#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, работающее как вредоносное ПО как услуга (MaaS). Это вредоносное ПО использует двухэтапную цепочку развертывания с использованием приложений-дропперов и нацелено на более чем 400 глобальных банковских и криптовалютных приложений, обладая такими возможностями, как удаленный доступ, манипулирование экраном и сбор учетных записей с помощью оверлейных атак. Примечательно, что Albiriox использует методы обфускации кода и взаимодействует со своей инфраструктурой командования и контроля по незашифрованному протоколу TCP, что свидетельствует о значительном росте угроз мобильному банкингу.
-----

Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, которое появилось как вредоносное ПО как услуга (MaaS), управляемое русскоязычными злоумышленниками. Это вредоносное ПО работает по двухэтапной цепочке развертывания, используя приложения-дропперы, распространяемые с помощью тактики социальной инженерии, чтобы избежать обнаружения и доставить свою полезную нагрузку. Albiriox известен своими возможностями мошенничества на устройстве, функционируя как троян удаленного доступа (RAT) с такими функциями, как интерактивность в реальном времени и манипулирование экраном. Его ориентация на более чем 400 глобальных банковских и криптовалютных приложений подчеркивает его потенциальное воздействие на финансовые учреждения.

Распространение Albiriox началось с запуска поддельной страницы Google Play, на которой было представлено, казалось бы, законное приложение, связанное с сетью скидок "Penny Market" в регионе Дач. Эта приманка была частью кампании, которая привлекала пользователей к установке вредоносного ПО путем загрузки dropper APK из инфраструктуры, контролируемой злоумышленниками, а не из официального Play Store. Последующие изменения в тактике фишинга выявили сдвиг, когда пользователи должны были предоставить номера своих мобильных телефонов, прежде чем получить ссылку для скачивания через WhatsApp, что отражает эволюционирующий метод социальной инженерии.

Тщательный технический анализ Albiriox установил его соответствие общим характеристикам банковских троянов Android. Вредоносное ПО использует такие методы, как JSONPacker для запутывания кода, и избегает обнаружения, связываясь со своей инфраструктурой командования и контроля (C2) через незашифрованное TCP-сокетное соединение. Этот канал связи обеспечивает вредоносному ПО постоянную связь с злоумышленниками, облегчая удаленное управление и широкие функциональные возможности, предназначенные для мошенничества на устройстве.

Операционные возможности Albiriox включают в себя ряд команд, выполняемых через его внутреннюю базу данных, что позволяет осуществлять полный удаленный контроль над зараженными устройствами. Его функциональность позволяет злоумышленникам выполнять такие действия, как размашистые жесты, получение паролей на экране блокировки и наложение экранов для получения конфиденциальной информации от пользователей в режиме реального времени. Реализация оверлейных атак является критически важной функцией, позволяющей вредоносному ПО создавать обманчивые интерфейсы, имитирующие законные приложения для сбора учетных записей.

Разработчики, стоящие за Albiriox, знают о методах уклонения, обсуждая стратегии на подпольных форумах, чтобы гарантировать, что вредоносное ПО остается "полностью необнаруживаемым" (FUD) обычными антивирусными решениями. Такая изощренность и интеграция передовых тактик указывают на значительную эскалацию угроз мобильного банкинга, при этом Albiriox будет представлять постоянный риск для пользователей финансовых приложений и криптовалют.

#ParsedReport #CompletenessMedium
26-11-2025

Defending Against Sha1-Hulud: The Second Coming

https://www.sentinelone.com/blog/defending-against-sha1-hulud-the-second-coming/

Report completeness: Medium

Threats:
Shai-hulud
Supply_chain_technique
Trufflehog_tool

Victims:
Software development, Cloud services

Industry:
Software_development

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1041, T1059, T1059.007, T1078.004, T1098, T1098.004, T1195, T1204.002, T1546, T1550.001, have more...

IOCs:
File: 13
Hash: 6

Soft:
curl

Algorithms:
base64, sha1

Languages:
powershell, javascript

Links:
https://github.com/asyncapi/spec-json-schemas/issues/603
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Червь Shai-Hulud версии 2.0 знаменует собой заметный прогресс в атаках на Цепочку поставок NPM, инициируя этап предварительной установки для сбора учетных данных и закрепления в Облачных сервисах, таких как AWS, Azure и GCP, начиная с ноября 2025 года. Этот вариант выполняет свою вредоносную полезную нагрузку с помощью предустановленных скриптов и извлекает конфиденциальные учетные данные в файл "cloud.json", облегчая перемещение внутри компании в облачных средах. Разрабатываются методы обнаружения для выявления его активности, включая поведенческие механизмы искусственного интеллекта и специальную библиотеку обнаружения для улучшенного распознавания угроз.
-----

"Червь Shai-Hulud 2.0" представляет собой значительную эволюцию в атаках на Цепочку поставок NPM, которая в настоящее время проходит стадию предварительной установки для сбора учетных данных и закрепления у основных поставщиков облачных услуг, таких как AWS, Azure и GCP. Эта эскалация угрозы началась примерно 21 ноября 2025 года и заметно отличается от предыдущих версий вредоносного ПО тем, что для выполнения вредоносной полезной нагрузки используются сценарии предварительной установки, а не фаза постустановки.

Эта более изощренная версия атаки нацелена не только на среды разработки программного обеспечения, но и на извлечение конфиденциальных учетных данных, связанных с Облачными сервисами. Отфильтрованные данные стратегически сохраняются в файле под названием "cloud.json", что делает возможным перемещение внутри компании в облачных средах для злоумышленника. Учитывая широту его целевой области, жертвам рекомендуется предпринять немедленные действия, в частности, изменить токены и секреты, подключенные к любым скомпрометированным облачным платформам.

Для борьбы с этой угрозой были разработаны методы обнаружения. Платформа защиты конечных точек SentinelOne использует поведенческие механизмы искусственного интеллекта, которые постоянно отслеживают необычные действия, типичные для атак по Цепочке поставок и распространения червя. Была создана специальная библиотека обнаружения платформы, которая включает в себя специальные правила для выявления активности червя Shai-Hulud на различных стадиях, что повышает эффективность устранения потенциальных угроз.

Кроме того, команда Wayfinder по поиску угроз предпринимает активные усилия по выявлению угроз. Эти усилия включают активное наблюдение за признаками подозрительной активности, связанной с угрозой Shai-Hulud. Организациям рекомендуется сохранять бдительность и участвовать в обмене информацией об угрозах, особенно если есть какие-либо признаки аномалий в их среде, связанных с этим новым вектором атаки.

#ParsedReport #CompletenessMedium
26-11-2025

The story of how we almost got hacked

https://www.invictus-ir.com/news/the-story-of-how-we-almost-got-hacked

Report completeness: Medium

Actors/Campaigns:
Vendorvandals

Threats:
Bec_technique
Aitm_technique
Evilproxy_tool
Credential_harvesting_technique

Victims:
Team invictus

Industry:
Healthcare, Biotechnology

Geo:
Asian, African, Spain, India, Germany, Belgium, Denmark

ChatGPT TTPs:
do not use without manual check
T1199, T1566, T1656

IOCs:
Domain: 6
IP: 3

Soft:
WeTransfer

Links:
https://github.com/invictus-ir/IOCs/blob/main/IOCs%20-%20VendorVandals%20-%20How%20we%20almost%20got%20hacked%20-%20Nov%202025.csv

#ParsedReport #ExtractedSchema

Classified images:
chats: 2, windows: 2, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавнее расследование неудачной попытки взлома деловой электронной почты (BEC), нацеленной на Team Invictus, показало, что злоумышленник использовал методы фишинга, чтобы выдать себя за законный запрос клиента. В электронном письме содержались варианты написания на английском языке в Великобритании, отправленные предполагаемой американской организацией, что указывает на плохую тактику локализации. Эта атака является частью более широкой кампании фишинга с использованием общих тем и имен файлов, связанных с закупками, для повышения доверия и использования уязвимостей организаций.
-----

Недавнее расследование неудачной попытки взлома деловой электронной почты (BEC), нацеленной на Team Invictus, выявило несколько технических подробностей о методологии атаки, используемой злоумышленником. Первоначальная попытка началась с электронного письма, которое оказалось законным запросом клиента из американского филиала признанной фармацевтической компании. В сообщении упоминалась заинтересованность в приобретении "автоматизированной аналитической системы", продукта, который целевая компания не продает, что сразу вызвало подозрения. При дальнейшем изучении аналитики заметили, что в электронном письме использовалось английское написание в Великобритании, такое как "каталог", несмотря на то, что оно было отправлено от предполагаемой организации, базирующейся в США, что наводит на мысль о непоследовательной тактике локализации, часто используемой киберпреступниками.

В атаке использовался ряд методов фишинга, направленных на имитацию законных процессов закупок. Обычно используемые строки темы и имена файлов имитировали запросы предложений, технических спецификаций или документации по внедрению поставщика, что придавало сообщению правдоподобный вид для ничего не подозревающих получателей. Это согласуется с типичными стратегиями BEC, которые используют социальную инженерию, чтобы ослабить бдительность цели и установить доверие.

Благодаря дополнительным исследованиям расследование расширилось и выявило другие домены, ставшие мишенью кампании, что указывает на то, что это был не единичный инцидент, а часть более широкой и оппортунистической схемы фишинга. Такие выводы подчеркивают адаптивную природу злоумышленников, которые постоянно совершенствуют свою тактику, чтобы использовать предполагаемые уязвимости в организациях.

Чтобы снизить риски, связанные с атаками BEC, организациям крайне важно укрепить свои протоколы аутентификации и внедрить передовые меры по обнаружению угроз. Это предполагает не только укрепление существующих систем безопасности, но и повышение осведомленности о тактике Имперсонации угроз. Неудача этой попытки BEC иллюстрирует, что, хотя эти угрозы распространены, постоянная бдительность и упреждающая защита могут значительно смягчить их воздействие. Расследование служит напоминанием о том, что, несмотря на изощренность потенциальных киберугроз, организации могут оставаться на шаг впереди, используя надежные стратегии защиты.

#ParsedReport #CompletenessLow
26-11-2025

Dark Web Profile: ByteToBreach

https://socradar.io/dark-web-profile-bytetobreach/

Report completeness: Low

Actors/Campaigns:
Bytetobreach (motivation: information_theft, financially_motivated)

Victims:
Financial services, Banks, Telecom, Airlines, Critical infrastructure, Eurofiber

Industry:
Aerospace, Critical_infrastructure, Healthcare, Financial, Telco, Education, Government, Logistic

Geo:
Portugal, India, Singapore, Latin america, Chile, Kazakhstan, Panama, Finland, Uzbekistan, Italy, Netherlands, Ukraine, Asia, Russian, France, Cyprus, Poland, Seychelles, Spain, Russia, Algeria, Africa, Thailand, America

TTPs:
Tactics: 5
Technics: 5

Soft:
WordPress, Telegram, Instagram, WebLogic

Algorithms:
exhibit

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ByteToBreach, финансово мотивированный злоумышленник, появился в середине 2025 года, нацелившись на сектор финансовых услуг с помощью утечек данных и продажи доступа, затронув такие известные учреждения, как PKO Bank Polski. Их операции включают использование уязвимостей в общедоступных приложениях, использование таких тактик, как SQL-инъекция для первоначального доступа, и выполнение сложных стратегий эксфильтрации данных. Примечательно, что они поддерживают самоназванный сайт утечек и используют Виртуально выделенные серверы для проведения длительных атак, нацеленных на структурированные базы данных для максимальной монетизации.
-----

Злоумышленник, известный как ByteToBreach, к середине 2025 года стал значительным игроком на рынке киберпреступности, действуя под постоянным псевдонимом на различных подпольных форумах. Этот финансово мотивированный трейдер по утечке данных и брокер доступа начал свою деятельность с продажи доступа к обширным корпоративным наборам данных, ориентированным в первую очередь на сектор финансовых услуг. Из 35 идентифицированных жертв 13 представляют банковские и финансовые учреждения, включая такие известные имена, как PKO Bank Polski и ICICI Prudential Asset Management. Собранная информация включает в себя конфиденциальные профили клиентов и внутренние данные, которые часто используются для мошеннических действий или продаются с целью получения прибыли.

Операционная модель ByteToBreach основана на оппортунистической эксплуатации уязвимых интернет-систем, систематической эксфильтрации данных и монетизации через рынки Dark Web, дополненной самобрендовым сайтом утечки. Актор был связан с громкими инцидентами, такими как взлом Eurofiber, когда рекламировались данные, полученные с платформы управления сервисами GLPI компании, что сигнализировало о потенциальной угрозе многочисленным европейским организациям, которые зависят от услуг Eurofiber.

Технический анализ тактики ByteToBreach выявляет несколько действий, согласующихся с платформой MITRE ATT&CK. Актор использует методы разработки ресурсов, утверждая, что арендует Виртуально выделенные серверы по всей Европе для облегчения длительных атак с использованием SQL-инъекций и извлечения данных. Также примечательно использование Веб-сервисов; ByteToBreach управляет сайтом WordPress для утечек данных и пристыжения жертв, подчеркивая сложный подход к использованию своих результатов для максимального воздействия.

Что касается первоначального доступа, ByteToBreach описал использование SQL-инъекции и других уязвимостей в общедоступных приложениях для проникновения в сети, в частности, нацеленных на корпоративные платформы, такие как GLPI. Оказавшись внутри, актор обеспечивает "обратный доступ к оболочке", указывая на сложное выполнение команд, которое позволяет ему сохранять опору в скомпрометированных средах. Их ориентация на хранилища структурированной информации еще больше подчеркивает их методологию, поскольку они ориентированы на полные базы данных с платформ управления ИТ-услугами и финансовых баз данных.

Стратегии защиты от ByteToBreach основаны на традиционном укреплении систем, ориентированных на Интернет, и устранении известных уязвимостей. Устраняя основные риски и применяя строгие методы обеспечения безопасности, организации могут усилить свою защиту от таких оппортунистических и финансово мотивированных киберугроз.

#ParsedReport #CompletenessMedium
28-11-2025

CloudSEK Detects Over 2,000 Holiday-Themed Fake Stores Exploiting Black Friday and Festive Sales

https://www.cloudsek.com/blog/cloudsek-detects-over-2-000-holiday-themed-fake-stores-exploiting-black-friday-and-festive-sales

Report completeness: Medium

Threats:
Typosquatting_technique

Victims:
Consumers, Ecommerce sector, Retail sector, Brands impersonated

Industry:
Financial, Retail, E-commerce

Geo:
London, Guangdong, China

ChatGPT TTPs:
do not use without manual check
T1036, T1204, T1566.002, T1583.001

IOCs:
Domain: 215
Hash: 1
Email: 1

Soft:
WhatsApp, Telegram, Instagram, Gmail

Algorithms:
exhibit, sha256

Languages:
javascript

Platforms:
apple

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Во время сезона праздничных покупок всплеск активности фишинга привел к обнаружению более 2000 поддельных интернет-магазинов, при этом были выявлены две основные группы. Первый кластер включает более 750 typosquatted доменов, напоминающих Amazon, которые используют обманчивые показатели доверия, в то время как второй кластер включает домены, выдающие себя за такие бренды, как Apple и Samsung, использующие схожие шаблоны именования и дизайн. Эти мошеннические сайты используют интерес потребителей к праздничным предложениям, создавая значительные риски финансового мошенничества.
-----

По мере приближения сезона праздничных покупок, особенно "Черной пятницы" и киберпонедельника, наблюдается значительный всплеск активности фишинга. CloudSEK выявила более 2000 поддельных интернет-магазинов праздничной тематики, которые используют всплеск интереса потребителей для получения выгодных предложений и скидок. Анализ выявил две скоординированные группы этих мошеннических витрин, характеризующихся подозрительным использованием ресурсов и единообразными шаблонами оформления.

Первый кластер включает более 750 доменов, обычно напоминающих Amazon, идентифицированных как сайты с typosquatted, с похожим брендингом и срочными сообщениями, предназначенными для введения потребителей в заблуждение. Эти сайты используют обманчивые показатели доверия, чтобы казаться законными, тем самым повышая вероятность вовлечения потребителей и финансового мошенничества.

Второй кластер охватывает более широкую экосистему доменов .shop, в которую входят домены, выдающие себя за различные известные потребительские бренды, такие как Apple, Dell и Samsung. Эти домены имеют схожие названия и дизайн, что создает единый, но в то же время мошеннический подход к совершению покупок, ориентированный на неосведомленных потребителей, которые ищут выгодные предложения на праздники.

Распространенность этих поддельных магазинов свидетельствует о продолжающейся деятельности по борьбе с киберугрозами, которая использует сезонное поведение при совершении покупок, создавая значительные риски для потребителей. Злоумышленники используют тактику Имперсонации бренда и срочности, что вынуждает потребителей проявлять повышенную бдительность при взаимодействии с незнакомыми интернет-магазинами в этот праздничный сезон.

#ParsedReport #CompletenessLow
26-11-2025

Fake Battlefield 6 Pirated Versions and Game Trainers Used to Deploy Stealers and C2 Agents

https://www.bitdefender.com/en-us/blog/labs/fake-battlefield-6-pirated-games-trainers

Report completeness: Low

Victims:
Gaming users, Gaming sector

Industry:
Entertainment

Geo:
Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1189, T1204.002, T1555.003

IOCs:
Url: 1
IP: 1
File: 2

Soft:
Chrome, Firefox, Opera, Vivaldi, Discord, Steam

Wallets:
iwallet, yoroi

Algorithms:
exhibit

Win API:
GetSystemDefaultLCID, GetLocaleInfoW, GetUserGeoID, GetTickCount, DllInstall, DllRegisterServer, DllUnRegisterServer

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавний анализ выявил кампании вредоносного ПО, использующие популярность Battlefield 6, в основном распространяющие обманчивые игровые трейнеры и пиратские версии через торрент-сайты. Примечательно, что агрессивный стиллер информации маскируется под инструктора для кражи пользовательских данных, в то время как версия InsaneRamZes использует методы антианализа для уклонения. Кроме того, пиратская версия RUNE действует как агент управления, обеспечивая удаленный доступ, что еще больше усложняет ситуацию с вредоносным ПО из-за путаницы с законными взломами.
-----

Недавний анализ, проведенный Bitdefender Labs, выявил целый ряд кампаний по вредоносному ПО, использующих популярность видеоигры Battlefield 6. Эти кампании в основном распространяют различные пиратские версии и вводящие в заблуждение игровые трейнеры через торрент-сайты и другие онлайн-платформы. Вредоносное ПО предназначено для обмана пользователей, ищущих незаконные копии игры, что в конечном итоге приводит к развертыванию вредоносного программного обеспечения.

Среди примечательных находок было выявлено несколько версий, обозначенных как "крэки" и "трейнеры" для Battlefield 6, во всех из которых отсутствует подлинная функциональность. Один агрессивный стиллер маскируется под тренера и предназначен для обработки пользовательских данных непосредственно из браузеров и криптовалютных кошельков. Этот образец относительно невелик и лишен запутывания, что позволяет быстро украсть конфиденциальную информацию после активации.

Кроме того, пиратская версия, известная как InsaneRamZes, использует передовые методы уклонения от обнаружения, используя методы антианализа и региональные стратегии уклонения. Напротив, пиратская версия RUNE функционирует как агент управления (C2), способный устанавливать закрепление в зараженных системах и облегчать удаленное управление злоумышленниками. Оба этих образца вредоносного ПО подчеркивают, что они отключены от любых законных функций, связанных с Battlefield 6.

Важно отметить, что ситуация усугубляется законной взломанной версией, выпущенной the actual RUNE group. Этот законный взлом еще больше увеличивает риск того, что ничего не подозревающие пользователи загрузят версию, загруженную вредоносным ПО, из-за путаницы, связанной с ее подлинностью на торрент-платформах.

#ParsedReport #CompletenessMedium
28-11-2025

SetcodeRat Exposed: A Telegram Secret Stealing Trojan Customized for Chinese-speaking Regions

https://ti.qianxin.com/blog/articles/setcoderat-customized-for-chinese-speaking-regions-en/

Report completeness: Medium

Threats:
Setcoderat
Seo_poisoning_technique

Victims:
Telegram users, Consumers

Industry:
Government

Geo:
China, Taiwan, Chinese, Hong kong

ChatGPT TTPs:
do not use without manual check
T1036, T1056.004, T1082, T1204

IOCs:
File: 7
Hash: 2
IP: 2
Domain: 4

Soft:
Telegram

Wallets:
tron

Algorithms:
zip, md5

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
SetcodeRat - это недавно выявленный троян, нацеленный на китайскоязычные регионы, в основном использующий Telegram для проникновения. Он поддерживает определение языка для выполнения, гарантируя, что активируется только в системах, настроенных на китайском языке, и манипулирует функциональными возможностями Telegram для работы в ограниченных средах. Вредоносное ПО позволяет удаленно выполнять команды на скомпрометированных системах и может извлекать информацию об устройстве из файлов .tmp для дальнейшего использования.
-----

SetcodeRat - это недавно идентифицированный троян, который специально нацелен на китайскоязычные регионы, раскрывая уникальный подход к проникновению в системы через Telegram. Обнаруженная командой QiAnXin Threat Intelligence Center Red Raindrop, это вредоносное ПО работает в рамках системы сбора разведывательной информации, используя популярность Telegram в тех областях, где приложение обычно блокируется.

Примечательной особенностью SetcodeRat является его возможность определения языка. После запуска вредоносное ПО оценивает языковые настройки системы и продолжает свою вредоносную деятельность только в том случае, если настройки настроены на китайском языке, что позволяет ему эффективно нацеливаться на пользователей из материкового Китая, Гонконга, Макао и Тайваня.

Было обнаружено, что троянец включает в себя специфические функции, связанные с Telegram, манипулируя поведением приложения путем удаления функций, связанных с подсказками прокси. Это изменение, вероятно, предназначено для обеспечения более плавной работы в средах с ограниченным доступом и для расширения скрытых возможностей вредоносного ПО.

Более того, аспект удаленного управления SetcodeRat позволяет злоумышленнику выполнять команды на скомпрометированных компьютерах. Если вредоносное ПО обнаруживает, что оно не запущено в исполняемом файле Telegram, оно использует стандартный режим удаленного управления. В этом режиме он извлекает ранее сгенерированные tmp-файлы, содержащие информацию, относящуюся к конкретному устройству, которая может быть использована для дальнейших вредоносных действий.

#ParsedReport #CompletenessHigh
01-12-2025

ShadowV2: Advanced Technical Threat Analysis of a New Mirai-Based Botnet

https://www.secureblink.com/threat-research/shadow-v2-advanced-technical-threat-analysis-of-a-new-mirai-based-botnet

Report completeness: High

Threats:
Shadowv2
Mirai
Satori
Masuta
Murdoc_botnet
Nugache
Udpflood_technique
Icmpflood_technique
Synflood_technique
Ackflood_technique
Tcpstomp_technique
Httpflood_technique
Dns_amplification_technique
Dropbear_tool
Polymorphism_technique
Mitm_technique
Credential_harvesting_technique
Netscan_tool
Procdump_tool
Puremasuta
Owari

Victims:
Telecommunications, Healthcare, Finance, Manufacturing, Intelligent building management systems, Global iot infrastructure

Industry:
Financial, Telco, Retail, Transport, Critical_infrastructure, Iot, Healthcare, Government, Ics, Entertainment

Geo:
Asia-pacific, Asia, America, California

CVEs:
CVE-2017-17215 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- huawei hg532_firmware (-)

CVE-2014-8361 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dir-905l_firmware (le2.05b01)

CVE-2024-3721 [Vulners]
CVSS V3.1: 6.3,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown

CVE-2020-25506 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink dns-320_firmware (2.06b01)

CVE-2022-37055 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- dlink go-rt-ac750_firmware (reva_1.01b03, revb_2.00b02)


TTPs:
Tactics: 7
Technics: 18

IOCs:
Domain: 2
Hash: 1

Soft:
VirtualBox, QEMU, curl, Linux, Chrome, Firefox

Algorithms:
md5, sha256, exhibit, prng, xor, rc4

Functions:
mprotect

Win API:
ARC

Platforms:
arm, x86, mips

YARA: Found

Links:
https://github.com/Yara-Rules/rules

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadowV2 - это ботнет на базе Mirai с критической степенью защиты, нацеленный на системы Linux и Unix, способный выполнять сложные DDoS-атаки в таких секторах, как телекоммуникации, здравоохранение и финансы. Он использует двоичный файл ELF, поддерживает различные архитектуры и использует упаковку UPX для запутывания. Цикл заражения включает в себя методы грубой силы и использование известных уязвимостей, включая CVE-2017-17215, наряду с продвинутой инфраструктурой C2 и обширными возможностями DDoS.
-----

ShadowV2 - это ботнет на базе Mirai, нацеленный на системы Linux и Unix и представляющий серьезную угрозу глобальной инфраструктуре Интернета вещей. Он способен запускать сложные DDoS-атаки в таких секторах, как телекоммуникации, здравоохранение и финансы. Ботнет поставляется в виде двоичного файла ELF, подходящего для архитектур x86, ARM и MIPS, размером от 50 до 300 КБ. Первоначальное запутывание достигается с помощью упаковки UPX, что усложняет обнаружение на основе сигнатур. Жизненный цикл процесса заражения состоит из семи этапов, в нем используются методы грубой силы, используются известные уязвимости и методы самораспространения. Он сканирует уязвимые устройства, используя необработанные операции с сокетами, с помощью SYN-сканирования на общих портах Telnet, SSH и HTTP.

ShadowV2 работает на гибридной инфраструктуре C2, объединяющей централизованные серверы с одноранговыми системами, используя TCP-порт 48101 для подключения зараженных ботов и передачи системных конфигураций. Ботнет использует десять векторов DDoS, включая UDP и ICMP floods, с подменой IP-адреса источника для усиления атаки. Используются передовые методы антианализа, включая криптографическое запутывание и шифрование RC4 операционных строк, что затрудняет усилия по обратному проектированию. Зараженные устройства демонстрируют агрессивное поведение при сканировании, особенно через ненормальные исходящие соединения Telnet.

Злоумышленники, стоящие за ShadowV2, находятся на уровне от среднего до продвинутого, используя недавно раскрытые CVE, такие как CVE-2017-17215, с помощью внедрения команд и уязвимостей слабой аутентификации в устройствах Интернета вещей. Вредоносное ПО соответствует платформе MITRE ATT&CK, в частности, при первоначальном доступе и использовании Внешних служб удаленного доступа. Организациям следует сосредоточиться на защите устройств, внедрении надежной аутентификации, отключении ненужных служб, поддержании строгих протоколов исправления и применении стратегии глубокой защиты с сегментацией сети и надежным мониторингом необычного поведения.

#ParsedReport #CompletenessMedium
27-11-2025

TangleCrypt: a sophisticated but buggy malware packer

https://labs.withsecure.com/publications/tanglecrypt

Report completeness: Medium

Threats:
Tanglecrypt_tool
Edr-killer
Stonestop
Abyssworker
Byovd_technique
Qilin_ransomware
Vmprotect_tool
Poortry
Burntcigar
Code_virtualizer_tool
Heartcrypt_tool
Xworm_rat
Bloat_technique

Victims:
Ransomware victims, Edr and antivirus vendors

ChatGPT TTPs:
do not use without manual check
T1027, T1055, T1068, T1106, T1140, T1562, T1574, T1620, T1622

IOCs:
File: 6
Hash: 84
Domain: 5

Soft:
Visual Studio, Microsoft Defender

Algorithms:
base64, sha256, xor

Win API:
LocalHandle, GlobalSize, LoadResource, SizeofResource, decompress, VirtualAlloc, CreateProcessW, WriteProcessMemory, ResumeThread, MessageBoxA, have more...

Platforms:
x64, x86

YARA: Found

Links:
https://github.com/WithSecureLabs/iocs/blob/master/TangleCrypt/TangleCrypt\_YARA.yar
have more...