#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Albiriox - это новое семейство вредоносных ПО для Android, управляемое русскоязычными злоумышленниками, разработанное как вредоносное ПО как услуга (MaaS), нацеленное на финансовый сектор и криптовалютный сектор. Он использует двухэтапную стратегию развертывания с приложениями-дропперами, маскирующими его истинные намерения, используя методы социальной инженерии для обхода обнаружения. Albiriox обладает возможностями манипулирования устройствами в режиме реального времени, сбора учетных записей с помощью сложных атак наложения и поддерживает контроль с помощью незашифрованных TCP-соединений, что указывает на значительную эскалацию угроз мобильного банкинга.
-----

Albiriox - это недавно идентифицированное семейство вредоносных ПО для Android, появляющееся как вредоносное ПО как услуга (MaaS), нацеленное на глобальный финансовый сектор и криптовалютный сектор. Управляемый русскоязычными злоумышленниками, Albiriox демонстрирует активную разработку и сложную двухэтапную стратегию развертывания, направленную на то, чтобы избежать обнаружения. Первоначальный механизм доставки включает в себя приложения-дропперы, замаскированные под законное программное обеспечение, использующие тактику социальной инженерии, включая создание поддельных страниц Google Play.

В рамках своей операционной системы Albiriox осуществляет мошенничество на устройствах с помощью возможностей удаленного управления, позволяя злоумышленникам манипулировать устройствами жертв и взаимодействовать с ними в режиме реального времени. Он может отслеживать основные финансовые приложения и взаимодействовать с ними, поскольку в его исходном коде жестко задано более 400 целевых показателей. Ключевые функциональные возможности включают в себя сбор учетных записей с помощью оверлейных атак и возможность осуществлять наблюдение за зараженным устройством в режиме реального времени, аналогично троянцу удаленного доступа (RAT).

Процесс установки часто начинается с поддельного приложения, которое служит дроппером для основной полезной нагрузки Albiriox. Этот подход использует JSONPacker, метод запутывания, который усложняет статический анализ и усилия по обнаружению. Вредоносное ПО устанавливает постоянный канал связи со своей инфраструктурой управления (C2) через незашифрованное соединение через сокет TCP, что усиливает его способность поддерживать контроль над скомпрометированными устройствами.

Примечательно, что Albiriox использует сложные методы наложения для выполнения сбора учетных записей, развертывая несколько типов экранов наложения для сбора конфиденциальной информации. Разработчики вредоносного ПО уделяют приоритетное внимание тактике уклонения, активно обсуждая его статус полностью необнаруживаемого (FUD) на подпольных форумах и предлагая пользовательский конструктор как часть инфраструктуры MaaS.

Обширный набор команд, доступный для Albiriox, подтверждает его дизайн как надежного инструмента для проведения финансовых махинаций, с механизмами удаленного управления, манипуляций с экраном и мониторинга устройств, встроенными в вредоносное ПО. Это событие сигнализирует о тревожной тенденции в эволюции угроз мобильного банкинга, подчеркивая необходимость повышенной бдительности и передовых мер безопасности против таких сложных киберугроз. В целом, возможности и стратегии распространения Albiriox подчеркивают значительный прогресс в тактике, используемой киберпреступниками, нацеленными на финансовый сектор и криптовалютный сектор.

#ParsedReport #CompletenessLow
04-12-2025

Return of ClayRat: Expanded Features and Techniques

https://zimperium.com/blog/return-of-clayrat-expanded-features-and-techniques

Report completeness: Low

Threats:
Clayrat

Victims:
Mobile users

Geo:
Russian

TTPs:
Tactics: 9
Technics: 18

Soft:
Android, Dropbox, Google Play, Whatsapp

Algorithms:
aes, cbc

Functions:
onNotificationPosted

Links:
https://github.com/Zimperium/IOC/tree/master/2025-12-ClayRatv3

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
ClayRat, программа-шпион для Android, идентифицированная zLabs, значительно эволюционировала с момента своего первоначального обнаружения и теперь выполняет такие функции, как кража SMS и журнала вызовов, захват фотографий и массовые сообщения. Вредоносное ПО использует технологию dropper для обхода системы безопасности Android, при этом полезная нагрузка шифруется с использованием AES / CBC и запрашивает разрешения SMS по умолчанию для облегчения credential stealing. Версия 3.0.8 расширяет возможности Захвата экрана с помощью API MediaProjection и использует различные тактики уклонения, включая наложения и Имперсонацию законного приложения, подчеркивая его расширенный профиль угроз.
-----

Повторное появление ClayRat, программы-шпиона для Android, выявленной командой zLabs, знаменует заметную эволюцию ее возможностей и методов. Впервые обнаруженный в октябре, ClayRat предназначен для выполнения различных вредоносных действий, таких как кража SMS-сообщений, журналов вызовов, захват фотографий, инициирование телефонных звонков и массовая отправка SMS контактам жертвы. Это вредоносное ПО распространяется через более чем 25 доменов для фишинга, включая мошеннические Имперсонации популярных платформ, таких как YouTube, и приложений, таких как автомобильный сканер ELM, который связан с диагностикой транспортных средств.

Техническая структура ClayRat использует метод dropper, аналогичный его предшественнику, для обхода мер безопасности Android. Вредоносная полезная нагрузка скрыта в папке assets в зашифрованном формате и расшифровывается во время выполнения с использованием шифрования AES/CBC с жестко закодированным ключом. После установки вредоносное ПО предлагает жертве предоставить разрешения на отправку SMS по умолчанию, что имеет решающее значение для ее работы, включая включение служб специальных возможностей. Это разрешение позволяет ClayRat отслеживать взаимодействие с экраном блокировки, эффективно похищая учетные данные, наблюдая за действиями пользователя, такими как нажатие кнопок и ввод данных на экране блокировки.

Версия 3.0.8 ClayRat предоставляет расширенные возможности, в частности, связанные с взаимодействием с уведомлениями и манипуляциями с ними. Он использует API MediaProjection для облегчения Захвата экрана и записи, инициируемой командой, называемой turbo_screen, используя внутренние ресурсы, такие как VirtualDisplay, для зеркального отображения экрана в реальном времени. Эта функциональность поддерживается ForegroundService, даже если приложение не отображается активно.

Более того, ClayRat может использовать наложения, чтобы скрыть свои действия или получить конфиденциальную информацию, такую как PIN-код устройства, с помощью таких команд, как show_block_screen. Его командный арсенал включает в себя механизмы для Регистрации нажатий клавиш, фильтрации уведомлений и контроля вызовов, что подчеркивает комплексный подход к вторжению в частную жизнь и краже пользовательских данных.

Примечательно, что вредоносное ПО демонстрирует изощренные методы уклонения, маскируя свои вредоносные функции под видом законных приложений. Она включает в себя различные методы MITRE ATT&CK, начиная от кампаний фишинга и заканчивая тактикой получения учетных данных, демонстрирующей целый ряд наступательных возможностей. К ним относятся возможность получать SMS-сообщения и отвечать на них, документировать действия на экране и управлять функциями вызова устройства.

В свете этих расширенных возможностей ClayRat представляет все больший риск для безопасности устройств, что требует принятия надежных контрмер для защиты от его многогранных векторов атак. Эволюция вредоносного ПО иллюстрирует закрепление и адаптивность киберугроз, усиливая необходимость постоянной бдительности в практиках кибербезопасности.

#ParsedReport #CompletenessLow
04-12-2025

Shai Hulud 2.0, now with a wiper flavor

https://securelist.com/shai-hulud-2-0/118214/

Report completeness: Low

Threats:
Shai-hulud
Trufflehog_tool

Geo:
Vietnam, Brazil, India, France, Russia, China

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036, T1041, T1059.007, T1071.001, T1083, T1102.003, T1105, T1195.001, T1485, T1552, have more...

IOCs:
File: 3

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО "Shai Hulud 2.0" появилось в сентябре, используя скомпрометированные пакеты npm с новой функцией очистки. Он устанавливает скрипт, setup_bun.js , который подготавливает систему к дальнейшим действиям и собирает конфиденциальную информацию, такую как токены GitHub, для эксфильтрации данных. Если не удается получить действительные токены, он активирует функцию очистки для удаления пользовательских файлов, подчеркивая свою двойную функциональность как похитителя учетных данных, так и деструктивной угрозы внутри системы. Node.js экосистема.
-----

В сентябре появился новый вариант вредоносного ПО, известный как "Shai Hulud 2.0", распространяемый через скомпрометированные пакеты Node Package Manager (npm). В этой версии появилась функция стеклоочистителя, что ознаменовало значительную эволюцию его функциональности. Начальная полезная нагрузка использует скрипт с именем setup_bun.js , который намеренно оставлен нераскрытым и хорошо задокументированным, чтобы скрыть его истинное намерение подготовить систему к последующим этапам внедрения вредоносного ПО. Скрипт проверяет установку законной среды выполнения Bun JavaScript и устанавливает ее, если она отсутствует, одновременно создавая среду выполнения для дальнейших вредоносных действий.

После запуска Shai Hulud 2.0 предназначен для сбора конфиденциальной информации из нескольких источников. Он активно ищет учетные данные и секреты, используя методы, которые включают сканирование переменных среды в поисках токена доступа GitHub и извлечение данных из конфигурации интерфейса командной строки GitHub (CLI). Использование этих токенов позволяет вредоносному ПО создать канал связи с общедоступным репозиторием GitHub для эксфильтрации украденных данных.

В дополнение к этим возможностям Shai Hulud 2.0 демонстрирует функции саморепликации, встраиваясь в пакеты npm. Вредоносный скрипт сканирует файлы конфигурации .npmrc в домашнем каталоге пользователя и текущем рабочем каталоге, чтобы найти токен авторизации в реестре npm, способствующий его распространению.

Если вредоносному ПО не удается получить действительные токены npm или GitHub, что препятствует усилиям по эксфильтрации данных, оно прибегает к выполнению деструктивной полезной нагрузки. Этот деструктивный ответ запускает функцию очистки, которая систематически удаляет пользовательские файлы, особенно те, которые расположены в домашнем каталоге. Двойственная природа Shai Hulud 2.0 — его способность красть учетные данные и стирать данные — иллюстрирует меняющийся ландшафт угроз с последствиями для разработчиков и пользователей в рамках Node.js экосистема.

На нашем совместном с INSECA CTI Meetup (прошедшем в прошлую субботу) коллеги из Касперского и BI Zone говорили о сложности атрибуции.

Смотрю на эту новость...
Ну не знаю, мне кажется все просто и очевидно же. Что тут сложного-то?

З.ы. Шутка, конечно же. Коллеги правы в сложности и размытости атрибуции :)

#technique

Evading Detection to Ring0 Уклоняемся от детекта вплоть до уровня ядра

https://rt-solar.ru/solar-4rays/blog/6254/

#ParsedReport #CompletenessLow
05-12-2025

SessionReaper (CVE-2025-54236) Discussions on the Dark Web and Telegram

https://flare.io/learn/resources/blog/sessionreaper-cve-2025-54236-dark-web-and-telegram/

Report completeness: Low

Threats:
Sessionreaper_vuln
Residential_proxy_technique

Victims:
Ecommerce platforms, Online retail

Industry:
E-commerce

CVEs:
CVE-2025-54236 [Vulners]
CVSS V3.1: 9.1,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- adobe commerce (2.4.4, 2.4.5, 2.4.6, 2.4.7, 2.4.8)


TTPs:
Tactics: 6
Technics: 6

Soft:
Telegram, Redis, nginx, Unix

Languages:
javascript, php

Links:
https://github.com/amalpvatayam67/day01-sessionreaper-lab

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
CVE-2025-54236 - критическая уязвимость в Adobe Commerce, которая позволяет злоумышленникам осуществлять удаленное выполнение кода путем внедрения вредоносной сериализованной полезной нагрузки в файловое хранилище сеансов. Эксплуатация может привести к полному захвату системы, позволяя злоумышленникам выполнять код с разрешениями веб-сервера. Участившиеся обсуждения на форумах Dark Web указывают на повышенный интерес злоумышленников к использованию этой уязвимости для злонамеренных действий, включая Кражу денежных средств.
-----

SessionReaper (CVE-2025-54236) - критическая уязвимость, затрагивающая Adobe Commerce (ранее Magento), широко используемую платформу электронной коммерции, которая поддерживает более 130 000 веб-сайтов по всему миру. Эта уязвимость может привести к полному захвату системы при определенных условиях, поскольку она использует файловое хранилище сеансов в среде Magento. Когда сеансы управляются как файлы, злоумышленник может внедрить вредоносную сериализованную полезную нагрузку, что приводит к удаленному выполнению кода (RCE), когда Magento десериализует этот скомпрометированный файл сеанса. Это означает, что злоумышленник фактически может выполнять код с разрешениями веб-сервера, усиливая потенциальное воздействие на скомпрометированные системы.

С тех пор как 9 сентября 2025 года были опубликованы рекомендации Adobe, на форумах Dark Web и в Telegram-каналах наблюдается заметный рост дискуссий вокруг CVE-2025-54236. В этих беседах освещаются не только законные исследования в области безопасности, но и оперативные обсуждения использования уязвимости, что указывает на заинтересованность злоумышленников в использовании этого недостатка в злонамеренных целях.

Организациям настоятельно рекомендуется немедленно принять меры по снижению риска, включая применение официальных исправлений, предоставляемых Adobe или Magento, и отключение файлового хранилища сеансов, если это возможно, для ограничения воздействия. Потенциальные пути использования совпадают с несколькими методами, описанными в MITRE ATT&CK Framework, включая использование общедоступных приложений (T1190), выполнение команд через Командную оболочку Unix (T1059.004) и использование Веб-шеллов (T1505.003). Дополнительные риски включают в себя получение учетных данных через незащищенные файлы и потенциальную возможность Кражи денежных средств (T1657).

#ParsedReport #CompletenessMedium
05-12-2025

V3G4 Botnet Evolves: From DDoS to Covert Cryptomining

https://cyble.com/blog/v3g4-mirai-botnet-evolves/

Report completeness: Medium

Threats:
Mirai
Xmrig_miner

Victims:
Linux servers

Industry:
Iot, Transport

TTPs:
Tactics: 9
Technics: 15

IOCs:
Domain: 3
IP: 3
Url: 2
File: 1
Coin: 1
Hash: 8

Soft:
Linux, curl, Unix

Crypto:
monero

Algorithms:
sha256, exhibit

Platforms:
mips, mpsl, arm

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Недавняя кампания нацелена на системы Linux, использующие производный от Mirai ботнет, который включает в себя функции криптомайнинга. Атака инициируется с помощью сценария оболочки, который загружает двоичные файлы бота, основанные на системной архитектуре, используя высокоскоростное сканирование SSH и тактику DDoS для использования уязвимостей SSH. Вредоносное ПО маскирует себя путем переименования, чтобы походить на обычные системные процессы, и использует динамические конфигурации для скрытности, в конечном итоге развертывая майнер XMRig, поддерживая связь с сервером управления с помощью запутанных методов.
-----

Недавние результаты Cyble Research & Intelligence Labs (CRIL) раскрывают активную кампанию, нацеленную на системы Linux, использующую производный от Mirai ботнет, который объединяет возможности скрытого криптомайнинга. В этой операции используется сложный многоэтапный процесс заражения, который начинается со скрипта оболочки, известного как "Универсальный загрузчик ботов". Этот скрипт автоматически идентифицирует архитектуру системы с помощью команды `uname -m` и впоследствии загружает соответствующий двоичный файл бота с сервера, контролируемого злоумышленником.

Ботнет, обладающий характеристиками, типичными для V3G4 и других вариантов Mirai, использует высокоскоростное SSH-сканирование и DDoS-атаки. Он использует необработанное сканирование TCP с помощью распределения пакетов SYN, направленных на порт 22 по многочисленным IP-адресам, что указывает на методичный подход грубой силы для использования уязвимостей SSH для дальнейшего доступа к другим хостам Linux.

Для обеспечения скрытности и уклонения от обнаружения, вредоносное ПО маскарады, переименовав себя, чтобы выглядеть как единая система процессов, таких, как "команду systemd-logind," и отсоединяется от терминала. Этот подход включает в себя подавить стандартный вывод и создает локальный TCP-сокет для внутренних коммуникаций, дальнейшего скрывая свою деятельность.

После успешного получения доступа вредоносное ПО переходит к развертыванию этапа криптомайнинга, загружая майнер XMRig, который замаскирован под законный процесс с именем файла ".dbus-daemon", размещенный в каталоге "/tmp". Конфигурация этого майнера — включая адреса кошельков и параметры майнинга — динамически извлекается с сервера управления (C2), гарантируя, что на диске не останется никаких остатков, что усложняет судебно-медицинский анализ.

Связь с сервером C2 включает в себя многопоточные DNS-запросы к известному общедоступному DNS (в частности, 8.8.8.8), разрешающие доступ к IP-адресам, связанным с инфраструктурой злоумышленника. Это включает в себя механизмы предотвращения традиционных методов обнаружения с помощью обфускации файлов и динамических конфигураций, которые предотвращают создание идентифицируемых артефактов.

Эта кампания является примером финансово мотивированной, многогранной киберугрозы, которая использует современные методы как для распространения ботнет, так и для скрытого Несанкционированного использования ресурсов посредством криптомайнинга. Используя тактику обхода, такую как использование упакованных двоичных файлов и динамических DNS-запросов, злоумышленники обеспечивают закрепление на скомпрометированных устройствах, стремясь при этом оставаться незамеченными с помощью мер безопасности. Набор применяемых методов соответствует различным стратегиям MITRE ATT&CK, включая разведку, первоначальный доступ с помощью перебора SSH, выполнение команд и использование ресурсов.

#ParsedReport #CompletenessMedium
05-12-2025

Shai-Hulud 2.0: Inside the NPM Supply Chain Worm

https://the-sequence.com/investigating-shai-hulud

Report completeness: Medium

Threats:
Supply_chain_technique
Shai-hulud
Trufflehog_tool

Victims:
Software development, Open source ecosystem, Developers

TTPs:
Tactics: 6
Technics: 0

IOCs:
File: 9

Soft:
curl, Linux, sudo, Docker, Unix, macOS

Crypto:
ripple

Algorithms:
zip, base64

Languages:
javascript

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Атака Shai-Hulud 2.0, обнаруженная в августе 2025 года, использовала уязвимость GitHub Actions injection в экосистеме NPM, что позволило злоумышленникам извлекать токены публикации NPM и загружать вредоносные пакеты, которые скомпрометировали локальные инструменты искусственного интеллекта. Первоначальный доступ был получен через электронное письмо с фишингом, что привело к распространению вредоносного ПО, представленного Setup_bun.js , который устанавливает постоянное присутствие и крадет токены GitHub, одновременно нарушая работу DNS для эксфильтрации конфиденциальных данных. Этот инцидент выявил значительные уязвимости в Цепочке поставок программного обеспечения, потенциально затрагивающие многочисленные организации, зависящие от NPM.
-----

Атака Shai-Hulud 2.0 использовала уязвимость Цепочки поставок в экосистеме NPM с помощью ошибки внедрения действий на GitHub. Злоумышленники манипулировали заголовком запроса на извлечение, чтобы выполнить команды оболочки и извлечь токены публикации NPM. Были загружены вредоносные версии доверенных пакетов NPM, которые управляли локальными средствами командной строки искусственного интеллекта для поиска конфиденциальной информации. Первоначальный доступ был получен с помощью электронного письма с фишингом, замаскированного под предупреждение системы безопасности NPM. Фреймворк вредоносного ПО включает в себя скрипт загрузки (Setup_bun.js ), который гарантирует наличие среды выполнения Bun JavaScript для выполнения основного вредоносного ПО (bun_environment.js ). После взлома вредоносное ПО крадет токен GitHub жертвы и регистрирует систему как автономный сервер под идентификатором SHA1HULUD с помощью вредоносного рабочего процесса. Он предпринимает попытку повышения привилегий с помощью проверок доступа sudo и использования Docker путем изменения файла sudoers. Вредоносное ПО нарушает разрешение DNS, останавливая службу, разрешенную systemd, и перенаправляя вызовы на контролируемые злоумышленником DNS-серверы. Эксфильтрация данных осуществляется путем кодирования конфиденциальной информации в double Base64 и загрузки ее в хранилища, контролируемые злоумышленниками. Если не удается пройти аутентификацию или создать хранилище, вредоносное ПО удаляет содержимое домашнего каталога пользователя. Атака создает риски для организаций, полагающихся на экосистему NPM, подчеркивая уязвимости в инструментах разработчика и рабочих процессах.

#ParsedReport #CompletenessLow
05-12-2025

Malicious Go Packages Impersonate Googles UUID Library and Exfiltrate Data

https://socket.dev/blog/malicious-go-packages-impersonate-googles-uuid-library-and-exfiltrate-data

Report completeness: Low

Threats:
Typosquatting_technique
Supply_chain_technique

TTPs:
Tactics: 2
Technics: 5

IOCs:
Url: 4
File: 15

Soft:
Outlook

Algorithms:
aes

Links:
have more...
https://socket.dev/go/package/github.com/bpoorman/uuid
https://socket.dev/go/package/github.com/bpoorman/uid?version=v0.0.0-20210528062104-e068190dd06b

#ParsedReport #CompletenessMedium
04-12-2025

Dangerous Invitations: Russian Threat Actor Spoofs European Security Events in Targeted Phishing Attacks

https://www.volexity.com/blog/2025/12/04/dangerous-invitations-russian-threat-actor-spoofs-european-security-events-in-targeted-phishing-attacks/

Report completeness: Medium

Actors/Campaigns:
Uta0355

Threats:
Spear-phishing_technique
Device_code_phishing_technique
Credential_stealing_technique

Victims:
Microsoft users, Google users, Conference attendees, Volexity customers

Industry:
Government

Geo:
Serbia, Russia, Indo pacific, Russian, Indo-pacific, Belgium

ChatGPT TTPs:
do not use without manual check
T1078.004, T1204.001, T1566.002, T1583.001, T1585.003, T1591

IOCs:
Domain: 7
Url: 11

Soft:
WhatsApp, Microsoft Entra, Linux, Android, Gmail, Volexity Volcano

Algorithms:
base64

Platforms:
apple

Links:
have more...
https://github.com/denniskniep/DeviceCodePhishing
https://github.com/volexity/threat-intel/blob/main/2025/2025-12-03%20UTA0355/iocs.csv