#ParsedReport #CompletenessHigh
28-11-2025
Arcane Werewolf is back with an updated Loki implant
https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/
Report completeness: High
Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
Threats:
Loki_stealer
Loki_loader
Spear-phishing_technique
Process_injection_technique
Mythic_c2
Havoc
Victims:
Industrial companies, Russian industrial companies
Industry:
Government
Geo:
Russian
TTPs:
Tactics: 7
Technics: 0
IOCs:
Url: 9
File: 13
Path: 7
Command: 4
Hash: 11
Domain: 9
Algorithms:
aes, base64, zip
Functions:
SetCurrentDirectoryW, GetCurrentDirectoryW
Win API:
CreateProcessW, NtOpenProcess, NtTerminateProcess, NtCreateFile, ZwWriteFile
Languages:
powershell
28-11-2025
Arcane Werewolf is back with an updated Loki implant
https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/
Report completeness: High
Actors/Campaigns:
Mythic_likho (motivation: cyber_criminal)
Threats:
Loki_stealer
Loki_loader
Spear-phishing_technique
Process_injection_technique
Mythic_c2
Havoc
Victims:
Industrial companies, Russian industrial companies
Industry:
Government
Geo:
Russian
TTPs:
Tactics: 7
Technics: 0
IOCs:
Url: 9
File: 13
Path: 7
Command: 4
Hash: 11
Domain: 9
Algorithms:
aes, base64, zip
Functions:
SetCurrentDirectoryW, GetCurrentDirectoryW
Win API:
CreateProcessW, NtOpenProcess, NtTerminateProcess, NtCreateFile, ZwWriteFile
Languages:
powershell
BI.ZONE
Arcane Werewolf вернулся с обновленным имплантом Loki
Кластер атакует российские промышленные компании
CTT Report Hub
#ParsedReport #CompletenessHigh 28-11-2025 Arcane Werewolf is back with an updated Loki implant https://bi.zone/expertise/blog/arcane-werewolf-vernulsya-s-obnovlennym-implantom-loki/ Report completeness: High Actors/Campaigns: Mythic_likho (motivation:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года хакерская группа Arcane Werewolf, также известная как Mythic Likho, атаковала российские промышленные фирмы, используя сложные электронные письма с фишингом для доставки архива VPO, связанного с поддельным веб-сайтом законной компании. Обновленный вариант вредоносного ПО Loki, используемый в этих атаках, облегчает эксфильтрацию данных и удаленный доступ, улучшая перемещение внутри компании внутри сетей. Развивающаяся тактика группы подчеркивает целенаправленную угрозу критически важной инфраструктуре, что требует бдительности в отношении социальной инженерии и улучшения мониторинга связанных с ней показателей компрометации.
-----
В конце 2025 года эксперты по кибербезопасности из BI.ZONE Threat Intelligence выявила продолжающуюся вредоносную деятельность, связанную с хакерской группой, известной как Arcane Werewolf, также известной как Mythic Likho. Эта группа нацелена на российские промышленные компании, подчеркивая смещение акцента в сторону конкретных секторов, имеющих решающее значение для национальной инфраструктуры. Вектором атаки, используемым в этих кампаниях, по-видимому, являются электронные письма с фишингом, отражающие предыдущие инциденты, приписываемые этому злоумышленнику. Хотя сами электронные письма с фишингом были недоступны, есть подозрение, что они содержали ссылку, по которой получатели могли загрузить архив VPO с сайта, выдающего себя за законную российскую промышленную компанию. Этот метод направлен на то, чтобы обманом заставить цели выдать конфиденциальную информацию или выполнить вредоносную полезную нагрузку, используя их доверие к узнаваемым компаниям.
Обновленным вариантом вредоносного ПО, связанным с этой кампанией, является имплантат Loki, который претерпел изменения по сравнению с его предыдущими версиями. Loki известен такими функциями, как эксфильтрация данных, обеспечение удаленного доступа и потенциальное облегчение перемещения внутри компании в скомпрометированных сетях. Использование изощренной тактики социальной инженерии, воплощенной в тщательно продуманных попытках фишинга, направлено на повышение вероятности успешных вторжений. Поскольку группа остается активной и корректирует свои методы, потенциально улучшая возможности имплантата, организациям необходимо усилить свои меры безопасности и обучить сотрудников распознавать попытки фишинга, особенно когда они нацелены на организации с критически важной инфраструктурой.
Мониторинг показателей компрометации (IOCs), связанных с имплантатом Loki, и усиление защиты от тактики социальной инженерии будут иметь решающее значение для снижения рисков, создаваемых этим постоянным злоумышленником.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
В конце 2025 года хакерская группа Arcane Werewolf, также известная как Mythic Likho, атаковала российские промышленные фирмы, используя сложные электронные письма с фишингом для доставки архива VPO, связанного с поддельным веб-сайтом законной компании. Обновленный вариант вредоносного ПО Loki, используемый в этих атаках, облегчает эксфильтрацию данных и удаленный доступ, улучшая перемещение внутри компании внутри сетей. Развивающаяся тактика группы подчеркивает целенаправленную угрозу критически важной инфраструктуре, что требует бдительности в отношении социальной инженерии и улучшения мониторинга связанных с ней показателей компрометации.
-----
В конце 2025 года эксперты по кибербезопасности из BI.ZONE Threat Intelligence выявила продолжающуюся вредоносную деятельность, связанную с хакерской группой, известной как Arcane Werewolf, также известной как Mythic Likho. Эта группа нацелена на российские промышленные компании, подчеркивая смещение акцента в сторону конкретных секторов, имеющих решающее значение для национальной инфраструктуры. Вектором атаки, используемым в этих кампаниях, по-видимому, являются электронные письма с фишингом, отражающие предыдущие инциденты, приписываемые этому злоумышленнику. Хотя сами электронные письма с фишингом были недоступны, есть подозрение, что они содержали ссылку, по которой получатели могли загрузить архив VPO с сайта, выдающего себя за законную российскую промышленную компанию. Этот метод направлен на то, чтобы обманом заставить цели выдать конфиденциальную информацию или выполнить вредоносную полезную нагрузку, используя их доверие к узнаваемым компаниям.
Обновленным вариантом вредоносного ПО, связанным с этой кампанией, является имплантат Loki, который претерпел изменения по сравнению с его предыдущими версиями. Loki известен такими функциями, как эксфильтрация данных, обеспечение удаленного доступа и потенциальное облегчение перемещения внутри компании в скомпрометированных сетях. Использование изощренной тактики социальной инженерии, воплощенной в тщательно продуманных попытках фишинга, направлено на повышение вероятности успешных вторжений. Поскольку группа остается активной и корректирует свои методы, потенциально улучшая возможности имплантата, организациям необходимо усилить свои меры безопасности и обучить сотрудников распознавать попытки фишинга, особенно когда они нацелены на организации с критически важной инфраструктурой.
Мониторинг показателей компрометации (IOCs), связанных с имплантатом Loki, и усиление защиты от тактики социальной инженерии будут иметь решающее значение для снижения рисков, создаваемых этим постоянным злоумышленником.
#ParsedReport #CompletenessLow
29-11-2025
Weekly Threat Infrastructure Investigation(Week47)
https://disconinja.hatenablog.com/entry/2025/11/29/212128
Report completeness: Low
Threats:
Brc4_tool
Cobalt_strike_tool
Supershell
Victims:
Japan
Geo:
Japan
IOCs:
IP: 8
29-11-2025
Weekly Threat Infrastructure Investigation(Week47)
https://disconinja.hatenablog.com/entry/2025/11/29/212128
Report completeness: Low
Threats:
Brc4_tool
Cobalt_strike_tool
Supershell
Victims:
Japan
Geo:
Japan
IOCs:
IP: 8
Weekend Researcher Tsurezure Diary
Weekly Threat Infrastructure Investigation(Week47) - Weekend Researcher Tsurezure Diary
Hunting for enemy infrastructure in Japan 概要 / Overview Censysの検索機能を用いて、C2とラベル付けされた日本国内のインフラストラクチャを調査しました。調査期間は2025年11月17日から11月23日までです。合計8件のC2サーバーが検出され、Brute Ra…
CTT Report Hub
#ParsedReport #CompletenessLow 29-11-2025 Weekly Threat Infrastructure Investigation(Week47) https://disconinja.hatenablog.com/entry/2025/11/29/212128 Report completeness: Low Threats: Brc4_tool Cobalt_strike_tool Supershell Victims: Japan Geo: Japan…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование инфраструктуры командования и контроля (C2) в Японии выявило восемь серверов C2, связанных с скоординированными усилиями хакерских группировок, использующих такие инструменты, как Brute Ratel C4. Эта усовершенствованная платформа облегчает уклонение от обнаружения, позволяя хакерам сохранять контроль над зараженными системами и выполнять такие задачи, как эксфильтрация данных и перемещение внутри компании. Полученные данные свидетельствуют о растущей организованной киберугрозе в Японии, что требует постоянного мониторинга из-за этой сложной тактики.
-----
В течение недели с 17 по 23 ноября расследование инфраструктуры командования и контроля (C2) в Японии выявило наличие восьми идентифицированных серверов C2. Этот анализ был проведен с использованием функции поиска Censys для отслеживания и документирования вредоносной активности. Примечательно, что расследование подтвердило оперативное использование различных инструментов C2, включая Brute Ratel C4, который представляет собой сложную структуру, обычно используемую злоумышленниками для уклонения от обнаружения и организации атак.
Обнаружение нескольких серверов C2 в течение одного и того же периода времени свидетельствует о скоординированных усилиях хакерских группировок по созданию устойчивой сети для управления скомпрометированными системами. Наличие Brute Ratel C4, известного своей универсальностью в обходе механизмов безопасности, подчеркивает передовую тактику, применяемую этими акторами. Такие фреймворки позволяют злоумышленникам сохранять контроль над зараженными машинами и удаленно выполнять команды, облегчая целый ряд вредоносных действий - от эксфильтрации данных до перемещения внутри компании в целевых сетях.
Общие выводы указывают на то, что в Японии формируется потенциально организованная среда киберугроз, при этом для поддержки текущих операций используются различные инфраструктуры C2. Последствия этой деятельности подчеркивают необходимость повышенной бдительности и усовершенствованных мер безопасности для борьбы с такими изощренными атаками. Поскольку ландшафт продолжает развиваться, исследование подчеркивает важность постоянного мониторинга и анализа для предотвращения потенциальных угроз, связанных с этими передовыми системами C2.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Расследование инфраструктуры командования и контроля (C2) в Японии выявило восемь серверов C2, связанных с скоординированными усилиями хакерских группировок, использующих такие инструменты, как Brute Ratel C4. Эта усовершенствованная платформа облегчает уклонение от обнаружения, позволяя хакерам сохранять контроль над зараженными системами и выполнять такие задачи, как эксфильтрация данных и перемещение внутри компании. Полученные данные свидетельствуют о растущей организованной киберугрозе в Японии, что требует постоянного мониторинга из-за этой сложной тактики.
-----
В течение недели с 17 по 23 ноября расследование инфраструктуры командования и контроля (C2) в Японии выявило наличие восьми идентифицированных серверов C2. Этот анализ был проведен с использованием функции поиска Censys для отслеживания и документирования вредоносной активности. Примечательно, что расследование подтвердило оперативное использование различных инструментов C2, включая Brute Ratel C4, который представляет собой сложную структуру, обычно используемую злоумышленниками для уклонения от обнаружения и организации атак.
Обнаружение нескольких серверов C2 в течение одного и того же периода времени свидетельствует о скоординированных усилиях хакерских группировок по созданию устойчивой сети для управления скомпрометированными системами. Наличие Brute Ratel C4, известного своей универсальностью в обходе механизмов безопасности, подчеркивает передовую тактику, применяемую этими акторами. Такие фреймворки позволяют злоумышленникам сохранять контроль над зараженными машинами и удаленно выполнять команды, облегчая целый ряд вредоносных действий - от эксфильтрации данных до перемещения внутри компании в целевых сетях.
Общие выводы указывают на то, что в Японии формируется потенциально организованная среда киберугроз, при этом для поддержки текущих операций используются различные инфраструктуры C2. Последствия этой деятельности подчеркивают необходимость повышенной бдительности и усовершенствованных мер безопасности для борьбы с такими изощренными атаками. Поскольку ландшафт продолжает развиваться, исследование подчеркивает важность постоянного мониторинга и анализа для предотвращения потенциальных угроз, связанных с этими передовыми системами C2.
#ParsedReport #CompletenessHigh
25-11-2025
Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile
https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/
Report completeness: High
Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Akira_ransomware
Lawxsz
Threats:
Valkyrie_stealer
Valkyrie
Themida_tool
Akira_ransomware
Lumma_stealer
Credential_harvesting_technique
Prysmax
Polymorphism_technique
Scylla
Procmon_tool
Process_hacker_tool
Victims:
Consumers, Windows users
Geo:
Egyptian, Usa, Chinese
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1005, T1016, T1027, T1027.002, T1041, T1057, T1059.001, T1082, T1113, T1119, have more...
IOCs:
File: 16
Url: 7
Registry: 2
Hash: 2
Path: 8
Command: 1
Domain: 2
Soft:
Telegram, Discord, Chrome, Steam, qemu, Discord Canary, Discord PTB, Valorant, Fortnite
Wallets:
metamask, atomicwallet, electrum, exodus_wallet
Algorithms:
chacha20, aes-gcm, zip, aes, xor
Functions:
Sleep, build_key_and_nonce, GDI
Win API:
TerminateProcess, CreateToolhelp32Snapshot, Process32First, Process32Next, RegOpenKeyExA, GetSystemMetrics, SystemParametersInfoA, GetFileAttributesExA, GetSystemInfo, GlobalMemoryStatusEx, have more...
Languages:
python, java, powershell
Platforms:
x86
Links:
25-11-2025
Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile
https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/
Report completeness: High
Actors/Campaigns:
Emissary_panda (motivation: cyber_espionage)
Akira_ransomware
Lawxsz
Threats:
Valkyrie_stealer
Valkyrie
Themida_tool
Akira_ransomware
Lumma_stealer
Credential_harvesting_technique
Prysmax
Polymorphism_technique
Scylla
Procmon_tool
Process_hacker_tool
Victims:
Consumers, Windows users
Geo:
Egyptian, Usa, Chinese
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1005, T1016, T1027, T1027.002, T1041, T1057, T1059.001, T1082, T1113, T1119, have more...
IOCs:
File: 16
Url: 7
Registry: 2
Hash: 2
Path: 8
Command: 1
Domain: 2
Soft:
Telegram, Discord, Chrome, Steam, qemu, Discord Canary, Discord PTB, Valorant, Fortnite
Wallets:
metamask, atomicwallet, electrum, exodus_wallet
Algorithms:
chacha20, aes-gcm, zip, aes, xor
Functions:
Sleep, build_key_and_nonce, GDI
Win API:
TerminateProcess, CreateToolhelp32Snapshot, Process32First, Process32Next, RegOpenKeyExA, GetSystemMetrics, SystemParametersInfoA, GetFileAttributesExA, GetSystemInfo, GlobalMemoryStatusEx, have more...
Languages:
python, java, powershell
Platforms:
x86
Links:
https://github.com/ergrelet/unlicenseDeXpose
Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile - DeXpose
Valkyrie Stealer is a C++ infostealer designed to collect credentials, system information, browser data, messaging-app sessions, and other user assets from
CTT Report Hub
#ParsedReport #CompletenessHigh 25-11-2025 Inside Valkyrie Stealer: Capabilities, Evasion Techniques, and Operator Profile https://www.dexpose.io/inside-valkyrie-stealer-capabilities-evasion-techniques-and-operator-profile/ Report completeness: High A…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Valkyrie Stealer - это сложный стиллер на C++, предназначенный для извлечения конфиденциальной информации из систем Windows, использующий модульную архитектуру для различных функций, включая кражу учетных данных, и специально предназначенный для браузеров и приложений обмена сообщениями для извлечения данных. Вредоносное ПО использует передовые методы обхода, такие как шифрование, меры защиты от обнаружения с помощью Themida и проверки на наличие сред виртуальных машин, что затрудняет его анализ. Разработчик Valkyrie, "Lawxsz", активен на нескольких платформах и также создал еще одно вредоносное ПО под названием Prysmax Стиллер, с акцентом на кражу криптовалюты путем определения каталогов кошельков для эксфильтрации через резервные серверы управления.
-----
Valkyrie Stealer - это сложный стиллер информации на C++, используемый главным образом для извлечения конфиденциальной информации из систем Windows. Его модульная архитектура поддерживает широкий спектр функциональных возможностей, включая сбор учетных данных, системных сведений, данных браузера, сеансов приложений для обмена сообщениями, игровых аккаунтов и информации о криптовалютном кошельке. Valkyrie работает с использованием многоэтапной системы защиты от кражи данных, используя зашифрованную эксфильтрацию для передачи украденных данных и применяя передовые методы уклонения, чтобы избежать обнаружения и анализа.
Разработчик вредоносного ПО, идентифицированный как "Lawxsz", поддерживает заметное присутствие в Интернете на таких платформах, как Telegram, Discord и GitHub, для целей распространения и поддержки. Valkyrie продается как адаптируемый инструмент, а разработчик также связан с другим продуктом, создающим вредоносное ПО, под названием Prysmax Stealer.
Valkyrie Stealer включает в себя множество механизмов защиты от обнаружения. Он защищен программным обеспечением Themida protector, которое добавляет уровни шифрования и запутывания к исполняемому файлу. Чтобы избежать анализа, вредоносное ПО реализует сторожевой таймер, который прекращает выполнение, если оно превышает три минуты, - тактика, направленная на срыв усилий по отладке. Кроме того, он проводит обширные проверки для сред виртуальных машин, такие как проверка запущенных процессов и записей реестра, гарантируя, что он работает только на подлинных системах.
Вредоносное ПО содержит функции для создания скриншотов, сбора системной информации и мониторинга сетевых настроек. Valkyrie может перечислять запущенные процессы, обнаруживать антивирусное программное обеспечение и извлекать общедоступный IP-адрес жертвы с помощью запроса HTTPS GET на внешний сервер. Более того, он специально нацелен на браузеры, такие как Chrome и Edge, для кражи сохраненных учетных данных и данных сеанса, наряду с целевым извлечением с платформ обмена сообщениями, таких как Discord и Telegram.
Valkyrie фокусируется на краже криптовалют, сканируя браузеры и настольные приложения в поисках каталогов кошельков, которые затем копирует в определенные папки. Эксфильтрация украденных данных осуществляется через два сервера управления (C2), что обеспечивает избыточность на случай, если один сервер станет недоступен.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Valkyrie Stealer - это сложный стиллер на C++, предназначенный для извлечения конфиденциальной информации из систем Windows, использующий модульную архитектуру для различных функций, включая кражу учетных данных, и специально предназначенный для браузеров и приложений обмена сообщениями для извлечения данных. Вредоносное ПО использует передовые методы обхода, такие как шифрование, меры защиты от обнаружения с помощью Themida и проверки на наличие сред виртуальных машин, что затрудняет его анализ. Разработчик Valkyrie, "Lawxsz", активен на нескольких платформах и также создал еще одно вредоносное ПО под названием Prysmax Стиллер, с акцентом на кражу криптовалюты путем определения каталогов кошельков для эксфильтрации через резервные серверы управления.
-----
Valkyrie Stealer - это сложный стиллер информации на C++, используемый главным образом для извлечения конфиденциальной информации из систем Windows. Его модульная архитектура поддерживает широкий спектр функциональных возможностей, включая сбор учетных данных, системных сведений, данных браузера, сеансов приложений для обмена сообщениями, игровых аккаунтов и информации о криптовалютном кошельке. Valkyrie работает с использованием многоэтапной системы защиты от кражи данных, используя зашифрованную эксфильтрацию для передачи украденных данных и применяя передовые методы уклонения, чтобы избежать обнаружения и анализа.
Разработчик вредоносного ПО, идентифицированный как "Lawxsz", поддерживает заметное присутствие в Интернете на таких платформах, как Telegram, Discord и GitHub, для целей распространения и поддержки. Valkyrie продается как адаптируемый инструмент, а разработчик также связан с другим продуктом, создающим вредоносное ПО, под названием Prysmax Stealer.
Valkyrie Stealer включает в себя множество механизмов защиты от обнаружения. Он защищен программным обеспечением Themida protector, которое добавляет уровни шифрования и запутывания к исполняемому файлу. Чтобы избежать анализа, вредоносное ПО реализует сторожевой таймер, который прекращает выполнение, если оно превышает три минуты, - тактика, направленная на срыв усилий по отладке. Кроме того, он проводит обширные проверки для сред виртуальных машин, такие как проверка запущенных процессов и записей реестра, гарантируя, что он работает только на подлинных системах.
Вредоносное ПО содержит функции для создания скриншотов, сбора системной информации и мониторинга сетевых настроек. Valkyrie может перечислять запущенные процессы, обнаруживать антивирусное программное обеспечение и извлекать общедоступный IP-адрес жертвы с помощью запроса HTTPS GET на внешний сервер. Более того, он специально нацелен на браузеры, такие как Chrome и Edge, для кражи сохраненных учетных данных и данных сеанса, наряду с целевым извлечением с платформ обмена сообщениями, таких как Discord и Telegram.
Valkyrie фокусируется на краже криптовалют, сканируя браузеры и настольные приложения в поисках каталогов кошельков, которые затем копирует в определенные папки. Эксфильтрация украденных данных осуществляется через два сервера управления (C2), что обеспечивает избыточность на случай, если один сервер станет недоступен.
#ParsedReport #CompletenessHigh
29-11-2025
APT36 Python Based ELF Malware Targeting Indian Government Entities
https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Victims:
Indian government, Strategic sectors, Critical technology ecosystems
Industry:
Education, Critical_infrastructure, Government
Geo:
California, Los angeles, Indian, Pakistan, Germany
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 3
Url: 3
IP: 3
Domain: 1
Hash: 8
Soft:
Linux, libreoffice, systemd, PyInstaller, Debian Linux, curl
Algorithms:
sha256, base64, zip, md5, exhibit, deflate
Languages:
python
Platforms:
cross-platform, amd64
YARA: Found
29-11-2025
APT36 Python Based ELF Malware Targeting Indian Government Entities
https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/
Report completeness: High
Actors/Campaigns:
Transparenttribe (motivation: information_theft, cyber_espionage)
Threats:
Spear-phishing_technique
Credential_harvesting_technique
Victims:
Indian government, Strategic sectors, Critical technology ecosystems
Industry:
Education, Critical_infrastructure, Government
Geo:
California, Los angeles, Indian, Pakistan, Germany
TTPs:
Tactics: 9
Technics: 20
IOCs:
File: 3
Url: 3
IP: 3
Domain: 1
Hash: 8
Soft:
Linux, libreoffice, systemd, PyInstaller, Debian Linux, curl
Algorithms:
sha256, base64, zip, md5, exhibit, deflate
Languages:
python
Platforms:
cross-platform, amd64
YARA: Found
CYFIRMA
APT36 Python Based ELF Malware Targeting Indian Government Entities - CYFIRMA
EXECUTIVE SUMMARY CYFIRMA has uncovered an active cyber-espionage campaign conducted by APT36 (Transparent Tribe), a Pakistan-based threat actor known for...
CTT Report Hub
#ParsedReport #CompletenessHigh 29-11-2025 APT36 Python Based ELF Malware Targeting Indian Government Entities https://www.cyfirma.com/research/apt36-python-based-elf-malware-targeting-indian-government-entities/ Report completeness: High Actors/Campaigns:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT36, базирующаяся в Пакистане группа кибершпионажа, развивает свою тактику, нацеливаясь на среды Linux, в частности на операционную систему BOSS, используемую индийскими правительственными структурами. В их последней кампании используется вредоносный архивный файл, "Analysis_Proc_Report_Gem_2025.zip ," содержащий ярлык .desktop, который запускает средство удаленного администрирования ELF на основе Python в кодировке Base64 (RAT) как для Linux, так и для Windows. Это вредоносное ПО создает Службу systemd для закрепления и использует инфраструктуру, связанную с известными вредоносными доменами, демонстрируя APT36's адаптивность и техническую зрелость.
-----
APT36, также известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, нацеленной на индийские правительственные учреждения, используя все более изощренные методы вредоносного ПО. Их последняя кампания сместила акцент на компрометацию сред Linux, в частности операционной системы BOSS, обычно используемой в правительственных секторах. Это отражает стратегическую эволюцию их подхода, переход от традиционного вредоносного ПО для Windows к адаптированным полезным нагрузкам для менее защищенных систем, подчеркивая их адаптивность и техническую зрелость.
Основным способом доставки вредоносного ПО является вредоносный архивный файл с надписью "Analysis_Proc_Report_Gem_2025.zip ." Этот архив содержит файл ярлыка .desktop, который маскируется под стандартный документ. Ярлык использует свое поле Exec для запуска команды оболочки, которая выполняет сценарий в кодировке Base64, эффективно скрывая свои вредоносные намерения под слоем запутывания и доброкачественных метаданных. Такой подход сводит к минимуму вероятность обнаружения механизмами безопасности.
Само вредоносное ПО представляет собой инструмент удаленного администрирования ELF (исполняемый файл и связываемый формат) на основе Python (RAT), скомпилированный с использованием PyInstaller и предназначенный как для сред Linux, так и для Windows. Статический анализ показывает, что двоичный файл ELF был создан в среде Debian Linux и использует GCC для компиляции. Наличие общих обработчиков команд и кроссплатформенной функциональности указывает на то, что APT36 нацелен на одновременное использование различных операционных систем.
Для обеспечения закрепления вредоносное ПО создает файл Службы systemd пользовательского уровня, который автоматически выполняет полезную нагрузку ELF во время последовательности запуска пользователя, обеспечивая долгосрочную работу без необходимости в повышенных привилегиях. Инфраструктура, поддерживающая эту кампанию, включает домен "lionsdenim.xyz" и IP-адрес 185.235.137.90, оба связаны с операциями APT36 и признаны вредоносными источниками разведки киберугроз.
Общий анализ показывает продуманные и скоординированные усилия APT36 по укреплению своих оперативных возможностей в отношении индийского государственного сектора и критически важных технологий. Кампания подчеркивает приверженность группы использованию местных платформ, которым может не хватать надежной защиты, что требует повышенной бдительности, мониторинга и более надежных протоколов безопасности для систем на базе Linux. Эта продолжающаяся эволюция тактики требует большей осведомленности и готовности целевых организаций к снижению рисков, создаваемых такими сложными киберугрозами.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
APT36, базирующаяся в Пакистане группа кибершпионажа, развивает свою тактику, нацеливаясь на среды Linux, в частности на операционную систему BOSS, используемую индийскими правительственными структурами. В их последней кампании используется вредоносный архивный файл, "Analysis_Proc_Report_Gem_2025.zip ," содержащий ярлык .desktop, который запускает средство удаленного администрирования ELF на основе Python в кодировке Base64 (RAT) как для Linux, так и для Windows. Это вредоносное ПО создает Службу systemd для закрепления и использует инфраструктуру, связанную с известными вредоносными доменами, демонстрируя APT36's адаптивность и техническую зрелость.
-----
APT36, также известная как Transparent Tribe, является базирующейся в Пакистане группой кибершпионажа, нацеленной на индийские правительственные учреждения, используя все более изощренные методы вредоносного ПО. Их последняя кампания сместила акцент на компрометацию сред Linux, в частности операционной системы BOSS, обычно используемой в правительственных секторах. Это отражает стратегическую эволюцию их подхода, переход от традиционного вредоносного ПО для Windows к адаптированным полезным нагрузкам для менее защищенных систем, подчеркивая их адаптивность и техническую зрелость.
Основным способом доставки вредоносного ПО является вредоносный архивный файл с надписью "Analysis_Proc_Report_Gem_2025.zip ." Этот архив содержит файл ярлыка .desktop, который маскируется под стандартный документ. Ярлык использует свое поле Exec для запуска команды оболочки, которая выполняет сценарий в кодировке Base64, эффективно скрывая свои вредоносные намерения под слоем запутывания и доброкачественных метаданных. Такой подход сводит к минимуму вероятность обнаружения механизмами безопасности.
Само вредоносное ПО представляет собой инструмент удаленного администрирования ELF (исполняемый файл и связываемый формат) на основе Python (RAT), скомпилированный с использованием PyInstaller и предназначенный как для сред Linux, так и для Windows. Статический анализ показывает, что двоичный файл ELF был создан в среде Debian Linux и использует GCC для компиляции. Наличие общих обработчиков команд и кроссплатформенной функциональности указывает на то, что APT36 нацелен на одновременное использование различных операционных систем.
Для обеспечения закрепления вредоносное ПО создает файл Службы systemd пользовательского уровня, который автоматически выполняет полезную нагрузку ELF во время последовательности запуска пользователя, обеспечивая долгосрочную работу без необходимости в повышенных привилегиях. Инфраструктура, поддерживающая эту кампанию, включает домен "lionsdenim.xyz" и IP-адрес 185.235.137.90, оба связаны с операциями APT36 и признаны вредоносными источниками разведки киберугроз.
Общий анализ показывает продуманные и скоординированные усилия APT36 по укреплению своих оперативных возможностей в отношении индийского государственного сектора и критически важных технологий. Кампания подчеркивает приверженность группы использованию местных платформ, которым может не хватать надежной защиты, что требует повышенной бдительности, мониторинга и более надежных протоколов безопасности для систем на базе Linux. Эта продолжающаяся эволюция тактики требует большей осведомленности и готовности целевых организаций к снижению рисков, создаваемых такими сложными киберугрозами.
#ParsedReport #CompletenessHigh
27-11-2025
Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets
https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets
Report completeness: High
Threats:
Albiriox
Credential_harvesting_technique
Hvnc_tool
Penny
Jsonpacker_tool
Victims:
Financial institutions, Cryptocurrency services, Banking app users
Industry:
Retail, Financial, Petroleum
Geo:
Austrian
ChatGPT TTPs:
T1406, T1411, T1417, T1471
IOCs:
Hash: 3
File: 1
IP: 1
Domain: 7
Soft:
Google Play, Android, Telegram, WhatsApp
Algorithms:
md5, exhibit
Languages:
javascript
27-11-2025
Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets
https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets
Report completeness: High
Threats:
Albiriox
Credential_harvesting_technique
Hvnc_tool
Penny
Jsonpacker_tool
Victims:
Financial institutions, Cryptocurrency services, Banking app users
Industry:
Retail, Financial, Petroleum
Geo:
Austrian
ChatGPT TTPs:
do not use without manual checkT1406, T1411, T1417, T1471
IOCs:
Hash: 3
File: 1
IP: 1
Domain: 7
Soft:
Google Play, Android, Telegram, WhatsApp
Algorithms:
md5, exhibit
Languages:
javascript
Cleafy
Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets | Cleafy Labs
Albiriox is a newly identified Android malware family offered as a Malware-as-a-Service, and enabling TAs to perform On-Device Fraud through remote control, screen manipulation, and real-time interaction with the infected device. Read more in this report.
CTT Report Hub
#ParsedReport #CompletenessHigh 27-11-2025 Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets Report completeness:…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, работающее как вредоносное ПО как услуга (MaaS). Это вредоносное ПО использует двухэтапную цепочку развертывания с использованием приложений-дропперов и нацелено на более чем 400 глобальных банковских и криптовалютных приложений, обладая такими возможностями, как удаленный доступ, манипулирование экраном и сбор учетных записей с помощью оверлейных атак. Примечательно, что Albiriox использует методы обфускации кода и взаимодействует со своей инфраструктурой командования и контроля по незашифрованному протоколу TCP, что свидетельствует о значительном росте угроз мобильному банкингу.
-----
Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, которое появилось как вредоносное ПО как услуга (MaaS), управляемое русскоязычными злоумышленниками. Это вредоносное ПО работает по двухэтапной цепочке развертывания, используя приложения-дропперы, распространяемые с помощью тактики социальной инженерии, чтобы избежать обнаружения и доставить свою полезную нагрузку. Albiriox известен своими возможностями мошенничества на устройстве, функционируя как троян удаленного доступа (RAT) с такими функциями, как интерактивность в реальном времени и манипулирование экраном. Его ориентация на более чем 400 глобальных банковских и криптовалютных приложений подчеркивает его потенциальное воздействие на финансовые учреждения.
Распространение Albiriox началось с запуска поддельной страницы Google Play, на которой было представлено, казалось бы, законное приложение, связанное с сетью скидок "Penny Market" в регионе Дач. Эта приманка была частью кампании, которая привлекала пользователей к установке вредоносного ПО путем загрузки dropper APK из инфраструктуры, контролируемой злоумышленниками, а не из официального Play Store. Последующие изменения в тактике фишинга выявили сдвиг, когда пользователи должны были предоставить номера своих мобильных телефонов, прежде чем получить ссылку для скачивания через WhatsApp, что отражает эволюционирующий метод социальной инженерии.
Тщательный технический анализ Albiriox установил его соответствие общим характеристикам банковских троянов Android. Вредоносное ПО использует такие методы, как JSONPacker для запутывания кода, и избегает обнаружения, связываясь со своей инфраструктурой командования и контроля (C2) через незашифрованное TCP-сокетное соединение. Этот канал связи обеспечивает вредоносному ПО постоянную связь с злоумышленниками, облегчая удаленное управление и широкие функциональные возможности, предназначенные для мошенничества на устройстве.
Операционные возможности Albiriox включают в себя ряд команд, выполняемых через его внутреннюю базу данных, что позволяет осуществлять полный удаленный контроль над зараженными устройствами. Его функциональность позволяет злоумышленникам выполнять такие действия, как размашистые жесты, получение паролей на экране блокировки и наложение экранов для получения конфиденциальной информации от пользователей в режиме реального времени. Реализация оверлейных атак является критически важной функцией, позволяющей вредоносному ПО создавать обманчивые интерфейсы, имитирующие законные приложения для сбора учетных записей.
Разработчики, стоящие за Albiriox, знают о методах уклонения, обсуждая стратегии на подпольных форумах, чтобы гарантировать, что вредоносное ПО остается "полностью необнаруживаемым" (FUD) обычными антивирусными решениями. Такая изощренность и интеграция передовых тактик указывают на значительную эскалацию угроз мобильного банкинга, при этом Albiriox будет представлять постоянный риск для пользователей финансовых приложений и криптовалют.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, работающее как вредоносное ПО как услуга (MaaS). Это вредоносное ПО использует двухэтапную цепочку развертывания с использованием приложений-дропперов и нацелено на более чем 400 глобальных банковских и криптовалютных приложений, обладая такими возможностями, как удаленный доступ, манипулирование экраном и сбор учетных записей с помощью оверлейных атак. Примечательно, что Albiriox использует методы обфускации кода и взаимодействует со своей инфраструктурой командования и контроля по незашифрованному протоколу TCP, что свидетельствует о значительном росте угроз мобильному банкингу.
-----
Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, которое появилось как вредоносное ПО как услуга (MaaS), управляемое русскоязычными злоумышленниками. Это вредоносное ПО работает по двухэтапной цепочке развертывания, используя приложения-дропперы, распространяемые с помощью тактики социальной инженерии, чтобы избежать обнаружения и доставить свою полезную нагрузку. Albiriox известен своими возможностями мошенничества на устройстве, функционируя как троян удаленного доступа (RAT) с такими функциями, как интерактивность в реальном времени и манипулирование экраном. Его ориентация на более чем 400 глобальных банковских и криптовалютных приложений подчеркивает его потенциальное воздействие на финансовые учреждения.
Распространение Albiriox началось с запуска поддельной страницы Google Play, на которой было представлено, казалось бы, законное приложение, связанное с сетью скидок "Penny Market" в регионе Дач. Эта приманка была частью кампании, которая привлекала пользователей к установке вредоносного ПО путем загрузки dropper APK из инфраструктуры, контролируемой злоумышленниками, а не из официального Play Store. Последующие изменения в тактике фишинга выявили сдвиг, когда пользователи должны были предоставить номера своих мобильных телефонов, прежде чем получить ссылку для скачивания через WhatsApp, что отражает эволюционирующий метод социальной инженерии.
Тщательный технический анализ Albiriox установил его соответствие общим характеристикам банковских троянов Android. Вредоносное ПО использует такие методы, как JSONPacker для запутывания кода, и избегает обнаружения, связываясь со своей инфраструктурой командования и контроля (C2) через незашифрованное TCP-сокетное соединение. Этот канал связи обеспечивает вредоносному ПО постоянную связь с злоумышленниками, облегчая удаленное управление и широкие функциональные возможности, предназначенные для мошенничества на устройстве.
Операционные возможности Albiriox включают в себя ряд команд, выполняемых через его внутреннюю базу данных, что позволяет осуществлять полный удаленный контроль над зараженными устройствами. Его функциональность позволяет злоумышленникам выполнять такие действия, как размашистые жесты, получение паролей на экране блокировки и наложение экранов для получения конфиденциальной информации от пользователей в режиме реального времени. Реализация оверлейных атак является критически важной функцией, позволяющей вредоносному ПО создавать обманчивые интерфейсы, имитирующие законные приложения для сбора учетных записей.
Разработчики, стоящие за Albiriox, знают о методах уклонения, обсуждая стратегии на подпольных форумах, чтобы гарантировать, что вредоносное ПО остается "полностью необнаруживаемым" (FUD) обычными антивирусными решениями. Такая изощренность и интеграция передовых тактик указывают на значительную эскалацию угроз мобильного банкинга, при этом Albiriox будет представлять постоянный риск для пользователей финансовых приложений и криптовалют.
#ParsedReport #CompletenessMedium
26-11-2025
Defending Against Sha1-Hulud: The Second Coming
https://www.sentinelone.com/blog/defending-against-sha1-hulud-the-second-coming/
Report completeness: Medium
Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool
Victims:
Software development, Cloud services
Industry:
Software_development
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
T1041, T1059, T1059.007, T1078.004, T1098, T1098.004, T1195, T1204.002, T1546, T1550.001, have more...
IOCs:
File: 13
Hash: 6
Soft:
curl
Algorithms:
base64, sha1
Languages:
powershell, javascript
Links:
have more...
26-11-2025
Defending Against Sha1-Hulud: The Second Coming
https://www.sentinelone.com/blog/defending-against-sha1-hulud-the-second-coming/
Report completeness: Medium
Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool
Victims:
Software development, Cloud services
Industry:
Software_development
TTPs:
Tactics: 3
Technics: 0
ChatGPT TTPs:
do not use without manual checkT1041, T1059, T1059.007, T1078.004, T1098, T1098.004, T1195, T1204.002, T1546, T1550.001, have more...
IOCs:
File: 13
Hash: 6
Soft:
curl
Algorithms:
base64, sha1
Languages:
powershell, javascript
Links:
https://github.com/asyncapi/spec-json-schemas/issues/603have more...
SentinelOne
Defending Against Sha1-Hulud: The Second Coming
Learn about the actions required to defend against Shai-Hulud Worm 2.0 and how our real-time detection posture is securing your environment.
CTT Report Hub
#ParsedReport #CompletenessMedium 26-11-2025 Defending Against Sha1-Hulud: The Second Coming https://www.sentinelone.com/blog/defending-against-sha1-hulud-the-second-coming/ Report completeness: Medium Threats: Shai-hulud Supply_chain_technique Trufflehog_tool…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Червь Shai-Hulud версии 2.0 знаменует собой заметный прогресс в атаках на Цепочку поставок NPM, инициируя этап предварительной установки для сбора учетных данных и закрепления в Облачных сервисах, таких как AWS, Azure и GCP, начиная с ноября 2025 года. Этот вариант выполняет свою вредоносную полезную нагрузку с помощью предустановленных скриптов и извлекает конфиденциальные учетные данные в файл "cloud.json", облегчая перемещение внутри компании в облачных средах. Разрабатываются методы обнаружения для выявления его активности, включая поведенческие механизмы искусственного интеллекта и специальную библиотеку обнаружения для улучшенного распознавания угроз.
-----
"Червь Shai-Hulud 2.0" представляет собой значительную эволюцию в атаках на Цепочку поставок NPM, которая в настоящее время проходит стадию предварительной установки для сбора учетных данных и закрепления у основных поставщиков облачных услуг, таких как AWS, Azure и GCP. Эта эскалация угрозы началась примерно 21 ноября 2025 года и заметно отличается от предыдущих версий вредоносного ПО тем, что для выполнения вредоносной полезной нагрузки используются сценарии предварительной установки, а не фаза постустановки.
Эта более изощренная версия атаки нацелена не только на среды разработки программного обеспечения, но и на извлечение конфиденциальных учетных данных, связанных с Облачными сервисами. Отфильтрованные данные стратегически сохраняются в файле под названием "cloud.json", что делает возможным перемещение внутри компании в облачных средах для злоумышленника. Учитывая широту его целевой области, жертвам рекомендуется предпринять немедленные действия, в частности, изменить токены и секреты, подключенные к любым скомпрометированным облачным платформам.
Для борьбы с этой угрозой были разработаны методы обнаружения. Платформа защиты конечных точек SentinelOne использует поведенческие механизмы искусственного интеллекта, которые постоянно отслеживают необычные действия, типичные для атак по Цепочке поставок и распространения червя. Была создана специальная библиотека обнаружения платформы, которая включает в себя специальные правила для выявления активности червя Shai-Hulud на различных стадиях, что повышает эффективность устранения потенциальных угроз.
Кроме того, команда Wayfinder по поиску угроз предпринимает активные усилия по выявлению угроз. Эти усилия включают активное наблюдение за признаками подозрительной активности, связанной с угрозой Shai-Hulud. Организациям рекомендуется сохранять бдительность и участвовать в обмене информацией об угрозах, особенно если есть какие-либо признаки аномалий в их среде, связанных с этим новым вектором атаки.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Червь Shai-Hulud версии 2.0 знаменует собой заметный прогресс в атаках на Цепочку поставок NPM, инициируя этап предварительной установки для сбора учетных данных и закрепления в Облачных сервисах, таких как AWS, Azure и GCP, начиная с ноября 2025 года. Этот вариант выполняет свою вредоносную полезную нагрузку с помощью предустановленных скриптов и извлекает конфиденциальные учетные данные в файл "cloud.json", облегчая перемещение внутри компании в облачных средах. Разрабатываются методы обнаружения для выявления его активности, включая поведенческие механизмы искусственного интеллекта и специальную библиотеку обнаружения для улучшенного распознавания угроз.
-----
"Червь Shai-Hulud 2.0" представляет собой значительную эволюцию в атаках на Цепочку поставок NPM, которая в настоящее время проходит стадию предварительной установки для сбора учетных данных и закрепления у основных поставщиков облачных услуг, таких как AWS, Azure и GCP. Эта эскалация угрозы началась примерно 21 ноября 2025 года и заметно отличается от предыдущих версий вредоносного ПО тем, что для выполнения вредоносной полезной нагрузки используются сценарии предварительной установки, а не фаза постустановки.
Эта более изощренная версия атаки нацелена не только на среды разработки программного обеспечения, но и на извлечение конфиденциальных учетных данных, связанных с Облачными сервисами. Отфильтрованные данные стратегически сохраняются в файле под названием "cloud.json", что делает возможным перемещение внутри компании в облачных средах для злоумышленника. Учитывая широту его целевой области, жертвам рекомендуется предпринять немедленные действия, в частности, изменить токены и секреты, подключенные к любым скомпрометированным облачным платформам.
Для борьбы с этой угрозой были разработаны методы обнаружения. Платформа защиты конечных точек SentinelOne использует поведенческие механизмы искусственного интеллекта, которые постоянно отслеживают необычные действия, типичные для атак по Цепочке поставок и распространения червя. Была создана специальная библиотека обнаружения платформы, которая включает в себя специальные правила для выявления активности червя Shai-Hulud на различных стадиях, что повышает эффективность устранения потенциальных угроз.
Кроме того, команда Wayfinder по поиску угроз предпринимает активные усилия по выявлению угроз. Эти усилия включают активное наблюдение за признаками подозрительной активности, связанной с угрозой Shai-Hulud. Организациям рекомендуется сохранять бдительность и участвовать в обмене информацией об угрозах, особенно если есть какие-либо признаки аномалий в их среде, связанных с этим новым вектором атаки.
#ParsedReport #CompletenessMedium
26-11-2025
The story of how we almost got hacked
https://www.invictus-ir.com/news/the-story-of-how-we-almost-got-hacked
Report completeness: Medium
Actors/Campaigns:
Vendorvandals
Threats:
Bec_technique
Aitm_technique
Evilproxy_tool
Credential_harvesting_technique
Victims:
Team invictus
Industry:
Healthcare, Biotechnology
Geo:
Asian, African, Spain, India, Germany, Belgium, Denmark
ChatGPT TTPs:
T1199, T1566, T1656
IOCs:
Domain: 6
IP: 3
Soft:
WeTransfer
Links:
26-11-2025
The story of how we almost got hacked
https://www.invictus-ir.com/news/the-story-of-how-we-almost-got-hacked
Report completeness: Medium
Actors/Campaigns:
Vendorvandals
Threats:
Bec_technique
Aitm_technique
Evilproxy_tool
Credential_harvesting_technique
Victims:
Team invictus
Industry:
Healthcare, Biotechnology
Geo:
Asian, African, Spain, India, Germany, Belgium, Denmark
ChatGPT TTPs:
do not use without manual checkT1199, T1566, T1656
IOCs:
Domain: 6
IP: 3
Soft:
WeTransfer
Links:
https://github.com/invictus-ir/IOCs/blob/main/IOCs%20-%20VendorVandals%20-%20How%20we%20almost%20got%20hacked%20-%20Nov%202025.csv
CTT Report Hub
#ParsedReport #CompletenessMedium 26-11-2025 The story of how we almost got hacked https://www.invictus-ir.com/news/the-story-of-how-we-almost-got-hacked Report completeness: Medium Actors/Campaigns: Vendorvandals Threats: Bec_technique Aitm_technique…
#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавнее расследование неудачной попытки взлома деловой электронной почты (BEC), нацеленной на Team Invictus, показало, что злоумышленник использовал методы фишинга, чтобы выдать себя за законный запрос клиента. В электронном письме содержались варианты написания на английском языке в Великобритании, отправленные предполагаемой американской организацией, что указывает на плохую тактику локализации. Эта атака является частью более широкой кампании фишинга с использованием общих тем и имен файлов, связанных с закупками, для повышения доверия и использования уязвимостей организаций.
-----
Недавнее расследование неудачной попытки взлома деловой электронной почты (BEC), нацеленной на Team Invictus, выявило несколько технических подробностей о методологии атаки, используемой злоумышленником. Первоначальная попытка началась с электронного письма, которое оказалось законным запросом клиента из американского филиала признанной фармацевтической компании. В сообщении упоминалась заинтересованность в приобретении "автоматизированной аналитической системы", продукта, который целевая компания не продает, что сразу вызвало подозрения. При дальнейшем изучении аналитики заметили, что в электронном письме использовалось английское написание в Великобритании, такое как "каталог", несмотря на то, что оно было отправлено от предполагаемой организации, базирующейся в США, что наводит на мысль о непоследовательной тактике локализации, часто используемой киберпреступниками.
В атаке использовался ряд методов фишинга, направленных на имитацию законных процессов закупок. Обычно используемые строки темы и имена файлов имитировали запросы предложений, технических спецификаций или документации по внедрению поставщика, что придавало сообщению правдоподобный вид для ничего не подозревающих получателей. Это согласуется с типичными стратегиями BEC, которые используют социальную инженерию, чтобы ослабить бдительность цели и установить доверие.
Благодаря дополнительным исследованиям расследование расширилось и выявило другие домены, ставшие мишенью кампании, что указывает на то, что это был не единичный инцидент, а часть более широкой и оппортунистической схемы фишинга. Такие выводы подчеркивают адаптивную природу злоумышленников, которые постоянно совершенствуют свою тактику, чтобы использовать предполагаемые уязвимости в организациях.
Чтобы снизить риски, связанные с атаками BEC, организациям крайне важно укрепить свои протоколы аутентификации и внедрить передовые меры по обнаружению угроз. Это предполагает не только укрепление существующих систем безопасности, но и повышение осведомленности о тактике Имперсонации угроз. Неудача этой попытки BEC иллюстрирует, что, хотя эти угрозы распространены, постоянная бдительность и упреждающая защита могут значительно смягчить их воздействие. Расследование служит напоминанием о том, что, несмотря на изощренность потенциальных киберугроз, организации могут оставаться на шаг впереди, используя надежные стратегии защиты.
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)
------
Недавнее расследование неудачной попытки взлома деловой электронной почты (BEC), нацеленной на Team Invictus, показало, что злоумышленник использовал методы фишинга, чтобы выдать себя за законный запрос клиента. В электронном письме содержались варианты написания на английском языке в Великобритании, отправленные предполагаемой американской организацией, что указывает на плохую тактику локализации. Эта атака является частью более широкой кампании фишинга с использованием общих тем и имен файлов, связанных с закупками, для повышения доверия и использования уязвимостей организаций.
-----
Недавнее расследование неудачной попытки взлома деловой электронной почты (BEC), нацеленной на Team Invictus, выявило несколько технических подробностей о методологии атаки, используемой злоумышленником. Первоначальная попытка началась с электронного письма, которое оказалось законным запросом клиента из американского филиала признанной фармацевтической компании. В сообщении упоминалась заинтересованность в приобретении "автоматизированной аналитической системы", продукта, который целевая компания не продает, что сразу вызвало подозрения. При дальнейшем изучении аналитики заметили, что в электронном письме использовалось английское написание в Великобритании, такое как "каталог", несмотря на то, что оно было отправлено от предполагаемой организации, базирующейся в США, что наводит на мысль о непоследовательной тактике локализации, часто используемой киберпреступниками.
В атаке использовался ряд методов фишинга, направленных на имитацию законных процессов закупок. Обычно используемые строки темы и имена файлов имитировали запросы предложений, технических спецификаций или документации по внедрению поставщика, что придавало сообщению правдоподобный вид для ничего не подозревающих получателей. Это согласуется с типичными стратегиями BEC, которые используют социальную инженерию, чтобы ослабить бдительность цели и установить доверие.
Благодаря дополнительным исследованиям расследование расширилось и выявило другие домены, ставшие мишенью кампании, что указывает на то, что это был не единичный инцидент, а часть более широкой и оппортунистической схемы фишинга. Такие выводы подчеркивают адаптивную природу злоумышленников, которые постоянно совершенствуют свою тактику, чтобы использовать предполагаемые уязвимости в организациях.
Чтобы снизить риски, связанные с атаками BEC, организациям крайне важно укрепить свои протоколы аутентификации и внедрить передовые меры по обнаружению угроз. Это предполагает не только укрепление существующих систем безопасности, но и повышение осведомленности о тактике Имперсонации угроз. Неудача этой попытки BEC иллюстрирует, что, хотя эти угрозы распространены, постоянная бдительность и упреждающая защита могут значительно смягчить их воздействие. Расследование служит напоминанием о том, что, несмотря на изощренность потенциальных киберугроз, организации могут оставаться на шаг впереди, используя надежные стратегии защиты.