#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Исследователи Check Point выявили GhostAd, рекламную кампанию в Google Play Store, затрагивающую устройства Android. Он работает скрытно, запуская постоянные фоновые процессы, которые нарушают производительность устройства и пользовательский интерфейс, создавая значительную угрозу целостности устройства. Замаскированный под легальные приложения, GhostAd может показывать агрессивную рекламу, что приводит к увеличению расхода заряда батареи и чрезмерному использованию данных, одновременно вызывая опасения по поводу уязвимостей в процессах проверки приложений на таких платформах.
-----

Исследователи Check Point выявили значительную рекламную кампанию в Google Play Store под названием GhostAd, которая затрагивает устройства Android. Это рекламное ПО работает скрытно, потребляя ресурсы устройства и вызывая сбои в обычной работе телефона. Основная тактика заключается в запуске постоянных фоновых процессов, которые могут серьезно воздействие на производительность устройства и пользовательский опыт без ведома пользователей.

GhostAd в первую очередь маскируется под легальные приложения, что позволяет ему обходить первоначальную проверку и размещаться на устройствах миллионов пользователей. После установки он начинает агрессивно показывать рекламу, часто запуская нежелательную рекламу, которая может прерывать работу других приложений и служб. Эти постоянные сбои не только влияют на удобство использования устройства, но и могут привести к ускоренному разряду батареи и потенциальному чрезмерному использованию данных, поскольку рекламное ПО неустанно работает в фоновом режиме.

Последствия такого рекламного ПО выходят за рамки простого раздражения; они представляют угрозу целостности устройства и доверию пользователей к безопасности приложений. Рекламное ПО, подобное GhostAd, выявляет уязвимости в процессах проверки приложений на таких платформах, как Google Play, поскольку ему удается оставаться незамеченным в течение длительного времени, что вызывает опасения по поводу эффективности текущих мер безопасности, применяемых для защиты пользователей от вредоносных приложений. Пользователям, затронутым GhostAd, следует проявлять бдительность в отношении разрешений, которые они предоставляют приложениям, и рассмотреть возможность использования решений для обеспечения безопасности, которые могут обнаруживать и устранять присутствие вредоносного программного обеспечения, такого как рекламное ПО.

#ParsedReport #CompletenessHigh
26-11-2025

Inside the GitHub Infrastructure Powering North Koreas Contagious Interview npm Attacks

https://socket.dev/blog/north-korea-contagious-interview-npm-attacks

Report completeness: High

Actors/Campaigns:
Contagious_interview (motivation: information_theft)

Threats:
Ottercookie
Beavertail
Supply_chain_technique

Victims:
Blockchain developers, Web3 developers

Industry:
Financial

Geo:
Japan, North koreas, Dprk, North korean, North korea

TTPs:
Tactics: 5
Technics: 23

IOCs:
Domain: 2
Url: 9
File: 44
Hash: 1
Registry: 1
Coin: 3
IP: 2
Email: 24

Soft:
Chrome, macOS, Linux, Node.js, virtualbox, qemu, virtualbox\|qemu, WalletConnect

Wallets:
keplr, metamask, core_wallet, tonkeeper, xdefi, solflare, safepal, unisat, coinbase, rabby, have more...

Crypto:
binance

Functions:
eval, setHeader, main, s, ss, aa, bb, unref, setInterval, getBasePaths, have more...

Languages:
javascript, powershell

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Северокорейские злоумышленники проводят операцию "Contagious Interview", внедряя по меньшей мере 197 вредоносных пакетов npm, нацеленных на разработчиков блокчейна и Web3, замаскированных под предложения о работе. Примечательно, что typosquatted пакет "tailwind-magic" действует как удаленный загрузчик, выполняя произвольный JavaScript при установке и связываясь с сервером, который доставляет вредоносную полезную нагрузку, соответствующую семейству вредоносных ПО OtterCookie. Это вредоносное ПО обладает широкими возможностями, включая кражу буфера обмена, удаленный доступ к командной строке, кражу учетных данных, Регистрацию нажатий клавиш и закрепление в системах Windows, что иллюстрирует сложные методы атаки по Цепочке поставок.
-----

Северокорейские акторы запустили операцию "Contagious Interview", нацеленную на разработчиков блокчейна и Web3, распространяя 197 вредоносных пакетов npm с более чем 31 000 загрузок. Ключевой пакет "tailwind-magic" представляет собой typosquatted, бэкдорную версию "tailwind-merge", выполняющую постинсталляционный скрипт, который связывается с сервером, управляемым злоумышленником, и позволяет выполнять произвольный код JavaScript. Промежуточный сервер работает по адресу tetrismic.vercel.app, доставляя вредоносную полезную нагрузку JSON, извлеченную и выполненную с помощью функции eval() JavaScript в приложении жертвы. Node.js процесс. Полезная нагрузка соответствует семейству вредоносных ПО OtterCookie, способных обнаруживать виртуальные машины перед отправкой первоначальных запросов на сервер C2. Как только первоначальные проверки пройдены, вредоносное ПО выполняет кражу буфера обмена, устанавливает интерактивную удаленную оболочку, обеспечивает закрепление в Windows и выполняет кражу учетных данных браузера и кошелька, Регистрацию нажатий клавиш, захват скриншотов и систематическое сканирование файлов. Вредоносный код распространяется через репозиторий dexproject, иллюстрируя атаку по Цепочке поставок. Операция представляет собой продвинутую тактику, описанную в платформе MITRE ATT&CK, включая разработку возможностей вредоносного ПО и выполнение вредоносных библиотек.

#ParsedReport #CompletenessLow
27-11-2025

RelayNFC: The New NFC Relay Malware Targeting Brazil

https://cyble.com/blog/relaynfc-nfc-relay-malware-targeting-brazil/

Report completeness: Low

Threats:
Ngate
Relaynfc
Supercard-x
Phantomcard

Victims:
Payment systems users in brazil

Geo:
Brazilian, Brazil

TTPs:
Tactics: 8
Technics: 5

IOCs:
Url: 10
File: 2
Hash: 5

Soft:
Android

Algorithms:
sha256

Languages:
kotlin, javascript, java

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
RelayNFC - это семейство вредоносных ПО для Android, нацеленное на пользователей в Бразилии с помощью фишинг-кампаний, позволяющих осуществлять мошеннические бесконтактные платежи с помощью NFC-ретрансляционных атак. Это создает канал ретрансляции APDU в режиме реального времени, позволяя злоумышленникам имитировать физическое владение картой. Работая с минимальными разрешениями и используя методы, которые включают фишинг для первоначального доступа, сбор информации об устройстве и перехватывание пользовательского ввода, RelayNFC осуществляет скрытую связь с помощью WebSockets через Нестандартные порты, подчеркивая свои расширенные возможности уклонения.
-----

Семейство вредоносных ПО RelayNFC представляет значительную киберугрозу, особенно нацеленную на пользователей в Бразилии с помощью сложных кампаний фишинга, направленных на обеспечение возможности мошеннических бесконтактных платежей. Это вредоносное ПО для Android облегчает атаки с ретрансляцией NFC, создавая полноценный канал ретрансляции APDU в режиме реального времени, тем самым позволяя злоумышленникам проводить транзакции, как если бы они физически владели картой жертвы.

Распространение RelayNFC основано на методах фишинга, которые успешно обманывают пользователей, заставляя их загружать вредоносное ПО. Его построение с использованием React Native и байт-кода Hermes создает проблемы для традиционного статического анализа, тем самым помогая ему избежать обнаружения. Это свидетельствует о более широкой тенденции среди появляющихся типов вредоносного ПО, о чем свидетельствуют такие варианты, как Ngate, SuperCardX и PhantomCard, которые аналогичным образом используют технологию NFC для перехвата или ретрансляции платежных данных. Более того, родственный вариант RelayNFC экспериментирует с эмуляцией хост-карты (HCE), что позволяет предположить, что злоумышленник диверсифицирует свои методы атаки. Текущий анализ с помощью VirusTotal не показывает обнаружений этого вредоносного ПО, что указывает на тревожный уровень скрытности и подчеркивает продолжающуюся эволюцию вредоносного ПО.

С технической точки зрения RelayNFC работает с минимальными разрешениями и имеет оптимизированную архитектуру, что еще больше облегчает его усилия по запутыванию. Он собирает информацию об устройстве на начальных этапах его работы, используя методы, проверенные в рамках MITRE ATT&CK framework. Тактика вредоносного ПО включает методичное использование фишинга для первоначального доступа (TA0027, T1660), сбор системной информации (TA0032, T1426) и перехватывание пользовательского ввода через графический интерфейс для получения конфиденциальных данных, таких как платежные ПИН-коды (TA0031, T1417.002). Механизмы командования и контроля используют WebSockets для обмена данными по протоколам HTTP (TA0037, T1437.001) и Нестандартным портам, в частности, через порт 3000, что обеспечивает злоумышленникам скрытый канал связи.

Таким образом, кампания RelayNFC является примером значительного расширения возможностей NFC relay malware, демонстрируя эффективное сочетание социальной инженерии, сложных методов запутывания и перехвата транзакций в режиме реального времени. Активная угроза представляет повышенный риск для целостности платежных систем NFC, особенно в условиях Бразилии, где продолжается разработка и адаптация злоумышленниками.

#ParsedReport #CompletenessMedium
28-11-2025

Rare Earth Material Lure Delivering Shellcode Loader

https://dmpdump.github.io/posts/Reia/

Report completeness: Medium

Victims:
Rare earth materials sector, Think tanks

Industry:
Military, Education

Geo:
China, Singapore

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1566.001, T1620

IOCs:
File: 5
Url: 1
Domain: 1
Hash: 4
IP: 1

Algorithms:
zip

Win API:
LoadLibrary, SwitchToFiber

Links:
https://github.com/dmpdump/ShellcodeFiber/blob/main/main.cpp
https://github.com/dmpdump
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Киберугроза, выявленная 21 ноября 2025 года, включала тактику социальной инженерии с использованием ZIP-файла под названием “Китайское управление редкоземельными элементами и его глобальная Implications.zip , ” содержащий защищенный паролем PDF-файл и исполняемый файл "SecurityKey.exe ." Исполняемый файл действует как загрузчик шелл-кода, раскрывая пароль PDF при выполнении, что приводит к доступу к законному документу, относящемуся к управлению редкоземельными элементами. Несмотря на связь с геополитической напряженностью, связанной с Китаем, инфраструктура вредоносного ПО не была окончательно связана с каким-либо известным злоумышленником.
-----

21 ноября 2025 года на VirusTotal из Сингапура был загружен образец, идентифицированный командой охотников за вредоносным ПО, в котором подчеркивается киберугроза, использующая приманку, сосредоточенную вокруг редкоземельных материалов. Вредоносный ZIP-файл под названием "Китайское управление редкоземельными элементами и его глобальное Implications.zip " содержал два компонента: защищенный паролем PDF-документ и исполняемый файл с именем "SecurityKey.exe ." Вектор атаки основан на социальной инженерии, побуждающей жертв открыть PDF-файл и впоследствии запустить исполняемый файл, чтобы получить пароль, необходимый для доступа к документу.

Исполняемый файл "SecurityKey.exe " функционирует как загрузчик шелл-кода. После выполнения он запрашивает у пользователя окно сообщения, в котором отображается пароль для PDF-файла "202511". Как только этот пароль будет использован, он откроет доступ к PDF-файлу, который является законной статьей, опубликованной сингапурским аналитическим центром о последствиях управления редкоземельными элементами. Эта тактика демонстрирует использование заслуживающих доверия документов для завоевания доверия потенциальных жертв, что согласуется со стратегической важностью редкоземельных материалов в технологическом и военном применении.

Инцидент отражает более широкий контекст геополитической напряженности, связанной с редкоземельными материалами, в частности, с участием Китая, который является ведущим производителем и обладает значительными запасами. Хотя против Сингапура выдвигались обвинения в китайской киберактивности, конкретное вредоносное ПО и его инфраструктура не были окончательно связаны с какими-либо известными операциями, приписываемыми Китаю. Следовательно, имеющиеся доказательства не дают достаточных оснований для однозначного отнесения к конкретному злоумышленнику или кампании. Продолжающаяся динамика, связанная с редкоземельными материалами, подчеркивает критический характер Цепочки поставок в современных геополитических и экономических условиях.

#ParsedReport #CompletenessLow
28-11-2025

MooBot or Flodrix with intermittent activity

https://blog.nicter.jp/2025/11/moobot_2025_3g/

Report completeness: Low

Threats:
Moobot
Flodrix_botnet
Mirai
Rapperbot
Mountbot

Victims:
Teamspeak3 services, Dvr devices, Routers, Langflow servers

Geo:
Russian, Russia

CVEs:
CVE-2025-3248 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- langflow (<1.3.0)


ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1105, T1190, T1489, T1498, T1562.001, T1584.004

IOCs:
Hash: 8
Domain: 1
IP: 3

Soft:
TeamSpeak3, Langflow

Algorithms:
sha256, md5

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, dump: 2, chart: 3, code: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
MooBot, вредоносное ПО на базе Mirai, в основном нацелено на атаки типа "Отказ в обслуживании" (DoS) через сеть скомпрометированных устройств, используя такие уязвимости, как CVD-2025-3248. Он оснащен сложным механизмом командования и контроля, который запутывает передачу данных за счет использования неинициализированной памяти, повышая его скрытность. MooBot агрессивно устраняет конкурирующее вредоносное ПО и продемонстрировал сосредоточенные усилия по таргетингу на российских устройствах, особенно на тех, которые используют протокол TeamSpeak3, прежде чем его деятельность прекратилась 7 октября 2025 года.
-----

MooBot, также известный как Flodrix, представляет собой вредоносное ПО на базе Mirai, которое проявляет периодическую активность, особенно заметную в обновленных версиях, наблюдаемых после 10 сентября 2025 года. Это вредоносное ПО использует сеть зараженных устройств для запуска атак типа "Отказ в обслуживании" (DoS). Исторически при заражении использовались эксплойты, воздействующие на различные компоненты, включая различные маршруты к целевым устройствам, например, через CVD-2025-3248, что особенно повлияло на сервер Langflow. Эти изменения подчеркивают его эволюционирующий характер и способность использовать уязвимости в системах.

MooBot использует сложный механизм соединения команд и контроля (C2), отличающийся, в частности, сложной стратегией передачи данных, которая использует неинициализированные данные памяти для запутывания связи. Этот метод включает в себя первую передачу, при которой часть данных извлекается из области памяти, которую злоумышленник может контролировать, - метод, который использует потенциальную утечку инициализации для поддержания скрытности на этапах эксплуатации.

Что касается агрессии, MooBot активно нацеливается на конкурирующее вредоносное ПО, в первую очередь с помощью "функции-убийцы", способной удалять конкурирующих ботов с зараженных устройств. Данные свидетельствуют о том, что ботнет сообщал идентификационные номера, соответствующие зараженным устройствам, взятым у RapperBot, конкурирующей ботнет, что приводит к предположениям о том, являются ли эти операции частью враждебной деятельности или они демонстрируют внутреннюю реструктуризацию ресурсов ботнет без злого умысла.

Кроме того, с сентября по начало октября 2025 года основной целью ботнет была Россия, при этом основное внимание уделялось использованию уязвимостей в протоколе голосового чата TeamSpeak3. Масштабы заражения вредоносным ПО были значительными: по состоянию на сентябрь сообщалось о взломе более 3160 устройств. Эта шкала указывает на целенаправленный подход к конкретным типам устройств, включая видеорегистраторы и маршрутизаторы, намекая на концентрированные усилия по управлению сетевыми ресурсами.

Было замечено, что в операциях загрузки MooBot используются различные аргументы и порты загрузки, что свидетельствует о структурированном подходе к взаимодействию с различными зараженными устройствами, причем следы указывают на происхождение из русскоязычных стран. После периода повышенной активности MooBot перешел к другому неопознанному варианту вредоносного ПО, который разделял инфраструктуру C2, но не реализовывал отдельные команды DoS. Этот переход ознаменовал потенциальный сдвиг в стратегии, подчеркнув динамичность операций ботнет и его эксплуатационный жизненный цикл. В конечном счете, деятельность MooBot прекратилась 7 октября 2025 года, оставив открытыми вопросы относительно его будущих операций и мотивов. Постоянные обновления и изменения в стратегии отражают оперативность злоумышленника, управляющего этим вредоносным ПО.

#ParsedReport #CompletenessLow
26-11-2025

RMM Tools Under Attack: Exploring More Effective Detections

https://www.immersivelabs.com/resources/blog/rmm-tools-under-attack-exploring-more-effective-detections

Report completeness: Low

Actors/Campaigns:
Uac-0918

Threats:
Meshcentral_tool
Anydesk_tool
Screenconnect_tool
Meshagent_tool
Anonvnc_tool

Victims:
Organizations using rmm tools, Managed service providers

Geo:
Ukrainian

CVEs:
CVE-2025-31161 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- crushftp (<10.8.4, <11.3.1)

CVE-2025-30406 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- gladinet centrestack (<16.4.10315.56368)


TTPs:

ChatGPT TTPs:
do not use without manual check
T1036.003, T1219, T1543.003

IOCs:
Path: 2
File: 17

Soft:
Linux, Windows service

Functions:
main

Languages:
javascript, powershell

Links:
https://github.com/Ylianst/MeshAgent/blob/add1d7fef3b341a3474fbce86cdab54ddcde2af9/modules/interactive.js#L223
https://github.com/Ylianst/MeshCentral
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Злоумышленники все чаще нацеливаются на инструменты удаленного мониторинга и управления (RMM), в частности на MeshCentral из-за его открытого исходного кода, облегчающего несанкционированный доступ. Установка MeshAgent допускает постоянные подключения, но также предоставляет идентифицируемую информацию о конфигурации, которую можно использовать или проанализировать. Злоумышленники избегают обнаружения, изменяя параметры установки, используя код с открытым исходным кодом для вредоносного использования, подчеркивая необходимость проявлять бдительность в отношении нестандартного поведения при установке и мониторинга связанных с этим параметров.
-----

Инструменты удаленного мониторинга и управления (RMM) все чаще становятся мишенью злоумышленников из-за их способности облегчать несанкционированный доступ к системам и контроль над ними. В частности, MeshCentral, бесплатное решение RMM с открытым исходным кодом, стало центром различных атак. Хотя он используется менее широко по сравнению с коммерческими инструментами RMM, такими как AnyDesk и ScreenConnect, его природа с открытым исходным кодом делает его привлекательным для злоумышленников, стремящихся использовать законное программное обеспечение во вредоносных целях.

Процесс установки MeshAgent, компонента MeshCentral, разработан для простоты использования и включает автономный исполняемый файл, который устанавливает постоянные соединения с сервером MeshCentral. Этот процесс предоставляет аналитикам критическую информацию при реагировании на инциденты, поскольку двоичный файл содержит идентифицируемую информацию о конфигурации. Используя простые команды или шестнадцатеричные редакторы, аналитики могут извлекать ценные данные, включая идентификатор сети, идентификатор сервера и IP-адреса, связанные с сервером MeshCentral, что помогает отличать законные экземпляры агента от вредоносных.

Существующие меры обнаружения ограничены, особенно для MeshCentral, поскольку доступно несколько установленных правил обнаружения угроз. Один из известных подходов к обнаружению включает использование правила Sigma, которое отслеживает создание процесса MeshAgent и выполнение команд на целевых хостах. Однако злоумышленники могут обойти эти средства обнаружения. Используемые методы включают изменение имени службы или пути к изображению во время установки, тем самым обходя указанные правила обнаружения. Отсутствие документированных опций в MeshCentral для изменения этих параметров установки привело к тому, что злоумышленники напрямую использовали открытый исходный код для своих вредоносных развертываний.

Чтобы противостоять этой угрозе, организациям, использующим MeshAgent, следует внедрить надежную стратегию обнаружения, которая фокусируется на нестандартном поведении установки. Установление четкого соглашения об именовании для MeshAgents может служить основой для сравнения с аномальными именами, которые могут возникнуть. Кроме того, мониторинг определенных параметров, таких как --meshServiceName и --target, может помочь выявить несанкционированные изменения в именах служб и исполняемых файлов, связанных с установкой MeshAgent. Активно реагируя на эти потенциальные пробелы в безопасности, организации могут усилить свою защиту от использования инструментов RMM, таких как MeshCentral.

#ParsedReport #CompletenessMedium
26-11-2025

CastleLoader & CastleRAT: Behind TAG150s Modular Malware Delivery System

https://www.darktrace.com/blog/castleloader-castlerat-behind-tag150s-modular-malware-delivery-system

Report completeness: Medium

Actors/Campaigns:
Tag-150

Threats:
Castleloader
Nightshade
Sectop_rat
Warmcookie
Clickfix_technique

Victims:
Us organizations

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1071.001, T1105, T1204.002, T1584.001, T1587.001

IOCs:
IP: 1
Url: 2
File: 1

Algorithms:
gzip, zip

Functions:
unsecuredCopyToClipboard

Languages:
php, python, powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
TAG-150 - это оператор вредоносного ПО "как услуга", нацеленный на системы США, использующий вредоносные ПО семейств CastleLoader и CastleRAT. CastleLoader действует как загрузчик вредоносного ПО, используя обманчивые домены и поддельные репозитории GitHub для распространения, в то же время используя расширенную маскировку кода, чтобы избежать обнаружения. Группа использует метод под названием ClickFix, который обманом заставляет пользователей выполнять вредоносные скрипты, создавая проблемы для обнаружения угроз и реагирования на них.
-----

TAG-150 - это появляющийся оператор "вредоносного ПО как услуга" (MaaS), который работает с марта 2025 года, в первую очередь нацеленный на системы в Соединенных Штатах. Его деятельность сосредоточена вокруг двух основных семейств вредоносных ПО — CastleLoader и CastleRAT. Инфраструктура, используемая TAG-150, включает в себя различные серверы управления (C2) и компоненты, ориентированные на жертвы, использующие несколько доменов и IP-адресов для облегчения своей вредоносной деятельности.

CastleLoader функционирует как загрузчик вредоносного ПО, способный загружать и устанавливать дополнительные вредоносные программы для создания цепочки заражений в скомпрометированных системах. Один из ключевых методов, используемых TAG-150, известен как ClickFix. Этот метод использует домены-обманщики, имитирующие законные процессы, такие как системы проверки документов или уведомления об обновлениях браузера, чтобы обманом заставить жертв запускать вредоносные скрипты. Чтобы расширить свои возможности распространения, CastleLoader также использует поддельные репозитории GitHub, которые маскируются под законные инструменты, что еще больше побуждает ничего не подозревающих пользователей к непреднамеренной установке вредоносного ПО.

Процесс развертывания CastleLoader включает в себя передовые стратегии обфускации кода, такие как вставка и упаковка мертвого кода, что затрудняет как статический, так и динамический анализ для систем безопасности. Как только полезная нагрузка вредоносного ПО распаковывается, оно устанавливает соединение со своим сервером C2 для загрузки и выполнения других целевых вредоносных компонентов.

В середине 2025 года Darktrace обнаружила необычную активность в своей клиентской сети, которая была связана с заражением CastleLoader. Функция автономного реагирования Darktrace сыграла решающую роль в устранении этой угрозы; она оперативно блокировала исходящие соединения со скомпрометированного устройства на вредоносный IP-адрес 173.44.141.89, эффективно сдерживая инцидент. Этот ответ включал в себя наложение поведенческих ограничений на зараженное устройство, чтобы оно соответствовало шаблонам, типичным для других устройств в его группе сверстников, тем самым предотвращая дальнейшие отклонения и нежелательные действия.

Продолжающаяся эволюция экосистемы MaaS и модульный характер инструментов, используемых злоумышленниками, создают значительные проблемы для усилий по предотвращению вторжений. Злоумышленники получают все больше возможностей настраивать инструменты и методы для использования конкретных уязвимостей, снижая эффективность традиционных средств защиты. Случай с TAG-150 иллюстрирует необходимость надежных механизмов обнаружения, о чем свидетельствует способность Darktrace выявлять признаки компрометации на ранних стадиях, такие как сканирование сети и первоначальные попытки заражения. Используя свои возможности автономного реагирования, Darktrace успешно прервала цепочку атак CastleLoader, предотвратив потенциально серьезную многоэтапную компрометацию.

#ParsedReport #CompletenessMedium
26-11-2025

ShadowV2 Casts a Shadow Over IoT Devices \| FortiGuard Lab

https://www.fortinet.com/blog/threat-research/shadowv2-casts-a-shadow-over-iot-devices

Report completeness: Medium

Threats:
Shadowv2
Mirai
Udpflood_technique
Tcpflood_technique

Victims:
Iot devices, Aws ec2 instances

Industry:
Retail, Government, Entertainment, Telco, Education, Iot

Geo:
Saudi arabia, Oceania, Kazakhstan, Czechia, Croatia, Egypt, Thailand, Japan, South africa, United kingdom, Africa, Morocco, America, Canada, Greece, Belgium, Russia, Australia, Taiwan, Bolivia, Asia, Netherlands, Italy, China, Mexico, Chile, Turkey, France, Brazil, Austria, Philippines

CVEs:
CVE-2024-53375 [Vulners]
CVSS V3.1: 8.0,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2022-37055 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink go-rt-ac750_firmware (reva_1.01b03, revb_2.00b02)

CVE-2024-10914 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (*)

CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-25506 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (2.06b01)

CVE-2023-52163 [Vulners]
CVSS V3.1: 5.9,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2024-10915 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (*)

CVE-2009-2765 [Vulners]
CVSS V3.1: 8.3,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dd-wrt (le24)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1105, T1190, T1204.002, T1584.004, T1587.001

IOCs:
IP: 2
Domain: 1
Hash: 13

Soft:
DigiEver, Mac OS

Algorithms:
xor

Win Services:
InfoPath

Platforms:
x64, intel, amd64