#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания ValleyRat представляет собой многогранную цепочку заражения вредоносным ПО с использованием методов запутывания и уклонения. Злоумышленники распространяют троянские программы установки популярного программного обеспечения, такого как Telegram и Google Chrome, чтобы вызвать заражение, внедряя такие компоненты, как men.exe и bypass.exe чтобы управлять защитником Microsoft и установить закрепление. Кампания использует уязвимый драйвер для доступа к ядру, позволяющий завершать процессы безопасности, сохраняя при этом связь с серверами управления для текущих операций.
-----

Расследование изощренной кампании по распространению вредоносного ПО, получившей название кампании ValleyRat, выявляет сложную цепочку заражения, использующую множество методов обфускации и изощренные методы уклонения. Злоумышленники внедряют троянские версии широко используемых установщиков программного обеспечения, таких как Telegram, Google Chrome и Microsoft Teams, что делает первоначальное заражение законным. Эти установщики служат каналом для ряда вредоносных действий, включая выполнение вторичного компонента, известного как men.exe после изменения настроек антивируса Microsoft Defender путем добавления исключения диска.

Первый этап включает в себя выполнение вредоносного установщика, tg.exe , который маскируется под установку Telegram на рабочий стол. Этот двоичный файл без знака, размером приблизительно 49,7 МБ, инициирует серию действий, кульминацией которых является установка опасного исключения Microsoft Defender для всего диска C:\. Следуя этому, men.exe организует размещение дополнительных Вредоносных файлов в общедоступном каталоге, изменяет права доступа к файлам для защиты от обнаружения и устанавливает закрепление с помощью запланированной задачи, предназначенной для выполнения сценария VBE.

Примечательным методом атаки, используемым в этой кампании, является UAC bypass, реализуемый компонентом под названием bypass.exe . Этот двоичный файл использует COM-интерфейс ICMLuaUtil для повышения привилегий и усложнения анализа путем выполнения процессов распаковки в памяти. В этом контексте драйвер rwdriver.sys также используется для подрыва решений по обнаружению конечных точек и реагированию на них путем манипулирования системным протоколированием и повторного включения отключенных сетевых интерфейсов, когда это необходимо.

Кроме того, в кампании используется уязвимый подписанный драйвер, NSecKrnl64.sys , загруженный с помощью загрузчика (NVIDIA.exe ), который предоставляет доступ в режиме ядра, предоставляя интерфейс IOCTL, который позволяет вредоносному ПО завершать процессы безопасности. Эта стратегия является важнейшим фактором, позволяющим злоумышленникам закрепиться на скомпрометированных системах.

Стратегии обнаружения уже существуют из-за сложности цепочки распространения вредоносного ПО. Были выявлены признаки компрометации, такие как создание каталогов в %PUBLIC%\Documents\WindowsData\ и подозрительная запланированная задача, выявленная модулями THOR. Сигнатуры вредоносного ПО и эвристические правила обнаружения помогают выявлять необычные действия, связанные с этой кампанией, наряду с отслеживанием существенных изменений в конфигурациях Microsoft Defender.

Кульминацией кампании являются действия по управлению, связанные с доменом keepmasterr.com , с трафиком IP-адресов, предполагающим постоянную связь со скомпрометированными конечными точками. Такие инструменты, как netstat, могут помочь в мониторинге этих подключений, в то время как модуль ProcessCheck от THOR может выявлять процессы, демонстрирующие подозрительное поведение, связанное с этой кампанией вредоносного ПО.

#ParsedReport #CompletenessMedium
28-11-2025

Operation Hanoi Thief: Threat Actor targets Vietnamese IT professionals and recruitment teams.

https://www.seqrite.com/blog/9479-2/

Report completeness: Medium

Actors/Campaigns:
Hanoi_thief

Threats:
Lotusharvest
Spear-phishing_technique
Dll_sideloading_technique
Plugx_rat
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
It departments, Hr recruiters

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 12
Domain: 2
Hash: 4

Soft:
WinINet API, Google Chrome, Microsoft Edge

Algorithms:
zip, base64, sha256

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent, UnhandledExceptionFilter, GetComputerNameA, GetUserNameA, CryptUnprotectData

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, dump: 1, code: 7, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Ханойский вор" нацелена на вьетнамских ИТ-специалистов с помощью тактики Целевого фишинга, используя вредоносный ZIP-файл с именем Le-Xuan-Son_CV.zip . Атака инициируется с помощью файла быстрого доступа Windows, который выполняет команды и использует технологию псевдополиглота для сокрытия вредоносных скриптов, в конечном итоге предоставляя DLL-имплантат LOTUSHARVEST для кражи учетных данных браузера. Эта кампания демонстрирует продвинутую тактику уклонения и может быть связана с злоумышленником китайского происхождения, использующим несколько методов из платформы MITRE ATT&CK.
-----

Операция "Ханойский вор" - это целенаправленная киберкампания, ориентированная на вьетнамских ИТ-специалистов и команды по подбору персонала, использующая поддельные документы для резюме. Атака использует метод Целевого фишинга, в частности, с использованием вредоносного ZIP-файла с именем Le-Xuan-Son_CV.zip , который содержит вредоносные элементы, замаскированные под невинные файлы. В операции используется файл псевдополиглотского типа, позволяющий злоумышленнику скрывать вредоносный код в кажущихся законными документах, чтобы обмануть потенциальных жертв.

Цепочка заражения начинается с вредоносного файла быстрого доступа Windows (.LNK), который выполняет команду с помощью утилиты Windows FTP. Этот скрипт использует флаг -s для открытия ложного резюме при выполнении скрытых команд, встроенных в него. Второй этап, называемый псевдополиглотским трюком, содержит скрипты, встроенные перед типичными заголовками файлов, что позволяет выполнять их, не вызывая немедленных подозрений. В конечном счете, кампания предоставляет конечную полезную нагрузку под названием LOTUSHARVEST — имплантат библиотеки динамических ссылок (DLL), предназначенный для кражи конфиденциальной информации браузера, такой как учетные данные и история посещенных страниц.

LOTUSHARVEST использует Windows WinInet API для эксфильтрации данных, устанавливая HTTPS-соединение с сервером, контролируемым злоумышленником (eol4hkm8mfoeevs.m.pipedream.net ) и отправка украденных данных в виде полезной нагрузки JSON через POST-запрос. Инфраструктура и методы, использованные в этой операции, указывают на потенциальную причастность к злоумышленнику китайского происхождения, хотя окончательное государственное спонсорство установлено не было. Примечательные совпадения с предыдущими кампаниями, ориентированными на схожую демографию, еще больше подтверждают эту гипотезу атрибуции.

Анализ инцидентов согласуется с платформой MITRE ATT&CK, использующей несколько методов для первоначального доступа (вложения для Целевого фишинга), разработки ресурсов (полезные нагрузки вредоносного ПО), Выполнения с участием пользователя Вредоносных файлов и различные стратегии уклонения, включая Маскировку под законные документы. Уникальные аргументы командной строки для выполнения файла LNK и общий скрытный подход к сбору данных отражают передовую тактику кражи информации, свидетельствующую о хорошо спланированной и находчивой хакерской группировке.

#ParsedReport #CompletenessLow
28-11-2025

Inside Morte Loader: How Loader as a Service Builds Modern Botnets

https://socradar.io/blog/inside-morte-loader-loader-as-a-service-botnets/

Report completeness: Low

Threats:
Morte_loader
Mirai
Rondodox

Victims:
Soho routers, Iot devices, Web applications

Industry:
Iot

CVEs:
CVE-2012-1823 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<5.3.12, <5.4.2)

CVE-2019-16759 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.5.4)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup_maker (<1.8.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1046, T1059.004, T1068, T1070, T1071.001, T1078, T1105, T1110, T1190, have more...

Soft:
WebLogic, busybox, curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Morte - это загрузчик как сервис, предназначенный для уязвимых маршрутизаторов SOHO, устройств Интернета вещей и веб-приложений для создания ботнет. Он использует различные методы первоначального доступа, включая использование известных CVE и учетных данных по умолчанию, и использует загрузочный скрипт для выбора и установки соответствующих полезных нагрузок вредоносного ПО, таких как Mirai или cryptominers. Работа Morte's предполагает быструю ротацию инфраструктуры и удаление следов активности, что затрудняет обнаружение при адаптации к ресурсам каждого скомпрометированного устройства.
-----

Morte - это загрузчик как услуга (LaaS), предназначенный для использования уязвимых маршрутизаторов малого офиса/домашнего офиса (SOHO), устройств Интернета вещей и веб-приложений, эффективно преобразуя эти часто упускаемые из виду ресурсы в многогранную платформу ботнет. Вместо развертывания определенного вида вредоносного ПО Morte предоставляет универсальный загрузчик, который киберпреступники могут арендовать для доставки различных полезных нагрузок, таких как Mirai, RondoDoX, криптоминеры или бэкдоры, адаптируя свой подход на основе ценности, связанной с каждым скомпрометированным устройством.

В процессе первоначального доступа используются различные методы, включая использование известных CVE, использование учетных данных по умолчанию и проведение брутфорс-атак на веб-панели управления устройствами. Этому первоначальному компромиссу способствует небольшой загрузочный скрипт оболочки, который определяет характеристики устройства, а затем загружает соответствующий двоичный файл Morte, совместимый с архитектурой его процессора. После развертывания загрузчик устанавливает соединение на основе HTTP command and control (C2), стирает следы своей деятельности, чтобы избежать обнаружения, внедряет механизмы закрепления и нейтрализует конкурирующие ботнет, майнеры или административные инструменты, которые могут помешать его работе.

Morte работает в рамках структурированной модели киберпреступности, состоящей из трех уровней: операторы инфраструктуры, клиенты ботнет-сетей и конечные пользователи, которые используют DDoS-атаки и сервисы доступа. Инфраструктура, поддерживающая Morte, быстро меняется; она опирается на открытые каталоги, поддерживающие согласованную структуру, но часто изменяет имена файлов и двоичные файлы, усложняя усилия по обнаружению.

Оперативный подход к атаке Morte можно разделить на шесть этапов, начиная с начальной фазы широкого сканирования Интернета и заканчивая индивидуальным развертыванием вредоносной полезной нагрузки. После успешного взлома устройства операторы собирают данные и развертывают дополнительные инструменты, которые определяют оптимальную полезную нагрузку — от Mirai, RondoDoX или различных майнеров — в зависимости от ресурсов устройства и сетевых возможностей.

Чтобы смягчить угрозу, исходящую от Morte, защитникам следует сосредоточиться на раннем обнаружении загрузчика путем выявления уязвимостей и эксплойтов, нацеленных на маршрутизаторы и устройства Интернета вещей. Наблюдение за подозрительными действиями по загрузке shell и проверка незнакомых двоичных файлов, Маскировок под законные системные процессы, являются важными стратегиями для предотвращения того, чтобы загрузчик способствовал DDoS-атакам, криптомайнингу или перепродаже доступа.

#technique

Bind Link – EDR Tampering

https://ipurple.team/2025/12/01/bind-link-edr-tampering/

#technique

EDR Blinding via Windows Filtering Platform - Attack Technique & Detection Engineering

https://www.reddit.com/r/blueteamsec/comments/1p23ism/edr_blinding_via_windows_filtering_platform/

#technique

SAMDump

Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and XOR obfuscation

https://github.com/ricardojoserf/SAMDump

#ParsedReport #CompletenessLow
29-11-2025

Analysis of the Rust implants found in the malicious VS Code extension

https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/

Report completeness: Low

Threats:
Glassworm

Victims:
Software supply chain

Industry:
Financial, Education

IOCs:
File: 3
Hash: 4
Url: 3

Soft:
macOS

Crypto:
solana

Algorithms:
aes-256-cbc, base64

Languages:
rust, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что вредоносное расширение кода Visual Studio под названием "Material Icon Theme" содержит два импланта Rust в версии 5.29.1. Эти имплантаты позволяют злоумышленникам установить канал управления для удаленных операций, включая эксфильтрацию данных и доставку дополнительной полезной нагрузки, при этом демонстрируя механизмы закрепления, позволяющие пережить перезагрузки. Их кроссплатформенные возможности как в Windows, так и в macOS значительно расширяют спектр угроз, подчеркивая риски, связанные с вредоносным ПО, встроенным в популярные средства разработки.
-----

Обнаружение вредоносного расширения Visual Studio Code (VS Code), Маскировки под "Material Icon Theme", выявило развертывание двух имплантов Rust в версии 5.29.1 расширения. Анализ, проведенный в двоичных файлах Windows и macOS, раскрывает важные детали, касающиеся поведения и функциональных возможностей этих имплантатов.

Имплантаты Rust предназначены для облегчения целого ряда вредоносных действий. После установки они устанавливают канал связи с серверами управления (C2), позволяя удаленным злоумышленникам управлять скомпрометированными системами. Это соединение может быть использовано для различных вредоносных целей, таких как эксфильтрация данных или дальнейшая доставка полезной нагрузки. Имплантаты обладают возможностями, типичными для многих бэкдоров, включая механизмы закрепления, гарантирующие, что они остаются в системе даже после перезагрузки.

Одним из важных аспектов этих имплантатов является их кроссплатформенный дизайн, поскольку они работают как в средах Windows, так и в macOS. Такая широкая совместимость усиливает потенциальную угрозу, поскольку позволяет злоумышленникам нацеливаться на более широкую базу пользователей и использовать уязвимости, присущие обеим операционным системам. Выбор Rust для разработки этих имплантатов примечателен благодаря его высокой производительности и функциям защиты памяти, что делает его подходящим вариантом для создания стойкого и эффективного вредоносного ПО.

Кроме того, анализ подчеркивает необходимость проявления бдительности разработчиками и пользователями платформы VS Code для предотвращения будущих инцидентов, связанных с подобными вредоносными расширениями. Существующие меры безопасности, возможно, нуждаются в пересмотре, чтобы противодействовать эволюционирующей тактике, применяемой киберугрозами, особенно теми, которые используют хорошо известные средства разработки для распространения вредоносного ПО. Этот инцидент подчеркивает сохраняющийся риск, создаваемый вредоносным программным обеспечением, внедренным в надежные среды разработки, что требует улучшения контроля и стратегий предотвращения.

#ParsedReport #CompletenessHigh
27-11-2025

Trouble in the air: A spree of campaigns targeting the aerospace industry in Russia

https://www.intrinsec.com/wp-content/uploads/2025/11/INTRINSEC-2025-Threat-Report-Trouble_in_the_air.pdf

Report completeness: High

Actors/Campaigns:
Watch_wolf
Head_mare (motivation: hacktivism)
Cavalry_werewolf (motivation: hacktivism)
Bo_team
Fancy_bear
Silent_crow (motivation: hacktivism)
Cyber_partisans (motivation: hacktivism)

Threats:
Formbook
Cloudeye
Remcos_rat
Phantomremote
Spear-phishing_technique
Typosquatting_technique
Darkwatchman
Lolbin_technique
Process_injection_technique

Victims:
Aerospace industry, Electronic warfare, Military supply, Energy, Airlines, Airports, Space industry, Training software providers

Industry:
Aerospace, Energy, Military, E-commerce, Petroleum, Government, Logistic, Transport

Geo:
London, Kazakhstan, Russian, Russian federation, Nigeria, Qatar, Nigerian, Moscow, American, Abu dhabi, Belarus, Crimea, Russia, Berlin, Ukrainian, Switzerland, Canada, Germany, America, Ukraine, German, Japan, Pol

TTPs:
Tactics: 4
Technics: 25

IOCs:
Domain: 10
File: 13
IP: 27
Command: 2
Url: 2
Path: 1
Hash: 8

Soft:
Telegram, Outlook, Office365, Starlink, Component Object Model

Algorithms:
zip, sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберкампании, направленные против российской аэрокосмической промышленности, в первую очередь со стороны проукраинских групп хактивистов, активизировались с июня по сентябрь 2025 года, применяя spearphishing против организаций аэрокосмического и военного секторов. Группа "Hdr0", в частности, внедрила программу-вымогатель в Пермский авиационный технический колледж, в то время как другие атаки использовали фишинг электронной почты и вредоносное ПО, такое как Formbook, для кражи учетных данных. Передовые методы включали использование PowerShell для создания бэкдоров и развертывания эксплойтов, таких как PhantomRemote, что указывает на сложную и устойчивую среду угроз.
-----

Недавние киберкампании, нацеленные на российскую аэрокосмическую промышленность, активизировались в период с июня по сентябрь 2025 года, в основном за счет проукраинских групп хактивистов. В этих кампаниях используются методы spearphishing против целого ряда организаций, особенно ориентированных на тех, кто задействован в аэрокосмическом и военном секторах, которые стали мишенью за поддержку российских военных в условиях сохраняющейся геополитической напряженности.

Примечательное событие произошло 1 сентября 2025 года, когда хактивистская группа "Hdr0" успешно внедрила программу-вымогатель в сеть Пермского авиационного технического колледжа, подчеркнув эффективность этих киберопераций. Различные другие организации, включая известные авиакомпании и поставщиков военных технологий, также подверглись серии атак фишинга и вредоносного ПО. Например, S7 Airlines и "Динамика-Авиа" стали мишенями с помощью тактики социальной инженерии, включая поддельные рекламные предложения и срочные запросы, направленные на то, чтобы вынудить сотрудников раскрыть конфиденциальную информацию.

Методы, используемые в этих кампаниях, часто включают вредоносные вложения электронной почты. Важная тактика включает в себя использование размещенных на сервере сайтов фишинга, предназначенных для имитации законных страниц входа в систему, использование таких платформ, как Vercel и Cloudflare, для сокрытия истинной природы атаки. Одним из распространенных вредоносных ПО, наблюдаемых в этих кампаниях, является Formbook, credential-stealing вредоносное ПО, которое использовалось в кампании, нацеленной на Bureau 1440, фирму, специализирующуюся на спутниковых технологиях. Вредоносная полезная нагрузка передавалась с несколькими доменами управления (C2), что усложняло усилия по обнаружению.

Более того, продвинутые методы уклонения наблюдались в кампаниях, связанных с набором вторжений "Hive0117". В этих случаях злоумышленники использовали скрипты PowerShell для развертывания бэкдоров, таких как DarkWatchman, который облегчает удаленный доступ, выполняя команды и разрешая эксфильтрацию данных. Другая группировка, связанная с группами "Head Mare" или "Rainbow Hyena", аналогичным образом атаковала Воронежское авиационное производственное объединение (ВАСО) с помощью spearphishing со взломанных серверов, распространяя Вредоносные файлы, содержащие эксплойты быстрого доступа, предназначенные для развертывания PhantomRemote — другого варианта вредоносного ПО.

Кража учетных данных была постоянной темой, когда злоумышленники использовали поддельные электронные письма с уведомлениями для запроса логинов, что потенциально позволяло получить несанкционированный доступ к критически важным информационным системам. Использование несанкционированной инфраструктуры указывает на изощренный подход к продолжению операций, несмотря на контрмеры.

#ParsedReport #CompletenessHigh
27-11-2025

Analysis of the WhatsWorm campaign leading to the implementation of the Eternity Stealer

https://ish.com.br/wp-content/uploads/2025/11/Analise-da-Campanha-do-WhatsWorm-levando-a-implementacao-do-Eternidade-Stealer-1-1.pdf

Report completeness: High

Threats:
Eternity_stealer
Whatsworm
Babuk2
Akira_ransomware
Dll_injection_technique
Process_hollowing_technique
Eternidade
Astaroth
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique

Victims:
Financial services, Whatsapp users

Industry:
Financial

Geo:
Brasil, Portuguese, United kingdom, Brazil, Mexico, Portugal, Ita, Spain, Brazilian, Spanish

CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 102
Url: 3
Command: 4
Registry: 1
Path: 1
Hash: 4
Email: 1
Domain: 1

Soft:
WhatsApp, selenium, Chrome, Windows Defender, sushiswap, Ledger Live, Mozilla Firefox, Microsoft Edge

Wallets:
coinbase, bybit, cryptocom, electrum, exodus_wallet, atomicwallet, metamask, ledgerlive, trezor, mycrypto, have more...

Crypto:
binance, kucoin, uniswap, pancakeswap, bitcoin

Algorithms:
sha256, md5, sha1, zip, xor, lznt1

Functions:
Get-ItemProperty, Get-FileHash, bytearray, getContacts, sendBatch

Win API:
decompress, GlobalAlloc, GlobalFree, VirtualAlloc, OpenProcess, GetProcessTimes, CloseHandle, CreateThread

Languages:
delphi, autoit, visual_basic, python, php, powershell, javascript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4