#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это вариант ботнет Mirai, который специально нацелен на устройства Интернета вещей, используя их уязвимости для распространения, причем недавняя активность указывает на его потенциальное воздействие на экземпляры AWS EC2. Вредоносное ПО использует скрипт загрузчика под названием binary.sh , доставляется через скомпрометированные устройства Интернета вещей и распространяется с IP-адреса 81.88.18.108. Эта эволюция тактики злоумышленников подчеркивает растущий риск, создаваемый недостаточно защищенными устройствами Интернета вещей в сфере кибербезопасности.
-----

ShadowV2 - это вариант ботнет Mirai, специально предназначенный для устройств Интернета вещей (IoT), обнаруженный датчиками Fortinet во время активных попыток эксплуатации. Этот ботнет использует различные уязвимости в устройствах Интернета вещей, что приводит к его распространению. Примечательно, что предыдущие кампании, связанные с ShadowV2, продемонстрировали его способность ориентироваться на экземпляры AWS EC2, что указывает на его широкомасштабный характер и потенциал воздействия на облачные среды.

При анализе вредоносного ПО ботнет ShadowV2 использует сценарий загрузки, идентифицированный как binary.sh , который достигается за счет использования уязвимостей в устройствах Интернета вещей. Распространению вредоносного ПО ShadowV2 способствует IP-адрес 81.88.18.108. Этот метод атаки отражает стратегическую эволюцию в поведении злоумышленников, смещающих свое внимание в сторону часто недостаточно защищенного ландшафта Интернета вещей.

Анализ показывает, что устройства Интернета вещей по-прежнему представляют значительную уязвимость в рамках системы кибербезопасности, что усиливает острую необходимость в строгих мерах безопасности. Регулярные обновления прошивки, комплексные методы обеспечения безопасности и стремление к непрерывному мониторингу информации об угрозах имеют решающее значение для повышения уровня безопасности в отношении таких развивающихся угроз, как ShadowV2.

#ParsedReport #CompletenessHigh
25-11-2025

Medved attacks: what we learned about a phishing campaign by a group targeting Russian organizations / Habr

https://habr.com/ru/amp/publications/968572/

Report completeness: High

Actors/Campaigns:
Netmedved

Threats:
Netsupportmanager_rat
Process_hacker_tool
Procmon_tool
Spear-phishing_technique
Lumma_stealer

Victims:
Russian organizations

Geo:
Antarctica, Russian

TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 5
Domain: 14
Hash: 44
IP: 12

Soft:
Task Scheduler, Unix, curl

Algorithms:
sha1, md5, zip, base64, sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В октябре 2025 года хакерская группировка NetMedved нацелилась на российские организации с помощью фишинг-кампаний, которые предоставляли скомпрометированную версию законного инструмента удаленного администрирования NetSupport Manager, получившую название NetSupportRAT. Тактика группы включала сложную социальную инженерию, чтобы убедить жертв запустить вредоносное программное обеспечение, позволяя злоумышленникам получить удаленный доступ для извлечения конфиденциальной информации и проведения дальнейших атак. Это подчеркивает продолжающееся использование фишинга в качестве выдающегося метода ведения кибервойн.
-----

В октябре 2025 года хакерская группировка, идентифицированная как NetMedved, активно проводила кампании фишинга, специально нацеленные на российские организации. Основной целью этих атак является доставка вредоносной полезной нагрузки, представляющей собой скомпрометированную версию законного инструмента удаленного администрирования NetSupport Manager, который называется NetSupportRAT.

Методы, используемые группой NetMedved, включают в себя сложные стратегии фишинга, чтобы заманить жертв к запуску вредоносного программного обеспечения. Кампании тщательно организованы, чтобы замаскировать вредоносное программное обеспечение под законное приложение, используя доверие и знакомство, связанные с NetSupport Manager. Эта тактика свидетельствует о том, что группа сосредоточена на социальной инженерии, чтобы повысить вероятность успешного проникновения в целевые организации.

Аналитики отметили, что такой подход позволяет злоумышленникам получать удаленный доступ к системам жертв, позволяя им извлекать конфиденциальную информацию, осуществлять слежку или выполнять дополнительные вредоносные действия после установления доступа. Функциональность NetSupportRAT's характерна для инструментов, которые облегчают широкий контроль над скомпрометированными системами, что еще больше подчеркивает потенциальный риск, связанный с этими атаками.

В рамках продолжающихся расследований кампаний исследователи анализируют инфраструктуру и методы, используемые группой NetMedved для адаптации стратегий защиты от этих угроз. Собранные к настоящему времени доказательства подчеркивают закрепление фишинга в качестве излюбленной тактики киберпреступников, особенно для нацеливания на организации в России, и подчеркивают эволюционирующий характер таких киберугроз в условиях современной кибервойны.

#ParsedReport #CompletenessMedium
27-11-2025

Shai-hulud 2.0 Campaign Targets Cloud and Developer Ecosystems

https://www.trendmicro.com/en_us/research/25/k/shai-hulud-2-0-targets-cloud-and-developer-systems.html

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Credential_harvesting_technique
Trufflehog_tool
Hook_injection_technique

Victims:
Cloud platforms, Developer services, Npm ecosystem

TTPs:
Tactics: 4
Technics: 0

IOCs:
File: 16
Hash: 6

Soft:
Linux, macOS, curl, Node.js, Windows Registry, sudo, Docker, Unix, brotli

Algorithms:
base64, sha256, gzip, zip, deflate

Functions:
jy1, aL0, JavaScript, cQ0, pQ0, gQ0, createRepo, checkWorkflowScope, toJSON, listAndRetrieveAllSecrets, have more...

Win API:
GetEnvironmentVariable

Languages:
javascript, powershell

#ParsedReport #ExtractedSchema

Classified images:
windows: 11, schema: 5, code: 35

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания Shai-hulud 2.0 нацелена на облачные экосистемы и экосистемы разработчиков с помощью вредоносного пакета NPM, оснащенного предустановленным скриптом, который крадет учетные данные с облачных платформ. Тот setup_bun.js скрипт проверяет наличие среды выполнения JavaScript Bun и загружает основную полезную нагрузку вредоносного ПО, bun_environment.js , который использует бэкдоры пакетов NPM, поддерживаемых жертвой, для включения вредоносных элементов для будущих установок. Эта атака может скомпрометировать множество нижестоящих пользователей, подчеркивая риски, связанные с уязвимостями в Цепочке поставок программного обеспечения.
-----

Кампания Shai-hulud 2.0 - это сложная киберугроза, нацеленная на облачные экосистемы и экосистемы разработчиков. В этой версии кампании используется вредоносный пакет NPM, который включает в себя предустановочный скрипт, предназначенный для запуска в процессе установки, позволяющий злоумышленникам красть учетные данные и секреты с основных облачных платформ и служб разработчиков. Атака использует продвинутый подход, который способствует быстрому и скрытному распространению по Цепочке поставок программного обеспечения, создавая значительные риски для многочисленных нижестоящих пользователей.

Атака инициируется с помощью пакета, который включает в себя сценарий с именем setup_bun.js , который действует как загрузчик и запускается автоматически при установке NPM. Основная функция этого скрипта заключается в проверке наличия среды выполнения Bun JavaScript в системе жертвы. Если булочка недоступна, setup_bun.js обеспечивает его доступность перед выполнением основной полезной нагрузки вредоносного ПО, идентифицированной как bun_environment.js .

Выполнение bun_environment.js управляется через свою основную точку входа, функцию jy1(). После запуска этой полезной нагрузки функция активируется и приводит в действие всю последовательность атак. Критическая фаза атаки включает в себя бэкдорное внедрение вредоносного ПО в пакеты NPM, поддерживаемые жертвой. Он модифицирует эти пакеты таким образом, чтобы они включали вредоносную полезную нагрузку, которая выполняется во время будущих установок, тем самым создавая вредоносный вектор, который может экспоненциально распространяться в экосистеме NPM.

Эта методология представляет значительную угрозу, поскольку она не только затрагивает первоначальную жертву, но и потенциально может скомпрометировать тысячи последующих пользователей, которые могут доверять скомпрометированным пакетам. Таким образом, кампания Shai-hulud 2.0 иллюстрирует опасную тенденцию в области киберугроз, направленную на использование Цепочки поставок программного обеспечения для скрытого распространения вредоносного ПО, ориентируясь при этом на сообщество разработчиков программного обеспечения.

#ParsedReport #CompletenessHigh
25-11-2025

FlexibleFerret malware continues to strike

https://www.jamf.com/blog/flexibleferret-macos-malware-recruitment-lure/

Report completeness: High

Actors/Campaigns:
Contagious_interview

Threats:
Flexibleferret
Terminalfix_technique

Victims:
Job seekers, Macos users

Industry:
Financial

Geo:
Dprk

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1056.002, T1059, T1059.007, T1071, T1102, T1105, T1204, T1553.001, have more...

IOCs:
Domain: 5
Url: 9
File: 3
Hash: 9
IP: 1

Soft:
macOS, curl, Chrome, Dropbox, Gatekeeper

Algorithms:
zip

Functions:
RunDLL_5179_Main, generate_5179_UUID, RunDLL, main, recover

Win API:
DllRegisterServer

Languages:
golang, javascript

Platforms:
arm, intel

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
FlexibleFerret, связанная с северокорейскими злоумышленниками, использует социальную инженерию с помощью поддельных схем найма на работу для распространения вредоносного ПО. Он использует обманчивые веб-сайты, такие как evaluza.com , для сбора личных данных с помощью поддельного запроса камеры Chrome, который фиксирует и отправляет учетные данные в Dropbox. Вредоносное ПО, использующее бэкдор на базе Golang под названием CDrivers, взаимодействует с сервером управления для выполнения команд и сбора системной информации, поддерживая устойчивость за счет интегрированной обработки ошибок.
-----

Вредоносное ПО FlexibleFerret, приписываемое северокорейским операторам, использует сложную тактику социальной инженерии для проникновения в системы, маскируя свои истинные намерения как приманку для вербовки. Кампания связана с операцией Contagious Interview, которая обманом заставляет людей участвовать в поддельных оценках вакансий, часто связанных с выполнением вредоносных кодов, якобы необходимых для процесса найма.

Злоумышленники создают убедительные поддельные сайты по подбору персонала, такие как evaluza.com , чтобы заманивать жертв. Пользователям часто предлагается загрузить личные данные или ознакомительное видео, полагая, что они устраиваются на законную работу. Заметное наблюдаемое вредоносное поведение связано с приложением-приманкой, которое имитирует запрос на доступ к камере Chrome, что еще больше повышает доверие. Затем это приложение генерирует запрос поддельного пароля, который фиксирует вводимые пользователем данные и отправляет их в учетную запись Dropbox, тем самым эффективно собирая учетные данные.

Структура вредоносного ПО включает в себя скомпрометированный проект Golang под названием CDrivers, который использует бэкдор с постоянным циклом обработки команд, называемым StartFirst5179Iter. Этот цикл выполняет различные типы команд, определенные в его конфигурационном файле, каждая из которых сопоставлена с определенными идентификаторами. Ключевые функциональные возможности включают обработку команд, отправляемых с сервера управления (C2), и создание исходящих сообщений, содержащих специфичную для системы информацию для обратной передачи злоумышленникам.

Обработка ошибок интегрирована в командный цикл, обеспечивая устойчивость в работе. Если во время выполнения команды возникает ошибка, вредоносное ПО изменяет тип своей команды на запрос системной информации и приостанавливается на пять минут, прежде чем продолжить. Такая конструкция снижает риск сбоев, вызванных временными отказами.

Распространенное использование поддельных стратегий набора персонала указывает на то, что FlexibleFerret остается активной и развивающейся угрозой для macOS. Поскольку эта угроза продолжает совершенствовать свою тактику социальной инженерии, организациям необходимо проявлять бдительность в отношении нежелательных запросов на "собеседование" и команд, требующих выполнения на терминале. Это подчеркивает важность всестороннего обучения пользователей навыкам безопасности, позволяющего им распознавать подозрительные действия и сообщать о них.

#ParsedReport #CompletenessLow
28-11-2025

Sketchware-based malware analysis report

https://asec.ahnlab.com/ko/91275/

Report completeness: Low

Threats:
Arsink

IOCs:
Hash: 5
Url: 4

Soft:
Android, Telegram

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Использование Sketchware для разработки приложений для Android снизило барьеры для входа, позволив как законным, так и злонамеренным акторам с легкостью создавать приложения. Вредоносные приложения, разработанные на этой платформе, могут выдавать себя за законное программное обеспечение, выполнять вредоносные действия, повышать привилегии для доступа к конфиденциальным данным и могут взаимодействовать с серверами управления. Уязвимости в значительной степени связаны с неадекватными разрешениями для приложений и неосведомленностью пользователей, что приводит к потенциальным утечкам данных и несанкционированному доступу пользователей Android.
-----

Рост числа пользователей смартфонов на базе ОС Android привел к появлению инструментов, облегчающих разработку приложений, ярким примером которых является Sketchware. Однако это удобство также создало среду уязвимостей для потенциальных киберугроз. Sketchware, как платформа, позволяет пользователям создавать приложения для Android без обширных знаний в области программирования, но этот низкий барьер для входа может побудить вредоносных акторов использовать его для распространения вредоносного ПО.

Вредоносное ПО, разработанное с использованием Sketchware, часто может маскироваться под законные приложения. В отчете отмечается, что злоумышленники используют Sketchware для создания приложений, которые могут выполнять вредоносные действия после установки на устройство. Эти приложения могут включать в себя такие функции, как кража данных, несанкционированный доступ к функциям устройства или возможность загружать и выполнять дополнительные вредоносные программы. Простота использования Sketchware означает, что даже люди с ограниченными техническими знаниями потенциально могут разрабатывать и развертывать вредоносные приложения.

Что касается методов атаки, вредоносное ПО, созданное с помощью Sketchware, может использовать тактику социальной инженерии, чтобы обманом заставить пользователей загружать и устанавливать эти вредоносные приложения. После установки вредоносное ПО может использовать различные методы для повышения привилегий, позволяя ему получать доступ к конфиденциальной информации, такой как контакты, сообщения и даже банковские реквизиты, хранящиеся на устройстве. Кроме того, некоторые варианты могут взаимодействовать с серверами управления (C2) для получения дальнейших инструкций или обновления вредоносной полезной нагрузки.

Анализ показывает, что типы уязвимостей, эксплуатируемых этими приложениями на базе Sketchware, как правило, связаны с плохо разработанными разрешениями для приложений и осведомленностью пользователей. Пользователи обычно не слишком внимательно изучают разрешения приложений при установке, что может позволить вредоносному ПО получить больший доступ, чем предполагалось. Использование таких уязвимостей подчеркивает важность более осторожного подхода к установке приложений и более критичного рассмотрения запросов на получение разрешений.

Таким образом, в то время как Sketchware облегчает разработку приложений и демократизирует кодирование для многих, он также создает проблемы с кибербезопасностью. Потенциальная возможность создания вредоносного ПО с помощью этой платформы создает риски для пользователей устройств Android, которые могут стать жертвами утечек данных и несанкционированного доступа из-за плохо изученных приложений. Понимание этих угроз крайне важно для пользователей и разработчиков, чтобы снизить риски, связанные с вредоносным ПО на основе Sketchware.

#ParsedReport #CompletenessHigh
28-11-2025

Tomiris wreaks Havoc: New tools and techniques of the APT group

https://securelist.com/tomiris-new-tools/118143/

Report completeness: High

Actors/Campaigns:
Tomiris

Threats:
Havoc
Adaptixc2_tool
Rshell
Telebot
Trojan.win32.rproxy.gen
Trojan.win32.tjlort.a
Bitsadmin_tool
Pyarmor_tool
Distopia
Telemiris
Reversesocks_tool
Reversesocks5_tool
Spear-phishing_technique
Jlorat

Victims:
Foreign ministries, Intergovernmental organizations, Government entities, Russian speaking users or entities, Users in turkmenistan, Users in kyrgyzstan, Users in tajikistan, Users in uzbekistan

Industry:
Government

Geo:
Uzbekistan, Russian, Turkmenistan, Tajikistan, Russian federation, Kyrgyzstan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1027.013, T1036.007, T1041, T1059, T1059.001, T1071.001, T1090, T1102, T1102.002, have more...

IOCs:
File: 5
Path: 1
IP: 25
Hash: 29
Url: 59

Soft:
Telegram, Discord, curl, PyInstaller

Algorithms:
zip, base64

Functions:
CreateObject

Languages:
cscript, golang, powershell, python, rust

Platforms:
x86

Links:
have more...
https://github.com/Acebond/ReverseSocks5
https://github.com/Neosama/Reverse-SOCKS5

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 4, code: 12, dump: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-группировка Tomiris, действующая с начала 2025 года, нацелена на политическую и дипломатическую инфраструктуру с помощью фишингов электронных писем с вредоносными, защищенными паролем архивами, содержащими вводящие в заблуждение исполняемые файлы. Их инструментарий включает в себя Tomiris C/C++ ReverseShell для управления, загрузчик Rust Tomiris для доставки полезной нагрузки и несколько имплантатов на основе Python для разведки и троянских программ. Стратегии работы включают в себя различные соглашения об именовании и защиту паролем для повышения закрепления и снижения рисков обнаружения.
-----

APT-группировка Tomiris действует с начала 2025 года, сосредоточивая свои атаки главным образом на важных политических и дипломатических объектах инфраструктуры, включая министерства иностранных дел и межправительственные организации. Их методология начинается с процесса заражения, инициируемого с помощью фишингов электронных писем, содержащих вредоносные архивы. Эти архивы часто защищены паролем, причем пароль указывается в тексте электронного письма. Внутри архива замаскирован вредоносный исполняемый файл, обычно имитирующий значки документов Office или использующий обманчивые расширения файлов, такие как .doc.exe . Отчетливо длинные имена файлов иногда мешают пользователям распознать истинную природу исполняемого файла.

В рамках своих атак группа использует несколько сложных имплантатов вредоносного ПО. Обратная оболочка Tomiris C/C++ - это примечательный имплантат, который служит инструментом управления, позволяющим операторам выполнять команды в зараженных системах. После получения первоначального доступа эта обратная оболочка обычно загружает другой бэкдор, известный как AdaptixC2, который представляет собой модульный фреймворк для последующей эксплуатации, доступный на GitHub. Группа использует легальные утилиты операционной системы, такие как bitsadmin и PowerShell, для загрузки дополнительных вредоносных программ.

Кроме того, Tomiris Rust Downloader - это новый имплант, отличающийся большим размером файла, но минимальной функциональностью. В сочетании обратная оболочка Tomiris Python Discord служит начальной стадией заражения. Скомпилированный с помощью PyInstaller и использующий запутывание с помощью PyArmor, он действует в целях разведки и загружает последующие имплантаты, включая Tomiris Python FileGrabber, который запускается с помощью консольной команды во время атаки.

Бэкдор Dystopia, основанный на свободно доступном проекте GitHub, является еще одним компонентом их инструментария, позволяющим выполнять консольные команды и управлять файлами на зараженных компьютерах. Этот бэкдор может загружать дополнительные троянские программы, такие как обратная оболочка Telegram для Tomiris на Python. Этот конкретный троянец также использует Python и PyInstaller для выполнения, подключаясь обратно к серверу C2 через Telegram для получения и выполнения команд.

Расследование также выявило наличие нескольких других обратных SOCKS-прокси-имплантатов в задействованных сетях, что позволяет предположить метод перемещения внутри компании в скомпрометированных системах. Кроме того, было обнаружено, что более половины адресованных электронных писем с Целевым фишингом были адресованы русскоязычным лицам, а другие были скорректированы для пользователей из стран Центральной Азии.

Операционные схемы этой группы обладают специфическими характеристиками, включая использование различных соглашений об именовании файлов и последовательную доставку вредоносного ПО в форматах, защищенных паролем. Эти стратегии способствуют способности группы устанавливать постоянный доступ и внедрять дополнительные инструменты эксплуатации, такие как AdaptixC2. В целом, кампания Tomiris 2025 демонстрирует сложное сочетание многоязычного вредоносного ПО и разнообразных методов, направленных на максимизацию операционной эффективности при минимизации риска обнаружения.

#ParsedReport #CompletenessMedium
28-11-2025

IRATA Malware Analysis Report

https://asec.ahnlab.com/ko/91274/

Report completeness: Medium

Threats:
Irata
Smishing_technique

Industry:
Government

Geo:
Iran, Iranian

IOCs:
Hash: 5
Url: 5

Soft:
Android, Google Play

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО IRATA нацелено на устройства Android в основном с помощью вредоносных приложений, часто распространяемых через сторонние магазины приложений или с помощью методов социальной инженерии. После установки он может собирать конфиденциальные данные, такие как журналы вызовов и SMS-сообщения, и поддерживает закрепление, чтобы противостоять удалению. IRATA взаимодействует с сервером командования и контроля по Зашифрованным каналам и может использовать незашифрованные уязвимости для повышения привилегий, расширяя свои возможности для атак.
-----

Вредоносное ПО IRATA стало заметной угрозой, нацеленной на устройства Android, что отражает более широкую тенденцию к эскалации атак на рынке мобильной связи. Это вредоносное ПО в основном распространяется через вредоносные приложения, которые после установки могут поставить под угрозу безопасность и конфиденциальность устройств пользователей. Проникновение часто происходит через сторонние магазины приложений или с помощью тактики социальной инженерии, которая обманом заставляет пользователей загружать эти вредоносные приложения.

После запуска IRATA демонстрирует специфическое поведение, которое позволяет ей выполнять различные вредоносные действия. Он способен собирать конфиденциальную информацию с устройства, включая журналы вызовов, SMS-сообщения и контакты. Такая эксфильтрация данных может привести к дальнейшим нарушениям безопасности и краже личных данных. Кроме того, было замечено, что IRATA использует методы закрепления для обеспечения долговечности зараженного устройства, что затрудняет его удаление для обычных пользователей.

Одним из наиболее волнующих аспектов IRATA является ее способность взаимодействовать с сервером командования и контроля (C2). Эта функциональность позволяет операторам вредоносного ПО выдавать инструкции, обновлять вредоносное ПО или извлекать данные с зараженных устройств. Использование зашифрованных каналов связи часто используется для того, чтобы избежать обнаружения и поддерживать скрытую работу вредоносного ПО.

Более того, вредоносное ПО IRATA может использовать незащищенные уязвимости в операционной системе Android или других приложениях для получения несанкционированного доступа к системным функциям. Используя в своих интересах эти слабые места, он может расширить свои привилегии, еще больше расширив свои возможности и способствуя более широкому спектру атак.

Таким образом, IRATA представляет значительную угрозу для пользователей Android, используя вредоносные приложения для проникновения на устройства и выполнения функций кражи данных и удаленного управления. Методы скрытого закрепления вредоносного ПО и коммуникационные возможности подчеркивают необходимость того, чтобы пользователи были бдительны в отношении источников приложений и поддерживали обновленную систему мобильной безопасности для смягчения таких угроз.