#ParsedReport #CompletenessLow
28-11-2025

Summary summary of malicious campaigns during the week of November 22 - 28

https://cert-agid.gov.it/news/sintesi-riepilogativa-delle-campagne-malevole-nella-settimana-del-22-28-novembre/

Report completeness: Low

Threats:
Formbook
Phantom_stealer
Grandoreiro
Snake_keylogger
Vipkeylogger
Supercard-x
Cloudeye
Herodotus
Remcos_rat
Relaynfc
Agent_tesla
Nanocore_rat
Xworm_rat
Albiriox
Darkcloud
Lumma_stealer

Victims:
Italian targets, Generic targets affecting italy

Industry:
Financial

Geo:
Italy, Italian

IOCs:
Domain: 3
Url: 6

Soft:
Office365

Algorithms:
zip

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В течение недели с 22 по 28 ноября CERT-AGID зафиксировал 89 вредоносных кампаний, нацеленных на итальянские организации, с заметными угрозами, включая 16 различных семейств вредоносных ПО и продолжающиеся попытки фишинга с участием 23 брендов. Кампании отражали различные методы атак, в частности, с акцентом на PagoPA, платежный сервис в Италии, и тактику фишинга веб-почты без брендирования. Такое разнообразие указывает на то, что злоумышленники активно адаптируют свои стратегии для использования уязвимостей в системах и онлайн-коммуникации.
-----

В течение недели с 22 по 28 ноября CERT-AGID выявил в общей сложности 89 вредоносных кампаний, 45 из которых были нацелены конкретно на итальянские организации, а 44 - на общие кампании, которые повлияли на Италию. Аккредитованным организациям были предоставлены 804 индикатора компрометации (IoC) для оказания помощи в устранении этих угроз.

Среди обнаруженных угроз 23 темы были выделены как средства для вредоносной деятельности на территории Италии. Это разнообразие подчеркивает разнообразие методов, которые злоумышленники используют для проникновения в системы и сети. Аналитики по безопасности отметили, что за этот период было идентифицировано 16 различных семейств вредоносных ПО, что указывает на значительный спектр вредоносных ПО, нацеленных на регион. Наличие различных семейств вредоносного ПО позволяет предположить, что злоумышленники адаптируют и используют различные стратегии для достижения своих целей.

Фишинг также оставался серьезной угрозой: 23 бренда были признаны жертвами кампаний фишинга. Наиболее заметные кампании на этой неделе касались тем, связанных с платежным сервисом PagoPA в Италии, наряду с попытками фишинга веб-почты без брендирования. Частота проведения таких кампаний свидетельствует о том, что злоумышленники сосредоточены на использовании хорошо известных сервисов и уязвимостей, связанных с методами онлайн-коммуникации.

#ParsedReport #CompletenessHigh
28-11-2025

Thor vs. Silver Fox - Uncovering and Defeating a Sophisticated ValleyRat Campaign

https://www.nextron-systems.com/2025/11/28/thor-vs-silver-fox-uncovering-and-defeating-a-sophisticated-valleyrat-campaign/

Report completeness: High

Actors/Campaigns:
Silver_fox

Threats:
Valleyrat
Dll_sideloading_technique
Byovd_technique
Spear-phishing_technique
Uac_bypass_technique
Icmluautil_tool
Dllsearchorder_hijacking_technique

Geo:
Chinese, China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1014, T1027, T1041, T1053.005, T1059.001, T1063, T1070.004, T1195, T1202, T1204, have more...

IOCs:
File: 21
Hash: 34
Path: 9
Registry: 1
Domain: 5
IP: 1

Soft:
Telegram, WinSCP, Google Chrome, Microsoft Teams, Microsoft Defender, Windows installer, Chrome, WinSCP

Algorithms:
zip, sha256

Win API:
NtHandleCallback

Win Services:
MsMpEng

Languages:
powershell

Platforms:
x64

YARA: Found

Links:
https://github.com/SigmaHQ/sigma/blob/43b6fae2a001d3af9a53984167dd39d2319fbb40/rules/windows/builtin/windefend/win\_defender\_config\_change\_exclusion\_added.yml

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, dump: 1, code: 6

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ValleyRat представляет собой многогранную цепочку заражения вредоносным ПО с использованием методов запутывания и уклонения. Злоумышленники распространяют троянские программы установки популярного программного обеспечения, такого как Telegram и Google Chrome, чтобы вызвать заражение, внедряя такие компоненты, как men.exe и bypass.exe чтобы управлять защитником Microsoft и установить закрепление. Кампания использует уязвимый драйвер для доступа к ядру, позволяющий завершать процессы безопасности, сохраняя при этом связь с серверами управления для текущих операций.
-----

Расследование изощренной кампании по распространению вредоносного ПО, получившей название кампании ValleyRat, выявляет сложную цепочку заражения, использующую множество методов обфускации и изощренные методы уклонения. Злоумышленники внедряют троянские версии широко используемых установщиков программного обеспечения, таких как Telegram, Google Chrome и Microsoft Teams, что делает первоначальное заражение законным. Эти установщики служат каналом для ряда вредоносных действий, включая выполнение вторичного компонента, известного как men.exe после изменения настроек антивируса Microsoft Defender путем добавления исключения диска.

Первый этап включает в себя выполнение вредоносного установщика, tg.exe , который маскируется под установку Telegram на рабочий стол. Этот двоичный файл без знака, размером приблизительно 49,7 МБ, инициирует серию действий, кульминацией которых является установка опасного исключения Microsoft Defender для всего диска C:\. Следуя этому, men.exe организует размещение дополнительных Вредоносных файлов в общедоступном каталоге, изменяет права доступа к файлам для защиты от обнаружения и устанавливает закрепление с помощью запланированной задачи, предназначенной для выполнения сценария VBE.

Примечательным методом атаки, используемым в этой кампании, является UAC bypass, реализуемый компонентом под названием bypass.exe . Этот двоичный файл использует COM-интерфейс ICMLuaUtil для повышения привилегий и усложнения анализа путем выполнения процессов распаковки в памяти. В этом контексте драйвер rwdriver.sys также используется для подрыва решений по обнаружению конечных точек и реагированию на них путем манипулирования системным протоколированием и повторного включения отключенных сетевых интерфейсов, когда это необходимо.

Кроме того, в кампании используется уязвимый подписанный драйвер, NSecKrnl64.sys , загруженный с помощью загрузчика (NVIDIA.exe ), который предоставляет доступ в режиме ядра, предоставляя интерфейс IOCTL, который позволяет вредоносному ПО завершать процессы безопасности. Эта стратегия является важнейшим фактором, позволяющим злоумышленникам закрепиться на скомпрометированных системах.

Стратегии обнаружения уже существуют из-за сложности цепочки распространения вредоносного ПО. Были выявлены признаки компрометации, такие как создание каталогов в %PUBLIC%\Documents\WindowsData\ и подозрительная запланированная задача, выявленная модулями THOR. Сигнатуры вредоносного ПО и эвристические правила обнаружения помогают выявлять необычные действия, связанные с этой кампанией, наряду с отслеживанием существенных изменений в конфигурациях Microsoft Defender.

Кульминацией кампании являются действия по управлению, связанные с доменом keepmasterr.com , с трафиком IP-адресов, предполагающим постоянную связь со скомпрометированными конечными точками. Такие инструменты, как netstat, могут помочь в мониторинге этих подключений, в то время как модуль ProcessCheck от THOR может выявлять процессы, демонстрирующие подозрительное поведение, связанное с этой кампанией вредоносного ПО.

#ParsedReport #CompletenessMedium
28-11-2025

Operation Hanoi Thief: Threat Actor targets Vietnamese IT professionals and recruitment teams.

https://www.seqrite.com/blog/9479-2/

Report completeness: Medium

Actors/Campaigns:
Hanoi_thief

Threats:
Lotusharvest
Spear-phishing_technique
Dll_sideloading_technique
Plugx_rat
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
It departments, Hr recruiters

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 12
Domain: 2
Hash: 4

Soft:
WinINet API, Google Chrome, Microsoft Edge

Algorithms:
zip, base64, sha256

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent, UnhandledExceptionFilter, GetComputerNameA, GetUserNameA, CryptUnprotectData

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, dump: 1, code: 7, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Ханойский вор" нацелена на вьетнамских ИТ-специалистов с помощью тактики Целевого фишинга, используя вредоносный ZIP-файл с именем Le-Xuan-Son_CV.zip . Атака инициируется с помощью файла быстрого доступа Windows, который выполняет команды и использует технологию псевдополиглота для сокрытия вредоносных скриптов, в конечном итоге предоставляя DLL-имплантат LOTUSHARVEST для кражи учетных данных браузера. Эта кампания демонстрирует продвинутую тактику уклонения и может быть связана с злоумышленником китайского происхождения, использующим несколько методов из платформы MITRE ATT&CK.
-----

Операция "Ханойский вор" - это целенаправленная киберкампания, ориентированная на вьетнамских ИТ-специалистов и команды по подбору персонала, использующая поддельные документы для резюме. Атака использует метод Целевого фишинга, в частности, с использованием вредоносного ZIP-файла с именем Le-Xuan-Son_CV.zip , который содержит вредоносные элементы, замаскированные под невинные файлы. В операции используется файл псевдополиглотского типа, позволяющий злоумышленнику скрывать вредоносный код в кажущихся законными документах, чтобы обмануть потенциальных жертв.

Цепочка заражения начинается с вредоносного файла быстрого доступа Windows (.LNK), который выполняет команду с помощью утилиты Windows FTP. Этот скрипт использует флаг -s для открытия ложного резюме при выполнении скрытых команд, встроенных в него. Второй этап, называемый псевдополиглотским трюком, содержит скрипты, встроенные перед типичными заголовками файлов, что позволяет выполнять их, не вызывая немедленных подозрений. В конечном счете, кампания предоставляет конечную полезную нагрузку под названием LOTUSHARVEST — имплантат библиотеки динамических ссылок (DLL), предназначенный для кражи конфиденциальной информации браузера, такой как учетные данные и история посещенных страниц.

LOTUSHARVEST использует Windows WinInet API для эксфильтрации данных, устанавливая HTTPS-соединение с сервером, контролируемым злоумышленником (eol4hkm8mfoeevs.m.pipedream.net ) и отправка украденных данных в виде полезной нагрузки JSON через POST-запрос. Инфраструктура и методы, использованные в этой операции, указывают на потенциальную причастность к злоумышленнику китайского происхождения, хотя окончательное государственное спонсорство установлено не было. Примечательные совпадения с предыдущими кампаниями, ориентированными на схожую демографию, еще больше подтверждают эту гипотезу атрибуции.

Анализ инцидентов согласуется с платформой MITRE ATT&CK, использующей несколько методов для первоначального доступа (вложения для Целевого фишинга), разработки ресурсов (полезные нагрузки вредоносного ПО), Выполнения с участием пользователя Вредоносных файлов и различные стратегии уклонения, включая Маскировку под законные документы. Уникальные аргументы командной строки для выполнения файла LNK и общий скрытный подход к сбору данных отражают передовую тактику кражи информации, свидетельствующую о хорошо спланированной и находчивой хакерской группировке.

#ParsedReport #CompletenessLow
28-11-2025

Inside Morte Loader: How Loader as a Service Builds Modern Botnets

https://socradar.io/blog/inside-morte-loader-loader-as-a-service-botnets/

Report completeness: Low

Threats:
Morte_loader
Mirai
Rondodox

Victims:
Soho routers, Iot devices, Web applications

Industry:
Iot

CVEs:
CVE-2012-1823 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<5.3.12, <5.4.2)

CVE-2019-16759 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.5.4)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup_maker (<1.8.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1046, T1059.004, T1068, T1070, T1071.001, T1078, T1105, T1110, T1190, have more...

Soft:
WebLogic, busybox, curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Morte - это загрузчик как сервис, предназначенный для уязвимых маршрутизаторов SOHO, устройств Интернета вещей и веб-приложений для создания ботнет. Он использует различные методы первоначального доступа, включая использование известных CVE и учетных данных по умолчанию, и использует загрузочный скрипт для выбора и установки соответствующих полезных нагрузок вредоносного ПО, таких как Mirai или cryptominers. Работа Morte's предполагает быструю ротацию инфраструктуры и удаление следов активности, что затрудняет обнаружение при адаптации к ресурсам каждого скомпрометированного устройства.
-----

Morte - это загрузчик как услуга (LaaS), предназначенный для использования уязвимых маршрутизаторов малого офиса/домашнего офиса (SOHO), устройств Интернета вещей и веб-приложений, эффективно преобразуя эти часто упускаемые из виду ресурсы в многогранную платформу ботнет. Вместо развертывания определенного вида вредоносного ПО Morte предоставляет универсальный загрузчик, который киберпреступники могут арендовать для доставки различных полезных нагрузок, таких как Mirai, RondoDoX, криптоминеры или бэкдоры, адаптируя свой подход на основе ценности, связанной с каждым скомпрометированным устройством.

В процессе первоначального доступа используются различные методы, включая использование известных CVE, использование учетных данных по умолчанию и проведение брутфорс-атак на веб-панели управления устройствами. Этому первоначальному компромиссу способствует небольшой загрузочный скрипт оболочки, который определяет характеристики устройства, а затем загружает соответствующий двоичный файл Morte, совместимый с архитектурой его процессора. После развертывания загрузчик устанавливает соединение на основе HTTP command and control (C2), стирает следы своей деятельности, чтобы избежать обнаружения, внедряет механизмы закрепления и нейтрализует конкурирующие ботнет, майнеры или административные инструменты, которые могут помешать его работе.

Morte работает в рамках структурированной модели киберпреступности, состоящей из трех уровней: операторы инфраструктуры, клиенты ботнет-сетей и конечные пользователи, которые используют DDoS-атаки и сервисы доступа. Инфраструктура, поддерживающая Morte, быстро меняется; она опирается на открытые каталоги, поддерживающие согласованную структуру, но часто изменяет имена файлов и двоичные файлы, усложняя усилия по обнаружению.

Оперативный подход к атаке Morte можно разделить на шесть этапов, начиная с начальной фазы широкого сканирования Интернета и заканчивая индивидуальным развертыванием вредоносной полезной нагрузки. После успешного взлома устройства операторы собирают данные и развертывают дополнительные инструменты, которые определяют оптимальную полезную нагрузку — от Mirai, RondoDoX или различных майнеров — в зависимости от ресурсов устройства и сетевых возможностей.

Чтобы смягчить угрозу, исходящую от Morte, защитникам следует сосредоточиться на раннем обнаружении загрузчика путем выявления уязвимостей и эксплойтов, нацеленных на маршрутизаторы и устройства Интернета вещей. Наблюдение за подозрительными действиями по загрузке shell и проверка незнакомых двоичных файлов, Маскировок под законные системные процессы, являются важными стратегиями для предотвращения того, чтобы загрузчик способствовал DDoS-атакам, криптомайнингу или перепродаже доступа.

#technique

Bind Link – EDR Tampering

https://ipurple.team/2025/12/01/bind-link-edr-tampering/

#technique

EDR Blinding via Windows Filtering Platform - Attack Technique & Detection Engineering

https://www.reddit.com/r/blueteamsec/comments/1p23ism/edr_blinding_via_windows_filtering_platform/

#technique

SAMDump

Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and XOR obfuscation

https://github.com/ricardojoserf/SAMDump

#ParsedReport #CompletenessLow
29-11-2025

Analysis of the Rust implants found in the malicious VS Code extension

https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/

Report completeness: Low

Threats:
Glassworm

Victims:
Software supply chain

Industry:
Financial, Education

IOCs:
File: 3
Hash: 4
Url: 3

Soft:
macOS

Crypto:
solana

Algorithms:
aes-256-cbc, base64

Languages:
rust, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что вредоносное расширение кода Visual Studio под названием "Material Icon Theme" содержит два импланта Rust в версии 5.29.1. Эти имплантаты позволяют злоумышленникам установить канал управления для удаленных операций, включая эксфильтрацию данных и доставку дополнительной полезной нагрузки, при этом демонстрируя механизмы закрепления, позволяющие пережить перезагрузки. Их кроссплатформенные возможности как в Windows, так и в macOS значительно расширяют спектр угроз, подчеркивая риски, связанные с вредоносным ПО, встроенным в популярные средства разработки.
-----

Обнаружение вредоносного расширения Visual Studio Code (VS Code), Маскировки под "Material Icon Theme", выявило развертывание двух имплантов Rust в версии 5.29.1 расширения. Анализ, проведенный в двоичных файлах Windows и macOS, раскрывает важные детали, касающиеся поведения и функциональных возможностей этих имплантатов.

Имплантаты Rust предназначены для облегчения целого ряда вредоносных действий. После установки они устанавливают канал связи с серверами управления (C2), позволяя удаленным злоумышленникам управлять скомпрометированными системами. Это соединение может быть использовано для различных вредоносных целей, таких как эксфильтрация данных или дальнейшая доставка полезной нагрузки. Имплантаты обладают возможностями, типичными для многих бэкдоров, включая механизмы закрепления, гарантирующие, что они остаются в системе даже после перезагрузки.

Одним из важных аспектов этих имплантатов является их кроссплатформенный дизайн, поскольку они работают как в средах Windows, так и в macOS. Такая широкая совместимость усиливает потенциальную угрозу, поскольку позволяет злоумышленникам нацеливаться на более широкую базу пользователей и использовать уязвимости, присущие обеим операционным системам. Выбор Rust для разработки этих имплантатов примечателен благодаря его высокой производительности и функциям защиты памяти, что делает его подходящим вариантом для создания стойкого и эффективного вредоносного ПО.

Кроме того, анализ подчеркивает необходимость проявления бдительности разработчиками и пользователями платформы VS Code для предотвращения будущих инцидентов, связанных с подобными вредоносными расширениями. Существующие меры безопасности, возможно, нуждаются в пересмотре, чтобы противодействовать эволюционирующей тактике, применяемой киберугрозами, особенно теми, которые используют хорошо известные средства разработки для распространения вредоносного ПО. Этот инцидент подчеркивает сохраняющийся риск, создаваемый вредоносным программным обеспечением, внедренным в надежные среды разработки, что требует улучшения контроля и стратегий предотвращения.