UNC5174, использующая бэкдор вредоносного ПО, которая использует Discord API для создания системы командования и контроля (C2). Этот инновационный подход позволяет злоумышленникам сохранять постоянный контроль над скомпрометированными системами, используя методологию, которая предполагает последовательное развертывание различных типов бэкдоров после первоначального взлома. Первоначально эти злоумышленники получают доступ к своим целям, используя установленные бэкдоры, такие как vshell. После этого первоначального доступа группа впоследствии внедряет новые варианты бэкдоров, которые предназначены для более эффективного уклонения от обнаружения.

Как показывает анализ взломов, эта тактика не только подчеркивает способность группы адаптировать свои методы, но и указывает на более масштабные стратегические усилия по обеспечению долгосрочного доступа к скомпрометированным сетям. Сначала используя более заметный бэкдор, а затем обновляясь до более скрытой версии, UNC5174 демонстрирует понимание операционной безопасности и закрепления угроз. Использование Discord для операций C2 особенно примечательно, поскольку оно использует преимущества законной инфраструктуры для маскировки вредоносных действий, что указывает на растущую тенденцию среди злоумышленников использовать широко используемые платформы в целях сокрытия.

#ParsedReport #CompletenessMedium
26-11-2025

Zscaler Threat Hunting Discovers and Reconstructs a Sophisticated Water Gamayun APT Group Attack

https://www.zscaler.com/blogs/security-research/water-gamayun-apt-attack

Report completeness: Medium

Actors/Campaigns:
Encrypthub

Threats:
Eviltwin_technique
Credential_harvesting_technique
Silentprism
Darkwisp
Rhadamanthys

Victims:
Enterprise networks, Government networks

Industry:
Government

Geo:
Russia, Russian

CVEs:
CVE-2025-26633 [Vulners]
CVSS V3.1: 7.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_10_1507 (<10.0.10240.20947)
- microsoft windows_10_1607 (<10.0.14393.7876)
- microsoft windows_10_1809 (<10.0.17763.7009)
- microsoft windows_10_21h2 (<10.0.19044.5608)
- microsoft windows_10_22h2 (<10.0.19045.5608)
have more...

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1036.003, T1055, T1059.001, T1068, T1105, T1140, T1190, T1202, T1204.001, have more...

IOCs:
File: 4
Domain: 1
Url: 2
IP: 1
Hash: 6

Soft:
UnRAR

Algorithms:
base64, md5

Functions:
TaskPad

Languages:
powershell, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Water Gamayun, предположительно российского происхождения, осуществила многоэтапную кибератаку, используя скомпрометированный законный веб-сайт и похожий домен. Ключевые методы включали использование полезной нагрузки RAR с двойным расширением, замаскированной под PDF, использование уязвимости Windows MMC (CVE-2025-26633) для внедрения кода и последующее выполнение скрытых полезных нагрузок PowerShell. Эта группа специализируется на скрытных кампаниях по краже информации, нацеленных на конфиденциальные данные с помощью социальной инженерии и усовершенствованных методик атак, включая эксплойты zero-day и пользовательские трояны удаленного доступа (RAT).
-----

Недавний анализ многоэтапной кибератаки, приписываемой APT-группировке Water Gamayun, выявил несколько сложных методов, используемых для успешной компрометации целей. Первоначальное нарушение было вызвано взломом законного веб-сайта и домена-двойника. Злоумышленники использовали полезную нагрузку RAR с двойным расширением, замаскированную под PDF-файл, что воспользовалось доверием пользователей. Критически важным для этой атаки было использование уязвимости Windows MMC, в частности CVE-2025-26633, которая позволяла внедрять вредоносный код в законный mmc.exe процесс. Эта эксплуатация позволяла выполнять скрытые полезные нагрузки PowerShell, эффективно скрывая вредоносные действия от обнаружения пользователем.

Реконструкция, предоставленная командой Zscaler по поиску угроз, выявила сложную схему атаки, использующую команды, относящиеся к конкретной задаче, в консоли управления Microsoft (MMC) для инициирования этапов вредоносного по с использованием многоуровневых методов запутывания. Чтобы сохранить видимость законного взаимодействия с пользователем, был развернут поддельный документ, и злоумышленники использовали защищенный паролем архив наряду с небольшим .Класс NET, предназначенный для скрытия процессов. Деятельность группы компаний "Water Gamayun" демонстрирует уникальное мастерство, характеризующееся обфускацией сигнатур, двухсторонней инфраструктурой и специфической тактикой социальной инженерии.

Water Gamayun, идентифицированная как вероятная российская APT-группировка, стала заметным злоумышленником, специализирующимся на тайных кампаниях по краже информации, нацеленных как на правительственные, так и на корпоративные сети. Их основное внимание уделяется эксфильтрации конфиденциальных данных, сбору учетных записей и поддержанию долговременного закрепления с использованием пользовательских троянов удаленного доступа (RAT). За прошедший год группа усовершенствовала свою методологию атак, в частности, включив использование zero-day и выполнение доверенных двоичных прокси-серверов для эффективного обхода современных средств защиты от кибербезопасности.

Приписывание этой конкретной кампании Water Gamayun подкрепляется последовательными выводами по целому ряду доказательных источников, включая наблюдаемые тактики, методы и процедуры (TTP). Аналитики Zscaler используют эти данные для упреждающего поиска возникающих угроз и индикаторов, связанных с поведением противника. Их подход к расследованию включает в себя проверку загрузок с вводящими в заблуждение расширениями файлов, мониторинг сетевого трафика на подозрительные домены и тщательное изучение использования доверенных двоичных файлов при выполнении вредоносных задач.

#ParsedReport #CompletenessHigh
26-11-2025

FlexibleFerret malware continues to strike

https://www.jamf.com/blog/flexibleferret-malware-continues-to-adapt/

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Flexibleferret
Terminalfix_technique

Victims:
Job seekers

Industry:
Financial

Geo:
Dprk

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1056.003, T1059, T1059.007, T1071.001, T1105, T1189, T1204, T1566, T1567.002, have more...

IOCs:
Domain: 5
Url: 9
File: 3
Hash: 9
IP: 1

Soft:
macOS, curl, Chrome, Dropbox, Gatekeeper

Algorithms:
zip

Functions:
RunDLL_5179_Main, generate_5179_UUID, RunDLL, main, recover

Win API:
DllRegisterServer

Languages:
javascript, golang

Platforms:
arm, intel