#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО SeedSnatcher, Маскировка под Android-приложение "Coin", нацелено на пользователей криптовалюты путем кражи мнемотехники кошелька и конфиденциальных данных через постоянное подключение WebSocket к серверу C2. Он использует перехват SMS-сообщений, обширные разрешения на кражу данных и манипуляции с наложением для подделки законных транзакций. Злоумышленник действует из Китая и использует структурированную дистрибьюторскую сеть, отслеживая установки и адаптируя пользовательский интерфейс для локализации, чтобы усилить обман в различных регионах.
-----

Вредоносное ПО SeedSnatcher, замаскированное под Android-приложение под названием "Coin" (упаковано как com.pureabuladon.auxes), специально нацелено на пользователей криптовалют, похищая мнемонику кошелька и другие конфиденциальные данные. Вредоносное ПО активно взаимодействует с сервером управления (C2) через постоянный канал WebSocket, который обеспечивает выполнение команд в режиме реального времени и эксфильтрацию данных. Он активно распространяется через социальные платформы, в частности Telegram, что указывает на организованную рекламную команду, стоящую за его внедрением.

Технические возможности SeedSnatcher's включают в себя извлечение начальных фраз криптовалютного кошелька, перехват SMS для обхода OTP и использование разрешений для сбора обширных данных об устройствах и приложениях. Использование таких разрешений, как READ_EXTERNAL_STORAGE и READ_SMS, облегчает комплексную кражу данных, позволяя перехватывать конфиденциальные файлы и личные сообщения без предупреждения пользователя. Вредоносное ПО особенно искусно имитирует законные приложения с помощью манипуляций с наложением, что позволяет ему подделывать интерфейсы криптовалютных кошельков и захватывать мнемонические фразы под видом взаимодействия с пользователем.

Вредоносное ПО использует интеллектуальные механизмы для обеспечения эффективности захвата мнемоники; оно использует полный словарь BIP39 для проверки записей и использует методы динамической загрузки полезной нагрузки, которые скрывают вредоносный код в рамках законной структуры. Это часть более широкой стратегии закрепления, поскольку она изменяет конфигурации системы для поддержания фонового выполнения и наблюдает за поведением пользователя, чтобы точно определить время попыток фишинга, когда используются целевые приложения.

Профилирование устройств выполняется в самом начале с обширным сбором метаданных, включая системные идентификаторы, сведения об Аппаратном обеспечении и статистику использования приложений. Такое профилирование позволяет вредоносному ПО адаптировать свои стратегии фишинга к среде каждой жертвы, повышая вероятность успешного сбора данных. Объединение эксфильтрации SMS и журнала вызовов еще больше расширяет его возможности по перехвату учетных данных.

Структура команд позволяет осуществлять широкий контроль над зараженным устройством, включая функции для инициирования вызовов, удаления приложений и скрытой отправки SMS-сообщений. Вредоносное ПО также использует сложный процесс эксфильтрации данных, который извлекает ценную пользовательскую информацию из множества источников, обеспечивая широкий доступ к конфиденциальным данным.

Более того, злоумышленник, стоящий за SeedSnatcher, судя по всему, работает из Китая и имеет встроенные функции отслеживания для мониторинга партнерских установок, что подчеркивает структурированную сеть распространения с несколькими филиалами. Вредоносное ПО локализует свой пользовательский интерфейс для адаптации к различным языкам, что повышает его способность обманывать и завоевывать доверие жертв в разных регионах.

#ParsedReport #CompletenessHigh
04-12-2025

Silver Foxs Russian Ruse: ValleyRAT Hits China via Fake Microsoft Teams Attack

https://reliaquest.com/blog/threat-spotlight-silver-foxs-russian-ruse-fake-microsoft-teams-attack/

Report completeness: High

Actors/Campaigns:
Silver_fox (motivation: financially_motivated, cyber_espionage, cyber_criminal)

Threats:
Valleyrat
Seo_poisoning_technique

Victims:
Organizations in china

Industry:
Government

Geo:
Russia, American, Chinese, China, Russian

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1204.002, T1583.001, T1606.003, T1608.006

IOCs:
File: 10
Domain: 3
Command: 1
IP: 18
Url: 23
Hash: 1

Soft:
Microsoft Teams, Telegram, Chrome, Windows Defender, Embarcadero

Algorithms:
exhibit, zip

Win API:
DllRegisterServer

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Китайская APT-группировка "Silver Fox" использует тактику обмана, выдавая себя за российских злоумышленников в рамках кампании Microsoft Teams по Отравлению поисковой оптимизации (SEO), нацеленной на организации в Китае. Они используют модифицированную версию вредоносного ПО ValleyRAT, доставляемую через ZIP-файл, содержащий символы кириллицы, что вводит в заблуждение при определении авторства. Вредоносное ПО использует системы, в которых отсутствует надежное ведение журнала, а операции сосредоточены на получении конфиденциальной информации и участии в финансовом мошенничестве.
-----

Китайская APT-группировка, известная как "Silver Fox", использовала тактику обмана, в частности, кириллические символы, чтобы выдавать себя за российских злоумышленников во время проведения кампании Microsoft Teams по Отравлению поисковой оптимизации (SEO). Эта стратегия нацелена на организации в Китае, использующие вредоносное ПО "ValleyRAT" для достижения двух основных целей: спонсируемый государством шпионаж, направленный на получение конфиденциальных разведывательных данных, и участие в финансовом мошенничестве для поддержания своей деятельности.

Кампания Silver Fox освещает модифицированную версию загрузчика ValleyRAT, представленную в виде ZIP-файла с именем "MSTamsSetup.zip ." Этот файл содержит символы кириллицы и исполняемый файл, который полностью представлен на русском языке, что может ввести в заблуждение при установлении авторства и усложнить процедуры реагирования на инциденты. Silver Fox ранее применяла аналогичную тактику Отравления поисковой оптимизации (SEO), выдавая себя за такие приложения, как Telegram и Chrome. В данном случае они переключили свое внимание на поддельное приложение Microsoft Teams, причем вредоносное ПО размещено на типографски похожем домене".teamscn.com ," что предполагает целенаправленную атаку на китайскоязычных пользователей.

Выполнение вредоносного ПО ValleyRAT начинается, когда пользователь запускает троянскую программу "Setup.exe " файл в ZIP-архиве, позволяющий вредоносному ПО использовать системы, в которых отсутствует надежное ведение журнала, особенно в отношении журналов событий Windows и ведения журнала PowerShell. Обманная практика группы направлена не только на то, чтобы скрыть свою личность, но и на то, чтобы сигнализировать о том, что подобные тактические операции, вероятно, будут продолжаться.

Для организаций, особенно тех, которые работают по всему миру или имеют офисы в Китае, сохраняющаяся угроза со стороны Silver Fox требует принятия упреждающих мер. Рекомендуется, чтобы организации включали ведение журнала событий PowerShell и Rundll32 для усиления своей защиты от атак такого типа. Непрерывная видимость сбора журналов также может быть усилена с помощью решений безопасности, направленных на обнаружение уязвимостей в системе.

Операции группы Silver Fox подчеркивают значительный риск, создаваемый менее известными противниками, которые могут эффективно осуществлять целенаправленные атаки в конкретных регионах, которые могут застать службы безопасности врасплох. Их эволюционирующая тактика и использование ложных флагов в стратегиях кибербезопасности требуют от организаций, подверженных риску стать мишенью, повышенной осведомленности и совершенствования защитных позиций.

#ParsedReport #CompletenessHigh
04-12-2025

Analysis of the new Trojan StreamSpy using WebSocket, which is called Mahayana (APT-Q-36).

https://zhuanlan.zhihu.com/p/1979499278541017681

Report completeness: High

Actors/Campaigns:
Donot (motivation: cyber_espionage)

Threats:
Streamspy
Spyder
Dunaochong

Industry:
Government, Military, Education

Geo:
Asian, Asia

TTPs:
Tactics: 2
Technics: 0

IOCs:
Hash: 9
Url: 16
Domain: 9

Soft:
Android

Algorithms:
aes, md5, zip

Functions:
getCommand, CreateProcessW

Win API:
ShellExecuteExW, ShellExecuteA, deleteFile, ateProcessW 执行文件, CreateProcessW

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Троянец StreamSpy, связанный с группой APT-Q-36 (Patchwork), представляет собой сложное вредоносное ПО, предназначенное для кибершпионажа, использующее как WebSocket, так и HTTP для обмена командами и контроля. Он собирает подробную информацию из зараженных систем с помощью Инструментария управления Windows(WMI), включая идентификаторы хостов и устройств, используя методы закрепления, основанные на условной конфигурации. Примечательно, что он взаимодействует с доменом C2 "www.virtualworldsapinner.com "через порт 443, демонстрируя свои возможности скрытности и подключение к предыдущему поведению вредоносного ПО.
-----

Анализ троянца StreamSpy, также известного как Mahayana и относящегося к группе APT-Q-36, выявил сложное вредоносное ПО, предназначенное для кибершпионажа. Эта группа, которую часто называют Patchwork, имеет историю операций, ориентированных на различные секторы, особенно в Азии, начиная с 2009 года. Троянец StreamSpy использует гибридный коммуникационный подход, используя WebSocket в сочетании с протоколами HTTP для установления соединений со своими серверами управления (C2). Этот метод повышает его способность передавать команды и получать оперативные результаты, одновременно скрывая часть своего трафика через установленное соединение.

Троянец StreamSpy упакован в ZIP-файлы, такие как "OPS-VII-SIR.zip " и включает в себя исполняемые версии, идентифицируемые хэшами MD5, указывающие на различные итерации его разработки. После запуска троянец расшифровывает конфигурационные данные, что позволяет ему собирать исчерпывающую информацию о зараженной системе. В частности, он собирает важные идентификаторы устройств, включая имя хоста, имя пользователя, версию операционной системы и сведения об антивирусе, используя такие инструменты, как Инструментарий управления Windows(WMI) для получения информации об Аппаратном обеспечении, такой как UUID и серийные номера.

Методы закрепления встроены в конструкцию трояна, позволяя ему закрепляться на зараженном устройстве в соответствии с определенными условными параметрами в настройках его конфигурации. Примечательно, что сообщение C2 направлено в домен "www.virtualworldsapinner.com "на порту 443, который служит координационным центром для обмена командами. Вредоносное ПО также демонстрирует склонность к уклонению от обнаружения за счет использования каналов WebSocket для передачи команд.

Кроме того, вариант StreamSpy, связанный с хэшем MD5 "f78fd7e4d92743ef6026de98291e8dee", обладает примечательным сходством с более ранними образцами, что позволяет предположить потенциальное совместное использование ресурсов с другими известными семействами вредоносных ПО, такими как DuNaoChong. Эта адаптация отражает продолжающуюся эволюцию тактики нападения, используемой группой Maha Grass, демонстрируя ее стремление к совершенствованию как функциональности, так и скрытности.

Анализ подчеркивает важность осторожности среди пользователей, выступает за упреждающие меры против потенциальных атак фишинга и использование методов безопасного использования компьютеров, хотя такие рекомендации по защите отклоняются от технической направленности анализа. В целом, троянец StreamSpy иллюстрирует эволюционирующий ландшафт киберугроз, особенно тех, которые исходят от организованных групп, которые постоянно совершенствуют свои методологии для достижения геополитических или шпионских целей.

#ParsedReport #CompletenessLow
02-12-2025

Glassworm's resurgence

https://secureannex.com/blog/glassworm-continued/

Report completeness: Low

Threats:
Glassworm

Victims:
Software supply chain, Extension marketplaces

Industry:
E-commerce

ChatGPT TTPs:
do not use without manual check
T1036, T1195, T1562, T1608, T1608.003

IOCs:
File: 3

Soft:
Flutter

Languages:
rust

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние кибератаки, связанные с Glassworm, возобновляются, особенно в праздничные дни, с использованием 23 поддельных расширений на торговых площадках code marketplaces. Эти расширения имитируют законные и могут скрытно обновляться вредоносным кодом после получения одобрения, минуя фильтры безопасности. После активации вредоносная полезная нагрузка внедряется незаметно, используя преимущества жизненного цикла расширения для компрометации пользовательских систем, выявляя уязвимости в надзоре за расширением и мерах безопасности.
-----

Недавние наблюдения указывают на возобновление кибератак, связанных со Glassworm, особенно в праздничный период. Исследователи в области безопасности выявили тревожную тенденцию, в связи с которой 23 расширения, Маскировка которых под законные, намеренно публикуются на code marketplaces. Эти расширения не только копируют популярные легальные аналоги, но и включают механизмы обновления вредоносным кодом после утверждения, тем самым обходя существующие фильтры безопасности.

Как только расширение получает первоначальное одобрение, злоумышленники могут легко заменить исходный код вредоносным вариантом. Этот процесс часто зависит от контекста активации расширений, при котором вредоносная полезная нагрузка вводится сразу после фазы активации, что позволяет выполнять скрытую работу. Эта тактика демонстрирует способность злоумышленников манипулировать жизненным циклом расширения, чтобы скомпрометировать пользовательские системы без немедленного обнаружения.

Закрепление кампании Glassworm указывает на тревожную тенденцию, поскольку злоумышленники продолжают использовать хорошо известные сигнатуры атак и методы, которые доказали свою эффективность за последние месяцы. Несмотря на существование сигнатур безопасности, предназначенных для выявления и смягчения таких угроз, легкость, с которой публикуются вредоносные версии, подчеркивает сохраняющуюся уязвимость на рынках расширений.

Среди 23 отслеживаемых расширений в некоторые уже были добавлены вредоносные полезные нагрузки, в то время как другие все еще находятся в процессе манипулирования статистикой своих загрузок для повышения доверия и распространения. С тех пор некоторые расширения были удалены с marketplace, но легкость повторной публикации злоумышленниками указывает на более глубокую проблему с надзором и мерами безопасности, применяемыми для таких платформ. Последствия такой тактики подчеркивают необходимость усовершенствованных методов обнаружения и более строгого мониторинга расширений для защиты от развивающихся угроз, таких как Glassworm.

#ParsedReport #CompletenessHigh
04-12-2025

Velociraptor Misuse, Pt. II: The Eye of the Storm

https://www.huntress.com/blog/velociraptor-misuse-part-two-eye-of-the-storm

Report completeness: High

Actors/Campaigns:
Storm-2603 (motivation: financially_motivated)

Threats:
X2anylock
Toolshell_vuln
Cloudflared_tool
Tightvnc_tool
Dll_sideloading_technique

Victims:
Agriculture sector, Managed service providers, Organizations using sharepoint, Organizations using wsus

Industry:
Foodtech

CVEs:
CVE-2025-59287 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft windows_server_2012 (-, r2)
- microsoft windows_server_2016 (<10.0.14393.8524)
- microsoft windows_server_2019 (<10.0.17763.7922)
- microsoft windows_server_2022 (<10.0.20348.4297)
- microsoft windows_server_2022_23h2 (<10.0.25398.1916)
have more...
CVE-2025-53770 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-53771 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (<16.0.18526.20508, 2016, 2019)

CVE-2025-49704 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_server (2016, 2019)

CVE-2025-49706 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- microsoft sharepoint_enterprise_server (2016)
- microsoft sharepoint_server (<16.0.18526.20424, 2019)


ChatGPT TTPs:
do not use without manual check
T1078, T1090, T1102, T1105, T1190, T1219, T1486, T1505.003, T1562.001

IOCs:
File: 11
Url: 2
Path: 5
IP: 3
Domain: 3
Hash: 2

Soft:
Velociraptor, Visual Studio Code, OpenSSH, Microsoft Defender for Endpoint, Windows Defender, Fedora, Active Directory, SharePoint server, Windows service, TightVNC, have more...

Algorithms:
sha256, base64

Languages:
powershell

Platforms:
x86, x64, intel

Links:
https://gist.github.com/james-northey/2baf62d1d06ae39aec44fd4b736ac858#file-toolshell-log
https://github.com
https://gist.github.com/james-northey/2baf62d1d06ae39aec44fd4b736ac858/raw/07b263c85835279af17d89d0d149603fa08832a8/toolshell.log
have more...

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавние киберинциденты свидетельствуют о том, что злоумышленники злоупотребляют инструментом Velociraptor для установления связи управления после использования уязвимостей, в том числе в службах обновления Windows Server и SharePoint. В результате атаки Warlock Ransomware Velociraptor был развернут на нескольких конечных точках, что позволило удаленно выполнять команды, в то время как попытки установить Cloudflare были пресечены до тех пор, пока защитник Windows не был отключен. Общая тактика этих инцидентов указывает на скоординированный подход вовлеченных злоумышленников на этапе после эксплуатации.
-----

Недавние инциденты высветили злоупотребление инструментом Velociraptor злоумышленниками в ходе различных кибератак, продемонстрировав его роль в установлении связи управления (C2) после использования уязвимостей. 12 ноября была использована уязвимость в службах обновления Windows Server (WSUS), что привело к установке Velociraptor, инструмента цифровой криминалистики и реагирования на инциденты с открытым исходным кодом.

В первом инциденте, о котором сообщалось 9 сентября, вредоносные инструменты были обнаружены на конечной точке клиента в сельскохозяйственном секторе. 15 сентября был подтвержден еще один инцидент, связанный с вредоносной активностью, непосредственно исходящей из сети управляемого поставщика услуг. Ранее, в июле, Huntress SOC предупредила этого партнера о попытках злоумышленников использовать уязвимости CVE-2025-53770 и CVE-2025-53771 на сервере SharePoint, включая попытки развернуть Веб-шелл, которые не были исправлены после первоначального отчета.

Третий инцидент, связанный с атакой Warlock ransomware, произошел в начале ноября, когда Huntress была установлена после того, как атака уже началась. Расследование показало, что 5 ноября злоумышленники также установили Velociraptor на нескольких конечных точках, чтобы обеспечить удаленное выполнение команд. Этот конкретный экземпляр Velociraptor был настроен для взаимодействия с доменом, связанным с предыдущими угрозами, демонстрируя схему использования.

Попытки злоумышленника установить Cloudflare были пресечены Защитником Windows, что привело к нескольким неудачным попыткам установки. В конечном счете, актору удалось отключить защитник Windows для установки Cloudflare, облегчив доступ. Чтобы еще больше расширить свой охват в среде, они использовали Visual Studio Code (code.exe ) в качестве метода прокладки туннелей, свидетельствующего об их намерении обеспечить более глубокое проникновение и контроль.

В записке с требованием выкупа, сопровождающей атаку Warlock ransomware, подчеркивалась новизна варианта и соответствие предыдущей тактике, когда злоумышленники использовали код Visual Studio для создания инфраструктуры C2. Эта серия инцидентов, несмотря на различные методы первоначального доступа — от эксплуатации WSUS до уязвимостей SharePoint, — имела общую связь с тем, что Velociraptor был центральным инструментом на этапе постэксплуатации, что выявило значительное совпадение в оперативном поведении вовлеченных злоумышленников.

#ParsedReport #CompletenessMedium
04-12-2025

Sanctioned but Still Spying: Intellexas Prolific Zero-Day Exploits Continue

https://cloud.google.com/blog/topics/threat-intelligence/intellexa-zero-day-exploits-continue/

Report completeness: Medium

Actors/Campaigns:
Intellexa (motivation: government_sponsored)

Threats:
Predator_spyware
Watering_hole_technique
Preyhunter

Victims:
Mobile users

Industry:
Government

Geo:
Uzbekistan, Saudi arabia, Mongolian, Pakistan, Russian, Egypt, Tajikistan, Mali, Kazakhstan, Angola

CVEs:
CVE-2024-4610 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- arm bifrost_gpu_kernel_driver (<r41p0)
- arm valhall_gpu_kernel_driver (<r41p0)

CVE-2023-2136 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<112.0.5615.137)

CVE-2023-41993 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<17.0.1)
- apple iphone_os (<17.0.1)
- apple macos (<14.0)

CVE-2021-38003 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<95.0.4638.69)

CVE-2021-37976 [Vulners]
CVSS V3.1: 6.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<94.0.4606.71)

CVE-2023-3079 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<114.0.5735.110)

CVE-2021-38000 [Vulners]
CVSS V3.1: 6.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<95.0.4638.69)

CVE-2021-37973 [Vulners]
CVSS V3.1: 9.6,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<94.0.4606.61)

CVE-2025-48543 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google android (13.0, 14.0, 15.0, 16.0)

CVE-2025-6554 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<138.0.7204.96)

CVE-2023-41992 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<16.7, 17.0)
- apple iphone_os (<16.7, 17.0)
- apple macos (<12.7, <13.6)

CVE-2021-1048 [Vulners]
CVSS V3.1: 7.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google android (-)

CVE-2022-42856 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple safari (<16.2)
- apple ipados (<15.7.2)
- apple iphone_os (<15.7.2, <16.1.2)
- apple macos (<13.1)
- apple tvos (<16.2)
have more...
CVE-2023-41991 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<16.7, 17.0)
- apple iphone_os (<16.7, 17.0)
- apple macos (<13.6)

CVE-2023-4762 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<116.0.5845.179)

CVE-2023-2033 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- google chrome (<112.0.5615.121)


TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1190, T1203, T1204.001, T1587.004, T1592.004, T1608.004, T1621

IOCs:
Hash: 2

Soft:
Android, Chrome

Algorithms:
sha256

Platforms:
arm, apple

YARA: Found

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Intellexa, видный игрок в секторе шпионского ПО для наемников, известна своим шпионским ПО "Predator" и использует уязвимости zero-day, особенно в мобильных браузерах. Недавняя совместная работа выявила цепочку эксплойтов zero-day "smack", нацеленных на Safari от Apple, использующих CVE-2023-41993 для выполнения машинного кода. Их методы доставки включают одноразовые ссылки с помощью зашифрованных сообщений и вредоносную рекламу, что подчеркивает их адаптивный подход к таргетингу и эксплуатации в условиях продолжающегося международного контроля и санкций.
-----

Intellexa, крупный игрок в сфере шпионских программ для наемников, продолжает процветать, несмотря на то, что подвергается международным санкциям и тщательному контролю за своей деятельностью. Компания известна своими шпионскими программами "Predator" и стала особенно искусна в использовании уязвимостей zero-day, особенно в мобильных браузерах. Примечательно, что выводы Google Threat Intelligence Group указывают на то, что Intellexa не только закупает, но и разрабатывает новые эксплойты zero-day, демонстрируя способность быстро адаптировать и поддерживать операции для своих клиентов.

Сотрудничество с CitizenLab в 2023 году выявило целую цепочку эксплойтов zero-day, используемых при атаках на цели в Египте. Эта цепочка эксплойтов, получившая в Intellexa внутреннее название "smack", способствовала скрытой установке Predator spyware на целевые устройства. На первом этапе этой цепочки эксплойтов zero-day использовалась уязвимость в браузере Apple Safari, идентифицированная как CVE-2023-41993. Эта конкретная уязвимость позволяла выполнять произвольные операции чтения и записи в память, которые имели решающее значение для выполнения машинного кода в современных системах Apple с помощью фреймворка под названием "JSKit"..

Основной способ работы Intellexa's для реализации этих эксплойтов заключается в отправке одноразовых ссылок непосредственно целевым пользователям через сквозные приложения для обмена зашифрованными сообщениями. Однако они также разнообразили свою тактику доставки, используя вредоносную рекламу на сторонних платформах. Такой подход позволяет им получать отпечатки пальцев пользователей и перенаправлять потенциальные цели на серверы, на которых размещены механизмы доставки их эксплойтов.

Усилия по противодействию шпионской деятельности Intellexa's набирают обороты, а инициативы сообщества выступают за принятие мер международной политики, направленных на ограничение воздействия таких технологий на права человека. Google активно участвует в процессе Pall Mall, направленном на установление глобальных норм и рамок для смягчения угроз, исходящих от индустрии шпионских программ. Эти инициативы перекликаются с более ранними правительственными мерами, включая шаги, предпринятые правительством США для ограничения использования таких инструментов наблюдения.

Сохраняющаяся угроза, исходящая от Intellexa, подчеркивает сложности кибербезопасности, особенно в том, что касается разработки и использования уязвимостей zero-day, поведения продвинутого вредоносного ПО и новых методов атак. Поскольку Intellexa продолжает расширять свои возможности, разработка таких инструментов, как правила YARA для обнаружения их вредоносного ПО, будет иметь важное значение для усиления защиты от кибербезопасности.

#ParsedReport #CompletenessMedium
03-12-2025

4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign

https://www.koi.ai/blog/4-million-browsers-infected-inside-shadypanda-7-year-malware-campaign

Report completeness: Medium

Actors/Campaigns:
Shadypanda (motivation: financially_motivated, cyber_espionage)

Threats:
Mitm_technique
Credential_harvesting_technique
Supply_chain_technique

Victims:
Browser users, Browser extensions ecosystem

Industry:
E-commerce

Geo:
China

TTPs:
Tactics: 3
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1027, T1041, T1053.005, T1059.007, T1105, T1195, T1562.006

IOCs:
Domain: 8
Coin: 17

Soft:
Chrome, Microsoft Edge

Algorithms:
aes

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ShadyPanda - злоумышленник, стоящий за долгосрочной кампанией, которая за семь лет заразила около 4,3 миллиона браузеров с помощью вредоносных расширений для Chrome и Edge. Первоначально они использовали социальную инженерию для продвижения поддельных расширений обоев, перейдя к агрессивной тактике, включающей удаленное выполнение кода и тщательное наблюдение за активностью пользователей. Вредоносное ПО демонстрирует передовые методы уклонения и использует сильно запутанный JavaScript, чтобы избежать обнаружения при передаче данных на несколько серверов, выявляя уязвимости в системе контроля безопасности marketplace.
-----

ShadyPanda - злоумышленник, выявленный в ходе длительной и масштабной кампании по расширению браузеров, нацеленной на пользователей Chrome и Edge, в результате которой за семилетний период было заражено примерно 4,3 миллиона браузеров. Кампания разделена на несколько отдельных этапов, которые подчеркивают эволюцию ее методов и стратегий.

На начальном этапе, получившем название "The Wallpaper Hustle", ShadyPanda запустила массовое внедрение 145 расширений для браузера, замаскированных под обои или приложения для повышения производительности. Этот этап начался в 2023 году, когда 20 расширений были доступны в интернет-магазине Chrome от издателя "nuggetsno15" и 125 на платформе Microsoft Edge от "rocket Zhang". Эта первоначальная тактика основывалась на социальной инженерии, чтобы побудить пользователей загружать кажущиеся безобидными расширения.

Кампания перешла в более агрессивную фазу, известную как "Эволюция перехвата поиска", которая начнется в начале 2024 года. На этом этапе ShadyPanda изменила свой подход от пассивной монетизации к активному контролю зараженных браузеров, где она начала выполнять команды и манипулировать функциональными возможностями браузера. Эта эскалация привела к развертыванию платформы удаленного выполнения кода, которая позволила вредоносному ПО проверять и загружать произвольный JavaScript каждый час с указанной конечной точки (api.extensionplay.com ), выполняя его с полным доступом к API браузера.

Текущие операционные возможности ShadyPanda's включают всестороннее наблюдение, при котором вредоносное ПО отслеживает и регистрирует посещение веб-сайта каждым пользователем, отправляя зашифрованные данные на серверы ShadyPanda's. Вредоносное ПО использует сложные методы уклонения, будучи способным обнаруживать, когда исследователь взаимодействует с инструментами разработчика. В таких сценариях он переходит в режим мягкого поведения, чтобы скрыть свои вредоносные действия. JavaScript, развернутый вредоносным ПО ShadyPanda's, сильно запутан, используя сокращенные имена переменных и используя интерпретатор размером 158 КБ для выполнения скриптов, что позволяет обойти политику безопасности контента.

Кампания приобрела еще один значительный оборот с выпуском компанией Starlab Technology пяти дополнительных расширений для Microsoft Edge, которые в совокупности собрали более 4 миллионов установок благодаря использованию тех же уязвимостей, которые позволили более ранним расширениям оставаться на рынке. Возможности сбора данных вредоносного ПО WeTab обширны, оно передает пользовательские данные в 17 различных доменов, включая несколько серверов, расположенных в Китае, и использует Google Analytics для отслеживания пользователей.

Семилетняя деятельность ShadyPanda подчеркивает недостатки в практике надзора за рынком расширений. Злоумышленник воспользовался отсутствием постоянного мониторинга после утверждения, поскольку торговые площадки в основном используют статический анализ только во время подачи заявки на продление. Этот системный недосмотр позволил ShadyPanda поддерживать и расширять свои реинвестиции в оружейные расширения для браузеров без обнаружения, демонстрируя существенные недостатки в существующих мерах безопасности магазинов приложений платформы.

#ParsedReport #CompletenessLow
04-12-2025

The Next Target of Scattered LAPSUS$ Hunters Zendesk

https://www.truesec.com/hub/blog/the-next-target-of-scattered-lapsus-hunters-zendesk

Report completeness: Low

Actors/Campaigns:
Scattered_lapsus_hunters
0ktapus
Lapsus
Shinyhunters

Threats:
Typosquatting_technique
Evilginx_tool
Sim_swapping_technique
Supply_chain_technique
Mfa_bombing_technique
Credential_harvesting_technique

Victims:
Zendesk, Salesforce, Gainsight, Retail, Insurance, Aviation, Saas platforms

Industry:
Aerospace, Retail

ChatGPT TTPs:
do not use without manual check
T1199, T1204.001, T1566.002, T1583.001, T1621, T1656

Soft:
Zendesk, Salesloft Drift, Salesforce