#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
GoldFactory, злоумышленник, выявленный Group-IB, проводил кампании мобильного мошенничества, нацеленные на банковских пользователей в Азиатско-Тихоокеанском регионе, путем модификации банковских приложений, в частности, с использованием варианта вредоносного ПО Gigaflower. Их тактика включает в себя выдачу себя за государственные службы, чтобы завоевать доверие, использование таких фреймворков, как Frida и Dobby, для манипулирования законным поведением приложений и обхода системы безопасности. Оптимизированная цепочка атак группы начинается с контакта с приложением для обмена сообщениями и расширяется с помощью телефонных звонков, используя передовые методы, позволяющие избежать обнаружения и кражи конфиденциальной информации с помощью скомпрометированных устройств, которые обмениваются данными через WebRTC.
-----

Было замечено, что GoldFactory, злоумышленник, выявленный Group-IB, организует сложные кампании мобильного мошенничества, нацеленные на банковских пользователей по всему Азиатско-Тихоокеанскому региону, особенно с начала 2024 года. Эта группа использовала ряд модифицированных банковских приложений, включая варианты вредоносного ПО, такие как Gigaflower, которые демонстрируют расширенные функциональные возможности для компрометации пользовательских данных. В частности, операторы клонировали 27 законных банковских приложений в Индонезии, Вьетнаме и Таиланде, внедрив вредоносный код для выполнения своих атак.

Один из основных методов атаки, используемых GoldFactory, заключается в Имперсонации государственных служб для укрепления доверия к жертвам, что приводит к заражению устройств. Они используют общедоступные фреймворки, такие как Frida, Dobby и Pine, для перехвата и изменения законного поведения приложений с помощью инструментов под названием FriHook, SkyHook и PineHook. Эти методы позволяют вредоносному ПО обходить меры безопасности и шифрование, способствуя краже конфиденциальной информации. Например, FriHook может обходить проверки целостности, в то время как SkyHook использует DobbyHook framework для подключения к законным приложениям, изменяя их функциональность без обнаружения.

Вредоносное ПО продемонстрировало адаптивность, о чем свидетельствует новый вариант Gigaflower, который содержит экспериментальную кодовую базу с такими возможностями, как распознавание текста для сканирования удостоверений личности. Это показывает эволюцию тактики от использования исключительно прямого внедрения вредоносного ПО к внедрению комплексных стратегий социальной инженерии, при которых жертвы могут неосознанно предоставлять личную информацию под видом процессов проверки.

Цепочка атак начинается с первоначального контакта через приложения для обмена сообщениями, переходя к телефонным звонкам с инструкциями. Примечательно, что группа изменила тактику в отношении пользователей iOS, теперь поощряя жертв использовать Android-устройство для запуска вредоносного ПО, вероятно, из-за более строгих мер безопасности iOS. Скомпрометированные устройства могут обмениваться данными через WebRTC, что обеспечивает взаимодействие между злоумышленником и устройством жертвы в режиме реального времени, повышая скорость и эффективность атаки.

Анализ Group-IB позволил проследить развертывание этих вредоносных приложений в определенных доменах с открытыми каталогами, демонстрируя структурированный подход к распространению вредоносного ПО. Вредоносное ПО тщательно разработано, используя передовые упаковщики и обратное проектирование законных приложений, чтобы избежать обнаружения.

#ParsedReport #CompletenessHigh
04-12-2025

Albiriox Exposed: A New RAT Mobile Malware Targeting Global Finance and Crypto Wallets

https://www.cleafy.com/cleafy-labs/albiriox-rat-mobile-malware-targeting-global-finance-and-crypto-wallets#6

Report completeness: High

Threats:
Albiriox
Credential_harvesting_technique
Acvnc_tool
Hvnc_tool
Penny
Jsonpacker_tool

Victims:
Financial services, Cryptocurrency platforms

Industry:
Retail, Financial, Petroleum

Geo:
Austrian

ChatGPT TTPs:
do not use without manual check
T1036, T1071.001, T1095, T1104, T1105, T1204, T1406, T1410, T1412, T1414, have more...

IOCs:
Hash: 4
IP: 1
Domain: 7

Soft:
Google Play, Android, Telegram, WhatsApp

Algorithms:
md5, exhibit

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это новое семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, разработанное как вредоносное ПО как услуга (MaaS), нацеленное на финансовый сектор и криптовалютный сектор. Он использует двухэтапную стратегию развертывания с приложениями-дропперами, маскирующими его истинные намерения, используя методы социальной инженерии для обхода обнаружения. Albiriox обладает возможностями манипулирования устройствами в режиме реального времени, сбора учетных записей с помощью сложных атак наложения и поддерживает контроль с помощью незашифрованных TCP-соединений, что указывает на значительную эскалацию угроз мобильного банкинга.
-----

Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, появляющееся как вредоносное ПО как услуга (MaaS), нацеленное на глобальный финансовый сектор и криптовалютный сектор. Управляемый русскоязычными злоумышленниками, Albiriox демонстрирует активную разработку и сложную двухэтапную стратегию развертывания, направленную на то, чтобы избежать обнаружения. Первоначальный механизм доставки включает в себя приложения-дропперы, замаскированные под законное программное обеспечение, использующие тактику социальной инженерии, включая создание поддельных страниц Google Play.

В рамках своей операционной системы Albiriox осуществляет мошенничество на устройствах с помощью возможностей удаленного управления, позволяя злоумышленникам манипулировать устройствами жертв и взаимодействовать с ними в режиме реального времени. Он может отслеживать основные финансовые приложения и взаимодействовать с ними, поскольку в его исходном коде жестко задано более 400 целевых показателей. Ключевые функциональные возможности включают в себя сбор учетных записей с помощью оверлейных атак и возможность осуществлять наблюдение за зараженным устройством в режиме реального времени, аналогично троянцу удаленного доступа (RAT).

Процесс установки часто начинается с поддельного приложения, которое служит дроппером для основной полезной нагрузки Albiriox. Этот подход использует JSONPacker, метод запутывания, который усложняет статический анализ и усилия по обнаружению. Вредоносное ПО устанавливает постоянный канал связи со своей инфраструктурой управления (C2) через незашифрованное соединение через сокет TCP, что усиливает его способность поддерживать контроль над скомпрометированными устройствами.

Примечательно, что Albiriox использует сложные методы наложения для выполнения сбора учетных записей, развертывая несколько типов экранов наложения для сбора конфиденциальной информации. Разработчики вредоносного ПО уделяют приоритетное внимание тактике уклонения, активно обсуждая его статус полностью необнаруживаемого (FUD) на подпольных форумах и предлагая пользовательский конструктор как часть инфраструктуры MaaS.

Обширный набор команд, доступный для Albiriox, подтверждает его дизайн как надежного инструмента для проведения финансовых махинаций, с механизмами удаленного управления, манипуляций с экраном и мониторинга устройств, встроенными в вредоносное ПО. Это событие сигнализирует о тревожной тенденции в эволюции угроз мобильного банкинга, подчеркивая необходимость повышенной бдительности и передовых мер безопасности против таких сложных киберугроз. В целом, возможности и стратегии распространения Albiriox подчеркивают значительный прогресс в тактике, используемой киберпреступниками, нацеленными на финансовый сектор и криптовалютный сектор.

#ParsedReport #CompletenessLow
04-12-2025

Return of ClayRat: Expanded Features and Techniques

https://zimperium.com/blog/return-of-clayrat-expanded-features-and-techniques

Report completeness: Low

Threats:
Clayrat

Victims:
Mobile users

Geo:
Russian

TTPs:
Tactics: 9
Technics: 18

Soft:
Android, Dropbox, Google Play, Whatsapp

Algorithms:
aes, cbc

Functions:
onNotificationPosted

Links:
https://github.com/Zimperium/IOC/tree/master/2025-12-ClayRatv3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat, программа-шпион для Android, идентифицированная zLabs, значительно эволюционировала с момента своего первоначального обнаружения и теперь выполняет такие функции, как кража SMS и журнала вызовов, захват фотографий и массовые сообщения. Вредоносное ПО использует технологию dropper для обхода системы безопасности Android, при этом полезная нагрузка шифруется с использованием AES / CBC и запрашивает разрешения SMS по умолчанию для облегчения credential stealing. Версия 3.0.8 расширяет возможности Захвата экрана с помощью API MediaProjection и использует различные тактики уклонения, включая наложения и Имперсонацию законного приложения, подчеркивая его расширенный профиль угроз.
-----

Повторное появление ClayRat, программы-шпиона для Android, выявленной командой zLabs, знаменует заметную эволюцию ее возможностей и методов. Впервые обнаруженный в октябре, ClayRat предназначен для выполнения различных вредоносных действий, таких как кража SMS-сообщений, журналов вызовов, захват фотографий, инициирование телефонных звонков и массовая отправка SMS контактам жертвы. Это вредоносное ПО распространяется через более чем 25 доменов для фишинга, включая мошеннические Имперсонации популярных платформ, таких как YouTube, и приложений, таких как автомобильный сканер ELM, который связан с диагностикой транспортных средств.

Техническая структура ClayRat использует метод dropper, аналогичный его предшественнику, для обхода мер безопасности Android. Вредоносная полезная нагрузка скрыта в папке assets в зашифрованном формате и расшифровывается во время выполнения с использованием шифрования AES/CBC с жестко закодированным ключом. После установки вредоносное ПО предлагает жертве предоставить разрешения на отправку SMS по умолчанию, что имеет решающее значение для ее работы, включая включение служб специальных возможностей. Это разрешение позволяет ClayRat отслеживать взаимодействие с экраном блокировки, эффективно похищая учетные данные, наблюдая за действиями пользователя, такими как нажатие кнопок и ввод данных на экране блокировки.

Версия 3.0.8 ClayRat предоставляет расширенные возможности, в частности, связанные с взаимодействием с уведомлениями и манипуляциями с ними. Он использует API MediaProjection для облегчения Захвата экрана и записи, инициируемой командой, называемой turbo_screen, используя внутренние ресурсы, такие как VirtualDisplay, для зеркального отображения экрана в реальном времени. Эта функциональность поддерживается ForegroundService, даже если приложение не отображается активно.

Более того, ClayRat может использовать наложения, чтобы скрыть свои действия или получить конфиденциальную информацию, такую как PIN-код устройства, с помощью таких команд, как show_block_screen. Его командный арсенал включает в себя механизмы для Регистрации нажатий клавиш, фильтрации уведомлений и контроля вызовов, что подчеркивает комплексный подход к вторжению в частную жизнь и краже пользовательских данных.

Примечательно, что вредоносное ПО демонстрирует изощренные методы уклонения, маскируя свои вредоносные функции под видом законных приложений. Она включает в себя различные методы MITRE ATT&CK, начиная от кампаний фишинга и заканчивая тактикой получения учетных данных, демонстрирующей целый ряд наступательных возможностей. К ним относятся возможность получать SMS-сообщения и отвечать на них, документировать действия на экране и управлять функциями вызова устройства.

В свете этих расширенных возможностей ClayRat представляет все больший риск для безопасности устройств, что требует принятия надежных контрмер для защиты от его многогранных векторов атак. Эволюция вредоносного ПО иллюстрирует закрепление и адаптивность киберугроз, усиливая необходимость постоянной бдительности в практиках кибербезопасности.

#ParsedReport #CompletenessLow
04-12-2025

Shai Hulud 2.0, now with a wiper flavor

https://securelist.com/shai-hulud-2-0/118214/

Report completeness: Low

Threats:
Shai-hulud
Trufflehog_tool

Geo:
Vietnam, Brazil, India, France, Russia, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1071.001, T1083, T1102.003, T1105, T1195.001, T1485, T1552, have more...

IOCs:
File: 3

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО "Shai Hulud 2.0" появилось в сентябре, используя скомпрометированные пакеты npm с новой функцией очистки. Он устанавливает скрипт, setup_bun.js , который подготавливает систему к дальнейшим действиям и собирает конфиденциальную информацию, такую как токены GitHub, для эксфильтрации данных. Если не удается получить действительные токены, он активирует функцию очистки для удаления пользовательских файлов, подчеркивая свою двойную функциональность как похитителя учетных данных, так и деструктивной угрозы внутри системы. Node.js экосистема.
-----

В сентябре появился новый вариант вредоносного ПО, известный как "Shai Hulud 2.0", распространяемый через скомпрометированные пакеты Node Package Manager (npm). В этой версии появилась функция стеклоочистителя, что ознаменовало значительную эволюцию его функциональности. Начальная полезная нагрузка использует скрипт с именем setup_bun.js , который намеренно оставлен нераскрытым и хорошо задокументированным, чтобы скрыть его истинное намерение подготовить систему к последующим этапам внедрения вредоносного ПО. Скрипт проверяет установку законной среды выполнения Bun JavaScript и устанавливает ее, если она отсутствует, одновременно создавая среду выполнения для дальнейших вредоносных действий.

После запуска Shai Hulud 2.0 предназначен для сбора конфиденциальной информации из нескольких источников. Он активно ищет учетные данные и секреты, используя методы, которые включают сканирование переменных среды в поисках токена доступа GitHub и извлечение данных из конфигурации интерфейса командной строки GitHub (CLI). Использование этих токенов позволяет вредоносному ПО создать канал связи с общедоступным репозиторием GitHub для эксфильтрации украденных данных.

В дополнение к этим возможностям Shai Hulud 2.0 демонстрирует функции саморепликации, встраиваясь в пакеты npm. Вредоносный скрипт сканирует файлы конфигурации .npmrc в домашнем каталоге пользователя и текущем рабочем каталоге, чтобы найти токен авторизации в реестре npm, способствующий его распространению.

Если вредоносному ПО не удается получить действительные токены npm или GitHub, что препятствует усилиям по эксфильтрации данных, оно прибегает к выполнению деструктивной полезной нагрузки. Этот деструктивный ответ запускает функцию очистки, которая систематически удаляет пользовательские файлы, особенно те, которые расположены в домашнем каталоге. Двойственная природа Shai Hulud 2.0 — его способность красть учетные данные и стирать данные — иллюстрирует меняющийся ландшафт угроз с последствиями для разработчиков и пользователей в рамках Node.js экосистема.

На нашем совместном с INSECA CTI Meetup (прошедшем в прошлую субботу) коллеги из Касперского и BI Zone говорили о сложности атрибуции.

Смотрю на эту новость...
Ну не знаю, мне кажется все просто и очевидно же. Что тут сложного-то?

З.ы. Шутка, конечно же. Коллеги правы в сложности и размытости атрибуции :)

#technique

Evading Detection to Ring0 Уклоняемся от детекта вплоть до уровня ядра

https://rt-solar.ru/solar-4rays/blog/6254/

#ParsedReport #CompletenessLow
05-12-2025

SessionReaper (CVE-2025-54236) Discussions on the Dark Web and Telegram

https://flare.io/learn/resources/blog/sessionreaper-cve-2025-54236-dark-web-and-telegram/

Report completeness: Low

Threats:
Sessionreaper_vuln
Residential_proxy_technique

Victims:
Ecommerce platforms, Online retail

Industry:
E-commerce

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe commerce (2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)


TTPs:
Tactics: 6
Technics: 6

Soft:
Telegram, Redis, nginx, Unix

Languages:
javascript, php

Links:
https://github.com/amalpvatayam67/day01-sessionreaper-lab

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-54236 - критическая уязвимость в Adobe Commerce, которая позволяет злоумышленникам осуществлять удаленное выполнение кода путем внедрения вредоносной сериализованной полезной нагрузки в файловое хранилище сеансов. Эксплуатация может привести к полному захвату системы, позволяя злоумышленникам выполнять код с разрешениями веб-сервера. Участившиеся обсуждения на форумах Dark Web указывают на повышенный интерес злоумышленников к использованию этой уязвимости для злонамеренных действий, включая Кражу денежных средств.
-----

SessionReaper (CVE-2025-54236) - критическая уязвимость, затрагивающая Adobe Commerce (ранее Magento), широко используемую платформу электронной коммерции, которая поддерживает более 130 000 веб-сайтов по всему миру. Эта уязвимость может привести к полному захвату системы при определенных условиях, поскольку она использует файловое хранилище сеансов в среде Magento. Когда сеансы управляются как файлы, злоумышленник может внедрить вредоносную сериализованную полезную нагрузку, что приводит к удаленному выполнению кода (RCE), когда Magento десериализует этот скомпрометированный файл сеанса. Это означает, что злоумышленник фактически может выполнять код с разрешениями веб-сервера, усиливая потенциальное воздействие на скомпрометированные системы.

С тех пор как 9 сентября 2025 года были опубликованы рекомендации Adobe, на форумах Dark Web и в Telegram-каналах наблюдается заметный рост дискуссий вокруг CVE-2025-54236. В этих беседах освещаются не только законные исследования в области безопасности, но и оперативные обсуждения использования уязвимости, что указывает на заинтересованность злоумышленников в использовании этого недостатка в злонамеренных целях.

Организациям настоятельно рекомендуется немедленно принять меры по снижению риска, включая применение официальных исправлений, предоставляемых Adobe или Magento, и отключение файлового хранилища сеансов, если это возможно, для ограничения воздействия. Потенциальные пути использования совпадают с несколькими методами, описанными в MITRE ATT&CK Framework, включая использование общедоступных приложений (T1190), выполнение команд через Командную оболочку Unix (T1059.004) и использование Веб-шеллов (T1505.003). Дополнительные риски включают в себя получение учетных данных через незащищенные файлы и потенциальную возможность Кражи денежных средств (T1657).

#ParsedReport #CompletenessMedium
05-12-2025

V3G4 Botnet Evolves: From DDoS to Covert Cryptomining

https://cyble.com/blog/v3g4-mirai-botnet-evolves/

Report completeness: Medium

Threats:
Mirai
Xmrig_miner

Victims:
Linux servers

Industry:
Iot, Transport

TTPs:
Tactics: 9
Technics: 15

IOCs:
Domain: 3
IP: 3
Url: 2
File: 1
Coin: 1
Hash: 8

Soft:
Linux, curl, Unix

Crypto:
monero

Algorithms:
sha256, exhibit

Platforms:
mips, mpsl, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания нацелена на системы Linux, использующие производный от Mirai ботнет, который включает в себя функции криптомайнинга. Атака инициируется с помощью сценария оболочки, который загружает двоичные файлы бота, основанные на системной архитектуре, используя высокоскоростное сканирование SSH и тактику DDoS для использования уязвимостей SSH. Вредоносное ПО маскирует себя путем переименования, чтобы походить на обычные системные процессы, и использует динамические конфигурации для скрытности, в конечном итоге развертывая майнер XMRig, поддерживая связь с сервером управления с помощью запутанных методов.
-----

Недавние результаты Cyble Research & Intelligence Labs (CRIL) раскрывают активную кампанию, нацеленную на системы Linux, использующую производный от Mirai ботнет, который объединяет возможности скрытого криптомайнинга. В этой операции используется сложный многоэтапный процесс заражения, который начинается со скрипта оболочки, известного как "Универсальный загрузчик ботов". Этот скрипт автоматически идентифицирует архитектуру системы с помощью команды `uname -m` и впоследствии загружает соответствующий двоичный файл бота с сервера, контролируемого злоумышленником.

Ботнет, обладающий характеристиками, типичными для V3G4 и других вариантов Mirai, использует высокоскоростное SSH-сканирование и DDoS-атаки. Он использует необработанное сканирование TCP с помощью распределения пакетов SYN, направленных на порт 22 по многочисленным IP-адресам, что указывает на методичный подход грубой силы для использования уязвимостей SSH для дальнейшего доступа к другим хостам Linux.

Для обеспечения скрытности и уклонения от обнаружения, вредоносное ПО маскарады, переименовав себя, чтобы выглядеть как единая система процессов, таких, как "команду systemd-logind," и отсоединяется от терминала. Этот подход включает в себя подавить стандартный вывод и создает локальный TCP-сокет для внутренних коммуникаций, дальнейшего скрывая свою деятельность.

После успешного получения доступа вредоносное ПО переходит к развертыванию этапа криптомайнинга, загружая майнер XMRig, который замаскирован под законный процесс с именем файла ".dbus-daemon", размещенный в каталоге "/tmp". Конфигурация этого майнера — включая адреса кошельков и параметры майнинга — динамически извлекается с сервера управления (C2), гарантируя, что на диске не останется никаких остатков, что усложняет судебно-медицинский анализ.

Связь с сервером C2 включает в себя многопоточные DNS-запросы к известному общедоступному DNS (в частности, 8.8.8.8), разрешающие доступ к IP-адресам, связанным с инфраструктурой злоумышленника. Это включает в себя механизмы предотвращения традиционных методов обнаружения с помощью обфускации файлов и динамических конфигураций, которые предотвращают создание идентифицируемых артефактов.

Эта кампания является примером финансово мотивированной, многогранной киберугрозы, которая использует современные методы как для распространения ботнет, так и для скрытого Несанкционированного использования ресурсов посредством криптомайнинга. Используя тактику обхода, такую как использование упакованных двоичных файлов и динамических DNS-запросов, злоумышленники обеспечивают закрепление на скомпрометированных устройствах, стремясь при этом оставаться незамеченными с помощью мер безопасности. Набор применяемых методов соответствует различным стратегиям MITRE ATT&CK, включая разведку, первоначальный доступ с помощью перебора SSH, выполнение команд и использование ресурсов.

#ParsedReport #CompletenessMedium
05-12-2025

Shai-Hulud 2.0: Inside the NPM Supply Chain Worm

https://the-sequence.com/investigating-shai-hulud

Report completeness: Medium

Threats:
Supply_chain_technique
Shai-hulud
Trufflehog_tool

Victims:
Software development, Open source ecosystem, Developers

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 9

Soft:
curl, Linux, sudo, Docker, Unix, macOS

Crypto:
ripple

Algorithms:
zip, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4