#ParsedReport #CompletenessMedium
28-11-2025

IRATA Malware Analysis Report

https://asec.ahnlab.com/ko/91274/

Report completeness: Medium

Threats:
Irata
Smishing_technique

Industry:
Government

Geo:
Iran, Iranian

IOCs:
Hash: 5
Url: 5

Soft:
Android, Google Play

Algorithms:
md5

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО IRATA нацелено на устройства Android в основном с помощью вредоносных приложений, часто распространяемых через сторонние магазины приложений или с помощью методов социальной инженерии. После установки он может собирать конфиденциальные данные, такие как журналы вызовов и SMS-сообщения, и поддерживает закрепление, чтобы противостоять удалению. IRATA взаимодействует с сервером командования и контроля по Зашифрованным каналам и может использовать незашифрованные уязвимости для повышения привилегий, расширяя свои возможности для атак.
-----

Вредоносное ПО IRATA стало заметной угрозой, нацеленной на устройства Android, что отражает более широкую тенденцию к эскалации атак на рынке мобильной связи. Это вредоносное ПО в основном распространяется через вредоносные приложения, которые после установки могут поставить под угрозу безопасность и конфиденциальность устройств пользователей. Проникновение часто происходит через сторонние магазины приложений или с помощью тактики социальной инженерии, которая обманом заставляет пользователей загружать эти вредоносные приложения.

После запуска IRATA демонстрирует специфическое поведение, которое позволяет ей выполнять различные вредоносные действия. Он способен собирать конфиденциальную информацию с устройства, включая журналы вызовов, SMS-сообщения и контакты. Такая эксфильтрация данных может привести к дальнейшим нарушениям безопасности и краже личных данных. Кроме того, было замечено, что IRATA использует методы закрепления для обеспечения долговечности зараженного устройства, что затрудняет его удаление для обычных пользователей.

Одним из наиболее волнующих аспектов IRATA является ее способность взаимодействовать с сервером командования и контроля (C2). Эта функциональность позволяет операторам вредоносного ПО выдавать инструкции, обновлять вредоносное ПО или извлекать данные с зараженных устройств. Использование зашифрованных каналов связи часто используется для того, чтобы избежать обнаружения и поддерживать скрытую работу вредоносного ПО.

Более того, вредоносное ПО IRATA может использовать незащищенные уязвимости в операционной системе Android или других приложениях для получения несанкционированного доступа к системным функциям. Используя в своих интересах эти слабые места, он может расширить свои привилегии, еще больше расширив свои возможности и способствуя более широкому спектру атак.

Таким образом, IRATA представляет значительную угрозу для пользователей Android, используя вредоносные приложения для проникновения на устройства и выполнения функций кражи данных и удаленного управления. Методы скрытого закрепления вредоносного ПО и коммуникационные возможности подчеркивают необходимость того, чтобы пользователи были бдительны в отношении источников приложений и поддерживали обновленную систему мобильной безопасности для смягчения таких угроз.

#ParsedReport #CompletenessLow
28-11-2025

Malicious VS Code Extension Impersonating "Material Icon Theme" Found in Marketplace

https://www.nextron-systems.com/2025/11/28/malicious-vs-code-extension-impersonating-material-icon-theme-found-in-marketplace/

Report completeness: Low

Threats:
Glassworm

Victims:
Visual studio code users

Industry:
Education, E-commerce

CVEs:
CVE-2025-7775 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- citrix netscaler_application_delivery_controller (<12.1-55.330, <13.1-37.241, <13.1-59.22, <14.1-47.48)


ChatGPT TTPs:
do not use without manual check
T1027, T1027.010, T1036, T1059.004, T1059.007, T1195, T1588.001, T1608.004

IOCs:
Hash: 3
File: 2

Soft:
Docker, Chrome

Win Services:
bits

Languages:
javascript, rust

SIGMA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено вредоносное расширение кода Visual Studio, выдающее себя за легитимную "Material Icon Theme", идентифицированное с помощью новой службы сканирования артефактов, нацеленной на запутанный JavaScript и другие вредоносные индикаторы. Расширение содержало два импланта Rust, один для Mach-O, а другой для Windows PE, что подразумевало расширенную тактику закрепления. Этот инцидент подчеркивает уязвимости в программных экосистемах и необходимость усовершенствованных механизмов обнаружения для выявления угроз, которые обходят традиционные антивирусные решения.
-----

Недавний анализ выявил вредоносное расширение Visual Studio Code (VS Code), выдающее себя за легитимную "Material Icon Theme". Это открытие было сделано благодаря новой внутренней службе сканирования артефактов, предназначенной для выявления вредоносного программного обеспечения в различных экосистемах, включая менеджеры пакетов и торговые площадки, такие как Docker Hub, PyPI, NPM, Chrome и VS Code extensions.

В основе процесса сканирования лежит набор сигнатур, предназначенных для обнаружения запутанного JavaScript, закодированных полезных данных, обратных оболочек и других признаков вредоносного поведения, которые традиционные антивирусные решения часто пропускают. Сервис нацелен на устранение конкретных пробелов в существующих инструментах безопасности, когда AV-движки могут не распознавать вредоносные артефакты из-за запутывания сценариев и огромного объема обрабатываемых данных.

Изучив вредоносное расширение VS Code, аналитики обнаружили два импланта Rust, встроенных в его пакет — один отформатирован для Mach-O, а другой для Windows PE. Такие имплантаты предполагают сложные методы достижения закрепления или дальнейшей эксплуатации в целевых системах после установки удлинителя.

Корпорация Майкрософт уже сообщила о вредоносном характере расширения, и ожидается, что оно будет быстро удалено с рынка. Аналитики подчеркивают необходимость постоянного сканирования программных экосистем, отмечая, что случайная загрузка, особенно расширений, сопряжена со значительными рисками. Полученные данные подчеркивают растущую важность усовершенствованных механизмов обнаружения для выявления вредоносного программного обеспечения, которое обходит обычные меры безопасности. Более подробная информация об имплантатах будет представлена после их тщательного изучения.

#ParsedReport #CompletenessMedium
29-11-2025

APT-C-35 (Bellybrain Bug) Recent New Trojan Attack Campaign Analysis against Pakistan

https://www.ctfiot.com/284246.html

Report completeness: Medium

Actors/Campaigns:
Donot

Threats:
Steganography_technique

Victims:
Pakistan

Geo:
Pakistan

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1204.002

IOCs:
Hash: 2
File: 5
Url: 2
Domain: 1

Soft:
NET Framework, WeChat

Algorithms:
md5, aes, zip, base64

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
APT-C-35, также известный как ошибка Belly Brain, проводит кампанию с использованием троянца дистанционного управления ShadowAgent, который нацелен на пакистанские системы. Троянец маскируется под PDF-документ, чтобы обманом заставить пользователей активироваться, инициируя свои задачи путем считывания зашифрованных данных конфигурации и установления закрепления с помощью запланированной задачи. Его основная цель - отфильтровать конфиденциальную информацию обратно злоумышленникам, используя WebSocket и HTTP для постоянного обмена командами и контролем.
-----

Недавно было замечено, что группа APT-C-35, также известная как ошибка Belly Brain, проводит новую кампанию с использованием троянца дистанционного управления, идентифицированного как ShadowAgent, нацеленного на системы в Пакистане. Этот троянец использует несколько обманных приемов для повышения своей эффективности. Он маскируется под безобидный значок PDF-документа, который разработан таким образом, чтобы обманом заставить пользователей выполнить его без подозрений.

Вектор атаки начинается с распространения сжатого пакета, содержащего троянца, замаскированного под два поддельных документа. Как только жертва распаковывает этот пакет и по ошибке нажимает на троянца, он начинает свою вредоносную деятельность. Первый шаг после запуска включает в себя считывание трояном зашифрованной информации о конфигурации, встроенной в его сегмент ресурсов. После этого он устанавливает постоянное присутствие в уязвимой системе, создавая запланированную задачу, тем самым гарантируя, что она остается активной даже после перезагрузки системы.

Основной целью троянца ShadowAgent является извлечение конфиденциальных данных со взломанного устройства. Впоследствии эти данные отправляются на сервер, контролируемый злоумышленниками, что облегчает несанкционированный доступ к потенциально ценной информации. Использование WebSocket в сочетании с HTTP для обмена данными повышает способность троянца поддерживать постоянное подключение к своей инфраструктуре командования и контроля, что в дальнейшем может сделать возможными различные вредоносные операции в скомпрометированных системах. В целом, операции APT-C-35 подчеркивают меняющийся ландшафт угроз, особенно для целевых регионов, таких как Пакистан, подчеркивая необходимость принятия надежных мер безопасности против таких изощренных методик атак.

#ParsedReport #CompletenessLow
28-11-2025

Summary summary of malicious campaigns during the week of November 22 - 28

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-22-28-novembre/

Report completeness: Low

Threats:
Formbook
Phantom_stealer
Grandoreiro
Snake_keylogger
Vipkeylogger
Supercard-x
Cloudeye
Herodotus
Remcos_rat
Relaynfc
Agent_tesla
Nanocore_rat
Xworm_rat
Albiriox
Darkcloud
Lumma_stealer

Victims:
Italian targets, Generic targets affecting italy

Industry:
Financial

Geo:
Italy, Italian

IOCs:
Domain: 3
Url: 6

Soft:
Office365

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В течение недели с 22 по 28 ноября CERT-AGID зафиксировал 89 вредоносных кампаний, нацеленных на итальянские организации, с заметными угрозами, включая 16 различных семейств вредоносных ПО и продолжающиеся попытки фишинга с участием 23 брендов. Кампании отражали различные методы атак, в частности, с акцентом на PagoPA, платежный сервис в Италии, и тактику фишинга веб-почты без брендирования. Такое разнообразие указывает на то, что злоумышленники активно адаптируют свои стратегии для использования уязвимостей в системах и онлайн-коммуникации.
-----

В течение недели с 22 по 28 ноября CERT-AGID выявил в общей сложности 89 вредоносных кампаний, 45 из которых были нацелены конкретно на итальянские организации, а 44 - на общие кампании, которые повлияли на Италию. Аккредитованным организациям были предоставлены 804 индикатора компрометации (IoC) для оказания помощи в устранении этих угроз.

Среди обнаруженных угроз 23 темы были выделены как средства для вредоносной деятельности на территории Италии. Это разнообразие подчеркивает разнообразие методов, которые злоумышленники используют для проникновения в системы и сети. Аналитики по безопасности отметили, что за этот период было идентифицировано 16 различных семейств вредоносных ПО, что указывает на значительный спектр вредоносных ПО, нацеленных на регион. Наличие различных семейств вредоносного ПО позволяет предположить, что злоумышленники адаптируют и используют различные стратегии для достижения своих целей.

Фишинг также оставался серьезной угрозой: 23 бренда были признаны жертвами кампаний фишинга. Наиболее заметные кампании на этой неделе касались тем, связанных с платежным сервисом PagoPA в Италии, наряду с попытками фишинга веб-почты без брендирования. Частота проведения таких кампаний свидетельствует о том, что злоумышленники сосредоточены на использовании хорошо известных сервисов и уязвимостей, связанных с методами онлайн-коммуникации.

#ParsedReport #CompletenessHigh
28-11-2025

Thor vs. Silver Fox - Uncovering and Defeating a Sophisticated ValleyRat Campaign

https://www.nextron-systems.com/2025/11/28/thor-vs-silver-fox-uncovering-and-defeating-a-sophisticated-valleyrat-campaign/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Dll_sideloading_technique
Byovd_technique
Spear-phishing_technique
Uac_bypass_technique
Icmluautil_tool
Dllsearchorder_hijacking_technique

Geo:
Chinese, China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1041, T1053.005, T1059.001, T1063, T1070.004, T1195, T1202, T1204, have more...

IOCs:
File: 21
Hash: 34
Path: 9
Registry: 1
Domain: 5
IP: 1

Soft:
Telegram, WinSCP, Google Chrome, Microsoft Teams, Microsoft Defender, Windows installer, Chrome, WinSCP

Algorithms:
zip, sha256

Win API:
NtHandleCallback

Win Services:
MsMpEng

Languages:
powershell

Platforms:
x64

YARA: Found

Links:
https://github.com/SigmaHQ/sigma/blob/43b6fae2a001d3af9a53984167dd39d2319fbb40/rules/windows/builtin/windefend/win\_defender\_config\_change\_exclusion\_added.yml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, dump: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ValleyRat представляет собой многогранную цепочку заражения вредоносным ПО с использованием методов запутывания и уклонения. Злоумышленники распространяют троянские программы установки популярного программного обеспечения, такого как Telegram и Google Chrome, чтобы вызвать заражение, внедряя такие компоненты, как men.exe и bypass.exe чтобы управлять защитником Microsoft и установить закрепление. Кампания использует уязвимый драйвер для доступа к ядру, позволяющий завершать процессы безопасности, сохраняя при этом связь с серверами управления для текущих операций.
-----

Расследование изощренной кампании по распространению вредоносного ПО, получившей название кампании ValleyRat, выявляет сложную цепочку заражения, использующую множество методов обфускации и изощренные методы уклонения. Злоумышленники внедряют троянские версии широко используемых установщиков программного обеспечения, таких как Telegram, Google Chrome и Microsoft Teams, что делает первоначальное заражение законным. Эти установщики служат каналом для ряда вредоносных действий, включая выполнение вторичного компонента, известного как men.exe после изменения настроек антивируса Microsoft Defender путем добавления исключения диска.

Первый этап включает в себя выполнение вредоносного установщика, tg.exe , который маскируется под установку Telegram на рабочий стол. Этот двоичный файл без знака, размером приблизительно 49,7 МБ, инициирует серию действий, кульминацией которых является установка опасного исключения Microsoft Defender для всего диска C:\. Следуя этому, men.exe организует размещение дополнительных Вредоносных файлов в общедоступном каталоге, изменяет права доступа к файлам для защиты от обнаружения и устанавливает закрепление с помощью запланированной задачи, предназначенной для выполнения сценария VBE.

Примечательным методом атаки, используемым в этой кампании, является UAC bypass, реализуемый компонентом под названием bypass.exe . Этот двоичный файл использует COM-интерфейс ICMLuaUtil для повышения привилегий и усложнения анализа путем выполнения процессов распаковки в памяти. В этом контексте драйвер rwdriver.sys также используется для подрыва решений по обнаружению конечных точек и реагированию на них путем манипулирования системным протоколированием и повторного включения отключенных сетевых интерфейсов, когда это необходимо.

Кроме того, в кампании используется уязвимый подписанный драйвер, NSecKrnl64.sys , загруженный с помощью загрузчика (NVIDIA.exe ), который предоставляет доступ в режиме ядра, предоставляя интерфейс IOCTL, который позволяет вредоносному ПО завершать процессы безопасности. Эта стратегия является важнейшим фактором, позволяющим злоумышленникам закрепиться на скомпрометированных системах.

Стратегии обнаружения уже существуют из-за сложности цепочки распространения вредоносного ПО. Были выявлены признаки компрометации, такие как создание каталогов в %PUBLIC%\Documents\WindowsData\ и подозрительная запланированная задача, выявленная модулями THOR. Сигнатуры вредоносного ПО и эвристические правила обнаружения помогают выявлять необычные действия, связанные с этой кампанией, наряду с отслеживанием существенных изменений в конфигурациях Microsoft Defender.

Кульминацией кампании являются действия по управлению, связанные с доменом keepmasterr.com , с трафиком IP-адресов, предполагающим постоянную связь со скомпрометированными конечными точками. Такие инструменты, как netstat, могут помочь в мониторинге этих подключений, в то время как модуль ProcessCheck от THOR может выявлять процессы, демонстрирующие подозрительное поведение, связанное с этой кампанией вредоносного ПО.

#ParsedReport #CompletenessMedium
28-11-2025

Operation Hanoi Thief: Threat Actor targets Vietnamese IT professionals and recruitment teams.

https://www.seqrite.com/blog/9479-2/

Report completeness: Medium

Actors/Campaigns:
Hanoi_thief

Threats:
Lotusharvest
Spear-phishing_technique
Dll_sideloading_technique
Plugx_rat
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
It departments, Hr recruiters

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 12
Domain: 2
Hash: 4

Soft:
WinINet API, Google Chrome, Microsoft Edge

Algorithms:
zip, base64, sha256

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent, UnhandledExceptionFilter, GetComputerNameA, GetUserNameA, CryptUnprotectData

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, dump: 1, code: 7, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Ханойский вор" нацелена на вьетнамских ИТ-специалистов с помощью тактики Целевого фишинга, используя вредоносный ZIP-файл с именем Le-Xuan-Son_CV.zip . Атака инициируется с помощью файла быстрого доступа Windows, который выполняет команды и использует технологию псевдополиглота для сокрытия вредоносных скриптов, в конечном итоге предоставляя DLL-имплантат LOTUSHARVEST для кражи учетных данных браузера. Эта кампания демонстрирует продвинутую тактику уклонения и может быть связана с злоумышленником китайского происхождения, использующим несколько методов из платформы MITRE ATT&CK.
-----

Операция "Ханойский вор" - это целенаправленная киберкампания, ориентированная на вьетнамских ИТ-специалистов и команды по подбору персонала, использующая поддельные документы для резюме. Атака использует метод Целевого фишинга, в частности, с использованием вредоносного ZIP-файла с именем Le-Xuan-Son_CV.zip , который содержит вредоносные элементы, замаскированные под невинные файлы. В операции используется файл псевдополиглотского типа, позволяющий злоумышленнику скрывать вредоносный код в кажущихся законными документах, чтобы обмануть потенциальных жертв.

Цепочка заражения начинается с вредоносного файла быстрого доступа Windows (.LNK), который выполняет команду с помощью утилиты Windows FTP. Этот скрипт использует флаг -s для открытия ложного резюме при выполнении скрытых команд, встроенных в него. Второй этап, называемый псевдополиглотским трюком, содержит скрипты, встроенные перед типичными заголовками файлов, что позволяет выполнять их, не вызывая немедленных подозрений. В конечном счете, кампания предоставляет конечную полезную нагрузку под названием LOTUSHARVEST — имплантат библиотеки динамических ссылок (DLL), предназначенный для кражи конфиденциальной информации браузера, такой как учетные данные и история посещенных страниц.

LOTUSHARVEST использует Windows WinInet API для эксфильтрации данных, устанавливая HTTPS-соединение с сервером, контролируемым злоумышленником (eol4hkm8mfoeevs.m.pipedream.net ) и отправка украденных данных в виде полезной нагрузки JSON через POST-запрос. Инфраструктура и методы, использованные в этой операции, указывают на потенциальную причастность к злоумышленнику китайского происхождения, хотя окончательное государственное спонсорство установлено не было. Примечательные совпадения с предыдущими кампаниями, ориентированными на схожую демографию, еще больше подтверждают эту гипотезу атрибуции.

Анализ инцидентов согласуется с платформой MITRE ATT&CK, использующей несколько методов для первоначального доступа (вложения для Целевого фишинга), разработки ресурсов (полезные нагрузки вредоносного ПО), Выполнения с участием пользователя Вредоносных файлов и различные стратегии уклонения, включая Маскировку под законные документы. Уникальные аргументы командной строки для выполнения файла LNK и общий скрытный подход к сбору данных отражают передовую тактику кражи информации, свидетельствующую о хорошо спланированной и находчивой хакерской группировке.

#ParsedReport #CompletenessLow
28-11-2025

Inside Morte Loader: How Loader as a Service Builds Modern Botnets

https://socradar.io/blog/inside-morte-loader-loader-as-a-service-botnets/

Report completeness: Low

Threats:
Morte_loader
Mirai
Rondodox

Victims:
Soho routers, Iot devices, Web applications

Industry:
Iot

CVEs:
CVE-2012-1823 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<5.3.12, <5.4.2)

CVE-2019-16759 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.5.4)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup_maker (<1.8.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1046, T1059.004, T1068, T1070, T1071.001, T1078, T1105, T1110, T1190, have more...

Soft:
WebLogic, busybox, curl