#ParsedReport #CompletenessMedium
28-11-2025

Operation Hanoi Thief: Threat Actor targets Vietnamese IT professionals and recruitment teams.

https://www.seqrite.com/blog/9479-2/

Report completeness: Medium

Actors/Campaigns:
Hanoi_thief

Threats:
Lotusharvest
Spear-phishing_technique
Dll_sideloading_technique
Plugx_rat
Lolbin_technique
Dllsearchorder_hijacking_technique

Victims:
It departments, Hr recruiters

Geo:
Vietnam, Vietnamese

TTPs:
Tactics: 10
Technics: 13

IOCs:
File: 12
Domain: 2
Hash: 4

Soft:
WinINet API, Google Chrome, Microsoft Edge

Algorithms:
zip, base64, sha256

Win API:
IsProcessorFeaturePresent, IsDebuggerPresent, UnhandledExceptionFilter, GetComputerNameA, GetUserNameA, CryptUnprotectData

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, windows: 4, dump: 1, code: 7, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Операция "Ханойский вор" нацелена на вьетнамских ИТ-специалистов с помощью тактики Целевого фишинга, используя вредоносный ZIP-файл с именем Le-Xuan-Son_CV.zip . Атака инициируется с помощью файла быстрого доступа Windows, который выполняет команды и использует технологию псевдополиглота для сокрытия вредоносных скриптов, в конечном итоге предоставляя DLL-имплантат LOTUSHARVEST для кражи учетных данных браузера. Эта кампания демонстрирует продвинутую тактику уклонения и может быть связана с злоумышленником китайского происхождения, использующим несколько методов из платформы MITRE ATT&CK.
-----

Операция "Ханойский вор" - это целенаправленная киберкампания, ориентированная на вьетнамских ИТ-специалистов и команды по подбору персонала, использующая поддельные документы для резюме. Атака использует метод Целевого фишинга, в частности, с использованием вредоносного ZIP-файла с именем Le-Xuan-Son_CV.zip , который содержит вредоносные элементы, замаскированные под невинные файлы. В операции используется файл псевдополиглотского типа, позволяющий злоумышленнику скрывать вредоносный код в кажущихся законными документах, чтобы обмануть потенциальных жертв.

Цепочка заражения начинается с вредоносного файла быстрого доступа Windows (.LNK), который выполняет команду с помощью утилиты Windows FTP. Этот скрипт использует флаг -s для открытия ложного резюме при выполнении скрытых команд, встроенных в него. Второй этап, называемый псевдополиглотским трюком, содержит скрипты, встроенные перед типичными заголовками файлов, что позволяет выполнять их, не вызывая немедленных подозрений. В конечном счете, кампания предоставляет конечную полезную нагрузку под названием LOTUSHARVEST — имплантат библиотеки динамических ссылок (DLL), предназначенный для кражи конфиденциальной информации браузера, такой как учетные данные и история посещенных страниц.

LOTUSHARVEST использует Windows WinInet API для эксфильтрации данных, устанавливая HTTPS-соединение с сервером, контролируемым злоумышленником (eol4hkm8mfoeevs.m.pipedream.net ) и отправка украденных данных в виде полезной нагрузки JSON через POST-запрос. Инфраструктура и методы, использованные в этой операции, указывают на потенциальную причастность к злоумышленнику китайского происхождения, хотя окончательное государственное спонсорство установлено не было. Примечательные совпадения с предыдущими кампаниями, ориентированными на схожую демографию, еще больше подтверждают эту гипотезу атрибуции.

Анализ инцидентов согласуется с платформой MITRE ATT&CK, использующей несколько методов для первоначального доступа (вложения для Целевого фишинга), разработки ресурсов (полезные нагрузки вредоносного ПО), Выполнения с участием пользователя Вредоносных файлов и различные стратегии уклонения, включая Маскировку под законные документы. Уникальные аргументы командной строки для выполнения файла LNK и общий скрытный подход к сбору данных отражают передовую тактику кражи информации, свидетельствующую о хорошо спланированной и находчивой хакерской группировке.

#ParsedReport #CompletenessLow
28-11-2025

Inside Morte Loader: How Loader as a Service Builds Modern Botnets

https://socradar.io/blog/inside-morte-loader-loader-as-a-service-botnets/

Report completeness: Low

Threats:
Morte_loader
Mirai
Rondodox

Victims:
Soho routers, Iot devices, Web applications

Industry:
Iot

CVEs:
CVE-2012-1823 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- php (<5.3.12, <5.4.2)

CVE-2019-16759 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- vbulletin (le5.5.4)

CVE-2019-17574 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- code-atlantic popup_maker (<1.8.13)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1046, T1059.004, T1068, T1070, T1071.001, T1078, T1105, T1110, T1190, have more...

Soft:
WebLogic, busybox, curl

#ParsedReport #ExtractedSchema

Classified images:
windows: 1, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Morte - это загрузчик как сервис, предназначенный для уязвимых маршрутизаторов SOHO, устройств Интернета вещей и веб-приложений для создания ботнет. Он использует различные методы первоначального доступа, включая использование известных CVE и учетных данных по умолчанию, и использует загрузочный скрипт для выбора и установки соответствующих полезных нагрузок вредоносного ПО, таких как Mirai или cryptominers. Работа Morte's предполагает быструю ротацию инфраструктуры и удаление следов активности, что затрудняет обнаружение при адаптации к ресурсам каждого скомпрометированного устройства.
-----

Morte - это загрузчик как услуга (LaaS), предназначенный для использования уязвимых маршрутизаторов малого офиса/домашнего офиса (SOHO), устройств Интернета вещей и веб-приложений, эффективно преобразуя эти часто упускаемые из виду ресурсы в многогранную платформу ботнет. Вместо развертывания определенного вида вредоносного ПО Morte предоставляет универсальный загрузчик, который киберпреступники могут арендовать для доставки различных полезных нагрузок, таких как Mirai, RondoDoX, криптоминеры или бэкдоры, адаптируя свой подход на основе ценности, связанной с каждым скомпрометированным устройством.

В процессе первоначального доступа используются различные методы, включая использование известных CVE, использование учетных данных по умолчанию и проведение брутфорс-атак на веб-панели управления устройствами. Этому первоначальному компромиссу способствует небольшой загрузочный скрипт оболочки, который определяет характеристики устройства, а затем загружает соответствующий двоичный файл Morte, совместимый с архитектурой его процессора. После развертывания загрузчик устанавливает соединение на основе HTTP command and control (C2), стирает следы своей деятельности, чтобы избежать обнаружения, внедряет механизмы закрепления и нейтрализует конкурирующие ботнет, майнеры или административные инструменты, которые могут помешать его работе.

Morte работает в рамках структурированной модели киберпреступности, состоящей из трех уровней: операторы инфраструктуры, клиенты ботнет-сетей и конечные пользователи, которые используют DDoS-атаки и сервисы доступа. Инфраструктура, поддерживающая Morte, быстро меняется; она опирается на открытые каталоги, поддерживающие согласованную структуру, но часто изменяет имена файлов и двоичные файлы, усложняя усилия по обнаружению.

Оперативный подход к атаке Morte можно разделить на шесть этапов, начиная с начальной фазы широкого сканирования Интернета и заканчивая индивидуальным развертыванием вредоносной полезной нагрузки. После успешного взлома устройства операторы собирают данные и развертывают дополнительные инструменты, которые определяют оптимальную полезную нагрузку — от Mirai, RondoDoX или различных майнеров — в зависимости от ресурсов устройства и сетевых возможностей.

Чтобы смягчить угрозу, исходящую от Morte, защитникам следует сосредоточиться на раннем обнаружении загрузчика путем выявления уязвимостей и эксплойтов, нацеленных на маршрутизаторы и устройства Интернета вещей. Наблюдение за подозрительными действиями по загрузке shell и проверка незнакомых двоичных файлов, Маскировок под законные системные процессы, являются важными стратегиями для предотвращения того, чтобы загрузчик способствовал DDoS-атакам, криптомайнингу или перепродаже доступа.

#technique

Bind Link – EDR Tampering

https://ipurple.team/2025/12/01/bind-link-edr-tampering/

#technique

EDR Blinding via Windows Filtering Platform - Attack Technique & Detection Engineering

https://www.reddit.com/r/blueteamsec/comments/1p23ism/edr_blinding_via_windows_filtering_platform/

#technique

SAMDump

Extract SAM and SYSTEM using Volume Shadow Copy (VSS) API. With multiple exfiltration options and XOR obfuscation

https://github.com/ricardojoserf/SAMDump

#ParsedReport #CompletenessLow
29-11-2025

Analysis of the Rust implants found in the malicious VS Code extension

https://www.nextron-systems.com/2025/11/29/analysis-of-the-rust-implants-found-in-the-malicious-vs-code-extension/

Report completeness: Low

Threats:
Glassworm

Victims:
Software supply chain

Industry:
Financial, Education

IOCs:
File: 3
Hash: 4
Url: 3

Soft:
macOS

Crypto:
solana

Algorithms:
aes-256-cbc, base64

Languages:
rust, javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Было обнаружено, что вредоносное расширение кода Visual Studio под названием "Material Icon Theme" содержит два импланта Rust в версии 5.29.1. Эти имплантаты позволяют злоумышленникам установить канал управления для удаленных операций, включая эксфильтрацию данных и доставку дополнительной полезной нагрузки, при этом демонстрируя механизмы закрепления, позволяющие пережить перезагрузки. Их кроссплатформенные возможности как в Windows, так и в macOS значительно расширяют спектр угроз, подчеркивая риски, связанные с вредоносным ПО, встроенным в популярные средства разработки.
-----

Обнаружение вредоносного расширения Visual Studio Code (VS Code), Маскировки под "Material Icon Theme", выявило развертывание двух имплантов Rust в версии 5.29.1 расширения. Анализ, проведенный в двоичных файлах Windows и macOS, раскрывает важные детали, касающиеся поведения и функциональных возможностей этих имплантатов.

Имплантаты Rust предназначены для облегчения целого ряда вредоносных действий. После установки они устанавливают канал связи с серверами управления (C2), позволяя удаленным злоумышленникам управлять скомпрометированными системами. Это соединение может быть использовано для различных вредоносных целей, таких как эксфильтрация данных или дальнейшая доставка полезной нагрузки. Имплантаты обладают возможностями, типичными для многих бэкдоров, включая механизмы закрепления, гарантирующие, что они остаются в системе даже после перезагрузки.

Одним из важных аспектов этих имплантатов является их кроссплатформенный дизайн, поскольку они работают как в средах Windows, так и в macOS. Такая широкая совместимость усиливает потенциальную угрозу, поскольку позволяет злоумышленникам нацеливаться на более широкую базу пользователей и использовать уязвимости, присущие обеим операционным системам. Выбор Rust для разработки этих имплантатов примечателен благодаря его высокой производительности и функциям защиты памяти, что делает его подходящим вариантом для создания стойкого и эффективного вредоносного ПО.

Кроме того, анализ подчеркивает необходимость проявления бдительности разработчиками и пользователями платформы VS Code для предотвращения будущих инцидентов, связанных с подобными вредоносными расширениями. Существующие меры безопасности, возможно, нуждаются в пересмотре, чтобы противодействовать эволюционирующей тактике, применяемой киберугрозами, особенно теми, которые используют хорошо известные средства разработки для распространения вредоносного ПО. Этот инцидент подчеркивает сохраняющийся риск, создаваемый вредоносным программным обеспечением, внедренным в надежные среды разработки, что требует улучшения контроля и стратегий предотвращения.

#ParsedReport #CompletenessHigh
27-11-2025

Trouble in the air: A spree of campaigns targeting the aerospace industry in Russia

https://www.intrinsec.com/wp-content/uploads/2025/11/INTRINSEC-2025-Threat-Report-Trouble_in_the_air.pdf

Report completeness: High

Actors/Campaigns:
Watch_wolf
Head_mare (motivation: hacktivism)
Cavalry_werewolf (motivation: hacktivism)
Bo_team
Fancy_bear
Silent_crow (motivation: hacktivism)
Cyber_partisans (motivation: hacktivism)

Threats:
Formbook
Cloudeye
Remcos_rat
Phantomremote
Spear-phishing_technique
Typosquatting_technique
Darkwatchman
Lolbin_technique
Process_injection_technique

Victims:
Aerospace industry, Electronic warfare, Military supply, Energy, Airlines, Airports, Space industry, Training software providers

Industry:
Aerospace, Energy, Military, E-commerce, Petroleum, Government, Logistic, Transport

Geo:
London, Kazakhstan, Russian, Russian federation, Nigeria, Qatar, Nigerian, Moscow, American, Abu dhabi, Belarus, Crimea, Russia, Berlin, Ukrainian, Switzerland, Canada, Germany, America, Ukraine, German, Japan, Pol

TTPs:
Tactics: 4
Technics: 25

IOCs:
Domain: 10
File: 13
IP: 27
Command: 2
Url: 2
Path: 1
Hash: 8

Soft:
Telegram, Outlook, Office365, Starlink, Component Object Model

Algorithms:
zip, sha256

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберкампании, направленные против российской аэрокосмической промышленности, в первую очередь со стороны проукраинских групп хактивистов, активизировались с июня по сентябрь 2025 года, применяя spearphishing против организаций аэрокосмического и военного секторов. Группа "Hdr0", в частности, внедрила программу-вымогатель в Пермский авиационный технический колледж, в то время как другие атаки использовали фишинг электронной почты и вредоносное ПО, такое как Formbook, для кражи учетных данных. Передовые методы включали использование PowerShell для создания бэкдоров и развертывания эксплойтов, таких как PhantomRemote, что указывает на сложную и устойчивую среду угроз.
-----

Недавние киберкампании, нацеленные на российскую аэрокосмическую промышленность, активизировались в период с июня по сентябрь 2025 года, в основном за счет проукраинских групп хактивистов. В этих кампаниях используются методы spearphishing против целого ряда организаций, особенно ориентированных на тех, кто задействован в аэрокосмическом и военном секторах, которые стали мишенью за поддержку российских военных в условиях сохраняющейся геополитической напряженности.

Примечательное событие произошло 1 сентября 2025 года, когда хактивистская группа "Hdr0" успешно внедрила программу-вымогатель в сеть Пермского авиационного технического колледжа, подчеркнув эффективность этих киберопераций. Различные другие организации, включая известные авиакомпании и поставщиков военных технологий, также подверглись серии атак фишинга и вредоносного ПО. Например, S7 Airlines и "Динамика-Авиа" стали мишенями с помощью тактики социальной инженерии, включая поддельные рекламные предложения и срочные запросы, направленные на то, чтобы вынудить сотрудников раскрыть конфиденциальную информацию.

Методы, используемые в этих кампаниях, часто включают вредоносные вложения электронной почты. Важная тактика включает в себя использование размещенных на сервере сайтов фишинга, предназначенных для имитации законных страниц входа в систему, использование таких платформ, как Vercel и Cloudflare, для сокрытия истинной природы атаки. Одним из распространенных вредоносных ПО, наблюдаемых в этих кампаниях, является Formbook, credential-stealing вредоносное ПО, которое использовалось в кампании, нацеленной на Bureau 1440, фирму, специализирующуюся на спутниковых технологиях. Вредоносная полезная нагрузка передавалась с несколькими доменами управления (C2), что усложняло усилия по обнаружению.

Более того, продвинутые методы уклонения наблюдались в кампаниях, связанных с набором вторжений "Hive0117". В этих случаях злоумышленники использовали скрипты PowerShell для развертывания бэкдоров, таких как DarkWatchman, который облегчает удаленный доступ, выполняя команды и разрешая эксфильтрацию данных. Другая группировка, связанная с группами "Head Mare" или "Rainbow Hyena", аналогичным образом атаковала Воронежское авиационное производственное объединение (ВАСО) с помощью spearphishing со взломанных серверов, распространяя Вредоносные файлы, содержащие эксплойты быстрого доступа, предназначенные для развертывания PhantomRemote — другого варианта вредоносного ПО.

Кража учетных данных была постоянной темой, когда злоумышленники использовали поддельные электронные письма с уведомлениями для запроса логинов, что потенциально позволяло получить несанкционированный доступ к критически важным информационным системам. Использование несанкционированной инфраструктуры указывает на изощренный подход к продолжению операций, несмотря на контрмеры.

#ParsedReport #CompletenessHigh
27-11-2025

Analysis of the WhatsWorm campaign leading to the implementation of the Eternity Stealer

https://ish.com.br/wp-content/uploads/2025/11/Analise-da-Campanha-do-WhatsWorm-levando-a-implementacao-do-Eternidade-Stealer-1-1.pdf

Report completeness: High

Threats:
Eternity_stealer
Whatsworm
Babuk2
Akira_ransomware
Dll_injection_technique
Process_hollowing_technique
Eternidade
Astaroth
Dll_sideloading_technique
Spear-phishing_technique
Process_injection_technique

Victims:
Financial services, Whatsapp users

Industry:
Financial

Geo:
Brasil, Portuguese, United kingdom, Brazil, Mexico, Portugal, Ita, Spain, Brazilian, Spanish

CVEs:
CVE-2023-44487 [Vulners]
CVSS V3.1: 7.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- ietf http (2.0)


TTPs:
Tactics: 7
Technics: 0

IOCs:
File: 102
Url: 3
Command: 4
Registry: 1
Path: 1
Hash: 4
Email: 1
Domain: 1

Soft:
WhatsApp, selenium, Chrome, Windows Defender, sushiswap, Ledger Live, Mozilla Firefox, Microsoft Edge

Wallets:
coinbase, bybit, cryptocom, electrum, exodus_wallet, atomicwallet, metamask, ledgerlive, trezor, mycrypto, have more...

Crypto:
binance, kucoin, uniswap, pancakeswap, bitcoin

Algorithms:
sha256, md5, sha1, zip, xor, lznt1

Functions:
Get-ItemProperty, Get-FileHash, bytearray, getContacts, sendBatch

Win API:
decompress, GlobalAlloc, GlobalFree, VirtualAlloc, OpenProcess, GetProcessTimes, CloseHandle, CreateThread

Languages:
delphi, autoit, visual_basic, python, php, powershell, javascript

Platforms:
x86

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания WhatsWorm, проводимая бразильскими злоумышленниками, распространяет вредоносное ПО через WhatsApp, используя вредоносный скрипт Visual Basic в ZIP-файле, отправленном с помощью фишинга. Атака включает в себя несколько этапов, причем первоначальный сценарий приводит к выполнению jFqyDSPp.exe , который служит в качестве стиллера банковской информации и облегчает дальнейшую полезную нагрузку, такую как Eternity Stealer, с помощью отражающего DLL Injection и других методов уклонения, таких как Внедрение в пустой процесс. Кампания подчеркивает изощренное использование автоматизации и многоэтапной тактики, позволяющей вредоносному ПО распространять и извлекать данные без прямого вмешательства.
-----

Кампания WhatsWorm представляет собой серьезную угрозу, исходящую от бразильских злоумышленников, которые использовали популярное приложение для обмена мгновенными сообщениями WhatsApp для распространения вредоносного ПО. Кампания запускается с помощью вредоносного скрипта на Visual Basic (.vbs), встроенного в ZIP-файл и распространяемого жертвам с помощью фишинг-сообщений. Этот скрипт является отправной точкой цепочки заражения, обеспечивая выполнение дальнейших этапов вредоносного ПО.

Третий этап кампании включает в себя выполнение скомпилированного интерпретатора AutolT, идентифицированного как jFqyDSPp.exe , который предназначен для выполнения ряда функций. Он выполняет сценарий из прилагаемого файла журнала, который работает как Стиллер банковской информации и управляет загрузкой последующего четвертого этапа, известного как Eternity Stealer. Сценарий AutolT использует отражающий DLL Injection для выполнения полезной нагрузки в памяти, тем самым избегая систем обнаружения, обычно используемых в защите конечных точек.

Для достижения своих целей вредоносное ПО включает механизм дешифрования и распаковки с использованием алгоритма LZNT1, позволяющий ему систематически выявлять и использовать свою полезную нагрузку, избегая мер безопасности. Четвертый этап кампании WhatsWorm характеризуется двоичным файлом с именем M9FvfE.tda, который функционирует как загрузчик для пятого и заключительного этапа, связанного с вредоносным поведением, наблюдаемым в других семействах вредоносных ПО, таких как Astaroth, благодаря использованию методов Внедрения в пустые процессы.

Кульминацией кампании стало развертывание полезной нагрузки Eternity Stealer, встроенной в артефакт E5llXB.dmp. Эта полезная нагрузка имеет заметное сходство с существующими шаблонами вредоносного ПО, особенно в использовании Delphi в качестве языка программирования, что указывает на более широкую тенденцию повторного использования кода и общих тактик, методов и процедур (TTP) среди бразильских операторов вредоносного ПО как услуги (MaaS).

WhatsWorm демонстрирует возможности червя, способствуя его распространению без прямого вмешательства противника. Он использует скрипт на Python, дополненный методами веб-автоматизации, точно ориентированный на пользователей WhatsApp Web для максимального распространения. Вредоносное ПО способно к Автоматизированной эксфильтрации данных, что усиливает риски, связанные с его развертыванием.

Анализ иллюстрирует эволюционирующую сложность хакерских кАмпаний, организованных бразильскими акторами, демонстрируя стратегический акцент на многоэтапных цепочках заражения, чтобы снизить эффективность усилий по реагированию на инциденты и запутать сроки расследования. Такая адаптивность создает серьезные проблемы для защитников кибербезопасности, подчеркивая необходимость надежных механизмов обнаружения и реагирования.

#ParsedReport #CompletenessHigh
28-11-2025

Arcane Werewolf is back with an updated Loki implant

https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/

Report completeness: High

Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)

Threats:
Loki_stealer
Loki_loader
Spear-phishing_technique
Process_injection_technique
Mythic_c2
Havoc

Victims:
Industrial companies, Russian industrial companies

Industry:
Government

Geo:
Russian

TTPs:
Tactics: 7
Technics: 0

IOCs:
Url: 9
File: 13
Path: 7
Command: 4
Hash: 11
Domain: 9

Algorithms:
aes, base64, zip

Functions:
SetCurrentDirectoryW, GetCurrentDirectoryW

Win API:
CreateProcessW, NtOpenProcess, NtTerminateProcess, NtCreateFile, ZwWriteFile

Languages:
powershell